Cloud DNS mendukung berbagai jenis zona pribadi. Dokumen ini memberikan detail tentang berbagai jenis zona dan kapan Anda dapat menggunakan salah satunya.
Zona penerusan
Zona penerusan Cloud DNS memungkinkan Anda mengonfigurasi server nama target untuk zona pribadi tertentu. Menggunakan zona penerusan adalah salah satu cara untuk menerapkan penerusan DNS keluar dari jaringan VPC Anda.
Zona penerusan Cloud DNS adalah jenis khusus zona pribadi Cloud DNS. Daripada membuat data dalam zona, Anda menentukan serangkaian target penerusan. Setiap target penerusan adalah nama domain yang sepenuhnya memenuhi syarat (FQDN) atau alamat IP server DNS, yang berada di jaringan VPC Anda, atau di jaringan lokal yang terhubung ke jaringan VPC Anda melalui Cloud VPN atau Cloud Interconnect.
Target penerusan dan metode perutean
Cloud DNS mendukung empat jenis target dan menawarkan metode perutean standar atau pribadi untuk konektivitas.
Target penerusan | Deskripsi | Dukungan pemilihan rute standar | Dukungan perutean pribadi | Sumber permintaan |
---|---|---|---|---|
Tipe 1 | Alamat IP internal dari Trusted Cloud VM atau Load Balancer Jaringan passthrough internal di jaringan VPC yang sama yang diberi otorisasi untuk menggunakan zona penerusan. | Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang sah. | Alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali untuk alamat IP target penerusan yang dilarang —traffic selalu dirutekan melalui jaringan VPC yang sah. | 177.222.82.0/25 |
Tipe 2 | Alamat IP sistem lokal, yang terhubung ke jaringan VPC yang diizinkan untuk mengkueri zona penerusan, menggunakan Cloud VPN atau Cloud Interconnect. | Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang sah. | Alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali untuk alamat IP target penerusan yang dilarang — traffic selalu dirutekan melalui jaringan VPC yang sah. | 177.222.82.0/25 |
Tipe 4 | Nama domain yang sepenuhnya memenuhi syarat dari server nama target yang dapat di-resolve ke alamat IPv4 dan IPv6 melalui urutan resolusi jaringan VPC. | Bergantung pada jaringan target penerusan yang diselesaikan, traffic dirutekan
dengan salah satu dari dua cara:
|
Bergantung pada jaringan target penerusan yang di-resolve, traffic akan dirutekan melalui alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali untuk alamat IP target penerusan yang dilarang—traffic selalu dirutekan melalui jaringan VPC yang diizinkan. Jika server nama DNS diselesaikan ke alamat IP eksternal yang dapat diakses oleh internet atau alamat IP eksternal, perutean pribadi tidak didukung. |
|
Anda dapat memilih salah satu dari dua metode perutean berikut saat menambahkan target penerusan ke zona penerusan:
Perutean standar: Merutekan traffic melalui jaringan VPC yang diizinkan atau melalui internet berdasarkan apakah target penerusan adalah alamat IP RFC 1918. Jika target penerusan adalah alamat IP RFC 1918, Cloud DNS mengklasifikasikan target sebagai target Jenis 1 atau Jenis 2, dan merutekan permintaan melalui jaringan VPC yang diberi otorisasi. Jika target bukan alamat IP RFC 1918, Cloud DNS mengklasifikasikan target sebagai Jenis 3, dan mengharapkan target dapat diakses melalui internet.
Perutean pribadi: Selalu merutekan traffic melalui jaringan VPC yang sah, terlepas dari alamat IP target (RFC 1918 atau tidak). Oleh karena itu, hanya target Jenis 1 dan Jenis 2 yang didukung.
Jika Anda menggunakan FQDN untuk target penerusan, metode perutean Anda harus sesuai dengan jenis jaringan Anda. Jika server nama domain Anda di-resolve ke alamat IP publik, Anda harus menggunakan perutean standar.
Untuk mengakses target penerusan Tipe 1 atau Tipe 2, Cloud DNS menggunakan rute di jaringan VPC yang diizinkan tempat klien DNS berada. Rute ini menentukan jalur aman ke target penerusan:
Untuk mengirim traffic ke target Jenis 1, Cloud DNS menggunakan rute subnet yang dibuat secara otomatis. Untuk membalas, Target jenis 1 menggunakan jalur perutean khusus untuk respons Cloud DNS.
