Một số hoặc tất cả thông tin trên trang này có thể không áp dụng cho Trusted Cloud của S3NS.

Trang này được dịch bởi Cloud Translation API.

Tổng quan về vùng DNS

Cloud DNS hỗ trợ nhiều loại vùng riêng tư. Tài liệu này cung cấp thông tin chi tiết về các loại vùng và thời điểm bạn có thể sử dụng một trong hai loại này.

Vùng chuyển tiếp

Vùng chuyển tiếp Cloud DNS cho phép bạn định cấu hình máy chủ định danh mục tiêu cho các vùng riêng tư cụ thể. Sử dụng vùng chuyển tiếp là một cách để triển khai tính năng chuyển tiếp DNS đi từ mạng VPC.

Vùng chuyển tiếp Cloud DNS là một loại vùng riêng tư đặc biệt của Cloud DNS. Thay vì tạo bản ghi trong vùng, bạn chỉ định một nhóm mục tiêu chuyển tiếp. Mỗi mục tiêu chuyển tiếp là một tên miền đủ điều kiện (FQDN) hoặc địa chỉ IP của một máy chủ DNS, nằm trong mạng VPC của bạn hoặc trong một mạng cục bộ được kết nối với mạng VPC của bạn bằng Cloud VPN hoặc Cloud Interconnect.

Mục tiêu chuyển tiếp và phương thức định tuyến

Cloud DNS hỗ trợ 4 loại mục tiêu và cung cấp các phương thức định tuyến tiêu chuẩn hoặc riêng tư để kết nối.

Mục tiêu chuyển tiếp Mô tả Hỗ trợ định tuyến tiêu chuẩn Hỗ trợ định tuyến riêng tư Nguồn yêu cầu

Loại 1 Địa chỉ IP nội bộ của máy ảo Trusted Cloud hoặc Trình cân bằng tải mạng chuyển tiếp nội bộ trong cùng một mạng VPC được uỷ quyền sử dụng vùng chuyển tiếp. Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền. Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP đích chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền. 177.222.82.0/25

Loại 2 Địa chỉ IP của một hệ thống tại chỗ, được kết nối với mạng VPC được uỷ quyền để truy vấn vùng chuyển tiếp, bằng cách sử dụng Cloud VPN hoặc Cloud Interconnect. Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền. Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP đích chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền. 177.222.82.0/25

Loại 4

Mục tiêu chuyển tiếp	Mô tả	Hỗ trợ định tuyến tiêu chuẩn	Hỗ trợ định tuyến riêng tư	Nguồn yêu cầu
Loại 1	Địa chỉ IP nội bộ của máy ảo Trusted Cloud hoặc Trình cân bằng tải mạng chuyển tiếp nội bộ trong cùng một mạng VPC được uỷ quyền sử dụng vùng chuyển tiếp.	Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền.	Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP đích chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền.	`177.222.82.0/25`
Loại 2	Địa chỉ IP của một hệ thống tại chỗ, được kết nối với mạng VPC được uỷ quyền để truy vấn vùng chuyển tiếp, bằng cách sử dụng Cloud VPN hoặc Cloud Interconnect.	Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền.	Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP đích chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền.	`177.222.82.0/25`
Loại 4	Tên miền đủ điều kiện của một máy chủ tên mục tiêu phân giải thành địa chỉ IPv4 hoặc IPv6 thông qua thứ tự phân giải mạng VPC.	Tuỳ thuộc vào mạng của mục tiêu chuyển tiếp đã phân giải, lưu lượng truy cập sẽ được định tuyến theo một trong hai cách: Địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến thông qua một mạng VPC được uỷ quyền. Địa chỉ IP bên ngoài có thể định tuyến Internet – lưu lượng truy cập luôn được định tuyến đến Internet hoặc đến địa chỉ IP bên ngoài của một tài nguyên Trusted Cloud .	Tuỳ thuộc vào mạng của mục tiêu chuyển tiếp đã phân giải, lưu lượng truy cập sẽ được định tuyến thông qua bất kỳ địa chỉ IP nội bộ nào, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP mục tiêu chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến thông qua mạng VPC được uỷ quyền. Nếu máy chủ tên DNS phân giải thành một địa chỉ IP bên ngoài mà Internet hoặc địa chỉ IP bên ngoài có thể truy cập, thì tính năng định tuyến riêng tư sẽ không được hỗ trợ.	177.222.82.0/25 Dải nguồn DNS công khai của Google

Tên miền đủ điều kiện của một máy chủ tên mục tiêu phân giải thành địa chỉ IPv4 hoặc IPv6 thông qua thứ tự phân giải mạng VPC.

