Cloud DNS supporta diversi tipi di zone private. Questo documento fornisce dettagli sui diversi tipi di zone e su quando puoi utilizzare l'uno o l'altro.
Zone di forwarding
Le zone di forwarding Cloud DNS ti consentono di configurare i server dei nomi target per zone private specifiche. L'utilizzo di una zona di forwarding è un modo per implementare il forwarding DNS in uscita dalla tua rete VPC.
Una zona di forwarding Cloud DNS è un tipo speciale di zona Cloud DNS privata. Anziché creare record all'interno della zona, specifichi un insieme di target di forwarding. Ogni target di forwarding è un nome di dominio completo (FQDN) o un indirizzo IP di un server DNS, che si trova nella rete VPC o in una rete on-premise connessa alla rete VPC tramite Cloud VPN o Cloud Interconnect.
Target di forwarding e metodi di routing
Cloud DNS supporta quattro tipi di target e offre metodi di routing standard o privati per la connettività.
| Target di forwarding | Descrizione | Supporto del routing standard | Supporto del routing privato | Origine delle richieste |
|---|---|---|---|---|
| Tipo 1 | Un indirizzo IP interno di una VM Cloud de Confiance o di un bilanciatore del carico di rete passthrough interno nella stessa rete VPC autorizzata a utilizzare la zona di forwarding. | Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata. | Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP esterno riutilizzato privatamente, ad eccezione di un indirizzo IP target di forwarding vietato: il traffico viene sempre instradato tramite una rete VPC autorizzata. | 177.222.82.0/25 |
| Tipo 2 | Un indirizzo IP di un sistema on-premise, connesso alla rete VPC autorizzata a fare query sulla zona di forwarding tramite Cloud VPN o Cloud Interconnect. | Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata. | Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP esterno riutilizzato privatamente, ad eccezione di un indirizzo IP target di forwarding vietato: il traffico viene sempre instradato tramite una rete VPC autorizzata. | 177.222.82.0/25 |
| Tipo 4 | Un nome di dominio completo di un server dei nomi target che può essere risolto in indirizzi IPv4 e IPv6 tramite l'ordine di risoluzione della rete VPC. | A seconda della rete del target di forwarding risolto, il traffico viene instradato in uno dei due modi seguenti:
|
A seconda della rete del target di forwarding risolto, il traffico viene instradato tramite qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP esterno riutilizzato privatamente, ad eccezione di un indirizzo IP target di forwarding vietato: il traffico viene sempre instradato tramite una rete VPC autorizzata. Se il server dei nomi DNS è stato risolto in un indirizzo IP esterno accessibile da internet o all'indirizzo IP esterno, il routing privato non è supportato. |
|
Quando aggiungi il target di forwarding alla zona di forwarding, puoi scegliere uno dei due metodi di routing seguenti:
Routing standard: il traffico viene instradato attraverso una rete VPC autorizzata o su internet a seconda che il target di forwarding sia un indirizzo IP RFC 1918 o meno. Se il target di forwarding è un indirizzo IP RFC 1918, Cloud DNS classifica il target come Tipo 1 o Tipo 2 e instrada le richieste tramite una rete VPC autorizzata. Se il target non è un indirizzo IP RFC 1918, Cloud DNS lo classifica come Tipo 3 e prevede che sia accessibile da internet.
Routing privato: il traffico viene sempre instradato attraverso una rete VPC autorizzata, indipendentemente dall'indirizzo IP del target (RFC 1918 o meno). Di conseguenza, sono supportati solo i target Tipo 1 e Tipo 2.
Se utilizzi un FQDN per il target di forwarding, il metodo di routing deve corrispondere al tipo di rete. Quando il tuo DNS viene risolto in un indirizzo IP pubblico, devi utilizzare il routing standard.
Per accedere a un target di forwarding Tipo 1 o Tipo 2, Cloud DNS utilizza le route nella rete VPC autorizzata in cui si trova il client DNS. Queste route definiscono un percorso sicuro verso il target di forwarding:
Per inviare il traffico alle destinazioni Tipo 1, Cloud DNS utilizza route di subnet create automaticamente. Per rispondere, i target Tipo 1 utilizzano un percorso di routing speciale per le risposte di Cloud DNS.
