Vista geral das zonas DNS

O Cloud DNS suporta diferentes tipos de zonas privadas. Este documento fornece detalhes sobre os diferentes tipos de zonas e quando pode usar um ou outro.

Zonas de encaminhamento

As zonas de encaminhamento do Cloud DNS permitem-lhe configurar servidores de nomes de destino para zonas privadas específicas. A utilização de uma zona de encaminhamento é uma forma de implementar o encaminhamento de DNS de saída a partir da sua rede de VPC.

Uma zona de encaminhamento do Cloud DNS é um tipo especial de zona privada do Cloud DNS. Em vez de criar registos na zona, especifica um conjunto de destinos de encaminhamento. Cada destino de encaminhamento é um nome de domínio totalmente qualificado (FQDN) ou um endereço IP de um servidor DNS, localizado na sua rede VPC ou numa rede no local ligada à sua rede VPC através do Cloud VPN ou do Cloud Interconnect.

Destinos de encaminhamento e métodos de encaminhamento

O Cloud DNS suporta quatro tipos de destinos e oferece métodos de encaminhamento padrão ou privados para a conetividade.

Alvo de encaminhamento Descrição Suporte de encaminhamento padrão O encaminhamento privado suporta Origem dos pedidos
Tipo 1 Um endereço IP interno de uma Trusted Cloud VM ou um Network Load Balancer de encaminhamento interno na mesma rede VPC que está autorizado a usar a zona de encaminhamento. Apenas endereços IP RFC 1918: o tráfego é sempre encaminhado através de uma rede VPC autorizada. Qualquer endereço IP interno, como um endereço privado RFC 1918, um endereço IP privado não RFC 1918 ou um endereço IP externo reutilizado de forma privada, exceto um endereço IP de destino de encaminhamento proibido —tráfego sempre encaminhado através de uma rede VPC autorizada. 177.222.82.0/25
Tipo 2 Um endereço IP de um sistema no local, ligado à rede VPC autorizada a consultar a zona de encaminhamento, através do Cloud VPN ou do Cloud Interconnect. Apenas endereços IP RFC 1918: o tráfego é sempre encaminhado através de uma rede VPC autorizada. Qualquer endereço IP interno, como um endereço privado RFC 1918, um endereço IP privado não RFC 1918 ou um endereço IP externo reutilizado de forma privada, exceto um endereço IP de destino de encaminhamento proibido — tráfego sempre encaminhado através de uma rede VPC autorizada. 177.222.82.0/25
Tipo 4 Um nome de domínio totalmente qualificado de um servidor de nomes de destino que pode ser resolvido para endereços IPv4 e IPv6 através da ordem de resolução da rede VPC. Consoante a rede do destino de encaminhamento resolvido, o tráfego é encaminhado de uma das seguintes formas:
  • Endereços IP RFC 1918: o tráfego é sempre encaminhado através de uma rede VPC autorizada.
  • Endereços IP externos encaminháveis pela Internet: tráfego sempre encaminhado para a Internet ou para o endereço IP externo de um Trusted Cloud recurso.

Consoante a rede do destino de encaminhamento resolvido, o tráfego é encaminhado através de qualquer endereço IP interno, como um endereço privado RFC 1918, um endereço IP privado não RFC 1918 ou um endereço IP externo reutilizado de forma privada, exceto um endereço IP de destino de encaminhamento proibido. O tráfego é sempre encaminhado através de uma rede VPC autorizada.

Se o servidor de nomes DNS tiver sido resolvido para um endereço IP externo acessível à Internet ou ao endereço IP externo, o encaminhamento privado não é suportado.

Pode escolher um dos dois seguintes métodos de encaminhamento quando adiciona o destino de encaminhamento à zona de encaminhamento:

  • Encaminhamento padrão: encaminha o tráfego através de uma rede VPC autorizada ou através da Internet com base no facto de o destino de encaminhamento ser um endereço IP RFC 1918. Se o destino de encaminhamento for um endereço IP RFC 1918, o Cloud DNS classifica o destino como um destino de tipo 1 ou tipo 2 e encaminha os pedidos através de uma rede VPC autorizada. Se o destino não for um endereço IP RFC 1918, o Cloud DNS classifica o destino como Tipo 3 e espera que o destino seja acessível através da Internet.

  • Encaminhamento privado: encaminha sempre o tráfego através de uma rede VPC autorizada, independentemente do endereço IP do destino (RFC 1918 ou não). Consequentemente, apenas são suportados alvos do tipo 1 e do tipo 2.