Tuỳ thuộc vào mạng của mục tiêu chuyển tiếp đã phân giải, lưu lượng truy cập sẽ được định tuyến theo một trong hai cách:

Địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến thông qua một mạng VPC được uỷ quyền.
Địa chỉ IP bên ngoài có thể định tuyến Internet – lưu lượng truy cập luôn được định tuyến đến Internet hoặc đến địa chỉ IP bên ngoài của một tài nguyên Trusted Cloud .

Tuỳ thuộc vào mạng của mục tiêu chuyển tiếp đã phân giải, lưu lượng truy cập sẽ được định tuyến thông qua bất kỳ địa chỉ IP nội bộ nào, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP mục tiêu chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến thông qua mạng VPC được uỷ quyền.

Nếu máy chủ tên DNS phân giải thành một địa chỉ IP bên ngoài mà Internet hoặc địa chỉ IP bên ngoài có thể truy cập, thì tính năng định tuyến riêng tư sẽ không được hỗ trợ.

177.222.82.0/25
Dải nguồn DNS công khai của Google

Bạn có thể chọn một trong hai phương thức định tuyến sau khi thêm mục tiêu chuyển tiếp vào vùng chuyển tiếp:

Định tuyến chuẩn: Định tuyến lưu lượng truy cập thông qua mạng VPC được uỷ quyền hoặc qua Internet dựa trên việc mục tiêu chuyển tiếp có phải là địa chỉ IP RFC 1918 hay không. Nếu mục tiêu chuyển tiếp là địa chỉ IP RFC 1918, thì Cloud DNS sẽ phân loại mục tiêu đó là mục tiêu Loại 1 hoặc Loại 2 và định tuyến các yêu cầu thông qua mạng VPC được uỷ quyền. Nếu mục tiêu không phải là địa chỉ IP RFC 1918, thì Cloud DNS sẽ phân loại mục tiêu đó là Loại 3 và dự kiến mục tiêu đó có thể truy cập Internet.
Định tuyến riêng tư: Luôn định tuyến lưu lượng truy cập thông qua một mạng VPC được uỷ quyền, bất kể địa chỉ IP của đích đến (có tuân theo RFC 1918 hay không). Do đó, chỉ hỗ trợ các mục tiêu Loại 1 và Loại 2.

Nếu bạn sử dụng FQDN cho mục tiêu chuyển tiếp, thì phương thức định tuyến phải khớp với loại mạng của bạn. Khi máy chủ tên miền phân giải thành một địa chỉ IP công khai, bạn phải sử dụng tính năng định tuyến tiêu chuẩn.

Để truy cập vào mục tiêu chuyển tiếp Loại 1 hoặc Loại 2, Cloud DNS sử dụng các tuyến trong mạng VPC được uỷ quyền nơi ứng dụng DNS nằm. Các tuyến này xác định một đường dẫn an toàn đến mục tiêu chuyển tiếp:

Để gửi lưu lượng truy cập đến các mục tiêu Loại 1, Cloud DNS sử dụng các tuyến mạng con được tạo tự động. Để trả lời, mục tiêu Loại 1 sử dụng lộ trình định tuyến đặc biệt cho các phản hồi của Cloud DNS.
Để gửi lưu lượng truy cập đến các mục tiêu Loại 2, Cloud DNS có thể sử dụng các tuyến động tuỳ chỉnh hoặc các tuyến tĩnh tuỳ chỉnh, ngoại trừ các tuyến tĩnh tuỳ chỉnh có thẻ mạng. Để trả lời, các mục tiêu chuyển tiếp Loại 2 sử dụng các tuyến trong mạng cục bộ của bạn.

Để biết thêm hướng dẫn về các yêu cầu về mạng đối với mục tiêu Loại 1 và Loại 2, hãy xem các yêu cầu về mạng của mục tiêu chuyển tiếp.

