בדף הזה מפורטות הוראות ליצירת תחום העברה. למידע רקע מפורט, ראו תחומי העברה.
לפני שמתחילים, חשוב לוודא שהבנתם את הנקודות הבאות:
- ההבדלים בין ניתוב רגיל לניתוב פרטי, כפי שמתואר בקטע יעדי העברה ושיטות ניתוב
- שיטות העברת ה-DNS היוצא
- דרישות הרשת ליעדי העברה
- שיטות מומלצות לתחומי העברה ב-Cloud DNS
כדי ליצור תחום העברה פרטי מנוהל חדש, מבצעים את השלבים הבאים.
המסוף
במסוף Trusted Cloud , עוברים לדף Create a DNS zone.
בשדה Zone type, בוחרים באפשרות Private.
מזינים שם תחום, למשל
my-new-zone
.מזינים סיומת של שם DNS לתחום הפרטי. כל הרשומות בתחום משתפות את הסיומת הזו. לדוגמה,
example.private
.אם רוצים, מוסיפים תיאור.
בקטע אפשרויות, בוחרים באפשרות העברת שאילתות לשרת אחר.
בוחרים את הרשתות שאליהן האזור הפרטי צריך להיות גלוי.
כדי להוסיף את היעד להעברת אימיילים, לוחצים על
הוספת פריט. אפשר להוסיף כמה כתובות IP או שם דומיין מוגדר במלואו (FQDN) אחד. יעד ההעברה חייב להיות רשימה של כתובות IP או FQDN. אי אפשר להשתמש גם בכתובות IP וגם ב-FQDN באותה תחום.כדי לאלץ ניתוב פרטי ליעד ההעברה, בקטע Private forwarding מסמנים את התיבה Enable.
לוחצים על יצירה.
gcloud
מריצים את הפקודה dns managed-zones create
:
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --forwarding-targets=FORWARDING_TARGETS_LIST \ --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \ --visibility=private
מחליפים את מה שכתוב בשדות הבאים:
NAME
: שם לאזורDESCRIPTION
: תיאור של האזורDNS_SUFFIX
: סיומת ה-DNS של הדומיין, למשלexample.private
VPC_NETWORK_LIST
: רשימה מופרדת בפסיקים של רשתות VPC מורשות שיכולות לשלוח שאילתות לאזורFORWARDING_TARGETS_LIST
: רשימה מופרדת בפסיקים של כתובות IP או שם דומיין יחיד שמוגדר במלואו, שאליו נשלחות השאילתות. שמות הדומיינים מומרים לכתובות ה-IP שלהם. כתובות IP מסוג RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות ממוקמות ברשת ה-VPC או ברשת מקומית שמחוברת ל- Trusted Cloudבאמצעות Cloud VPN או Cloud Interconnect. כתובות IP שאינן RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות נגישות לאינטרנט.PRIVATE_FORWARDING_TARGETS_LIST
: רשימה מופרדת בפסיקים של כתובות IP או שם דומיין אחד מוגדר במלואו שאליו נשלחות השאילתות. שמות הדומיינים מומרים לכתובות ה-IP שלהם. כל כתובת IP שצוינה באמצעות הדגל הזה חייבת להיות ממוקמת ברשת ה-VPC או ברשת מקומית שמחוברת ל- Trusted Cloud באמצעות Cloud VPN או Cloud Interconnect.
Terraform
API
שולחים בקשת POST
באמצעות השיטה managedZones.create
:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones { "name": "NAME", "description": "DESCRIPTION", "dnsName": "DNS_NAME", "visibility": "private" "privateVisibilityConfig": { "kind": "dns#managedZonePrivateVisibilityConfig", "networks": [{ "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_1 }, { "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_2 }, .... ] }, "forwardingConfig": { "kind": "dns#managedZoneForwardingConfig", "targetNameServers": [{ "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_1 }, { "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_2 }, .... ] }, }
מחליפים את מה שכתוב בשדות הבאים:
PROJECT_ID
: המזהה של הפרויקט שבו נוצר האזור המנוהלNAME
: שם לאזורDESCRIPTION
: תיאור של האזורDNS_NAME
: סיומת ה-DNS של הדומיין, למשלexample.private
VPC_NETWORK_1
ו-VPC_NETWORK_2
: כתובות URL של רשתות VPC באותו פרויקט שיכולות לשלוח שאילתות לרשומות באזור הזה. אפשר להוסיף כמה רשתות VPC, כפי שמצוין. כדי לקבוע את כתובת ה-URL של רשת VPC, מתארים את הרשת באמצעות הפקודהgcloud
הבאה, ומחליפים אתVPC_NETWORK_NAME
בשם הרשת:gcloud compute networks describe VPC_NETWORK_NAME
--format="get(selfLink)"FORWARDING_TARGET_1
ו-FORWARDING_TARGET_2
: כתובות IP של שרתי שמות של יעד להעברה או שם דומיין יחיד שמוגדר במלואו. אפשר להוסיף כמה כתובות IP כפי שמצוין. כתובות ה-IP מסוג RFC 1918 שצוינו כאן חייבות להיות ממוקמות ברשת ה-VPC או ברשת מקומית שמחוברת ל- Trusted Cloud באמצעות Cloud VPN או Cloud Interconnect. כתובות IP שאינן RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות נגישות לאינטרנט.
הדרישות להעברת נתונים לרשת היעד
כש-Cloud DNS שולח בקשות ליעדים להעברה, הוא שולח חבילות עם טווחי המקור שמפורטים בטבלה הבאה.