Se usar um FQDN para o destino de encaminhamento, o método de encaminhamento tem de corresponder ao tipo de rede. Quando o servidor de nomes do seu domínio é resolvido para um endereço IP público, tem de usar o encaminhamento padrão.

Para aceder a um destino de encaminhamento do Tipo 1 ou do Tipo 2, o Cloud DNS usa rotas na rede VPC autorizada onde o cliente DNS está localizado. Estas rotas definem um caminho seguro para o destino de encaminhamento:

Para orientações adicionais acerca dos requisitos de rede para alvos do tipo 1 e do tipo 2, consulte os requisitos de rede de encaminhamento de alvos.

Para aceder a um destino de encaminhamento do tipo 4, o Cloud DNS resolve primeiro o nome do domínio e, em seguida, usa o método de encaminhamento da rede de origem. Por exemplo, se subdomain.example.com for resolvido para um endereço IP de um sistema no local que esteja ligado à rede VPC autorizada a consultar a zona de encaminhamento através da Cloud VPN, usa as mesmas regras de encaminhamento que um destino de encaminhamento do tipo 2.

Quando usar um FQDN como destino de encaminhamento, só pode usar um. O destino de encaminhamento pode ser resolvido para até 50 endereços IP.

Endereços IP de destino de encaminhamento proibidos

Não pode usar os seguintes endereços IP para destinos de encaminhamento do Cloud DNS:

  • 169.254.0.0/16
  • 192.0.0.0/24
  • 192.0.2.0/24
  • 192.88.99.0/24
  • 198.51.100.0/24
  • 203.0.113.0/24
  • 224.0.0.0/4
  • 240.0.0.0/4
  • ::1/128
  • ::/128
  • 2001:db8::/32
  • fe80::/10
  • fec0::/10
  • ff00::/8

Ordem de seleção do destino de encaminhamento

O Cloud DNS permite-lhe configurar uma lista de destinos de encaminhamento para uma zona de encaminhamento.

Quando configura dois ou mais destinos de encaminhamento, o Cloud DNS usa um algoritmo interno para selecionar um destino de encaminhamento. Este algoritmo classifica cada destino de encaminhamento.

Quando usa um FQDN como destino de encaminhamento, o Cloud DNS resolve o nome do domínio num conjunto de até 50 endereços IP e, em seguida, aplica o mesmo algoritmo a esses endereços IP.

Para processar um pedido, o Cloud DNS tenta primeiro uma consulta DNS contactando o destino de encaminhamento com a classificação mais elevada. Se esse servidor não responder, o Cloud DNS repete o pedido para o destino de encaminhamento com a classificação mais elevada seguinte. Se nenhum destino de encaminhamento responder, o Cloud DNS sintetiza uma resposta SERVFAIL.

O algoritmo de classificação é automático e os seguintes fatores aumentam a classificação de um destino de encaminhamento:

  • Quanto maior for o número de respostas de DNS bem-sucedidas processadas pelo destino de encaminhamento. As respostas DNS com êxito incluem respostas NXDOMAIN.
  • Quanto menor for a latência (tempo de resposta) para comunicar com o destino de encaminhamento.

Use zonas de encaminhamento

As VMs numa rede VPC podem usar uma zona de encaminhamento do Cloud DNS nos seguintes casos:

  • A rede VPC foi autorizada a usar a zona de encaminhamento do Cloud DNS. Para usar a zona de encaminhamento, pode autorizar várias redes VPC no mesmo projeto ou em vários projetos, desde que as redes VPC estejam na mesma organização.

  • O sistema operativo convidado de cada VM na rede VPC usa o servidor de metadados da VM 169.254.169.254 como o respetivo servidor de nomes.

Se usar um FQDN como servidor de nomes de destino, reveja os seguintes itens:

  • Só pode ter um único destino de encaminhamento.
  • A resolução de destino FQDN através de outra zona de encaminhamento não é suportada.
  • Não pode usar um FQDN como um servidor de nomes alternativo em políticas de servidor.
  • Um destino FQDN pode ser resolvido para até 50 endereços IP associados. Todos os endereços resolvidos com mais de 50 caracteres são truncados.

Zonas de encaminhamento sobrepostas

Uma vez que as zonas de encaminhamento do Cloud DNS são um tipo de zona privada gerida do Cloud DNS, pode criar várias zonas que se sobreponham. As VMs configuradas conforme descrito anteriormente resolvem um registo de acordo com a ordem de resolução de nomes, usando a zona com o sufixo mais longo. Para mais informações, consulte o artigo Zonas sobrepostas.