Để truy cập vào mục tiêu chuyển tiếp Loại 4, trước tiên, Cloud DNS sẽ phân giải tên miền, sau đó sử dụng phương thức định tuyến của mạng nguồn. Ví dụ: nếu subdomain.example.com phân giải thành địa chỉ IP của một hệ thống tại chỗ được kết nối với mạng VPC được uỷ quyền để truy vấn vùng chuyển tiếp thông qua Cloud VPN, thì hệ thống đó sẽ sử dụng các quy tắc định tuyến giống như mục tiêu chuyển tiếp Loại 2.

Khi sử dụng FQDN làm mục tiêu chuyển tiếp, bạn chỉ có thể sử dụng một FQDN. Mục tiêu chuyển tiếp có thể phân giải đến tối đa 50 địa chỉ IP.

Địa chỉ IP đích chuyển tiếp bị cấm

Bạn không thể sử dụng các địa chỉ IP sau đây cho mục tiêu chuyển tiếp của Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Chuyển tiếp thứ tự lựa chọn mục tiêu

Cloud DNS cho phép bạn định cấu hình danh sách các mục tiêu chuyển tiếp cho một vùng chuyển tiếp.

Khi bạn định cấu hình hai hoặc nhiều mục tiêu chuyển tiếp, Cloud DNS sẽ sử dụng một thuật toán nội bộ để chọn một mục tiêu chuyển tiếp. Thuật toán này xếp hạng từng mục tiêu chuyển tiếp.

Khi bạn sử dụng FQDN làm mục tiêu chuyển tiếp, Cloud DNS sẽ phân giải tên miền thành một tập hợp gồm tối đa 50 địa chỉ IP, sau đó áp dụng cùng một thuật toán cho các địa chỉ IP đó.

Để xử lý một yêu cầu, trước tiên, Cloud DNS sẽ thử một truy vấn DNS bằng cách liên hệ với mục tiêu chuyển tiếp có thứ hạng cao nhất. Nếu máy chủ đó không phản hồi, Cloud DNS sẽ lặp lại yêu cầu đến mục tiêu chuyển tiếp có thứ hạng cao nhất tiếp theo. Nếu không có mục tiêu chuyển tiếp nào phản hồi, Cloud DNS sẽ tổng hợp phản hồi SERVFAIL.

Thuật toán xếp hạng là tự động và các yếu tố sau đây sẽ làm tăng thứ hạng của mục tiêu chuyển tiếp:

Số lượng phản hồi DNS thành công do mục tiêu chuyển tiếp xử lý càng cao. Phản hồi DNS thành công bao gồm cả phản hồi NXDOMAIN.
Độ trễ càng thấp (thời gian đi và về) để giao tiếp với mục tiêu chuyển tiếp.

Sử dụng vùng chuyển tiếp

Máy ảo trong mạng VPC có thể sử dụng vùng chuyển tiếp DNS trên đám mây trong các trường hợp sau:

Mạng VPC đã được uỷ quyền sử dụng vùng chuyển tiếp DNS trên đám mây. Để sử dụng vùng chuyển tiếp, bạn có thể uỷ quyền cho nhiều mạng VPC trong cùng một dự án hoặc trên các dự án, miễn là các mạng VPC đó nằm trong cùng một tổ chức.
Hệ điều hành khách của mỗi máy ảo trong mạng VPC sử dụng máy chủ siêu dữ liệu 169.254.169.254 của máy ảo làm máy chủ tên.

Nếu bạn sử dụng FQDN làm máy chủ định danh mục tiêu, hãy xem xét các mục sau:

Bạn chỉ có thể có một mục tiêu chuyển tiếp.
Không hỗ trợ việc phân giải mục tiêu FQDN thông qua một vùng chuyển tiếp khác.
Bạn không thể sử dụng FQDN làm máy chủ định danh thay thế trong chính sách máy chủ.
Một mục tiêu FQDN có thể phân giải thành tối đa 50 địa chỉ IP được liên kết. Mọi địa chỉ đã phân giải trên 50 sẽ bị cắt bớt.

Các vùng chuyển tiếp trùng lặp

Vì các vùng chuyển tiếp của Cloud DNS là một loại vùng riêng do Cloud DNS quản lý, nên bạn có thể tạo nhiều vùng trùng lặp. Các máy ảo được định cấu hình như mô tả trước đó sẽ phân giải một bản ghi theo thứ tự phân giải tên, sử dụng vùng có hậu tố dài nhất. Để biết thêm thông tin, hãy xem phần Các vùng chồng chéo.