Untuk mengirim traffic ke target Jenis 2, Cloud DNS dapat menggunakan rute dinamis kustom atau rute statis kustom, kecuali rute statis kustom dengan tag jaringan. Untuk membalas, target penerusan Jenis 2 menggunakan rute di jaringan lokal Anda.
Untuk panduan tambahan tentang persyaratan jaringan untuk target Jenis 1 dan Jenis 2, lihat persyaratan jaringan target penerusan.
Untuk mengakses target penerusan Type 4, Cloud DNS terlebih dahulu me-resolve nama domain, lalu menggunakan metode perutean jaringan sumber. Misalnya, jika subdomain.example.com
di-resolve ke alamat IP sistem lokal yang terhubung ke jaringan VPC yang diizinkan untuk membuat kueri zona penerusan melalui Cloud VPN, maka subdomain.example.com
akan menggunakan aturan perutean yang sama dengan target penerusan Jenis 2.
Saat menggunakan FQDN sebagai target penerusan, Anda hanya dapat menggunakan satu FQDN. Target penerusan dapat diselesaikan hingga 50 alamat IP.
Alamat IP target penerusan yang dilarang
Anda tidak dapat menggunakan alamat IP berikut untuk target penerusan Cloud DNS:
169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8
Urutan pemilihan target penerusan
Dengan Cloud DNS, Anda dapat mengonfigurasi daftar target penerusan untuk zona penerusan.
Saat Anda mengonfigurasi dua atau lebih target penerusan, Cloud DNS menggunakan algoritma internal untuk memilih target penerusan. Algoritma ini memberi peringkat pada setiap target penerusan.
Saat Anda menggunakan FQDN sebagai target penerusan, Cloud DNS akan me-resolve nama domain menjadi serangkaian hingga 50 alamat IP, lalu menerapkan algoritma yang sama ke alamat IP tersebut.
Untuk memproses permintaan, Cloud DNS pertama-tama mencoba kueri DNS dengan menghubungi target penerusan yang memiliki peringkat tertinggi. Jika server tersebut tidak merespons, Cloud DNS akan mengulangi permintaan ke target penerusan dengan peringkat tertinggi berikutnya. Jika tidak ada target penerusan yang merespons, Cloud DNS akan menyintesis respons SERVFAIL.
Algoritma peringkat bersifat otomatis, dan faktor berikut meningkatkan peringkat target penerusan:
- Semakin tinggi jumlah respons DNS yang berhasil diproses oleh target penerusan. Respons DNS yang berhasil mencakup respons NXDOMAIN.
- Makin rendah latensi (waktu pulang pergi) untuk berkomunikasi dengan target penerusan.
Menggunakan zona penerusan
VM dalam jaringan VPC dapat menggunakan zona penerusan Cloud DNS dalam kasus berikut:
Jaringan VPC telah diberi otorisasi untuk menggunakan zona penerusan Cloud DNS. Untuk menggunakan zona penerusan, Anda dapat mengizinkan beberapa jaringan VPC dalam project yang sama atau di seluruh project, selama jaringan VPC berada dalam organisasi yang sama.
Sistem operasi tamu setiap VM di jaringan VPC menggunakan server metadata VM
169.254.169.254
sebagai server namanya.
Jika Anda menggunakan FQDN sebagai server nama target, tinjau item berikut:
- Anda hanya dapat memiliki satu target penerusan.
- Resolusi target FQDN melalui zona penerusan lain tidak didukung.
- Anda tidak dapat menggunakan FQDN sebagai server nama alternatif dalam kebijakan server.
- Target FQDN dapat diselesaikan hingga 50 alamat IP terkait. Alamat yang telah diselesaikan lebih dari 50 akan dipangkas.
Zona penerusan yang tumpang-tindih
Karena zona penerusan Cloud DNS adalah jenis zona pribadi terkelola Cloud DNS, Anda dapat membuat beberapa zona yang tumpang-tindih. VM yang dikonfigurasi seperti yang dijelaskan sebelumnya menyelesaikan rekaman sesuai dengan urutan penyelesaian nama, menggunakan zona dengan akhiran terpanjang. Untuk mengetahui informasi selengkapnya, lihat Zona yang tumpang-tindih.
Zona penyimpanan ke cache dan penerusan
Cloud DNS meng-cache respons untuk kueri yang dikirim ke zona penerusan Cloud DNS. Cloud DNS mempertahankan cache respons dari target penerusan yang dapat dijangkau untuk rentang waktu yang lebih singkat dari rentang waktu berikut:
- 60 detik
- Durasi time to live (TTL) kumpulan data
Jika semua target penerusan untuk zona penerusan tidak dapat dijangkau, Cloud DNS akan mempertahankan cache data yang sebelumnya diminta di zona tersebut selama durasi TTL setiap data.