Zonas de encaminhamento e colocação em cache

O Cloud DNS armazena em cache as respostas para consultas enviadas para zonas de encaminhamento do Cloud DNS. O Cloud DNS mantém uma cache de respostas de destinos de encaminhamento acessíveis para o período mais curto dos seguintes intervalos de tempo:

  • 60 segundos
  • A duração do tempo de vida (TTL) do registo

Quando todos os destinos de encaminhamento de uma zona de encaminhamento ficam inacessíveis, o Cloud DNS mantém a respetiva cache dos registos pedidos anteriormente nessa zona durante o TTL de cada registo.

Quando usar a interligação

O Cloud DNS não pode usar o encaminhamento transitivo para se ligar a um destino de encaminhamento. Para ilustrar uma configuração inválida, considere o seguinte cenário:

  • Usou o Cloud VPN ou o Cloud Interconnect para ligar uma rede no local a uma rede VPC denominada vpc-net-a.

  • Usou o intercâmbio da rede da VPC para ligar a rede da VPC vpc-net-a a vpc-net-b. Configurou vpc-net-a para exportar rotas personalizadas e vpc-net-b para as importar.

  • Criou uma zona de encaminhamento cujos destinos de encaminhamento estão localizados na rede no local à qual o vpc-net-a está ligado. Autorizou vpc-net-b a usar essa zona de encaminhamento.

A resolução de um registo numa zona publicada pelos destinos de encaminhamento falha neste cenário, mesmo que exista conetividade de vpc-net-b para a sua rede no local. Para demonstrar esta falha, faça os seguintes testes a partir de uma VM em vpc-net-b:

  • Consultar o servidor de metadados da VM 169.254.169.254 para um registo definido na zona de encaminhamento. Esta consulta falha (como esperado) porque o Cloud DNS não suporta o encaminhamento transitivo para destinos de encaminhamento. Para usar uma zona de encaminhamento, uma VM tem de ser configurada para usar o respetivo servidor de metadados.

  • Consultar o destino de encaminhamento diretamente para esse mesmo registo. Embora o Cloud DNS não use este caminho, esta consulta demonstra que a conetividade transitiva é bem-sucedida.

Pode usar uma zona de peering do Cloud DNS para corrigir este cenário inválido:

  1. Crie uma zona de peering do Cloud DNS autorizada para vpc-net-b que tem como destino vpc-net-a.
  2. Crie uma zona de encaminhamento autorizada para vpc-net-a cujos destinos de encaminhamento sejam servidores de nomes no local.

Pode realizar estes passos por qualquer ordem. Depois de concluir estes passos, as instâncias do Compute Engine em vpc-net-a e vpc-net-b podem consultar os destinos de encaminhamento no local.

Para ver informações sobre como criar zonas de encaminhamento, consulte o artigo Crie uma zona de encaminhamento.

Zonas de intercâmbio

Uma zona de intercâmbio é uma zona privada do Cloud DNS que lhe permite enviar pedidos de DNS entre zonas do Cloud DNS em diferentes redes da VPC. Por exemplo, um fornecedor de software como serviço (SaaS) pode dar aos clientes acesso aos respetivos registos de DNS geridos no Cloud DNS.

Para fornecer o peering de DNS, tem de criar uma zona de peering privado do Cloud DNS e configurá-la para realizar pesquisas de DNS numa rede VPC onde os registos do espaço de nomes dessa zona estão disponíveis. A rede VPC onde a zona de peering de DNS realiza procuras é denominada rede de produtor de DNS.

A zona de peering só é visível para redes VPC que são selecionadas durante a configuração da zona. A rede VPC autorizada a usar a zona de peering é denominada rede de consumidor de DNS.

Depois de Trusted Cloud os recursos na rede de consumidor de DNS serem autorizados, podem realizar pesquisas de registos no espaço de nomes da zona de peering como se estivessem na rede de produtor de DNS. As pesquisas de registos no espaço de nomes da zona de peering seguem a ordem de resolução de nomes da rede do produtor de DNS.

Por conseguinte,os recursos na rede de consumo do DNS podem procurar registos no espaço de nomes da zona nas seguintes origens disponíveis na rede de produção do DNS: Trusted Cloud

  • Zonas privadas geridas do Cloud DNS autorizadas para utilização pela rede do produtor de DNS.
  • Zonas de encaminhamento geridas do Cloud DNS autorizadas para utilização pela rede do produtor de DNS.
  • Nomes DNS internos do Compute Engine na rede do produtor de DNS.
  • Um servidor de nomes alternativo, se tiver sido configurada uma política de servidor de saída na rede do produtor de DNS.

