Crie uma zona de encaminhamento

Esta página fornece instruções sobre como criar uma zona de encaminhamento. Para ver informações gerais detalhadas, consulte o artigo Zonas de encaminhamento.

Antes de começar, verifique se compreende o seguinte:

Para criar uma nova zona de encaminhamento privado gerida, conclua os passos seguintes.

Consola

  1. Na Trusted Cloud consola, aceda à página Criar uma zona DNS.

    Aceda a Crie uma zona DNS

  2. Para o Tipo de zona, selecione Privado.

  3. Introduza um Nome da zona, como my-new-zone.

  4. Introduza um sufixo de nome DNS para a zona privada. Todos os registos na zona partilham este sufixo. Por exemplo, example.private.

  5. Opcional: adicione uma descrição.

  6. Em Opções, selecione Encaminhar consultas para outro servidor.

  7. Selecione as redes às quais a zona privada tem de estar visível.

  8. Para adicionar um destino de encaminhamento, clique em Adicionar item. Pode adicionar vários endereços IP ou um único nome de domínio totalmente qualificado (FQDN). O destino de encaminhamento tem de ser uma lista de endereços IP ou um FQDN. Não pode usar endereços IP e um FQDN na mesma zona.

  9. Para forçar o encaminhamento privado para o destino de encaminhamento, em Encaminhamento privado, selecione a caixa de verificação Ativar.

  10. Clique em Criar.

gcloud

Execute o comando dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Substitua o seguinte:

  • NAME: um nome para a sua zona
  • DESCRIPTION: uma descrição da sua zona
  • DNS_SUFFIX: o sufixo DNS da sua zona, como example.private
  • VPC_NETWORK_LIST: uma lista delimitada por vírgulas de redes de VPC autorizadas a consultar a zona
  • FORWARDING_TARGETS_LIST: uma lista delimitada por vírgulas de endereços IP ou um único nome do domínio totalmente qualificado para o qual as consultas são enviadas. Os nomes de domínios são resolvidos para os respetivos endereços IP. Os endereços IP RFC 1918 especificados com esta flag têm de estar localizados na sua rede VPC ou numa rede no local ligada a Trusted Cloud através do Cloud VPN ou do Cloud Interconnect. Os endereços IP não RFC 1918 especificados com este sinalizador têm de ser acessíveis através da Internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: uma lista separada por vírgulas de endereços IP ou um único nome do domínio totalmente qualificado para o qual as consultas são enviadas. Os nomes de domínios são resolvidos para os respetivos endereços IP. Qualquer endereço IP especificado com esta flag tem de estar localizado na sua rede VPC ou numa rede no local ligada à rede VPC Trusted Cloud através do Cloud VPN ou do Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Envie um pedido POST através do método managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto onde a zona gerida é criada
  • NAME: um nome para a sua zona
  • DESCRIPTION: uma descrição da sua zona
  • DNS_NAME: o sufixo DNS da sua zona, como example.private
  • VPC_NETWORK_1 e VPC_NETWORK_2: URLs para redes VPC no mesmo projeto que podem consultar registos nesta zona. Pode adicionar várias redes VPC, conforme indicado. Para determinar o URL de uma rede de VPC, descreva a rede com o seguinte comando gcloud, substituindo VPC_NETWORK_NAME pelo nome da rede:
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1 e FORWARDING_TARGET_2: endereços IP de servidores de nomes de destino de encaminhamento ou um único nome do domínio totalmente qualificado. Pode adicionar vários endereços IP, conforme indicado. Os endereços IP RFC 1918 especificados aqui têm de estar localizados na sua rede VPC ou numa rede no local ligada a Trusted Cloud através do Cloud VPN ou do Cloud Interconnect. Os endereços IP não RFC 1918 especificados com esta flag têm de ser acessíveis através da Internet.

Requisitos da rede de destino de encaminhamento

Quando o Cloud DNS envia pedidos para destinos de encaminhamento, envia pacotes com os intervalos de origem indicados na tabela seguinte.

Tipo de destino de encaminhamento Intervalos de origem

Alvo do tipo 1

Um endereço IP interno de uma Trusted Cloud VM ou um Network Load Balancer de encaminhamento interno na mesma rede VPC que está autorizada a usar a zona de encaminhamento.

Alvo do tipo 2

Um endereço IP de um sistema no local, ligado à rede VPC autorizada a usar a zona de encaminhamento, através do Cloud VPN ou do Cloud Interconnect.

Para mais informações sobre os endereços IP suportados, consulte o artigo Alvos de encaminhamento e métodos de encaminhamento.