Kapan harus menggunakan peering
Cloud DNS tidak dapat menggunakan perutean transitif untuk terhubung ke target penerusan. Untuk mengilustrasikan konfigurasi yang tidak valid, pertimbangkan skenario berikut:
Anda telah menggunakan Cloud VPN atau Cloud Interconnect untuk menghubungkan jaringan lokal ke jaringan VPC bernama
vpc-net-a
.Anda telah menggunakan Peering Jaringan VPC untuk menghubungkan jaringan VPC
vpc-net-a
kevpc-net-b
. Anda telah mengonfigurasivpc-net-a
untuk mengekspor rute kustom, danvpc-net-b
untuk mengimpornya.Anda telah membuat zona penerusan yang target penerusannya berada di jaringan lokal yang terhubung dengan
vpc-net-a
. Anda telah mengizinkanvpc-net-b
untuk menggunakan zona penerusan tersebut.
Penyelesaian rekaman di zona yang ditayangkan oleh target penerusan akan gagal dalam skenario ini, meskipun ada konektivitas dari vpc-net-b
ke jaringan lokal Anda. Untuk mendemonstrasikan kegagalan ini, lakukan pengujian berikut dari VM di vpc-net-b
:
Buat kueri server metadata
169.254.169.254
VM untuk mendapatkan catatan yang ditentukan di zona penerusan. Kueri ini gagal (seperti yang diharapkan) karena Cloud DNS tidak mendukung perutean transitif ke target penerusan. Untuk menggunakan zona penerusan, VM harus dikonfigurasi untuk menggunakan server metadatanya.Kueri target penerusan secara langsung untuk data yang sama. Meskipun Cloud DNS tidak menggunakan jalur ini, kueri ini menunjukkan bahwa konektivitas transitif berhasil.
Anda dapat menggunakan zona peering Cloud DNS untuk memperbaiki skenario tidak valid ini:
- Buat zona peering Cloud DNS yang diizinkan untuk
vpc-net-b
yang menargetkanvpc-net-a
. - Buat zona penerusan yang diotorisasi untuk
vpc-net-a
yang target penerusannya adalah server nama lokal.
Anda dapat melakukan langkah-langkah ini dalam urutan apa pun. Setelah menyelesaikan langkah-langkah ini, instance Compute Engine di vpc-net-a
dan vpc-net-b
dapat membuat kueri target penerusan lokal.
Untuk mengetahui informasi tentang cara membuat zona penerusan, lihat Membuat zona penerusan.
Zona peering
Zona peering adalah zona pribadi Cloud DNS yang memungkinkan Anda mengirim permintaan DNS antara zona Cloud DNS di jaringan VPC yang berbeda. Misalnya, penyedia software as a service (SaaS) dapat memberikan akses kepada pelanggan ke data DNS terkelola mereka di Cloud DNS.
Untuk menyediakan peering DNS, Anda harus membuat zona peering pribadi Cloud DNS dan mengonfigurasinya untuk melakukan pencarian DNS di jaringan VPC tempat data untuk namespace zona tersebut tersedia. Jaringan VPC tempat zona peering DNS melakukan pencarian disebut jaringan produsen DNS.
Zona peering hanya dapat dilihat oleh jaringan VPC yang dipilih selama konfigurasi zona. Jaringan VPC yang diizinkan untuk menggunakan zona peering disebut jaringan konsumen DNS.
Setelah Trusted Cloud resource di jaringan konsumen DNS diberi otorisasi, resource tersebut dapat melakukan pencarian data di namespace zona peering seolah-olah berada di jaringan produsen DNS. Pencarian data di namespace zona peering mengikuti urutan resolusi nama jaringan produsen DNS.
Oleh karena itu,resource Trusted Cloud di jaringan konsumen DNS dapat mencari data di namespace zona dari sumber berikut yang tersedia di jaringan produsen DNS:
- Zona pribadi terkelola Cloud DNS yang diizinkan untuk digunakan oleh jaringan produsen DNS.
- Zona penerusan terkelola Cloud DNS yang diizinkan untuk digunakan oleh jaringan produsen DNS.
- Nama DNS internal Compute Engine di jaringan produsen DNS.
- Server nama alternatif, jika kebijakan server keluar telah dikonfigurasi di jaringan produsen DNS.
