创建转发区域

本页面介绍如何创建转发可用区。如需了解详细的背景信息,请参阅转发可用区

在开始之前,请验证您了解以下内容:

如需创建新的代管专用转发可用区,请完成以下步骤。

控制台

  1. 在 Trusted Cloud 控制台中,前往创建 DNS 区域页面。

    前往“创建 DNS 区域”

  2. 对于可用区类型,请选择专用

  3. 输入可用区名称,例如 my-new-zone

  4. 为专用地区输入 DNS 名称后缀。该可用区中的所有记录都具有此后缀,例如 example.private

  5. 可选:添加说明。

  6. 选项下,选择将查询转发到其他服务器

  7. 选择专用地区必须在其中公开的网络。

  8. 如需添加转发目标,请点击 添加项目。 您可以添加多个 IP 地址或单个完全限定域名 (FQDN)。 转发目标必须是 IP 地址列表或 FQDN。 您无法在同一可用区中同时使用 IP 地址和 FQDN。

  9. 如需强制执行到转发目标的专用路由,请选中专用转发下的启用复选框。

  10. 点击创建

gcloud

运行 dns managed-zones create 命令:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

请替换以下内容:

  • NAME:您的可用区的名称
  • DESCRIPTION:您的可用区的说明
  • DNS_SUFFIX:您的可用区的 DNS 后缀,例如 example.private
  • VPC_NETWORK_LIST:有权查询地区的 VPC 网络的逗号分隔列表。
  • FORWARDING_TARGETS_LIST:将查询发送到的 IP 地址的逗号分隔列表或单个完全限定域名。域名会解析为 IP 地址。使用此标志指定的 RFC 1918 IP 地址必须位于您的 VPC 网络,或者使用 Cloud VPN 或 Cloud Interconnect 连接到 Trusted Cloud的本地网络。使用此标志指定的非 RFC 1918 IP 地址必须可通过互联网访问。
  • PRIVATE_FORWARDING_TARGETS_LIST:将查询发送到的 IP 地址的逗号分隔列表或单个完全限定域名。域名会解析为 IP 地址。使用此标志指定的任何 IP 地址都必须位于您的 VPC 网络中或使用 Cloud VPN 或 Cloud Interconnect 连接到 Trusted Cloud 的本地网络中。

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

使用 managedZones.create 方法发送 POST 请求:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

请替换以下内容:

  • PROJECT_ID:创建代管可用区的项目的 ID
  • NAME:您的可用区的名称
  • DESCRIPTION:您的可用区的说明
  • DNS_NAME:您的可用区的 DNS 后缀,例如 example.private
  • VPC_NETWORK_1VPC_NETWORK_2:VPC 网络的网址,位于同一项目中,能够查询此可用区中的记录。您可以按照指示添加多个 VPC 网络。要确定 VPC 网络的网址,请使用以下 gcloud 命令描述网络,并将 VPC_NETWORK_NAME 替换为网络的名称:
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1FORWARDING_TARGET_2:转发目标域名服务器的 IP 地址或单个完全限定域名。您可以按照指示添加多个 IP 地址。此处指定的 RFC 1918 IP 地址必须位于您的 VPC 网络中或使用 Cloud VPN 或 Cloud Interconnect 连接到 Trusted Cloud 的本地网络中。使用此标志指定的非 RFC 1918 IP 地址必须可通过互联网访问。

转发目标网络要求

当 Cloud DNS 向转发目标发送请求时,将发送下表中列出的来源范围内的数据包。

转发目标类型 来源范围

类型 1 目标

有权使用转发可用区的同一 VPC 网络中的 Trusted Cloud 虚拟机或内部直通式网络负载均衡器内部 IP 地址

类型 2 目标

本地系统的 IP 地址,使用 Cloud VPN 或 Cloud Interconnect 连接到有权使用转发可用区的 VPC 网络。

如需详细了解受支持的 IP 地址,请参阅转发目标和路由方法

177.222.82.0/25

Cloud DNS 对所有客户使用 177.222.82.0/25 来源范围。 此范围只能从 Trusted Cloud VPC 网络或连接到 VPC 网络的本地网络访问。

类型 4 目标

通过 VPC 网络解析顺序同时解析为 IPv4 和 IPv6 地址的目标域名服务器的完全限定域名。域名最多可以解析为 50 个 IP 地址。

解析的 IP 地址可以是目标类型 1-3。

根据解析的 IP 地址,来源范围可以是以下其中一个范围:

类型 1 和类型 2 目标

Cloud DNS 需要以下项才能访问类型 1 或类型 2 目标。无论目标是 RFC 1918 IP 地址且您使用标准路由,还是您选择专用路由,这些要求都一样:

  • 177.222.82.0/25 的防火墙配置

    对于类型 1 目标,请针对 TCP 和 UDP 端口 53 流量创建入站流量允许防火墙规则,该规则适用于每个已获授权的 VPC 网络中的转发目标。对于类型 2 目标,请配置本地网络防火墙和类似设备,以允许 TCP 和 UDP 端口 53

  • 转发目标的路由

    对于类型 1 目标,Cloud DNS 使用子网路由访问已授权使用转发可用区的 VPC 网络中的目标。对于类型 2 名称目标,Cloud DNS 使用自定义动态或自定义静态路由(标记的静态路由除外)访问转发目标。

  • 177.222.82.0/25 通过同一 VPC 网络的返回路由

    对于类型 1 目标, Trusted Cloud 会为 177.222.82.0/25 目的地使用特殊路由路径。对于类型 2 目标,本地网络必须具有 177.222.82.0/25 目的地的路由,其下一个跃点位于发起请求的同一 VPC 网络(通过 Cloud VPN 隧道或 Cloud Interconnect 的 VLAN 连接)。如需了解如何满足此要求,请参阅类型 2 目标的返回路由策略

  • 定向目标进行的响应

    Cloud DNS 要求接收数据包的转发目标是将回复发送到 177.222.82.0/25 的转发目标。如果您的转发目标将请求发送到其他域名服务器,并且该域名服务器响应了 177.222.82.0/25,则 Cloud DNS 会忽略该响应。出于安全原因, Trusted Cloud 要求各目标域名服务器 DNS 回复的来源地址与该转发目标的 IP 地址相匹配。

类型 2 目标的返回路由策略

Cloud DNS 无法通过互联网或通过不同的 VPC 网络发送类型 2 转发目标的响应。响应必须返回到同一个 VPC 网络,但它们可以使用同一网络中的任何 Cloud VPN 隧道或 VLAN 连接。

  • 如果是使用静态路由的 Cloud VPN 隧道,请在本地网络中手动创建目的地为 177.222.82.0/25 且下一个跃点为 Cloud VPN 隧道的路由。如果是使用基于政策的路由的 Cloud VPN 隧道,请配置 Cloud VPN 的本地流量选择器和本地 VPN 网关的远程流量选择器,使其包含 177.222.82.0/25
  • 如果是使用动态路由或用于 Cloud Interconnect 的 Cloud VPN 隧道,请在管理该隧道或 VLAN 连接的 Cloud Router 路由器的 BGP 会话上为 177.222.82.0/25 配置自定义路由通告

类型 4 目标

类型 4 目标会先解析目标的 IP 地址。然后,已解析的转发目标可以解析为最多 50 个 IP 地址,包括 IPv4 和 IPv6 地址。根据已解析的转发目标的网络,类型 4 目标具有与类型 1、2 或 3 目标相同的网络要求。

如需了解有关使用 FQDN 作为转发目标的其他要求,请参阅使用转发可用区

后续步骤