177.222.82.0/25

O Cloud DNS usa o 177.222.82.0/25intervalo de origem para todos os clientes. Este intervalo só é acessível a partir de uma rede VPC ou de uma rede no local ligada a uma rede VPC. Trusted Cloud

Tipo de alvo 4

Um nome de domínio totalmente qualificado de um servidor de nomes de destino que resolve para endereços IPv4 e IPv6 através da ordem de resolução da rede VPC. O nome do domínio pode ser resolvido para até 50 endereços IP.

Os endereços IP resolvidos podem ser tipos de segmentação 1 a 3.

Dependendo dos endereços IP resolvidos, os intervalos de origem podem ser um dos seguintes:

Alvos do tipo 1 e do tipo 2

O Cloud DNS requer o seguinte para aceder a um destino do tipo 1 ou do tipo 2. Estes requisitos são os mesmos, quer o destino seja um endereço IP RFC 1918 e esteja a usar o encaminhamento padrão, quer escolha o encaminhamento privado:

  • Configuração da firewall para 177.222.82.0/25

    Para alvos do tipo 1, crie uma regra de firewall de permissão de entrada para o tráfego de portas TCP e UDP, aplicável aos seus alvos de encaminhamento em cada rede VPC autorizada.53 Para alvos do tipo 2, configure uma firewall de rede no local e equipamento semelhante para permitir a porta TCP e UDP 53.

  • Encaminhe para o destino de encaminhamento

    Para alvos do tipo 1, o Cloud DNS usa uma rota de sub-rede para aceder ao alvo na rede VPC autorizada a usar a zona de encaminhamento. Para alvos de nomes do tipo 2, o Cloud DNS usa rotas dinâmicas personalizadas ou rotas estáticas personalizadas, exceto para rotas estáticas etiquetadas, para aceder ao alvo de encaminhamento.

  • Rota de retorno para 177.222.82.0/25 através da mesma rede VPC

    Para os destinos do tipo 1, Trusted Cloud usa um caminho de encaminhamento especial para o 177.222.82.0/25destino. Para destinos do tipo 2, a sua rede no local tem de ter um trajeto para o destino 177.222.82.0/25, cujo próximo salto está na mesma rede VPC de onde se originou o pedido, através de um túnel da Cloud VPN ou de uma associação de VLAN para o Cloud Interconnect. Para informações sobre como cumprir este requisito, consulte as estratégias de trajeto de regresso para alvos do tipo 2.

  • Resposta direta do alvo

    O Cloud DNS requer que o destino de encaminhamento que recebe pacotes seja o que envia respostas para 177.222.82.0/25. Se o destino do encaminhamento enviar o pedido para um servidor de nomes diferente e esse servidor de nomes outro responder a 177.222.82.0/25, o Cloud DNS ignora a resposta. Por motivos de segurança, Trusted Cloud espera que o endereço de origem da resposta DNS de cada servidor de nomes de destino corresponda ao endereço IP do destino de encaminhamento.

Estratégias de rota de retorno para alvos do tipo 2

O Cloud DNS não pode enviar respostas de destinos de encaminhamento do tipo 2 através da Internet ou de uma rede da VPC diferente. As respostas têm de regressar à mesma rede VPC, embora possam usar qualquer túnel de VPN na nuvem ou anexo de VLAN nessa mesma rede.

  • Para túneis de VPN do Google Cloud que usam o encaminhamento estático, crie manualmente uma rota na sua rede no local cujo destino seja 177.222.82.0/25 e cujo próximo salto seja o túnel de VPN do Google Cloud. Para túneis da Cloud VPN que usam o encaminhamento baseado em políticas, configure o seletor de tráfego local da Cloud VPN e o seletor de tráfego remoto do gateway de VPN nas instalações para incluir 177.222.82.0/25.
  • Para túneis da Cloud VPN que usam o encaminhamento dinâmico ou para o Cloud Interconnect, configure um anúncio de rota personalizado para 177.222.82.0/25 na sessão BGP do Cloud Router que gere o túnel ou a associação de VLAN.

4 tipos de alvos

Um alvo do tipo 4 resolve primeiro os endereços IP do alvo. O destino de encaminhamento resolvido pode, em seguida, ser resolvido para até 50 endereços IP, que incluem endereços IPv4 e IPv6. Consoante a rede do destino de encaminhamento resolvido, o destino do tipo 4 tem os mesmos requisitos de rede que um destino do tipo 1, 2 ou 3.

Para ver requisitos adicionais sobre a utilização de um FQDN como destino de reencaminhamento, consulte o artigo Use zonas de reencaminhamento.

O que se segue?