Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Membuat zona penerusan

Halaman ini memberikan petunjuk tentang cara membuat zona penerusan. Untuk mengetahui informasi latar belakang yang mendetail, baca bagian Zona penerusan.

Izin yang diperlukan untuk tugas ini

Untuk menjalankan tugas ini, Anda harus diberi izin berikut atau peran IAM berikut.

Izin

dns.managedZones.create untuk membuat zona terkelola
dns.managedZones.list untuk mencantumkan zona terkelola
dns.managedZones.update untuk memperbarui zona terkelola
dns.managedZones.patch untuk memperbarui zona terkelola

Peran

roles/dns.admin

Sebelum memulai, pastikan Anda memahami hal berikut:

Perbedaan antara perutean standar dan pribadi seperti yang ditunjukkan dalam Target penerusan dan metode pemilihan rute
Metode penerusan DNS keluar
Persyaratan jaringan untuk target penerusan
Praktik terbaik untuk zona penerusan Cloud DNS

Untuk membuat zona penerusan pribadi terkelola baru, selesaikan langkah-langkah berikut.

Konsol

Di konsol Cloud de Confiance , buka halaman Create a DNS zone.

Buka Create a DNS zone
Untuk Zone type, pilih Private.
Masukkan Zone name seperti my-new-zone.
Masukkan akhiran DNS name untuk zona pribadi. Semua data di zona memiliki akhiran ini. Contoh, example.private.
Opsional: Tambahkan deskripsi.
Di bagian Options, pilih Forward queries to another server.
Pilih jaringan yang zona pribadinya harus terlihat.
Untuk menambahkan target penerusan, klik Add item. Anda dapat menambahkan beberapa alamat IP atau satu nama domain yang sepenuhnya memenuhi syarat (FQDN). Target penerusan harus berupa daftar alamat IP atau FQDN. Anda tidak dapat menggunakan alamat IP dan FQDN dalam zona yang sama.
Untuk menerapkan pemilihan rute pribadi ke target penerusan, di bagian Private forwarding, centang kotak Enable.
Klik Create.

gcloud

Jalankan perintah dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Ganti kode berikut:

NAME: nama zona Anda
DESCRIPTION: deskripsi zona Anda
DNS_SUFFIX: akhiran DNS untuk zona Anda, seperti example.private
VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma yang diizinkan untuk mengkueri zona
FORWARDING_TARGETS_LIST: daftar alamat IP yang dipisahkan koma atau satu nama domain yang sepenuhnya memenuhi syarat (FQDN) yang menjadi tujuan pengiriman kueri. Nama domain di-resolve ke alamat IP-nya. Alamat IP RFC 1918 yang ditentukan dengan tanda ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Cloud de Confiancemenggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan flag ini harus dapat diakses melalui internet.
PRIVATE_FORWARDING_TARGETS_LIST: daftar alamat IP yang dipisahkan koma atau satu nama domain yang sepenuhnya memenuhi syarat (FQDN) yang menjadi tujuan pengiriman kueri. Nama domain di-resolve ke alamat IP-nya. Alamat IP apa pun yang ditentukan dengan tanda ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Cloud de Confiance menggunakan Cloud VPN atau Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Kirim permintaan POST menggunakan metode managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Ganti kode berikut:

PROJECT_ID: ID project tempat zona terkelola dibuat
NAME: nama zona Anda
DESCRIPTION: deskripsi zona Anda
DNS_NAME: akhiran DNS untuk zona Anda, seperti example.private
VPC_NETWORK_1 dan VPC_NETWORK_2: URL untuk jaringan VPC dalam project yang sama yang dapat mengkueri data dalam zona ini. Anda dapat menambahkan beberapa jaringan VPC seperti yang ditunjukkan. Untuk menentukan URL jaringan VPC, deskripsikan jaringan dengan perintah gcloud berikut, dengan mengganti VPC_NETWORK_NAME dengan nama jaringan:
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 dan FORWARDING_TARGET_2: Alamat IP server nama target penerusan atau satu nama domain yang sepenuhnya memenuhi syarat (FQDN). Anda dapat menambahkan beberapa alamat IP seperti yang ditunjukkan. Alamat IP RFC 1918 yang ditentukan di sini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Cloud de Confiance menggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan flag ini harus dapat diakses melalui internet.

Persyaratan jaringan target penerusan

Saat mengirim permintaan ke target penerusan, Cloud DNS mengirim paket dengan rentang sumber yang tercantum dalam tabel berikut.

Jenis target penerusan Rentang sumber

Jenis target penerusan	Rentang sumber
Target Jenis 1 Alamat IP internal dari Cloud de Confiance VM atau Load Balancer Jaringan passthrough internal di jaringan VPC yang sama yang diizinkan untuk menggunakan zona penerusan. Target Jenis 2 Alamat IP sistem lokal, yang terhubung ke jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan, menggunakan Cloud VPN atau Cloud Interconnect. Untuk mengetahui informasi selengkapnya tentang alamat IP yang didukung, baca bagian Target penerusan dan metode pemilihan rute.	`177.222.82.0/25` Cloud DNS menggunakan rentang sumber `177.222.82.0/25` untuk semua pelanggan. Rentang ini hanya dapat diakses dari jaringan VPC Cloud de Confiance atau dari jaringan lokal yang terhubung ke jaringan VPC.
Target Jenis 4 Nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server nama target yang me-resolve ke alamat IPv4 dan IPv6 melalui urutan resolusi jaringan VPC. Nama domain dapat me-resolve ke hingga 50 alamat IP. Alamat IP yang di-resolve dapat menjadi target Jenis 1-3.	Bergantung pada alamat IP yang di-resolve, rentang sumber dapat berupa salah satu dari berikut: 177.222.82.0/25 Rentang sumber Google Public DNS

Target Jenis 1

Alamat IP internal dari Cloud de Confiance VM atau Load Balancer Jaringan passthrough internal di jaringan VPC yang sama yang diizinkan untuk menggunakan zona penerusan.

