本页面介绍如何创建转发可用区。如需了解详细的背景信息,请参阅转发可用区。
在开始之前,请验证您了解以下内容:
- 标准路由和专用路由之间的差异,如转发目标和路由方法中所示
- 出站 DNS 转发方法
- 转发目标的网络要求
- Cloud DNS 转发可用区的最佳做法
如需创建新的代管专用转发可用区,请完成以下步骤。
控制台
在 Trusted Cloud 控制台中,前往创建 DNS 区域页面。
对于可用区类型,请选择专用。
输入可用区名称,例如
my-new-zone
。为专用地区输入 DNS 名称后缀。该可用区中的所有记录都具有此后缀,例如
example.private
。可选:添加说明。
在选项下,选择将查询转发到其他服务器。
选择专用地区必须在其中公开的网络。
如需添加转发目标,请点击
添加项目。 您可以添加多个 IP 地址或单个完全限定域名 (FQDN)。 转发目标必须是 IP 地址列表或 FQDN。 您无法在同一可用区中同时使用 IP 地址和 FQDN。如需强制执行到转发目标的专用路由,请选中专用转发下的启用复选框。
点击创建。
gcloud
运行 dns managed-zones create
命令:
gcloud dns managed-zones create NAME \ --description=DESCRIPTION \ --dns-name=DNS_SUFFIX \ --networks=VPC_NETWORK_LIST \ --forwarding-targets=FORWARDING_TARGETS_LIST \ --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \ --visibility=private
请替换以下内容:
NAME
:您的可用区的名称DESCRIPTION
:您的可用区的说明DNS_SUFFIX
:您的可用区的 DNS 后缀,例如example.private
VPC_NETWORK_LIST
:有权查询地区的 VPC 网络的逗号分隔列表。FORWARDING_TARGETS_LIST
:将查询发送到的 IP 地址的逗号分隔列表或单个完全限定域名。域名会解析为 IP 地址。使用此标志指定的 RFC 1918 IP 地址必须位于您的 VPC 网络,或者使用 Cloud VPN 或 Cloud Interconnect 连接到 Trusted Cloud的本地网络。使用此标志指定的非 RFC 1918 IP 地址必须可通过互联网访问。PRIVATE_FORWARDING_TARGETS_LIST
:将查询发送到的 IP 地址的逗号分隔列表或单个完全限定域名。域名会解析为 IP 地址。使用此标志指定的任何 IP 地址都必须位于您的 VPC 网络中或使用 Cloud VPN 或 Cloud Interconnect 连接到 Trusted Cloud 的本地网络中。
Terraform
API
使用 managedZones.create
方法发送 POST
请求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones { "name": "NAME", "description": "DESCRIPTION", "dnsName": "DNS_NAME", "visibility": "private" "privateVisibilityConfig": { "kind": "dns#managedZonePrivateVisibilityConfig", "networks": [{ "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_1 }, { "kind": "dns#managedZonePrivateVisibilityConfigNetwork", "networkUrl": VPC_NETWORK_2 }, .... ] }, "forwardingConfig": { "kind": "dns#managedZoneForwardingConfig", "targetNameServers": [{ "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_1 }, { "kind": "dns#managedZoneForwardingConfigNameServerTarget", "ipv4Address": FORWARDING_TARGET_2 }, .... ] }, }
请替换以下内容:
PROJECT_ID
:创建代管可用区的项目的 IDNAME
:您的可用区的名称DESCRIPTION
:您的可用区的说明DNS_NAME
:您的可用区的 DNS 后缀,例如example.private
VPC_NETWORK_1
和VPC_NETWORK_2
:VPC 网络的网址,位于同一项目中,能够查询此可用区中的记录。您可以按照指示添加多个 VPC 网络。要确定 VPC 网络的网址,请使用以下gcloud
命令描述网络,并将VPC_NETWORK_NAME