Khu vực lưu vào bộ nhớ đệm và chuyển tiếp

Cloud DNS lưu các phản hồi vào bộ nhớ đệm cho các truy vấn được gửi đến các vùng chuyển tiếp của Cloud DNS. Cloud DNS duy trì bộ nhớ đệm của các phản hồi từ các đích chuyển tiếp có thể truy cập trong khoảng thời gian ngắn hơn trong số các khoảng thời gian sau:

60 giây
Thời lượng tồn tại (TTL) của bản ghi

Khi tất cả mục tiêu chuyển tiếp cho một vùng chuyển tiếp không thể truy cập được, DNS trên đám mây sẽ duy trì bộ nhớ đệm của các bản ghi đã yêu cầu trước đó trong vùng đó trong khoảng thời gian TTL của mỗi bản ghi.

Trường hợp nên sử dụng tính năng liên kết ngang

Cloud DNS không thể sử dụng tính năng định tuyến bắc cầu để kết nối với mục tiêu chuyển tiếp. Để minh hoạ một cấu hình không hợp lệ, hãy cân nhắc trường hợp sau:

Bạn đã sử dụng Cloud VPN hoặc Cloud Interconnect để kết nối mạng cục bộ với một mạng VPC có tên là vpc-net-a.
Bạn đã sử dụng tính năng Kết nối ngang hàng mạng VPC để kết nối mạng VPC vpc-net-a với vpc-net-b. Bạn đã định cấu hình vpc-net-a để xuất các tuyến tuỳ chỉnh và vpc-net-b để nhập các tuyến đó.
Bạn đã tạo một vùng chuyển tiếp có các mục tiêu chuyển tiếp nằm trong mạng cục bộ mà vpc-net-a được kết nối. Bạn đã uỷ quyền cho vpc-net-b sử dụng vùng chuyển tiếp đó.

Quá trình phân giải bản ghi trong một vùng do các mục tiêu chuyển tiếp phân phát sẽ không thành công trong trường hợp này, mặc dù có kết nối từ vpc-net-b đến mạng cục bộ của bạn. Để minh hoạ lỗi này, hãy thực hiện các kiểm thử sau từ một máy ảo trong vpc-net-b:

Truy vấn máy chủ siêu dữ liệu của máy ảo 169.254.169.254 để biết bản ghi được xác định trong vùng chuyển tiếp. Truy vấn này không thành công (như dự kiến) vì Cloud DNS không hỗ trợ định tuyến bắc cầu đến các mục tiêu chuyển tiếp. Để sử dụng vùng chuyển tiếp, bạn phải định cấu hình máy ảo để sử dụng máy chủ siêu dữ liệu của máy ảo đó.
Truy vấn trực tiếp mục tiêu chuyển tiếp cho chính bản ghi đó. Mặc dù Cloud DNS không sử dụng đường dẫn này, nhưng truy vấn này cho thấy rằng khả năng kết nối bắc cầu đã thành công.

Bạn có thể sử dụng vùng liên kết của Cloud DNS để khắc phục tình huống không hợp lệ này:

Tạo một vùng liên kết Cloud DNS được uỷ quyền cho vpc-net-b nhằm nhắm đến vpc-net-a.
Tạo một vùng chuyển tiếp được uỷ quyền cho vpc-net-a có mục tiêu chuyển tiếp là máy chủ tên cục bộ.

Bạn có thể thực hiện các bước này theo thứ tự bất kỳ. Sau khi hoàn tất các bước này, các phiên bản Compute Engine trong cả vpc-net-a và vpc-net-b đều có thể truy vấn các mục tiêu chuyển tiếp tại chỗ.

Để biết thông tin về cách tạo vùng chuyển tiếp, hãy xem bài viết Tạo vùng chuyển tiếp.

Khu vực kết nối ngang hàng

Vùng kết nối ngang hàng là một vùng riêng tư của Cloud DNS cho phép bạn gửi yêu cầu DNS giữa các vùng Cloud DNS trong các mạng VPC khác nhau. Ví dụ: nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS) có thể cấp cho khách hàng quyền truy cập vào các bản ghi DNS được quản lý của họ trong Cloud DNS.

