此概览页面介绍了如何在 Google Distributed Cloud (GDC) 空气隔离环境中通过 Cloud DNS 管理 DNS 记录。Cloud DNS 提供了一种高度可靠且可伸缩的 DNS 记录管理方式。了解 Cloud DNS 在 GDC 中的运作方式,包括公开 DNS 区域和专用 DNS 区域之间的区别。
本页面的目标受众是负责组织的网络管理和 DNS 管理的平台管理员和应用运维人员。本页面假定您对基本的网络和 DNS 概念有基本的了解。
Cloud DNS 在经过网闸隔离的 GDC 中的工作方式
GDC 空气隔离 Cloud DNS 提供高度可靠且可伸缩的解决方案,可轻松管理 DNS 记录。Cloud DNS 提供强大的安全性,包括在单个或多个区域中提供 DNSSEC 和 DoT/DoH 等功能:
- DNSSEC(域名系统安全扩展):向 DNS 记录添加加密签名,以验证其真实性并防止在传输过程中遭到篡改,确保记录来自权威服务器。
- DoT (DNS over TLS):使用 TLS 加密 DNS 查询和响应,确保 DNS 客户端与解析器之间的通信安全。
- DoH (DNS-over-HTTPS):将 DNS 查询和响应封装在标准 HTTPS 流量中,从而有效地将 DNS 活动伪装成常规网络流量。
Cloud DNS for GDC air-gapped 的优势
Cloud DNS 可为您带来以下优势:
- 简单易用:使用基于 Kubernetes 的 API 执行 DNS 管理。
- 安全性:通过 DNSSEC 和 DoT/DoH 等功能,在单个或多个可用区内实现强大的安全性。
- 经济高效:配置灵活的随用随付价格模式,并享受分级折扣。
Cloud DNS 的区域类型
DNS 区域是您负责的 DNS 命名空间的特定部分。GDC 提供两种类型的托管 DNS 地区:
- 公共 DNS 区域:这些区域可在您网络中的任何位置查看和访问。公共区域用于您希望 GDC 外部的用户能够访问的服务。
- 专用 DNS 区域:这些区域只能从 GDC 中的默认客户 Virtual Private Cloud (VPC) 内访问。专用地区非常适合不得向外部网络公开的内部服务和应用。
在区域内创建 DNS 记录
您可以在 DNS 区域内创建 DNS 记录。每条记录都会将域名或子网域与特定值(例如 IP 地址、其他域名或文本信息)相关联。不同类型的 DNS 记录有不同的用途,例如引导流量、定义邮件服务器和验证所有权。您可以配置以下记录类型:
- 地址 (A) 记录:将域名映射到一个或多个 IPv4 地址。此记录是将网域指向服务器的最基本记录类型。
- 规范名称 (CNAME) 记录:用于将一个域名别名化为另一个规范(权威)域名。此记录类型有助于重定向流量或简化 DNS 管理。
- 文本 (TXT) 记录:可让您将任意文本与域名相关联。这些记录通常用于验证目的,或用于存储信息,例如用于电子邮件身份验证的发件人政策框架 (SPF) 记录。
- 指针 (PTR) 记录:将 IP 地址映射回域名,也称为反向 DNS 查找。此记录通常用于电子邮件服务器声誉和日志分析。
- 邮件交换 (MX) 记录:用于指定负责接收网域电子邮件的邮件服务器。这对于设置电子邮件服务至关重要。
GDC 中的 ResourceRecordSet API 可让您在 DNS 区域内创建和管理 DNS 记录。借助此 API,您可以指定一组具有相同名称、类型和 TTL(存留时间)的相同 DNS 记录的详细信息。
使用 Kubernetes API 进行 DNS 操作
您可以使用 GDC 中的 Kubernetes API 来创建 DNS 区域和 DNS 记录。此 API 可让您定义 DNS 区域的状态,包括其名称、说明和可见性。该 API 提供以下功能:
- DNS 区域创建和管理:定义和配置 DNS 区域,例如域名、说明、公开或不公开的可见性。
- 列出区域:列出所有受管理的 DNS 区域。
- 分布式部署和复制:跨 GDC 气隙区域复制 DNS 区域,以实现高可用性和全球分布。
- 状态监控:跟踪整个可用区的健康状况、部署进度和各个副本的状态。
如需查看 GDC 中 DNS 区域的完整参考文档,请参阅 ManagedDNSZone。