Per inviare il traffico ai target Tipo 2, Cloud DNS può utilizzare route dinamiche personalizzate o route statiche personalizzate, ad eccezione delle route statiche personalizzate con tag di rete. Per rispondere, i target di forwarding Tipo 2 utilizzano le route nella tua rete on-premise.
Per ulteriori indicazioni sui requisiti di rete per i target Tipo 1 e Tipo 2, consulta Requisiti di rete dei target di forwarding.
Per accedere a un target di forwarding Tipo 4, Cloud DNS risolve prima il nome di dominio, quindi utilizza il metodo di routing della rete di origine. Ad esempio, se subdomain.example.com viene risolto in un indirizzo IP di un sistema on-premise connesso alla rete VPC autorizzata a fare query sulla zona di forwarding tramite Cloud VPN, utilizza le stesse regole di routing di un target di forwarding Tipo 2.
Quando utilizzi un FQDN come target di forwarding, puoi utilizzarne solo uno. Il target di forwarding può essere risolto in un massimo di 50 indirizzi IP.
Indirizzi IP target di forwarding vietati
Non puoi utilizzare i seguenti indirizzi IP per i target di forwarding di Cloud DNS:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
Ordine di selezione del target di forwarding
Cloud DNS ti consente di configurare un elenco di target di forwarding per una zona di forwarding.
Quando configuri due o più target di forwarding, Cloud DNS utilizza un algoritmo interno per selezionarne uno. Questo algoritmo classifica ogni target di forwarding.
Quando utilizzi un FQDN come target di forwarding, Cloud DNS risolve il nome di dominio in un insieme di massimo 50 indirizzi IP e poi applica lo stesso algoritmo a questi indirizzi IP.
Per elaborare una richiesta, Cloud DNS tenta prima una query DNS contattando il target di forwarding con il ranking più alto. Se il server non risponde, Cloud DNS ripete la richiesta al target di forwarding con il ranking più alto successivo. Se nessun target di forwarding risponde, Cloud DNS sintetizza una risposta SERVFAIL.
L'algoritmo di ranking è automatico e i seguenti fattori aumentano il ranking di un target di forwarding:
- Maggiore numero di risposte DNS riuscite elaborate dal target di forwarding. Le risposte DNS riuscite includono le risposte NXDOMAIN.
- Minore latenza (tempo di round trip) per la comunicazione con il target di forwarding.
Utilizza le zone di forwarding
Le VM in una rete VPC possono utilizzare una zona di forwarding Cloud DNS nei seguenti casi:
La rete VPC è stata autorizzata a utilizzare la zona di forwarding Cloud DNS. Per utilizzare la zona di forwarding, puoi autorizzare più reti VPC nello stesso progetto o in progetti diversi, a condizione che le reti VPC si trovino nella stessa organizzazione.
Il sistema operativo guest di ogni VM nella rete VPC utilizza il server dei metadati della VM
169.254.169.254come server dei nomi.
Se utilizzi un FQDN come server dei nomi target, considera i seguenti elementi:
- Puoi avere un solo target di forwarding.
- La risoluzione del target FQDN tramite un'altra zona di forwarding non è supportata.
- Non puoi utilizzare un FQDN come server dei nomi alternativo nelle policy dei server.
- Un target FQDN può essere risolto in un massimo di 50 indirizzi IP associati. Gli indirizzi risolti oltre i primi 50 vengono troncati.
Zone di forwarding sovrapposte
Poiché le zone di forwarding Cloud DNS sono un tipo di zona privata gestita da Cloud DNS, puoi creare più zone che si sovrappongono. Le VM configurate come descritto in precedenza risolvono un record in base all'ordine di risoluzione dei nomi, utilizzando la zona con il suffisso più lungo. Per saperne di più, consulta Zone sovrapposte.
Memorizzazione nella cache e zone di forwarding
Cloud DNS memorizza nella cache le risposte alle query inviate alle zone di forwarding Cloud DNS. Cloud DNS gestisce una cache delle risposte dai target di forwarding raggiungibili per il periodo di tempo più breve tra i seguenti:
- 60 secondi
- La durata (TTL) del record
Quando tutti i target di forwarding per una zona di forwarding diventano irraggiungibili, Cloud DNS mantiene la cache dei record richiesti in precedenza nella zona per la durata (TTL) di ogni record.
