本文提供私人區域、DNS 轉送和混合式 DNS 參考架構的最佳做法。
無論是人類還是應用程式,使用網域名稱系統 (DNS) 來尋找應用程式和服務都更容易,因為使用名稱比使用 IP 位址更容易記住,也更具彈性。在混合式環境中,內部資源的 DNS 記錄通常需要跨環境存取。傳統上,地端部署 DNS 記錄會透過權威 DNS 伺服器手動管理,例如 UNIX/Linux 環境中的 BIND,或是 Microsoft Windows 環境中的 Active Directory。
本文將說明在環境之間轉送私人 DNS 要求的最佳做法,確保服務可從內部部署環境和 Google Cloud內部解決。
一般原則
瞭解 Google Cloud上的 DNS 概念
在 Google Cloud上使用 DNS 時,請務必瞭解 Google Cloud 提供的 DNS 解析和網域名稱的不同系統和服務:
- 內部 DNS 是一種服務,可自動為 Compute Engine 中的虛擬機器和內部負載平衡器建立 DNS 名稱。
- Cloud DNS 是一項提供低延遲和高可用性 DNS 區域服務的服務。它可做為可公開顯示於網際網路的公開區域,或僅在您網路內顯示的私人區域的權威 DNS 伺服器。
- Managed Service for Microsoft Active Directory 是可用性高且強化的服務,可執行 Microsoft Active Directory,包括網域控制器。
- 公用 DNS 是 Google 服務,不屬於 Google Cloud ,可做為開放式遞迴 DNS 解析器。
- Cloud Domains 是網域註冊商,可用於在 Google Cloud中購買、轉移及管理網域。Cloud Domains 可讓您透過 API 與網域註冊系統互動。
找出利害關係人、工具和程序
在混合環境中擬定 DNS 策略時,請務必熟悉目前的架構,並與所有利害關係人聯絡。請執行下列步驟:
- 找出貴機構的企業 DNS 伺服器管理員,並與對方聯絡。請他們提供資訊,說明如何將內部部署設定對應至Google Cloud上的適當架構。如要瞭解存取Google Cloud DNS 記錄的方法,請參閱「使用條件式轉送功能,從內部部署環境存取 DNS 記錄」。
- 熟悉目前的 DNS 軟體,並找出貴機構內部私下使用的網域名稱。
- 找出網路團隊的聯絡人,確保 Cloud DNS 伺服器的流量能正確轉送。
- 熟悉混合式連線策略,以及混合式雲端和多雲端的模式與做法。
建立一致的命名標準
建立整個機構一致的命名標準。舉例來說,假設貴機構使用 example.com 做為次要網域名稱和公用資源的網域 (例如 www.example.com)。由於本文件的範圍是遷移私人區域,因此公用區域的代管位置與本文無關。
如要命名內部企業資源,您可以選擇下列模式:
您可以為內部部署的伺服器和Google Cloud使用不同的網域名稱。這個模式會為不同的環境使用個別的網域,例如
corp.example.com用於內部部署伺服器,gcp.example.com用於 Google Cloud上的所有資源。如果您使用其他公用雲端環境,每個環境都可以有個別的子網域。這是建議的模式,因為您可以在環境之間轉送要求。您也可以使用不同的網域名稱,例如
example.com和example.cloud。您可以將 Google Cloud 網域設為包含內部部署伺服器的網域的子網域。使用
example.com網域時,內部部署環境可以使用corp.example.com,而 Google Cloud 可以使用gcp.corp.example.com。當大多數資源仍留在內部時,這會是常見的模式。您可以將內部部署網域設為包含Google Cloud 記錄的網域的子網域。使用
example.com網域時, Google Cloud可以使用corp.example.com,而內部部署則可以使用dc.corp.example.com。這並非常見的模式,但可能會用於僅在內部有小型足跡的數位機構。您可以為 Google Cloud 和內部部署環境使用相同的網域。在這種情況下, Google Cloud 和內部部署環境都會使用
