יצירת אזור העברה

בדף הזה מוסבר איך ליצור אזור העברה. מידע רקע מפורט זמין במאמר בנושא אזורי העברה.

לפני שמתחילים, חשוב לוודא שהבנתם את הנקודות הבאות:

כדי ליצור אזור חדש לניתוב פרטי מנוהל, מבצעים את השלבים הבאים.

המסוף

  1. במסוף Cloud de Confiance , נכנסים לדף יצירת תחום DNS.

    מעבר אל יצירת תחום DNS

  2. בקטע Zone type (סוג האזור), בוחרים באפשרות Private (פרטי).

  3. מזינים שם אזור, למשל my-new-zone.

  4. מזינים סיומת של שם DNS לאזור הפרטי. כל הרשומות באזור חולקות את הסיומת הזו. לדוגמה, example.private.

  5. אופציונלי: מוסיפים תיאור.

  6. בקטע אפשרויות, בוחרים באפשרות העברת שאילתות לשרת אחר.

  7. בוחרים את הרשתות שבהן האזור הפרטי צריך להיות גלוי.

  8. כדי להוסיף יעד להעברה, לוחצים על הוספת פריט. אפשר להוסיף כמה כתובות IP או שם דומיין מוגדר במלואו (FQDN) אחד. יעד ההעברה צריך להיות רשימה של כתובות IP או שם דומיין מלא (FQDN). אי אפשר להשתמש גם בכתובות IP וגם ב-FQDN באותו אזור.

  9. כדי לאלץ ניתוב פרטי ליעד ההעברה, מסמנים את התיבה הפעלה בקטע העברה פרטית.

  10. לוחצים על יצירה.

gcloud

מריצים את הפקודה dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: שם לאזור
  • DESCRIPTION: תיאור של האזור
  • DNS_SUFFIX: סיומת ה-DNS של האזור, למשל example.private
  • VPC_NETWORK_LIST: רשימה מופרדת בפסיקים של רשתות VPC שמורשות לשלוח שאילתות לאזור
  • FORWARDING_TARGETS_LIST: רשימה מופרדת בפסיקים של כתובות IP או שם דומיין יחיד שמוגדר במלואו, שאליו נשלחות השאילתות. שמות הדומיינים מפוענחים לכתובות ה-IP שלהם. כתובות ה-IP של RFC 1918 שצוינו באמצעות הדגל הזה צריכות להיות ממוקמות ברשת ה-VPC או ברשת מקומית שמחוברת אל Cloud de Confianceבאמצעות Cloud VPN או Cloud Interconnect. כתובות IP שאינן RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות נגישות באינטרנט.
  • PRIVATE_FORWARDING_TARGETS_LIST: רשימה מופרדת בפסיקים של כתובות IP או שם דומיין מוגדר במלואו יחיד שאליו נשלחות השאילתות. שמות הדומיינים מפוענחים לכתובות ה-IP שלהם. כל כתובת IP שצוינה באמצעות הדגל הזה חייבת להיות ממוקמת ברשת ה-VPC או ברשת מקומית שמחוברת אל Cloud de Confiance באמצעות Cloud VPN או Cloud Interconnect.

Terraform 

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

שולחים בקשת POST באמצעות השיטה managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שבו נוצר האזור המנוהל
  • NAME: שם לאזור
  • DESCRIPTION: תיאור של האזור
  • DNS_NAME: סיומת ה-DNS של האזור, למשל example.private
  • VPC_NETWORK_1 ו-VPC_NETWORK_2: כתובות URL של רשתות VPC באותו פרויקט שיכולות לשלוח שאילתות לגבי רשומות באזור הזה. אפשר להוסיף כמה רשתות VPC, כמו שמוסבר. כדי לקבוע את כתובת ה-URL של רשת VPC, מריצים את הפקודה gcloud הבאה ומחליפים את VPC_NETWORK_NAME בשם הרשת: 
    gcloud compute networks describe VPC_NETWORK_NAME 
    
   --format="get(selfLink)"
  • FORWARDING_TARGET_1 ו-FORWARDING_TARGET_2: כתובות ה-IP של שרתי השמות של יעד ההעברה או שם דומיין יחיד שמוגדר במלואו. אפשר להוסיף כמה כתובות IP כמו שמוסבר. כתובות ה-IP מסוג RFC 1918 שצוינו כאן צריכות להיות ממוקמות ברשת ה-VPC או ברשת מקומית שמחוברת ל- Cloud de Confiance באמצעות Cloud VPN או Cloud Interconnect. כתובות IP שאינן RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות נגישות באינטרנט.

דרישות לגבי רשתות יעד להעברת נתונים

כש-Cloud DNS שולח בקשות ליעדי העברה, הוא שולח חבילות עם טווחי המקור שמופיעים בטבלה הבאה.

סוג היעד להעברה טווחים של מקורות

יעד מסוג 1

כתובת IP פנימית של מכונה וירטואלית Cloud de Confiance או של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי באותה רשת VPC שמורשית להשתמש באזור ההעברה.

סוג 2 של טירגוט

כתובת IP של מערכת מקומית שמחוברת לרשת ה-VPC שאושרה לשימוש באזור ההעברה, באמצעות Cloud VPN או Cloud Interconnect.

מידע נוסף על כתובות IP נתמכות זמין במאמר בנושא יעדי העברה ושיטות ניתוב.