סוג היעד להעברה | טווחי מקור |
---|---|
יעד מסוג 1 כתובת IP פנימית של מכונה וירטואלית מסוג Trusted Cloud או של מאזן עומסים פנימי של רשת עם העברה (passthrough) באותה רשת VPC שמורשית להשתמש באזור ההעברה. יעד מסוג 2 כתובת IP של מערכת מקומית שמחוברת לרשת ה-VPC המורשית להשתמש באזור ההעברה באמצעות Cloud VPN או Cloud Interconnect. למידע נוסף על כתובות ה-IP הנתמכות, ראו יעדים להעברה ושיטות ניתוב. |
ב-Cloud DNS נעשה שימוש בטווח המקור |
יעד מסוג 4 שם דומיין מלא של שרת שמות יעד שמפנה לכתובות IPv4 או IPv6 דרך סדר פתרון הרשת של VPC. שם הדומיין יכול להפנות עד 50 כתובות IP. כתובות ה-IP שמופעלת עבורן פענוח יכולות להיות מטרות מסוגים 1-3. |
בהתאם לכתובות ה-IP שהוגדרו, טווחי המקור יכולים להיות אחד מהטווחים הבאים:
|
יעדים מסוג 1 ומסוג 2
כדי לגשת ליעד מסוג 1 או מסוג 2 ב-Cloud DNS, נדרשים הפרטים הבאים. הדרישות האלה זהות אם היעד הוא כתובת IP מסוג RFC 1918 ואתם משתמשים בניווט רגיל, או אם בחרתם בניווט פרטי:
הגדרת חומת אש עבור
177.222.82.0/25
ליעדים מסוג 1, יוצרים כלל של חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) ביציאה
53
של TCP ו-UDP, שחלה על יעדי ההעברה בכל רשת VPC מורשית. ליעדים מסוג 2, צריך להגדיר חומת אש מקומית וציוד דומה כדי לאפשר את יציאת ה-TCP ו-UDP53
.ניתוב אל יעד ההעברה
ליעדים מסוג 1, Cloud DNS משתמש במסלול תת-רשת כדי לגשת ליעד ברשת ה-VPC המורשית להשתמש בתחום ההעברה. כדי לגשת ליעד ההעברה, Cloud DNS משתמש במסלולים דינמיים או סטטיים בהתאמה אישית, מלבד מסלולים סטטיים מתויגים, עבור יעדי שמות מסוג 2.
נתיב החזרה אל
177.222.82.0/25
דרך אותה רשת VPCליעדים מסוג 1, Trusted Cloud משתמש בנתיב ניתוב מיוחד ליעד
177.222.82.0/25
. ליעדים מסוג 2, ברשת המקומית צריך להיות מסלול ליעד177.222.82.0/25
, שהקפיצה הבאה שלו היא באותה רשת VPC שממנה נשלחה הבקשה, דרך מנהרה של Cloud VPN או צירוף VLAN ל-Cloud Interconnect. למידע נוסף על האופן שבו עומדים בדרישות האלה, ראו אסטרטגיות להחזרת משתמשים ליעדים מסוג 2.תגובה ישירה מהיעד
ב-Cloud DNS נדרש שהיעד להעברה שמקבל את החבילות יהיה זה ששולח את התשובות אל
177.222.82.0/25
. אם יעד ההעברה שולח את הבקשה לשרת שמות אחר, ושרת השמות האחר מגיב ל-177.222.82.0/25
, Cloud DNS מתעלם מהתגובה. מטעמי אבטחה, Trusted Cloud מצפה שכתובת המקור של התשובה של כל שרת שמות יעד ב-DNS תתאים לכתובת ה-IP של יעד ההעברה.
שיטות ניתוב להחזרת משתמשים ליעדים מסוג 2
אי אפשר לשלוח תשובות מיעדים להעברה מסוג 2 דרך האינטרנט או דרך רשת VPC אחרת ב-Cloud DNS. התשובות חייבות לחזור לאותה רשת VPC, אבל הן יכולות להשתמש בכל מנהרה של Cloud VPN או צירוף VLAN באותה רשת.
- במנהרות Cloud VPN שמשתמשות בחיבור סטטי, יוצרים באופן ידני מסלול ברשת המקומית שהיעד שלו הוא
177.222.82.0/25
והקפיצה הבאה שלו היא מנהרת Cloud VPN. במנהרות של Cloud VPN שמשתמשות בניתוב מבוסס-מדיניות, מגדירים את הבורר של התנועה המקומית ב-Cloud VPN ואת הבורר של התנועה מרחוק בשער ה-VPN המקומי כך שיכללו את177.222.82.0/25
. - במנהרות Cloud VPN שמשתמשות בניתוב דינמי או ב-Cloud Interconnect, מגדירים מודעה מותאמת אישית של מסלול עבור
177.222.82.0/25
בסשן ה-BGP של Cloud Router שמנהל את החיבור של המנהרה או ה-VLAN.
יעדים מסוג 4
יעד מסוג 4 מבצע קודם פתרון של כתובת ה-IP של היעד. לאחר מכן, אפשר לפתור את יעד ההעברה המפורט לכתובות IP של עד 50 מכשירים, שיכולות להיות כתובות IPv4 או IPv6. בהתאם לרשת של יעד ההעברה המאוחד, ליעד מסוג 4 יש את אותן דרישות רשת כמו ליעד מסוג 1, 2 או 3.
דרישות נוספות לגבי שימוש ב-FQDN כיעד להעברה מפורטות במאמר שימוש בתחומי העברה.
המאמרים הבאים
- במאמר יצירה, שינוי ומחיקה של תחומים מוסבר איך עובדים עם תחומים מנוהלים.
- במאמר פתרון בעיות מפורטות פתרונות לבעיות נפוצות שעשויות להתרחש במהלך השימוש ב-Cloud DNS.
- בסקירה הכללית על Cloud DNS תוכלו לקרוא מידע נוסף על Cloud DNS.