corp.example.com網域的資源。請避免採用這種模式,因為這會讓您在混合環境中管理記錄變得更加困難;只有在使用單一權威 DNS 系統時,這種模式才可行。
本頁面的其餘部分使用以下網域名稱:
example.com做為公開記錄的網域名稱,不論記錄代管位置為何。corp.example.com是內部部署 DNS 伺服器代管的區域。這個區域會代管您在內部部署的資源記錄。gcp.example.com做為代管 Google Cloud 資源記錄的 Cloud DNS 私人代管區域。
圖 1 說明瞭在內部網路和 Google Cloud中一致的網域名稱設定。
如要命名虛擬私有雲 (VPC) 網路中的資源,您可以遵循指南中的指引,例如虛擬私有雲設計的最佳做法與參考架構。
選擇 DNS 解析作業的執行位置
在混合環境中,DNS 解析可在不同位置執行。您可以執行以下操作:
- 使用混合方法搭配兩個權威 DNS 系統。
- 將 DNS 解析保留在內部。
- 將所有 DNS 解析作業移至 Cloud DNS。
我們建議您採用混合式方法,因此本文件將著重於說明這項方法。不過,為了完整性,本文件會簡要說明替代方法。
使用混合方法搭配兩個權威 DNS 系統
我們建議您使用混合方法搭配兩個權威 DNS 系統。在這種做法中:
- Cloud DNS 會為私人環境提供權威 DNS 解析。 Google Cloud
- 地端資源的權威 DNS 解析由地端現有 DNS 伺服器代管。
圖 2 顯示這項安排。
圖 2 所示的情況是較佳的使用情境。本頁後續會說明下列詳細資訊:
- 如何使用私人區域和 DNS 轉送功能,設定環境之間的轉送。
- 如何設定防火牆和路由。
- 說明如何使用一或多個虛擬私有雲網路的參考架構。
將 DNS 解析保留在內部
另一種方法是繼續使用現有的內部 DNS 伺服器,以權威方式代管所有內部網域名稱。在這種情況下,您可以使用替代名稱伺服器,透過傳出 DNS 轉送功能轉送來自Google Cloud 的所有要求。
這種做法有以下優點:
- 您在業務程序中做出的變更較少。
- 您可以繼續使用現有的工具。
- 您可以使用拒絕清單篩除內部 DNS 要求。
但這項方法有以下缺點:
- 來自 Google Cloud 的 DNS 要求延遲時間較長。
- 您的系統需要連線至內部部署環境,才能執行 DNS 作業。
- 您可能會發現,要整合具備高度彈性的環境 (例如自動調整的執行個體群組) 相當困難。
- 系統可能與 Dataproc 等產品不相容,因為這些產品會依賴執行個體名稱的反向解析。 Google Cloud
將所有 DNS 解析作業移至 Cloud DNS
另一種做法是將 Cloud DNS 設為所有網域解析作業的權威服務。接著,您可以使用私人區域和內送 DNS 轉送功能,將現有的內部名稱解析遷移至 Cloud DNS。
這種做法有以下優點:
- 您不需要在內部維持高可用性的 DNS 服務。
- 您的系統可以使用 Cloud DNS,充分運用集中式記錄和監控功能。
但這項方法有以下缺點:
- 內部部署 DNS 要求的延遲時間較長。
- 系統必須可靠地連線至虛擬私有雲網路,才能進行名稱解析。
Cloud DNS 私人區域的最佳做法
私人區域會託管 DNS 記錄,這些記錄僅供貴機構內部人員查看。本文不會介紹 Cloud DNS 的公開區域。公開區域涵蓋機構的公開記錄,例如公開網站的 DNS 記錄,在混合式設定中不太重要。
使用自動化功能管理共用 VPC 主機專案中的私人區域
如果您在機構內使用共用虛擬私有雲網路,則必須在主專案中託管 Cloud DNS 上的所有私人區域。所有服務專案都能自動存取附加至共用虛擬私有雲網路的不公開區域中的記錄。或者,您也可以使用跨專案繫結,在服務專案中設定區域。
圖 3 顯示私人區域如何在共用虛擬私有雲網路中代管。
如果您希望團隊自行設定 DNS 記錄,建議您自動化 DNS 記錄建立作業。舉例來說,您可以建立網頁應用程式或內部 API,讓使用者在特定子網域下設定自己的 DNS 記錄。應用程式會驗證記錄是否符合貴機構的規則。
