יצירת תחום העברה

בדף הזה מפורטות הוראות ליצירת תחום העברה. למידע רקע מפורט, ראו תחומי העברה.

לפני שמתחילים, חשוב לוודא שהבנתם את הנקודות הבאות:

כדי ליצור תחום העברה פרטי מנוהל חדש, מבצעים את השלבים הבאים.

המסוף

  1. במסוף Trusted Cloud , עוברים לדף Create a DNS zone.

    כניסה לדף Create a DNS zone

  2. בשדה Zone type, בוחרים באפשרות Private.

  3. מזינים שם תחום, למשל my-new-zone.

  4. מזינים סיומת של שם DNS לתחום הפרטי. כל הרשומות בתחום משתפות את הסיומת הזו. לדוגמה, example.private.

  5. אם רוצים, מוסיפים תיאור.

  6. בקטע אפשרויות, בוחרים באפשרות העברת שאילתות לשרת אחר.

  7. בוחרים את הרשתות שאליהן האזור הפרטי צריך להיות גלוי.

  8. כדי להוסיף את היעד להעברת אימיילים, לוחצים על הוספת פריט. אפשר להוסיף כמה כתובות IP או שם דומיין מוגדר במלואו (FQDN) אחד. יעד ההעברה חייב להיות רשימה של כתובות IP או FQDN. אי אפשר להשתמש גם בכתובות IP וגם ב-FQDN באותה תחום.

  9. כדי לאלץ ניתוב פרטי ליעד ההעברה, בקטע Private forwarding מסמנים את התיבה Enable.

  10. לוחצים על יצירה.

gcloud

מריצים את הפקודה dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: שם לאזור
  • DESCRIPTION: תיאור של האזור
  • DNS_SUFFIX: סיומת ה-DNS של הדומיין, למשל example.private
  • VPC_NETWORK_LIST: רשימה מופרדת בפסיקים של רשתות VPC מורשות שיכולות לשלוח שאילתות לאזור
  • FORWARDING_TARGETS_LIST: רשימה מופרדת בפסיקים של כתובות IP או שם דומיין יחיד שמוגדר במלואו, שאליו נשלחות השאילתות. שמות הדומיינים מומרים לכתובות ה-IP שלהם. כתובות IP מסוג RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות ממוקמות ברשת ה-VPC או ברשת מקומית שמחוברת ל- Trusted Cloudבאמצעות Cloud VPN או Cloud Interconnect. כתובות IP שאינן RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות נגישות לאינטרנט.
  • PRIVATE_FORWARDING_TARGETS_LIST: רשימה מופרדת בפסיקים של כתובות IP או שם דומיין אחד מוגדר במלואו שאליו נשלחות השאילתות. שמות הדומיינים מומרים לכתובות ה-IP שלהם. כל כתובת IP שצוינה באמצעות הדגל הזה חייבת להיות ממוקמת ברשת ה-VPC או ברשת מקומית שמחוברת ל- Trusted Cloud באמצעות Cloud VPN או Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

שולחים בקשת POST באמצעות השיטה managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: המזהה של הפרויקט שבו נוצר האזור המנוהל
  • NAME: שם לאזור
  • DESCRIPTION: תיאור של האזור
  • DNS_NAME: סיומת ה-DNS של הדומיין, למשל example.private
  • VPC_NETWORK_1 ו-VPC_NETWORK_2: כתובות URL של רשתות VPC באותו פרויקט שיכולות לשלוח שאילתות לרשומות באזור הזה. אפשר להוסיף כמה רשתות VPC, כפי שמצוין. כדי לקבוע את כתובת ה-URL של רשת VPC, מתארים את הרשת באמצעות הפקודה gcloud הבאה, ומחליפים את VPC_NETWORK_NAME בשם הרשת:
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1 ו-FORWARDING_TARGET_2: כתובות IP של שרתי שמות של יעד להעברה או שם דומיין יחיד שמוגדר במלואו. אפשר להוסיף כמה כתובות IP כפי שמצוין. כתובות ה-IP מסוג RFC 1918 שצוינו כאן חייבות להיות ממוקמות ברשת ה-VPC או ברשת מקומית שמחוברת ל- Trusted Cloud באמצעות Cloud VPN או Cloud Interconnect. כתובות IP שאינן RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות נגישות לאינטרנט.

הדרישות להעברת נתונים לרשת היעד

כש-Cloud DNS שולח בקשות ליעדים להעברה, הוא שולח חבילות עם טווחי המקור שמפורטים בטבלה הבאה.

סוג היעד להעברה טווחי מקור

יעד מסוג 1

כתובת IP פנימית של מכונה וירטואלית מסוג Trusted Cloud או של מאזן עומסים פנימי של רשת עם העברה (passthrough) באותה רשת VPC שמורשית להשתמש באזור ההעברה.

יעד מסוג 2

כתובת IP של מערכת מקומית שמחוברת לרשת ה-VPC המורשית להשתמש באזור ההעברה באמצעות Cloud VPN או Cloud Interconnect.

למידע נוסף על כתובות ה-IP הנתמכות, ראו יעדים להעברה ושיטות ניתוב.