Quando utilizzare il peering
Cloud DNS non può utilizzare il routing transitivo per connettersi a un target di forwarding. Come illustrazione di una configurazione non valida, considera lo scenario seguente:
Hai utilizzato Cloud VPN o Cloud Interconnect per connettere una rete on-premise a una rete VPC denominata
vpc-net-a.Hai utilizzato il peering di rete VPC per connettere la rete VPC
vpc-net-aavpc-net-b. Hai configuratovpc-net-aper esportare route personalizzate evpc-net-bper importarle.Hai creato una zona di forwarding i cui target di forwarding si trovano nella rete on-premise a cui è connessa
vpc-net-a. Hai autorizzatovpc-net-ba utilizzare questa zona di forwarding.
La risoluzione di un record in una zona gestita dai target di forwarding non riesce in questo scenario, anche se è presente connettività da vpc-net-b alla tua rete on-premise. Per dimostrarlo, esegui questi test da una VM in vpc-net-b:
Fai una query sul server dei metadati della VM
169.254.169.254per un record definito nella zona di forwarding. Questa query non riesce (come previsto) perché Cloud DNS non supporta il routing transitivo ai target di forwarding. Per utilizzare una zona di forwarding, una VM deve essere configurata per utilizzare il relativo server dei metadati.Fai una query direttamente sul target di forwarding per lo stesso record. Sebbene Cloud DNS non utilizzi questo percorso, questa query dimostra che la connettività transitiva funziona.
Per risolvere questo scenario non valido, puoi utilizzare una zona di peering Cloud DNS:
- Crea una zona di peering Cloud DNS autorizzata per
vpc-net-bconvpc-net-acome target. - Crea una zona di forwarding autorizzata per
vpc-net-ai cui target di forwarding sono server dei nomi on-premise.
Puoi eseguire questi passaggi in qualsiasi ordine. Dopo aver completato questi passaggi, le istanze Compute Engine sia in vpc-net-a che in vpc-net-b possono fare query sui target di forwarding on-premise.
Per informazioni su come creare zone di forwarding, consulta Crea una zona di forwarding.
Zone di peering
Una zona di peering è una zona Cloud DNS privata che consente di inviare richieste DNS tra zone Cloud DNS in reti VPC diverse. Ad esempio, un fornitore Software as a Service (SaaS) può concedere ai clienti l'accesso ai propri record DNS gestiti in Cloud DNS.
Per fornire il peering DNS, devi creare una zona di peering privata Cloud DNS e configurarla per eseguire ricerche DNS in una rete VPC in cui sono disponibili i record per lo spazio dei nomi della zona. La rete VPC in cui la zona di peering DNS esegue le ricerche è chiamata rete producer DNS.
La zona di peering è visibile solo alle reti VPC selezionate durante la sua configurazione. La rete VPC autorizzata a utilizzare la zona di peering è denominata rete consumer DNS.
Una volta autorizzate, le risorse Cloud de Confiance nella rete consumer DNS possono eseguire ricerche di record nello spazio dei nomi della zona di peering come se si trovassero nella rete producer DNS. Le ricerche di record nello spazio dei nomi della zona di peering seguono l'ordine di risoluzione dei nomi della rete producer DNS.
Pertanto, le risorse Cloud de Confiance nella rete consumer DNS possono cercare i record nello spazio dei nomi della zona dalle seguenti origini disponibili nella rete producer DNS:
- Zone private gestite di Cloud DNS autorizzate per l'utilizzo da parte della rete producer DNS.
- Zone di forwarding gestite di Cloud DNS autorizzate per l'utilizzo da parte della rete producer DNS.
- Nomi DNS interni di Compute Engine nella rete producer DNS.
- Un server dei nomi alternativo, se è stata configurata una policy dei server in uscita nella rete producer DNS.
Con il peering DNS, una rete (rete consumer DNS) può inoltrare richieste DNS a un'altra rete (rete producer DNS), che esegue le ricerche DNS.