Dengan peering DNS, Anda dapat membuat satu jaringan (jaringan konsumen DNS) meneruskan permintaan DNS ke jaringan lain (jaringan produsen DNS), yang kemudian melakukan pencarian DNS.
Batasan dan poin penting peering DNS
Perhatikan hal-hal berikut saat mengonfigurasi peering DNS:
- Peering DNS adalah hubungan satu arah. Hal ini memungkinkan Trusted Cloud resource di jaringan konsumen DNS mencari data di namespace zona peering seolah-olah Trusted Cloud resource berada di jaringan produsen DNS.
- Jaringan produsen dan konsumen DNS harus berupa jaringan VPC.
- Meskipun jaringan produsen dan konsumen DNS biasanya merupakan bagian dari organisasi yang sama, peering DNS lintas organisasi juga didukung.
- Peering DNS dan Peering Jaringan VPC adalah layanan yang berbeda. Peering Jaringan VPC tidak secara otomatis membagikan informasi DNS. Peering DNS dapat digunakan dengan Peering Jaringan VPC, tetapi Peering Jaringan VPC tidak diperlukan untuk peering DNS.
- Peering DNS transitif didukung, tetapi hanya melalui satu hop transitif.
Dengan kata lain, tidak lebih dari tiga jaringan VPC (dengan
jaringan di tengah sebagai hop transitif) yang dapat dilibatkan. Misalnya,
Anda dapat membuat zona peering di
vpc-net-a
yang menargetkanvpc-net-b
, lalu membuat zona peering divpc-net-b
yang menargetkanvpc-net-c
. - Jika Anda menggunakan peering DNS untuk menargetkan zona penerusan saat perutean dinamis global dinonaktifkan di jaringan VPC produsen, jaringan VPC target dengan zona penerusan harus berisi VM, lampiran VLAN, atau tunnel Cloud VPN yang berada di region yang sama dengan VM sumber yang menggunakan zona peering DNS. Untuk mengetahui detail tentang batasan ini, lihat Penerusan kueri dari VM di jaringan VPC konsumen ke jaringan VPC produsen tidak berfungsi.
Untuk mengetahui petunjuk tentang cara membuat zona peering, lihat Membuat zona peering.
Zona yang tumpang-tindih
Dua zona tumpang-tindih satu sama lain jika nama domain asal dari satu zona identik dengan atau merupakan subdomain dari asal zona lainnya. Misalnya:
- Zona untuk
gcp.example.com
dan zona lain untukgcp.example.com
tumpang-tindih karena nama domainnya identik. - Zona untuk
dev.gcp.example.com
dan zona untukgcp.example.com
tumpang-tindih karenadev.gcp.example.com
adalah subdomain darigcp.example.com
.
Aturan untuk zona yang tumpang-tindih
Cloud DNS menerapkan aturan berikut untuk zona yang tumpang-tindih:
Zona pribadi yang dicakup untuk jaringan VPC yang berbeda dapat tumpang-tindih satu sama lain. Misalnya, dua jaringan VPC dapat masing-masing memiliki VM database bernama database.gcp.example.com
di zona gcp.example.com
.
Kueri untuk database.gcp.example.com
menerima jawaban yang berbeda-beda
sesuai dengan catatan zona yang ditentukan di zona yang diberi otorisasi untuk setiap jaringan VPC.
Dua zona pribadi yang telah diizinkan untuk dapat diakses dari jaringan VPC yang sama tidak dapat memiliki asal yang identik, kecuali jika salah satu zona adalah subdomain dari zona lainnya. Server metadata menggunakan pencocokan akhiran terpanjang untuk menentukan asal yang akan dikueri untuk mendapatkan data dalam zona tertentu.
Contoh penyelesaian kueri
Trusted Cloud me-resolve zona Cloud DNS seperti yang dijelaskan dalam Urutan resolusi nama. Saat menentukan zona yang akan dikueri untuk data tertentu, Cloud DNS mencoba menemukan zona yang cocok dengan sebanyak mungkin data yang diminta (pencocokan akhiran terpanjang).
Kecuali jika Anda telah menentukan server nama alternatif dalam kebijakan server keluar, Trusted Cloud upaya pertama untuk menemukan data dalam zona pribadi (atau zona penerusan atau zona peering) yang diizinkan untuk jaringan VPC Anda.
Binding lintas project
Pengikatan lintas project memungkinkan Anda mempertahankan kepemilikan namespace DNS project layanan secara terpisah dari kepemilikan namespace DNS seluruh jaringan VPC.