或者,您也可以將 DNS 設定放入 Cloud Source Repositories 等程式碼存放區,並以 Terraform 或 Cloud Deployment Manager 描述項的形式接受團隊的提取要求。
無論是哪種情況,主機專案中具備 IAM DNS 管理員角色的服務帳戶,都能在變更獲得核准後自動部署變更。
根據最低權限原則設定 IAM 角色
請遵循最低權限的安全原則,只將變更 DNS 記錄的權限授予機構中需要執行此項工作的人員。請避免使用基本角色,因為這類角色可能會提供使用者不需要的資源存取權。Cloud DNS 提供角色和權限,可讓您授予 DNS 專屬的讀取和寫入存取權。
如果您需要將建立私人 DNS 區域的權限與建立公開區域的權限分開,請使用 dns.networks.bindPrivateDNSZone 權限。
DNS 轉送區域和伺服器政策的最佳做法
Cloud DNS 提供DNS 轉送區域和DNS 伺服器政策,可在內部部署和 Google Cloud 環境之間查詢 DNS 名稱。您可以透過多種方式設定 DNS 轉送。下一個章節將列出混合 DNS 設定的最佳做法。這些最佳做法已在混合式 DNS 適用的參考架構中說明。
使用轉送可用區查詢內部部署伺服器
為確保您可以在內部部署環境中查詢 DNS 記錄,請為您在內部部署環境中用於公司資源的網域 (例如 corp.example.com) 設定轉送區。建議您使用這種方法,而非使用啟用替代名稱伺服器的 DNS 政策。這麼做可保留對 Compute Engine 內部 DNS 名稱的存取權,且外部 IP 位址仍可解析,而不需要透過內部名稱伺服器額外跳轉。
混合式 DNS 適用的參考架構中顯示了使用這項設定的流量流程。
只有在需要在內部部署中監控或篩選所有 DNS 流量,且私人 DNS 記錄無法滿足需求時,才使用替代名稱伺服器。
使用 DNS 伺服器政策允許內部部署環境的查詢
如要讓內部部署主機查詢在 Cloud DNS 私人區域中代管的 DNS 記錄 (例如 gcp.example.com),請使用傳入 DNS 轉送功能建立 DNS 伺服器政策。傳入 DNS 轉送功能可讓系統查詢專案中的所有私人區域,以及內部 DNS IP 位址和對等區域。
混合式 DNS 適用的參考架構中顯示了使用這項設定的流量流程。
開啟 Google Cloud 和內部部署防火牆,允許 DNS 流量
請按照下列步驟確認,在 VPC 網路或內部部署環境中,DNS 流量不會遭到過濾:
確保內部部署防火牆可傳遞來自 Cloud DNS 的查詢。Cloud DNS 會從 IP 位址範圍
35.199.192.0/19傳送查詢。DNS 會根據要求或回應的大小,使用 UDP 通訊埠 53 或 TCP 通訊埠 53。確認 DNS 伺服器不會封鎖查詢。如果您的內部 DNS 伺服器只接受來自特定 IP 位址的要求,請確認已納入 IP 位址範圍
35.199.192.0/19。確保流量可從內部部署環境流向轉送 IP 位址。在 Cloud Router 執行個體中,為虛擬私人雲端網路中的 IP 位址範圍
35.199.192.0/19新增自訂宣傳路徑,以便將該範圍通報至內部部署環境。
使用條件式轉送功能,從內部部署環境存取 DNS 記錄
如要透過 Cloud DNS 存取在企業內部 DNS 伺服器上代管的私人記錄,您只能使用轉送區域。不過,視您使用的 DNS 伺服器軟體而定,您可能有多種方法可以從內部存取 Google Cloud 中的 DNS 記錄。在每個情況下,您都可以使用傳入 DNS 轉送功能存取記錄:
條件式轉送。使用條件式轉送功能,表示您的公司 DNS 伺服器會將特定區域或子網域的要求轉送至 Google Cloud上的轉送 IP 位址。我們建議採用這種做法,因為它最簡單,而且可讓您集中監控公司 DNS 伺服器上的所有 DNS 要求。
委派。如果您在 Google Cloud 上的私人區域是內部部署區域的子網域,您也可以在區域中設定 NS 項目,將這個子網域委派給Google Cloud 名稱伺服器。使用這項設定時,用戶端可以直接與Google Cloud 上的轉送 IP 位址通訊,因此請確認防火牆會傳送這些要求。