177.222.82.0/25

ב-Cloud DNS נעשה שימוש בטווח המקור 177.222.82.0/25 לכל הלקוחות. ניתן לגשת לטווח הזה רק מרשת Trusted Cloud VPC או מרשת מקומית שמחוברת לרשת VPC.

יעד מסוג 4

שם דומיין מלא של שרת שמות יעד שמפנה לכתובות IPv4 או IPv6 דרך סדר פתרון הרשת של VPC. שם הדומיין יכול להפנות עד 50 כתובות IP.

כתובות ה-IP שמופעלת עבורן פענוח יכולות להיות מטרות מסוגים 1-3.

בהתאם לכתובות ה-IP שהוגדרו, טווחי המקור יכולים להיות אחד מהטווחים הבאים:

יעדים מסוג 1 ומסוג 2

כדי לגשת ליעד מסוג 1 או מסוג 2 ב-Cloud DNS, נדרשים הפרטים הבאים. הדרישות האלה זהות אם היעד הוא כתובת IP מסוג RFC 1918 ואתם משתמשים בניווט רגיל, או אם בחרתם בניווט פרטי:

  • הגדרת חומת אש עבור 177.222.82.0/25

    ליעדים מסוג 1, יוצרים כלל של חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) ביציאה 53 של TCP ו-UDP, שחלה על יעדי ההעברה בכל רשת VPC מורשית. ליעדים מסוג 2, צריך להגדיר חומת אש מקומית וציוד דומה כדי לאפשר את יציאת ה-TCP ו-UDP 53.

  • ניתוב אל יעד ההעברה

    ליעדים מסוג 1, Cloud DNS משתמש במסלול תת-רשת כדי לגשת ליעד ברשת ה-VPC המורשית להשתמש בתחום ההעברה. כדי לגשת ליעד ההעברה, Cloud DNS משתמש במסלולים דינמיים או סטטיים בהתאמה אישית, מלבד מסלולים סטטיים מתויגים, עבור יעדי שמות מסוג 2.

  • נתיב החזרה אל 177.222.82.0/25 דרך אותה רשת VPC

    ליעדים מסוג 1, Trusted Cloud משתמש בנתיב ניתוב מיוחד ליעד 177.222.82.0/25. ליעדים מסוג 2, ברשת המקומית צריך להיות מסלול ליעד 177.222.82.0/25, שהקפיצה הבאה שלו היא באותה רשת VPC שממנה נשלחה הבקשה, דרך מנהרה של Cloud VPN או צירוף VLAN ל-Cloud Interconnect. למידע נוסף על האופן שבו עומדים בדרישות האלה, ראו אסטרטגיות להחזרת משתמשים ליעדים מסוג 2.

  • תגובה ישירה מהיעד

    ב-Cloud DNS נדרש שהיעד להעברה שמקבל את החבילות יהיה זה ששולח את התשובות אל 177.222.82.0/25. אם יעד ההעברה שולח את הבקשה לשרת שמות אחר, ושרת השמות האחר מגיב ל-177.222.82.0/25, Cloud DNS מתעלם מהתגובה. מטעמי אבטחה, Trusted Cloud מצפה שכתובת המקור של התשובה של כל שרת שמות יעד ב-DNS תתאים לכתובת ה-IP של יעד ההעברה.

שיטות ניתוב להחזרת משתמשים ליעדים מסוג 2

אי אפשר לשלוח תשובות מיעדים להעברה מסוג 2 דרך האינטרנט או דרך רשת VPC אחרת ב-Cloud DNS. התשובות חייבות לחזור לאותה רשת VPC, אבל הן יכולות להשתמש בכל מנהרה של Cloud VPN או צירוף VLAN באותה רשת.

  • במנהרות Cloud VPN שמשתמשות בחיבור סטטי, יוצרים באופן ידני מסלול ברשת המקומית שהיעד שלו הוא 177.222.82.0/25 והקפיצה הבאה שלו היא מנהרת Cloud VPN. במנהרות של Cloud VPN שמשתמשות בניתוב מבוסס-מדיניות, מגדירים את הבורר של התנועה המקומית ב-Cloud VPN ואת הבורר של התנועה מרחוק בשער ה-VPN המקומי כך שיכללו את 177.222.82.0/25.
  • במנהרות Cloud VPN שמשתמשות בניתוב דינמי או ב-Cloud Interconnect, מגדירים מודעה מותאמת אישית של מסלול עבור 177.222.82.0/25 בסשן ה-BGP של Cloud Router שמנהל את החיבור של המנהרה או ה-VLAN.

יעדים מסוג 4

יעד מסוג 4 מבצע קודם פתרון של כתובת ה-IP של היעד. לאחר מכן, אפשר לפתור את יעד ההעברה המפורט לכתובות IP של עד 50 מכשירים, שיכולות להיות כתובות IPv4 או IPv6. בהתאם לרשת של יעד ההעברה המאוחד, ליעד מסוג 4 יש את אותן דרישות רשת כמו ליעד מסוג 1, 2 או 3.

דרישות נוספות לגבי שימוש ב-FQDN כיעד להעברה מפורטות במאמר שימוש בתחומי העברה.

המאמרים הבאים