Penyiapan VPC Bersama yang umum memiliki project layanan yang mengambil kepemilikan aplikasi atau layanan virtual machine (VM), sementara project host mengambil kepemilikan jaringan VPC dan infrastruktur jaringan. Biasanya, ruang nama DNS dibuat dari ruang nama jaringan VPC agar sesuai dengan resource project layanan. Untuk penyiapan seperti itu, akan lebih mudah untuk mendelegasikan administrasi namespace DNS setiap project layanan kepada administrator setiap project layanan (yang sering kali merupakan departemen atau bisnis yang berbeda). Pengikatan lintas project memungkinkan Anda memisahkan kepemilikan namespace DNS project layanan dari kepemilikan namespace DNS seluruh jaringan VPC.
Gambar berikut menunjukkan penyiapan VPC Bersama umum dengan peering DNS.
Gambar berikut menunjukkan penyiapan menggunakan pengikatan lintas project. Cloud DNS memungkinkan setiap project layanan membuat dan memiliki zona DNS-nya sendiri, tetapi tetap terikat ke jaringan bersama yang dimiliki project host. Hal ini memungkinkan otonomi yang lebih baik dan batas izin yang lebih presisi untuk administrasi zona DNS.
Binding lintas project menyediakan hal berikut:
- Administrator dan pengguna project layanan dapat membuat dan mengelola zona DNS mereka sendiri.
- Anda tidak perlu membuat jaringan VPC pengganti.
- Administrator project host tidak perlu mengelola project layanan.
- Peran IAM tetap berlaku di level project.
- Semua zona DNS dikaitkan langsung dengan jaringan VPC Bersama.
- Resolusi DNS dari mana saja ke mana saja sudah tersedia. Setiap VM di jaringan VPC Bersama dapat menyelesaikan zona terkait.
- Tidak ada batas hop transitif. Anda dapat mengelolanya dalam desain hub dan spoke.
Untuk mengetahui petunjuk tentang cara membuat zona dengan binding lintas project yang diaktifkan, lihat Membuat zona binding lintas project.
Zona Cloud DNS zonal
Cloud DNS zonal memungkinkan Anda membuat zona DNS pribadi yang tercakup dalam Trusted Cloud zona saja. Zona Cloud DNS zonal dibuat untuk GKE saat Anda memilih cakupan cluster.
Layanan Cloud DNS default bersifat global dan nama DNS dapat dilihat secara global dalam jaringan VPC Anda. Konfigurasi ini mengekspos layanan Anda ke gangguan global. Cloud DNS Zonal adalah layanan Cloud DNS pribadi baru yang ada di setiap zona Trusted Cloud . Domain kegagalan terdapat dalam zona Trusted Cloud tersebut. Zona pribadi Cloud DNS zona tidak terpengaruh saat terjadi pemadaman layanan global. Setiap gangguan Trusted Cloud zonal hanya memengaruhi zona Trusted Cloud tertentu dan zona Cloud DNS dalam zona Trusted Cloud tersebut. Perhatikan bahwa setiap resource yang dibuat di layanan zona hanya dapat dilihat oleh zona Trusted Cloud tersebut.
Untuk mempelajari cara mengonfigurasi zona cakupan cluster Cloud DNS zonal, lihat Mengonfigurasi zona cakupan cluster GKE zonal.
Dukungan Cloud DNS zona
Tabel berikut mencantumkan resource dan fitur Cloud DNS yang didukung oleh layanan Cloud DNS zonal.
Resource atau fitur | Tersedia di Cloud DNS global | Tersedia di Cloud DNS zonal |
---|---|---|
Zona pribadi terkelola (cakupan jaringan atau VPC) | ||
Zona pribadi terkelola (cakupan GKE) | ||
Zona penerusan1 | ||
Zona peering | ||
Zona pencarian terbalik yang dikelola | ||
Membuat perubahan atau mengelola data2 | ||
Zona Direktori Layanan | ||
Kebijakan | ||
Kebijakan respons (cakupan jaringan) | ||
Kebijakan respons (cakupan cluster GKE) | ||
Aturan kebijakan respons |
1Cloud DNS Zonal hanya mendukung zona penerusan yang tercakup dalam cluster GKE.
2Pengontrol GKE akan menimpa setiap perubahan pada catatan saat dimulai ulang.
Penagihan untuk zona Cloud DNS zonal
Penagihan untuk zona Cloud DNS dan kebijakan respons zonal berfungsi dengan cara yang sama seperti kebijakan respons global.
Langkah berikutnya
- Untuk menggunakan zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
- Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
- Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.