Để cung cấp tính năng liên kết DNS, bạn phải tạo một vùng liên kết riêng của Cloud DNS và định cấu hình vùng đó để thực hiện tra cứu DNS trong mạng VPC có sẵn các bản ghi cho không gian tên của vùng đó. Mạng VPC nơi vùng liên kết DNS thực hiện tra cứu được gọi là mạng nhà sản xuất DNS.

Vùng liên kết chỉ hiển thị cho các mạng VPC được chọn trong quá trình định cấu hình vùng. Mạng VPC được uỷ quyền sử dụng vùng liên kết được gọi là mạng người dùng DNS.

Sau khi các tài nguyên Trusted Cloud trong mạng người dùng DNS được uỷ quyền, các tài nguyên này có thể thực hiện tra cứu các bản ghi trong không gian tên của vùng ngang hàng như thể các tài nguyên đó nằm trong mạng nhà sản xuất DNS. Các lượt tra cứu bản ghi trong không gian tên của vùng ngang hàng tuân theo thứ tự phân giải tên của mạng nhà sản xuất DNS.

Do đó,tài nguyên Trusted Cloud trong mạng người dùng DNS có thể tra cứu các bản ghi trong không gian tên của vùng từ các nguồn sau đây có trong mạng nhà sản xuất DNS:

Các vùng riêng tư do Cloud DNS quản lý được mạng nhà sản xuất DNS uỷ quyền sử dụng.
Các vùng chuyển tiếp do Cloud DNS quản lý được mạng nhà sản xuất DNS uỷ quyền sử dụng.
Tên DNS nội bộ của Compute Engine trong mạng nhà sản xuất DNS.
Một máy chủ định danh thay thế, nếu bạn đã định cấu hình chính sách máy chủ gửi đi trong mạng của nhà sản xuất DNS.

Với tính năng liên kết DNS, bạn có thể thiết lập một mạng (mạng người dùng DNS) chuyển tiếp các yêu cầu DNS đến một mạng khác (mạng nhà cung cấp DNS), sau đó mạng này sẽ thực hiện tra cứu DNS.

Các điểm chính và giới hạn về liên kết ngang DNS

Hãy lưu ý những điều sau khi định cấu hình tính năng liên kết DNS:

Kết nối ngang hàng DNS là mối quan hệ một chiều. Cấu hình này cho phép tài nguyên Trusted Cloud trong mạng người dùng DNS tra cứu các bản ghi trong không gian tên của vùng ngang hàng như thể tài nguyên Trusted Cloud nằm trong mạng nhà sản xuất DNS.
Mạng của nhà sản xuất và người dùng DNS phải là mạng VPC.
Mặc dù mạng của nhà sản xuất và người dùng DNS thường thuộc cùng một tổ chức, nhưng tính năng liên kết DNS giữa các tổ chức cũng được hỗ trợ.
Kết nối ngang hàng DNS và Kết nối ngang hàng mạng VPC là hai dịch vụ khác nhau. Tính năng Kết nối ngang hàng mạng VPC không tự động chia sẻ thông tin DNS. Bạn có thể sử dụng tính năng Kết nối ngang hàng DNS với tính năng Kết nối ngang hàng mạng VPC, nhưng không bắt buộc phải sử dụng tính năng Kết nối ngang hàng mạng VPC để kết nối ngang hàng DNS.
Hệ thống hỗ trợ kết nối ngang hàng DNS bắc cầu, nhưng chỉ thông qua một bước bắc cầu. Nói cách khác, không được có nhiều hơn 3 mạng VPC (với mạng ở giữa là bước chuyển đổi bắc cầu). Ví dụ: bạn có thể tạo một vùng peering trong vpc-net-a nhắm đến vpc-net-b, sau đó tạo một vùng peering trong vpc-net-b nhắm đến vpc-net-c.
Nếu bạn đang sử dụng tính năng liên kết DNS để nhắm đến một vùng chuyển tiếp trong khi tính năng định tuyến động toàn cầu bị tắt trên mạng VPC của nhà sản xuất, thì mạng VPC đích có vùng chuyển tiếp phải chứa một máy ảo, một tệp đính kèm VLAN hoặc một đường hầm Cloud VPN nằm trong cùng khu vực với máy ảo nguồn sử dụng vùng liên kết DNS. Để biết thông tin chi tiết về giới hạn này, hãy xem phần Chuyển tiếp truy vấn từ máy ảo trong mạng VPC của người dùng đến mạng VPC của nhà sản xuất không hoạt động.