177.222.82.0/25

ב-Cloud DNS נעשה שימוש בטווח המקור 177.222.82.0/25 לכל הלקוחות. אפשר לגשת לטווח הזה רק מרשת Cloud de Confiance VPC או מרשת מקומית שמחוברת לרשת VPC.

יעד מסוג 4

שם דומיין שמוגדר במלואו של שרת שמות יעד שמבצע המרה לכתובות IPv4 ו-IPv6 באמצעות סדר ההמרה של רשת VPC. שם הדומיין יכול להפוך לעד 50 כתובות IP.

כתובות ה-IP שפוענחו יכולות להיות סוגי יעד 1-3.

בהתאם לכתובות ה-IP שנפתרו, טווחי המקור יכולים להיות אחד מהבאים:

יעדים מסוג 1 ויעדים מסוג 2

כדי לגשת ליעד מסוג 1 או מסוג 2, צריך להגדיר את הדברים הבאים ב-Cloud DNS. הדרישות האלה זהות בין אם היעד הוא כתובת IP מסוג RFC 1918 ואתם משתמשים בניתוב רגיל, ובין אם אתם בוחרים בניתוב פרטי:

  • הגדרת חומת אש עבור 177.222.82.0/25

    למטרות יעד מסוג 1, יוצרים כלל חומת אש שמאפשר תעבורת נתונים נכנסת ביציאות TCP ו-UDP‏ 53, שרלוונטי למטרות ההעברה ברשתות ה-VPC המורשות. עבור יעדים מסוג 2, צריך להגדיר חומת אש ברשת מקומית וציוד דומה כדי לאפשר יציאת TCP ו-UDP 53.

  • ניתוב ליעד ההעברה

    עבור יעדים מסוג 1, ‏ Cloud DNS משתמש בניתוב תת-רשת כדי לגשת ליעד ברשת ה-VPC שאושרה לשימוש באזור ההעברה. כדי לגשת ליעד ההעברה, Cloud DNS משתמש במסלולים דינמיים מותאמים אישית או במסלולים סטטיים מותאמים אישית, למעט מסלולים סטטיים מתויגים, עבור יעדי שמות מסוג 2.

  • נתיב חזרה אל 177.222.82.0/25 דרך אותה רשת VPC

    ליעדים מסוג 1, Cloud de Confiance המערכת משתמשת בנתיב ניתוב מיוחד עבור 177.222.82.0/25היעד. במטרות מסוג 2, ברשת המקומית צריך להיות נתיב ליעד 177.222.82.0/25, שהניתוב הבא שלו הוא באותה רשת VPC שממנה הגיעה הבקשה, דרך מנהרת Cloud VPN או צירוף ל-VLAN ל-Cloud Interconnect. מידע על עמידה בדרישה הזו זמין במאמר בנושא אסטרטגיות של מסלולי חזרה ליעדים מסוג 2.

  • תגובה ישירה מהיעד

    ב-Cloud DNS, יעד ההעברה שמקבל חבילות חייב להיות זה ששולח תשובות ל-177.222.82.0/25. אם יעד ההעברה שולח את הבקשה לשרת שמות אחר, ושרת השמות האחר הזה מגיב ל-177.222.82.0/25, מערכת Cloud DNS מתעלמת מהתגובה. מטעמי אבטחה,מערכת Cloud de Confiance מצפה שכתובת המקור של תשובת ה-DNS של כל שרת שמות יעד תהיה זהה לכתובת ה-IP של יעד ההעברה.

שיטות לניתוב החזרה ליעדים מסוג 2

‫Cloud DNS לא יכול לשלוח תגובות מיעדי העברה מסוג 2 דרך האינטרנט או דרך רשת VPC אחרת. התשובות חייבות לחזור לאותה רשת VPC, אבל הן יכולות להשתמש בכל מנהרת Cloud VPN או בכל צירוף ל-VLAN באותה רשת.

  • למנהרות Cloud VPN שמשתמשות בניתוב סטטי, צריך ליצור באופן ידני נתיב ברשת המקומית שהיעד שלו הוא 177.222.82.0/25 והקפיצה הבאה שלו היא מנהרת Cloud VPN. במנהרות Cloud VPN שמשתמשות בניתוח נתיבים מבוסס-מדיניות, צריך להגדיר את בורר התנועה המקומית של Cloud VPN ואת בורר התנועה המרוחקת של שער ה-VPN המקומי כך שיכללו את 177.222.82.0/25.
  • במנהרות Cloud VPN שמשתמשות בניתוב דינמי או ב-Cloud Interconnect, צריך להגדיר פרסום של מסלול מותאם אישית עבור 177.222.82.0/25 בסשן BGP של Cloud Router שמנהל את המנהרה או את חיבור ה-VLAN.

יעדים מסוג 4

יעד מסוג 4 קודם כול פותר את כתובות ה-IP של היעד. אפשר לפתור את בעיית היעד להעברה קדימה על ידי שימוש בעד 50 כתובות IP, כולל כתובות IPv4 ו-IPv6. בהתאם לרשת של יעד ההעברה שנפתר, ליעד מסוג 4 יש את אותן דרישות רשת כמו ליעד מסוג 1, 2 או 3.

לדרישות נוספות לגבי שימוש ב-FQDN כיעד להעברה, אפשר לעיין במאמר שימוש באזורי העברה.

המאמרים הבאים