Com o peering de DNS, pode ter uma rede (rede de consumidor de DNS) que encaminha pedidos de DNS para outra rede (rede de produtor de DNS), que, em seguida, realiza procuras de DNS.

Limitações e pontos principais da interligação de DNS

Tenha em atenção o seguinte ao configurar a interligação de DNS:

  • A interligação de DNS é uma relação unidirecional. Permite que os recursos Trusted Cloud na rede de consumidor de DNS procurem registos no espaço de nomes da zona de peering como se os recursos Trusted Cloud estivessem na rede de produtor de DNS.
  • As redes de produtores e consumidores de DNS têm de ser redes VPC.
  • Embora as redes de produtores e consumidores de DNS façam normalmente parte da mesma organização, o peering de DNS entre organizações também é suportado.
  • O intercâmbio de DNS e o intercâmbio da rede da VPC são serviços diferentes. O intercâmbio da rede da VPC não partilha automaticamente informações de DNS. O intercâmbio de DNS pode ser usado com o intercâmbio das redes da VPC, mas o intercâmbio das redes da VPC não é necessário para o intercâmbio de DNS.
  • O intercâmbio de DNS transitivo é suportado, mas apenas através de um único salto transitivo. Por outras palavras, não podem estar envolvidas mais de três redes VPC (sendo a rede no meio o salto transitivo). Por exemplo, pode criar uma zona de intercâmbio em vpc-net-a que segmente vpc-net-b e, em seguida, criar uma zona de intercâmbio em vpc-net-b que segmente vpc-net-c.
  • Se estiver a usar o peering de DNS para segmentar uma zona de encaminhamento enquanto o encaminhamento dinâmico global está desativado na rede VPC do produtor, a rede VPC de destino com a zona de encaminhamento tem de conter uma VM, um anexo de VLAN ou um túnel de VPN na nuvem localizado na mesma região que a VM de origem que usa a zona de peering de DNS. Para ver detalhes sobre esta limitação, consulte o artigo O encaminhamento de consultas de VMs numa rede VPC de consumidor para uma rede VPC de produtor não está a funcionar.

Para obter instruções sobre como criar uma zona de peering, consulte o artigo Crie uma zona de peering.

Zonas sobrepostas

Duas zonas sobrepõem-se entre si quando o nome de domínio de origem de uma zona é idêntico ou é um subdomínio da origem da outra zona. Por exemplo:

  • Uma zona para gcp.example.com e outra zona para gcp.example.com sobrepõem-se porque os nomes de domínio são idênticos.
  • Uma zona para dev.gcp.example.com e uma zona para gcp.example.com sobrepõem-se porque dev.gcp.example.com é um subdomínio de gcp.example.com.

Regras para zonas sobrepostas

O Cloud DNS aplica as seguintes regras para zonas sobrepostas:

  • As zonas privadas com âmbito para diferentes redes VPC podem sobrepor-se entre si. Por exemplo, duas redes de VPC podem ter cada uma uma VM de base de dados com o nome database.gcp.example.com numa zona gcp.example.com. As consultas para database.gcp.example.com recebem respostas diferentes de acordo com os registos de zonas definidos na zona autorizada para cada rede de VPC.

  • Duas zonas privadas que foram autorizadas a serem acessíveis a partir da mesma rede VPC não podem ter origens idênticas, a menos que uma zona seja um subdomínio da outra. O servidor de metadados usa a correspondência de sufixo mais longo para determinar que origem consultar para registos numa determinada zona.

  • Exemplos de resolução de consultas

    Trusted Cloud resolve as zonas do Cloud DNS, conforme descrito em Ordem de resolução de nomes. Ao determinar a zona a consultar para um determinado registo, o Cloud DNS tenta encontrar uma zona que corresponda o máximo possível ao registo pedido (correspondência de sufixo mais longo).

    A menos que tenha especificado um servidor de nomes alternativo numa política de servidor de saída, Trusted Cloud o primeiro passo é tentar encontrar um registo numa zona privada (ou numa zona de encaminhamento ou numa zona de intercâmbio) autorizada para a sua rede VPC.

    Vinculação entre projetos

    A associação entre projetos permite-lhe manter a propriedade do espaço de nomes de DNS do projeto de serviço independente da propriedade do espaço de nomes de DNS de toda a rede VPC.