Target Jenis 2

Alamat IP sistem lokal, yang terhubung ke jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan, menggunakan Cloud VPN atau Cloud Interconnect.

Untuk mengetahui informasi selengkapnya tentang alamat IP yang didukung, baca bagian Target penerusan dan metode pemilihan rute.

177.222.82.0/25

Cloud DNS menggunakan rentang sumber 177.222.82.0/25 untuk semua pelanggan. Rentang ini hanya dapat diakses dari jaringan VPC Cloud de Confiance atau dari jaringan lokal yang terhubung ke jaringan VPC.

Target Jenis 4

Nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server nama target yang me-resolve ke alamat IPv4 dan IPv6 melalui urutan resolusi jaringan VPC. Nama domain dapat me-resolve ke hingga 50 alamat IP.

Alamat IP yang di-resolve dapat menjadi target Jenis 1-3.

Bergantung pada alamat IP yang di-resolve, rentang sumber dapat berupa salah satu dari berikut:

177.222.82.0/25
Rentang sumber Google Public DNS

Target Jenis 1 dan Jenis 2

Cloud DNS memerlukan hal berikut untuk mengakses target Jenis 1 atau Jenis 2. Persyaratan ini sama, baik targetnya adalah alamat IP RFC 1918 dan Anda menggunakan pemilihan rute standar, maupun jika Anda memilih pemilihan rute pribadi:

Konfigurasi firewall untuk 177.222.82.0/25

Untuk target Jenis 1, buat aturan firewall izinkan masuk untuk traffic port TCP dan UDP 53, yang berlaku untuk target penerusan Anda di tiap jaringan VPC yang diizinkan. Untuk target Jenis 2, konfigurasi firewall jaringan lokal dan peralatan serupa untuk mengizinkan port TCP dan UDP 53.
Merutekan ke target penerusan

Untuk target Jenis 1, Cloud DNS menggunakan rute subnet untuk mengakses target di jaringan VPC yang diizinkan untuk menggunakan zona penerusan. Untuk target nama jenis 2, Cloud DNS menggunakan rute dinamis kustom atau statis kustom, kecuali untuk rute statis yang diberi tag, untuk mengakses target penerusan.
Rute kembali ke 177.222.82.0/25 melalui jaringan VPC yang sama

Untuk target Jenis 1, Cloud de Confiance menggunakan jalur pemilihan rute khusus untuk tujuan 177.222.82.0/25. Untuk target Jenis 2, jaringan lokal Anda harus memiliki rute untuk tujuan 177.222.82.0/25, yang next hop-nya berada di jaringan VPC yang sama dengan tempat permintaan berasal, melalui tunnel Cloud VPN atau lampiran VLAN untuk Cloud Interconnect. Untuk mengetahui informasi tentang cara memenuhi persyaratan ini, baca strategi rute kembali untuk target Jenis 2.
Respons langsung dari target

Cloud DNS mewajibkan target penerusan yang menerima paket menjadi target yang mengirim balasan ke 177.222.82.0/25. Jika target penerusan Anda mengirim permintaan ke server nama yang berbeda, dan server nama lain tersebut merespons 177.222.82.0/25, Cloud DNS akan mengabaikan respons. Untuk alasan keamanan, Cloud de Confiance mengharapkan alamat sumber tiap respons DNS server nama target agar cocok dengan alamat IP target penerusan.

Strategi rute kembali untuk target Jenis 2

Cloud DNS tidak dapat mengirim respons dari target penerusan Jenis 2 melalui internet atau melalui jaringan VPC yang berbeda. Respons harus kembali ke jaringan VPC yang sama, meskipun dapat menggunakan tunnel Cloud VPN atau lampiran VLAN apa pun di jaringan yang sama.

Untuk tunnel Cloud VPN yang menggunakan perutean statis, buat rute secara manual di jaringan lokal Anda yang tujuannya adalah 177.222.82.0/25 dan next hop-nya adalah tunnel Cloud VPN. Untuk tunnel Cloud VPN yang menggunakan pemilihan rute berbasis kebijakan, konfigurasi pemilih traffic lokal Cloud VPN dan pemilih traffic jarak jauh gateway VPN lokal untuk menyertakan 177.222.82.0/25.
Untuk tunnel Cloud VPN yang menggunakan pemilihan rute dinamis atau untuk Cloud Interconnect, konfigurasi pemberitahuan rute kustom untuk 177.222.82.0/25 pada sesi BGP Cloud Router yang mengelola tunnel atau lampiran VLAN.

Target Jenis 4

Target Jenis 4 terlebih dahulu me-resolve alamat IP target. Target penerusan yang di-resolve kemudian dapat di-resolve hingga 50 alamat IP, yang mencakup alamat IPv4 dan IPv6. Bergantung pada jaringan target penerusan yang di-resolve, target Jenis 4 memiliki persyaratan jaringan yang sama dengan target Jenis 1, 2, atau 3.

Untuk persyaratan tambahan tentang penggunaan FQDN sebagai target penerusan, baca bagian Menggunakan zona penerusan.

Langkah berikutnya

Untuk menggunakan zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.