この概要ページでは、Google Distributed Cloud(GDC)エアギャップで Cloud DNS を使用して DNS レコードを管理する方法について説明します。Cloud DNS は、DNS レコードを管理するための信頼性と拡張性に優れた方法を提供します。一般公開 DNS ゾーンと限定公開 DNS ゾーンの違いなど、GDC での Cloud DNS の仕組みについて学習します。
このページは、ネットワーク管理と組織の DNS 管理を担当するプラットフォーム管理者とアプリケーション オペレーターを対象としています。このページでは、ネットワーキングと DNS の基本的なコンセプトを理解していることを前提としています。
GDC エアギャップでの Cloud DNS の仕組み
GDC エアギャップ Cloud DNS は、DNS レコードを簡単に管理するための信頼性とスケーラビリティの高いソリューションを提供します。Cloud DNS は、単一または複数のゾーンにわたる DNSSEC や DoT/DoH などの機能を含む、堅牢なセキュリティを提供します。
- DNSSEC(DNS Security Extensions): DNS レコードに暗号署名を追加して、その信頼性を検証し、転送中の改ざんを防ぎ、レコードが権威サーバーから発信されたことを確認します。
- DoT(DNS over TLS): TLS を使用して DNS クエリとレスポンスを暗号化し、DNS クライアントとリゾルバ間の通信を保護します。
- DoH(DNS over HTTPS): DNS クエリとレスポンスを標準の HTTPS トラフィック内にカプセル化し、DNS アクティビティを通常のウェブ トラフィックとして効果的に偽装します。
エアギャップのある GDC 向け Cloud DNS のメリット
Cloud DNS には次のメリットがあります。
- シンプルさ: Kubernetes ベースの API を使用して DNS 管理を行います。
- セキュリティ: 単一または複数のゾーンで DNSSEC や DoT/DoH などの機能を使用して、堅牢なセキュリティを実現します。
- 費用対効果: 階層型割引のある柔軟な従量課金制料金モデルを構成します。
Cloud DNS のゾーンタイプ
DNS ゾーンは、ユーザーが管理する DNS 名前空間の特定の部分です。GDC には、次の 2 種類のマネージド DNS ゾーンがあります。
- 一般公開 DNS ゾーン: これらのゾーンは、ネットワーク内のどこからでも表示およびアクセスできます。パブリック ゾーンは、GDC の外部のユーザーがアクセスできるようにするサービスに使用されます。
- 限定公開 DNS ゾーン: これらのゾーンには、GDC のデフォルトの顧客 Virtual Private Cloud(VPC)内からのみアクセスできます。限定公開ゾーンは、外部ネットワークに公開してはならない内部サービスやアプリケーションに最適です。
ゾーン内に DNS レコードを作成する
DNS ゾーン内に DNS レコードを作成します。各レコードは、ドメイン名またはサブドメインを、IP アドレス、別のドメイン名、テキスト情報などの特定の値に関連付けます。DNS レコードにはさまざまな種類があり、トラフィックの転送、メールサーバーの定義、所有権の確認など、それぞれ異なる目的で使用されます。次のレコードタイプを構成できます。
- アドレス(A)レコード: ドメイン名を 1 つ以上の IPv4 アドレスにマッピングします。このレコードは、ドメインをサーバーに関連付けるための最も基本的なレコード タイプです。
- 正規名(CNAME)レコード: あるドメイン名のエイリアスを別の正規(権威)ドメイン名に作成します。このレコード タイプは、トラフィックのリダイレクトや DNS 管理の簡素化に役立ちます。
- テキスト(TXT)レコード: 任意のテキストをドメイン名に関連付けることができます。これらのレコードは、検証目的や、メール認証用の Sender Policy Framework(SPF)レコードなどの情報を保存するために使用されることがよくあります。
- ポインタ(PTR)レコード: IP アドレスをドメイン名にマッピングします。逆引き DNS ルックアップとも呼ばれます。このレコードは、メールサーバーの評判とロギング分析によく使用されます。
- MX(Mail Exchanger)レコード: ドメインのメールを受信するメールサーバーを指定します。これは、メールサービスの設定に不可欠です。
GDC の ResourceRecordSet API を使用すると、DNS ゾーン内で DNS レコードを作成して管理できます。この API を使用すると、同じ名前、タイプ、TTL(Time-To-Live)を共有する同一の DNS レコードのセットの詳細を指定できます。
DNS オペレーションに Kubernetes API を使用する
GDC の Kubernetes API を使用して、DNS ゾーンと DNS レコードを作成できます。この API を使用すると、DNS ゾーンの状態(名前、説明、公開設定など)を定義できます。この API は次の機能を提供します。
- DNS ゾーンの作成と管理: ドメイン名、説明、公開または非公開の可視性などの DNS ゾーンを定義して構成します。
- ゾーンのリスト: すべてのマネージド DNS ゾーンを一覧表示します。
- 分散型デプロイとレプリケーション: 高可用性とグローバル分散を実現するため、GDC のエアギャップ ゾーン間で DNS ゾーンを複製します。
- ステータスのモニタリング: ゾーン全体の健全性、デプロイの進行状況、個々のレプリカのステータスを追跡します。
GDC の DNS ゾーンのリファレンス ドキュメントについては、ManagedDNSZone をご覧ください。