    Uma configuração típica de VPC partilhada tem projetos de serviço que assumem a propriedade de uma aplicação ou de serviços de máquina virtual (VM), enquanto o projeto anfitrião assume a propriedade da rede VPC e da infraestrutura de rede. Muitas vezes, é criado um espaço de nomes DNS a partir do espaço de nomes da rede VPC para corresponder aos recursos do projeto de serviço. Para esta configuração, pode ser mais fácil delegar a administração do espaço de nomes DNS de cada projeto de serviço aos administradores de cada projeto de serviço (que são frequentemente departamentos ou empresas diferentes). A associação entre projetos permite-lhe separar a propriedade do espaço de nomes DNS do projeto de serviço da propriedade do espaço de nomes DNS de toda a rede VPC.

    A figura seguinte mostra uma configuração típica de VPC partilhada com interligação de DNS.

    Uma configuração de VPC partilhada com intercâmbio de DNS.
    Uma configuração de VPC partilhada com intercâmbio de DNS (clique para aumentar)

    A figura seguinte mostra uma configuração que usa a vinculação entre projetos. O Cloud DNS permite que cada projeto de serviço crie e seja proprietário das respetivas zonas de DNS, mas continua a estar associado à rede partilhada que o projeto anfitrião detém. Isto permite uma melhor autonomia e um limite de autorização mais preciso para a administração da zona DNS.

    Uma configuração com associação entre projetos.
    Uma configuração com associação entre projetos (clique para aumentar)

    A associação entre projetos oferece o seguinte:

    • Os administradores e os utilizadores do projeto de serviço podem criar e gerir as suas próprias zonas de DNS.
    • Não precisa de criar uma rede VPC de marcador de posição.
    • Os administradores do projeto anfitrião não têm de gerir o projeto de serviço.
    • As funções do IAM continuam a aplicar-se ao nível do projeto.
    • Todas as zonas DNS estão diretamente associadas à rede da VPC partilhada.
    • A resolução de DNS de qualquer para qualquer está prontamente disponível. Qualquer VM na rede VPC partilhada pode resolver zonas associadas.
    • Não existe um limite de saltos transitivos. Pode fazer a gestão num design de hub e spoke.

    Para obter instruções sobre como criar uma zona com a associação entre projetos ativada, consulte o artigo Crie uma zona de associação entre projetos.

    Zonas do Cloud DNS zonais

    O Cloud DNS zonal permite-lhe criar zonas DNS privadas com âmbito apenas numa Trusted Cloud zona. As zonas do Cloud DNS zonais são criadas para o GKE quando escolhe um âmbito do cluster.

    O serviço Cloud DNS predefinido é de natureza global e os nomes DNS são visíveis globalmente na sua rede VPC. Esta configuração expõe o seu serviço a indisponibilidades globais. O Cloud DNS zonal é um novo serviço de Cloud DNS privado que existe em cada Trusted Cloud zona. O domínio de falhas está contido nessa Trusted Cloud zona. As zonas privadas do Cloud DNS zonais não são afetadas quando ocorrem interrupções globais. As interrupções Trusted Cloud zonais afetam apenas essa zona Trusted Cloud específica e as zonas do Cloud DNS nessa Trusted Cloud zona. Tenha em atenção que qualquer recurso criado num serviço zonal só é visível para essa zona. Trusted Cloud

    Para saber como configurar uma zona de âmbito do cluster do Cloud DNS zonal, consulte o artigo Configurar uma zona de âmbito do cluster do GKE zonal.

    Suporte do Cloud DNS zonal

    A tabela seguinte indica os recursos e as funcionalidades do Cloud DNS que são suportados pelos serviços zonais do Cloud DNS.

    Recurso ou funcionalidade Disponível no DNS na nuvem global Disponível no Cloud DNS zonal
    Zonas privadas geridas (com âmbito de rede ou VPC)
    Zonas privadas geridas (com âmbito do GKE)
    Zonas de encaminhamento1
    Zonas de intercâmbio
    Zonas reverse lookup geridas
    Crie alterações ou faça a gestão de registos2
    Zonas do diretório de serviços
    Políticas
    Políticas de resposta (com âmbito de rede)
    Políticas de resposta (com âmbito do cluster do GKE)
    Regras da política de respostas

    1 O Cloud DNS zonal suporta apenas zonas de encaminhamento com âmbito num cluster do GKE.

    2O controlador do GKE substitui quaisquer alterações aos registos quando é reiniciado.

    Faturação de zonas do Cloud DNS zonais

    A faturação das zonas do Cloud DNS zonais e das políticas de resposta funciona da mesma forma que as respetivas equivalentes globais.

    O que se segue?