替换为网络的名称:gcloud compute networks describe VPC_NETWORK_NAME
--format="get(selfLink)"FORWARDING_TARGET_1
和FORWARDING_TARGET_2
:转发目标域名服务器的 IP 地址或单个完全限定域名。您可以按照指示添加多个 IP 地址。此处指定的 RFC 1918 IP 地址必须位于您的 VPC 网络中或使用 Cloud VPN 或 Cloud Interconnect 连接到 Trusted Cloud 的本地网络中。使用此标志指定的非 RFC 1918 IP 地址必须可通过互联网访问。
转发目标网络要求
当 Cloud DNS 向转发目标发送请求时,将发送下表中列出的来源范围内的数据包。
转发目标类型 | 来源范围 |
---|---|
类型 1 目标 有权使用转发可用区的同一 VPC 网络中的 Trusted Cloud 虚拟机或内部直通式网络负载均衡器的内部 IP 地址。 类型 2 目标 本地系统的 IP 地址,使用 Cloud VPN 或 Cloud Interconnect 连接到有权使用转发可用区的 VPC 网络。 如需详细了解受支持的 IP 地址,请参阅转发目标和路由方法。 |
Cloud DNS 对所有客户使用 |
类型 4 目标 通过 VPC 网络解析顺序同时解析为 IPv4 和 IPv6 地址的目标域名服务器的完全限定域名。域名最多可以解析为 50 个 IP 地址。 解析的 IP 地址可以是目标类型 1-3。 |
根据解析的 IP 地址,来源范围可以是以下其中一个范围:
|
类型 1 和类型 2 目标
Cloud DNS 需要以下项才能访问类型 1 或类型 2 目标。无论目标是 RFC 1918 IP 地址且您使用标准路由,还是您选择专用路由,这些要求都一样:
177.222.82.0/25
的防火墙配置对于类型 1 目标,请针对 TCP 和 UDP 端口
53
流量创建入站流量允许防火墙规则,该规则适用于每个已获授权的 VPC 网络中的转发目标。对于类型 2 目标,请配置本地网络防火墙和类似设备,以允许 TCP 和 UDP 端口53
。转发目标的路由
对于类型 1 目标,Cloud DNS 使用子网路由访问已授权使用转发可用区的 VPC 网络中的目标。对于类型 2 名称目标,Cloud DNS 使用自定义动态或自定义静态路由(标记的静态路由除外)访问转发目标。
177.222.82.0/25
通过同一 VPC 网络的返回路由对于类型 1 目标, Trusted Cloud 会为
177.222.82.0/25
目的地使用特殊路由路径。对于类型 2 目标,本地网络必须具有177.222.82.0/25
目的地的路由,其下一个跃点位于发起请求的同一 VPC 网络(通过 Cloud VPN 隧道或 Cloud Interconnect 的 VLAN 连接)。如需了解如何满足此要求,请参阅类型 2 目标的返回路由策略。定向目标进行的响应
Cloud DNS 要求接收数据包的转发目标是将回复发送到
177.222.82.0/25
的转发目标。如果您的转发目标将请求发送到其他域名服务器,并且该域名服务器响应了177.222.82.0/25
,则 Cloud DNS 会忽略该响应。出于安全原因, Trusted Cloud 要求各目标域名服务器 DNS 回复的来源地址与该转发目标的 IP 地址相匹配。
类型 2 目标的返回路由策略
Cloud DNS 无法通过互联网或通过不同的 VPC 网络发送类型 2 转发目标的响应。响应必须返回到同一个 VPC 网络,但它们可以使用同一网络中的任何 Cloud VPN 隧道或 VLAN 连接。
- 如果是使用静态路由的 Cloud VPN 隧道,请在本地网络中手动创建目的地为
177.222.82.0/25
且下一个跃点为 Cloud VPN 隧道的路由。如果是使用基于政策的路由的 Cloud VPN 隧道,请配置 Cloud VPN 的本地流量选择器和本地 VPN 网关的远程流量选择器,使其包含177.222.82.0/25
。 - 如果是使用动态路由或用于 Cloud Interconnect 的 Cloud VPN 隧道,请在管理该隧道或 VLAN 连接的 Cloud Router 路由器的 BGP 会话上为
177.222.82.0/25
配置自定义路由通告。
类型 4 目标
类型 4 目标会先解析目标的 IP 地址。然后,已解析的转发目标可以解析为最多 50 个 IP 地址,包括 IPv4 和 IPv6 地址。根据已解析的转发目标的网络,类型 4 目标具有与类型 1、2 或 3 目标相同的网络要求。
如需了解有关使用 FQDN 作为转发目标的其他要求,请参阅使用转发可用区。
后续步骤
- 如需使用代管式区域,请参阅创建、修改和删除区域。
- 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查。
- 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览。