Để biết hướng dẫn về cách tạo vùng peering, hãy xem bài viết Tạo vùng peering.

Vùng trùng lặp

Hai vùng chéo nhau khi tên miền gốc của một vùng giống hệt hoặc là miền con của tên miền gốc của vùng kia. Ví dụ:

Một vùng cho gcp.example.com và một vùng khác cho gcp.example.com trùng lặp vì tên miền giống hệt nhau.
Vùng cho dev.gcp.example.com và vùng cho gcp.example.com trùng lặp vì dev.gcp.example.com là miền con của gcp.example.com.

Quy tắc đối với các vùng trùng lặp

Cloud DNS thực thi các quy tắc sau đây đối với các vùng trùng lặp:

Các vùng riêng tư trong phạm vi của các mạng VPC khác nhau có thể chồng chéo với nhau. Ví dụ: mỗi mạng VPC có thể có một máy ảo cơ sở dữ liệu có tên database.gcp.example.com trong một vùng gcp.example.com. Các truy vấn cho database.gcp.example.com sẽ nhận được các câu trả lời khác nhau theo bản ghi vùng được xác định trong vùng được uỷ quyền cho từng mạng VPC.

Hai vùng riêng tư được uỷ quyền để truy cập từ cùng một mạng VPC không được có nguồn gốc giống nhau, trừ phi một vùng là miền con của vùng còn lại. Máy chủ siêu dữ liệu sử dụng kiểu so khớp hậu tố dài nhất để xác định nguồn gốc cần truy vấn cho các bản ghi trong một vùng nhất định.

Ví dụ về cách phân giải truy vấn

Trusted Cloud phân giải các vùng Cloud DNS như mô tả trong phần Thứ tự phân giải tên. Khi xác định vùng để truy vấn cho một bản ghi nhất định, Cloud DNS sẽ cố gắng tìm một vùng khớp với nhiều bản ghi được yêu cầu nhất có thể (khớp hậu tố dài nhất).

Trừ phi bạn đã chỉ định một máy chủ tên thay thế trong chính sách máy chủ gửi, Trusted Cloud trước tiên sẽ tìm một bản ghi trong vùng riêng tư (hoặc vùng chuyển tiếp hoặc vùng liên kết) được uỷ quyền cho mạng VPC của bạn.

Liên kết nhiều dự án

Tính năng liên kết giữa các dự án cho phép bạn giữ quyền sở hữu không gian tên DNS của dự án dịch vụ độc lập với quyền sở hữu không gian tên DNS của toàn bộ mạng VPC.

Cấu hình VPC dùng chung thông thường có các dự án dịch vụ sở hữu ứng dụng hoặc dịch vụ máy ảo (VM), trong khi dự án lưu trữ sở hữu mạng VPC và cơ sở hạ tầng mạng. Thông thường, một không gian tên DNS được tạo từ không gian tên của mạng VPC để khớp với tài nguyên của dự án dịch vụ. Đối với cách thiết lập như vậy, bạn có thể dễ dàng uỷ quyền việc quản trị không gian tên DNS của từng dự án dịch vụ cho quản trị viên của từng dự án dịch vụ (thường là các bộ phận hoặc doanh nghiệp khác nhau). Tính năng liên kết giữa các dự án cho phép bạn tách quyền sở hữu không gian tên DNS của dự án dịch vụ với quyền sở hữu không gian tên DNS của toàn bộ mạng VPC.

Hình sau đây cho thấy một chế độ thiết lập VPC dùng chung thông thường với tính năng liên kết DNS.

Cấu hình VPC dùng chung có tính năng kết nối ngang hàng DNS. — Cấu hình VPC dùng chung có tính năng liên kết DNS (nhấp để phóng to)

Hình sau đây cho thấy cách thiết lập bằng tính năng liên kết giữa các dự án. Cloud DNS cho phép mỗi dự án dịch vụ tạo và sở hữu các vùng DNS của riêng dự án, nhưng vẫn liên kết với mạng dùng chung mà dự án lưu trữ sở hữu. Điều này giúp tăng tính tự chủ và xác định ranh giới quyền chính xác hơn cho việc quản trị vùng DNS.