Limitazioni e punti chiave del peering DNS
Tieni presente quanto segue quando configuri il peering DNS:
- Il peering DNS è una relazione unidirezionale. Consente alle risorse Cloud de Confiance nella rete consumer DNS di cercare record nello spazio dei nomi della zona di peering come se le risorse Cloud de Confiance si trovassero nella rete producer DNS.
- Le reti producer e consumer DNS devono essere reti VPC.
- Sebbene le reti producer e consumer DNS facciano in genere parte della stessa organizzazione, è supportato anche il peering DNS tra organizzazioni.
- Il peering DNS e il peering di rete VPC sono servizi diversi. Il peering di rete VPC non condivide automaticamente le informazioni DNS. Il peering DNS può essere utilizzato con il peering di rete VPC, ma il peering di rete VPC non è obbligatorio per il peering DNS.
- Il peering DNS transitivo è supportato, ma solo tramite un singolo hop transitivo.
In altre parole, non possono essere coinvolte più di tre reti VPC (con la rete intermedia che funge da hop transitivo). Ad esempio, puoi creare una zona di peering in
vpc-net-ache ha come targetvpc-net-be poi creare una zona di peering invpc-net-bche ha come targetvpc-net-c. - Se utilizzi il peering DNS per avere come target una zona di forwarding mentre il routing dinamico globale è disattivato nella rete VPC producer, la rete VPC target con la zona di forwarding deve contenere una VM, un collegamento VLAN o un tunnel Cloud VPN che si trova nella stessa regione della VM di origine che utilizza la zona di peering DNS. Per informazioni dettagliate su questa limitazione, consulta Il forwarding delle query dalle VM in una rete VPC consumer a una rete VPC producer non funziona.
Per istruzioni su come creare una zona di peering, consulta Crea una zona di peering.
Zone sovrapposte
Due zone si sovrappongono quando il nome di dominio di origine di una zona è identico o è un sottodominio dell'origine dell'altra zona. Ad esempio:
- Una zona per
gcp.example.come un'altra zona pergcp.example.comsi sovrappongono perché i nomi di dominio sono identici. - Una zona per
dev.gcp.example.come una zona pergcp.example.comsi sovrappongono perchédev.gcp.example.comè un sottodominio digcp.example.com.
Regole per le zone sovrapposte
Cloud DNS applica le seguenti regole per le zone sovrapposte:
Le zone private con ambito per reti VPC diverse possono sovrapporsi. Ad esempio, due reti VPC possono avere ciascuna una VM di database denominata database.gcp.example.com in una zona gcp.example.com.
Le query per database.gcp.example.com ricevono risposte diverse a seconda dei record di zona definiti nella zona autorizzata per ogni rete VPC.
Due zone private autorizzate a essere accessibili dalla stessa rete VPC non possono avere origini identiche, a meno che una zona non sia un sottodominio dell'altra. Il server dei metadati utilizza la corrispondenza del suffisso più lungo per determinare quale origine interrogare per i record in una determinata zona.
Esempi di risoluzione delle query
Cloud de Confiance risolve le zone Cloud DNS come descritto in Ordine di risoluzione dei nomi. Quando determina la zona su cui fare query per un determinato record, Cloud DNS tenta di trovare una zona che corrisponda il più possibile al record richiesto (corrispondenza del suffisso più lungo).
A meno che tu non abbia specificato un server dei nomi alternativo in una policy del server in uscita, Cloud de Confiance tenta innanzitutto di trovare un record in una zona privata (o in una zona di forwarding o di peering) autorizzata per la tua rete VPC.
Associazione tra progetti
L'associazione tra progetti consente di mantenere la proprietà dello spazio dei nomi DNS del progetto di servizio indipendente dalla proprietà dello spazio dei nomi DNS dell'intera rete VPC.