Cấu hình thiết lập có liên kết giữa các dự án. — Cấu hình thiết lập có liên kết nhiều dự án (nhấp để phóng to)

Liên kết nhiều dự án cung cấp những lợi ích sau:

Người dùng và quản trị viên dự án dịch vụ có thể tạo và quản lý các vùng DNS của riêng họ.
Bạn không cần tạo mạng VPC giữ chỗ.
Quản trị viên dự án lưu trữ không phải quản lý dự án dịch vụ.
Các vai trò IAM vẫn áp dụng ở cấp dự án.
Tất cả các vùng DNS đều được liên kết trực tiếp với mạng VPC dùng chung.
Bạn có thể sử dụng tính năng phân giải DNS bất kỳ đến bất kỳ. Mọi máy ảo trong mạng VPC dùng chung đều có thể phân giải các vùng được liên kết.
Không có giới hạn về số bước chuyển đổi bắc cầu. Bạn có thể quản lý thiết kế này theo kiểu hình tròn và nan hoa.

Để biết hướng dẫn về cách tạo một vùng có bật tính năng liên kết giữa các dự án, hãy xem phần Tạo vùng liên kết giữa các dự án.

Vùng Cloud DNS theo khu vực

Cloud DNS theo vùng cho phép bạn tạo các vùng DNS riêng tư chỉ thuộc phạm vi của một vùng Trusted Cloud . Các vùng DNS trên đám mây sẽ được tạo cho GKE khi bạn chọn một phạm vi cụm.

Dịch vụ Cloud DNS mặc định có bản chất toàn cầu và tên DNS sẽ xuất hiện trên toàn cầu trong mạng VPC của bạn. Cấu hình này khiến dịch vụ của bạn bị gián đoạn trên toàn cầu. Cloud DNS theo vùng là một dịch vụ Cloud DNS riêng tư mới tồn tại trong mỗi Trusted Cloud vùng. Miền gặp sự cố nằm trong vùng Trusted Cloud đó. Các vùng riêng tư của Cloud DNS theo khu vực sẽ không bị ảnh hưởng khi xảy ra sự cố toàn cầu. Mọi sự cố ngừng hoạt động theo Trusted Cloud khu vực chỉ ảnh hưởng đến Trusted Cloud khu vực cụ thể đó và các khu vực Cloud DNS trong Trusted Cloud khu vực đó. Xin lưu ý rằng mọi tài nguyên được tạo trong dịch vụ theo vùng chỉ hiển thị với vùng Trusted Cloudđó.

Để tìm hiểu cách định cấu hình vùng theo phạm vi cụm Cloud DNS theo vùng, hãy xem nội dung Định cấu hình vùng theo phạm vi cụm GKE theo vùng.

Hỗ trợ Cloud DNS theo vùng

Bảng sau đây liệt kê các tài nguyên và tính năng của Cloud DNS được các dịch vụ Cloud DNS theo vùng hỗ trợ.

Tài nguyên hoặc tính năng	Có trên Cloud DNS toàn cầu	Có trên Cloud DNS theo vùng
Vùng riêng được quản lý (trong phạm vi mạng hoặc VPC)
Vùng riêng được quản lý (trong phạm vi GKE)
Vùng chuyển tiếp¹
Khu vực kết nối ngang hàng
Vùng tra cứu ngược được quản lý
Tạo thay đổi hoặc quản lý bản ghi²
Khu vực Danh bạ dịch vụ
Chính sách
Chính sách phản hồi (trong phạm vi mạng)
Chính sách phản hồi (trong phạm vi cụm GKE)
Quy tắc chính sách về phản hồi

¹Cloud DNS theo vùng chỉ hỗ trợ các vùng chuyển tiếp trong phạm vi của một cụm GKE.

²Trình điều khiển GKE sẽ ghi đè mọi thay đổi đối với các bản ghi khi khởi động lại.

Thanh toán cho các vùng Cloud DNS theo khu vực

Cách tính phí cho các chính sách phản hồi và vùng Cloud DNS theo khu vực cũng giống như các chính sách tương ứng trên toàn cầu.

Bước tiếp theo

Để làm việc với các vùng được quản lý, hãy xem phần Tạo, sửa đổi và xoá vùng.
Để tìm giải pháp cho các vấn đề thường gặp mà bạn có thể gặp phải khi sử dụng Cloud DNS, hãy xem phần Khắc phục sự cố.
Để biết thông tin tổng quan về Cloud DNS, hãy xem bài viết Tổng quan về Cloud DNS.