Una configurazione tipica di VPC condiviso prevede progetti di servizio che assumono la proprietà di un'applicazione o di servizi di macchine virtuali (VM), mentre il progetto host assume la proprietà della rete VPC e dell'infrastruttura di rete. Spesso, uno spazio dei nomi DNS viene creato dallo spazio dei nomi della rete VPC per corrispondere alle risorse del progetto di servizio. Per una configurazione di questo tipo, può essere più facile delegare l'amministrazione dello spazio dei nomi DNS di ogni progetto di servizio agli amministratori del singolo progetto (che spesso sono reparti o business diversi). L'associazione tra progetti consente di separare la proprietà dello spazio dei nomi DNS del progetto di servizio dalla proprietà dello spazio dei nomi DNS dell'intera rete VPC.
La figura seguente mostra una tipica configurazione di VPC condiviso con peering DNS.
La figura seguente mostra una configurazione che utilizza l'associazione tra progetti. Cloud DNS consente a ogni progetto di servizio di creare ed essere proprietario delle sue zone DNS, ma lo mantiene comunque associato alla rete condivisa di proprietà del progetto host. Ciò consente una maggiore autonomia e un limite di autorizzazione più preciso per l'amministrazione delle zone DNS.
L'associazione tra progetti offre quanto segue:
- Gli amministratori e gli utenti dei progetti di servizio possono creare e gestire le proprie zone DNS.
- Non è necessario creare una rete VPC segnaposto.
- Gli amministratori del progetto host non devono gestire il progetto di servizio.
- I ruoli IAM continuano ad applicarsi a livello di progetto.
- Tutte le zone DNS sono associate direttamente alla rete VPC condivisa.
- La risoluzione DNS "any-to-any" è facilmente disponibile. Qualsiasi VM nella rete VPC condivisa può risolvere le zone associate.
- Non esiste un limite di hop transitivi. Per la gestione, puoi utilizzare una struttura con hub e spoke.
Per istruzioni su come creare una zona con l'associazione tra progetti abilitata, vedi Crea una zona di associazione tra progetti.
Zone Cloud DNS di zona
Cloud DNS di zona ti consente di creare zone DNS private con ambito limitato a una zona Cloud de Confiance . Le zone Cloud DNS di zona vengono create per GKE quando scegli un ambito cluster.
Il servizio Cloud DNS predefinito è globale e i nomi DNS sono visibili a livello globale all'interno della rete VPC. Questa configurazione espone il tuo servizio a interruzioni globali. Cloud DNS di zona è un nuovo servizio Cloud DNS privato che esiste all'interno di ogni zona Cloud de Confiance . Il dominio in errore è contenuto all'interno di quella zona Cloud de Confiance . Le zone private Cloud DNS di zona non sono interessate quando si verificano interruzioni globali. Eventuali interruzioni di Cloud de Confiance a livello di zona interessano solo quella zona Cloud de Confiance specifica e le zone Cloud DNS all'interno di quella zona Cloud de Confiance . Tieni presente che qualsiasi risorsa creata in un servizio di zona è visibile solo in quella zona Cloud de Confiance.
Per scoprire come configurare una zona con ambito cluster Cloud DNS di zona, consulta Configura una zona con ambito cluster GKE di zona.
Supporto di Cloud DNS di zona
La tabella seguente elenca le risorse e le funzionalità di Cloud DNS supportate dai servizi Cloud DNS di zona.
| Risorsa o funzionalità | Disponibile su Cloud DNS globale | Disponibile su Cloud DNS di zona |
|---|---|---|
| Zone private gestite (ambito di rete o VPC) | ||
| Zone private gestite (ambito GKE) | ||
| Zone di forwarding1 | ||
| Zone di peering | ||
| Zone di ricerca inversa gestite | ||
| Creazione, modifica o gestione di record2 | ||
| Zone Service Directory | ||
| Policy | ||
| Policy di risposta (ambito di rete) | ||
| Policy di risposta (ambito cluster GKE) | ||
| Regole della policy di risposta |
1 Cloud DNS di zona supporta solo le zone di forwarding con un cluster GKE come ambito.
2 Il controller GKE sovrascrive eventuali modifiche ai record al riavvio.
Fatturazione delle zone Cloud DNS di zona
La fatturazione delle zone Cloud DNS e delle policy di risposta di zona funziona allo stesso modo delle controparti globali.
Passaggi successivi
- Per lavorare con le zone gestite, vedi Crea, modifica ed elimina zone.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta la pagina Panoramica di Cloud DNS.