區域轉移。Cloud DNS 不支援區域轉移,因此您無法使用區域轉移功能,將 DNS 記錄與內部 DNS 伺服器同步。
使用 DNS 對等互連功能,避免從多個虛擬私有雲網路進行傳出轉送
請勿使用從多個 VPC 網路傳送至內部部署 DNS 伺服器的傳出轉送,因為這會導致傳回流量發生問題。 Google Cloud 只會接受從 DNS 伺服器傳送的回應,前提是這些回應已轉送至查詢來源的 VPC 網路。不過,來自任何虛擬私有雲網路的查詢都會使用相同的 IP 位址範圍 35.199.192.0/19 做為來源。因此,除非您在內部安裝不同的環境,否則無法正確轉送回覆。
建議您指定單一 VPC 網路,透過傳出轉送功能查詢內部部署名稱伺服器。接著,其他 VPC 網路可以透過 DNS 對等互連區域指定 VPC 網路,查詢內部部署名稱伺服器。系統會根據指定虛擬私有雲網路的名稱解析順序,將查詢轉送至內部部署名稱伺服器。這項設定如混合式 DNS 適用的參考架構所示。
瞭解 DNS 對等互連和虛擬私有雲網路對等互連的差異
虛擬私人雲端網路對等互連與 DNS 對等互連不同。虛擬私有雲網路對等互連可讓多個專案中的虛擬機器 (VM) 執行個體相互連線,但不會變更名稱解析。每個 VPC 網路中的資源仍會依照各自的解析順序。
相反地,您可以透過 DNS 對等互連功能,將特定區域的要求轉送至其他 VPC 網路。這樣一來,無論虛擬私有雲網路是否互相連結,您都能將要求轉送至不同的 Google Cloud 環境。
虛擬私有雲網路對等互連和 DNS 對等互連的設定方式也不同。如要進行 VPC 網路對等互連,兩個 VPC 網路都必須與其他 VPC 網路建立對等互連關係。之後,對等連線會自動變成雙向。
DNS 對等互連功能會單向轉送 DNS 要求,且不需要在 VPC 網路之間建立雙向關係。虛擬私人雲端網路 (稱為 DNS 消費者網路) 會針對另一個虛擬私人雲端網路 (稱為 DNS 供應商網路) 中的 Cloud DNS 對等互連區域執行查詢。在供應商網路專案中具有 IAM 權限 dns.networks.targetWithPeeringZone 的使用者,可以在消費者網路和供應商網路之間建立 DNS 對等互連。如要從消費者 VPC 網路設定 DNS 對等互連,您必須為供應商 VPC 網路的主機專案設定 DNS 對等互連角色。
如果您使用自動產生的名稱,請為內部區域使用 DNS 對等互連
如果您使用內部 DNS 服務建立的 VM 自動產生名稱,可以使用 DNS 對等連線將 projectname.internal 區域轉送至其他專案。如圖 5 所示,您可以將中心專案中的所有 .internal 區域分組,讓這些區域可透過內部網路存取。
.internal 區域整理至中樞。如果遇到問題,請按照疑難排解指南操作
Cloud DNS 疑難排解指南提供設定 Cloud DNS 時可能遇到的常見錯誤解決方法。
混合式 DNS 適用的參考架構
本節提供在混合式環境中使用 Cloud DNS 私人區域的常見情境參考架構。在每個情況中,內部部署資源和 Google Cloud 資源記錄和區域都會在環境中管理。所有記錄都可從內部部署和 Google Cloud 主機查詢。
請使用對應至 VPC 網路設計的參考架構:
使用單一共用虛擬私有雲網路的混合式架構:使用單一虛擬私有雲網路連線至或從內部部署環境連線。
使用多個獨立虛擬私人雲端網路的混合式架構:透過不同的 VPN 通道或 VLAN 連結,將多個虛擬私人雲端網路連線至內部部署環境,並在內部部署環境中共用相同的 DNS 基礎架構。
混合式架構,使用連線至輻輳虛擬私人雲端網路的樞紐虛擬私人雲端網路:使用 VPC 網路對等互連功能,讓樞紐虛擬私人雲端網路連線至多個獨立的輻輳虛擬私人雲端網路。
在每個情況中,內部部署環境都會透過一或多個 Cloud VPN 通道,或專屬互連網路或合作夥伴互連網路連線,連線至 Google CloudVPC 網路。每個虛擬私有雲網路使用的連線方式無關緊要。
使用單一共用虛擬私有雲網路的混合式架構
最常見的用途是將單一共用虛擬私有雲網路連線至內部部署環境,如圖 6 所示。
如何設定此架構:
- 將地端 DNS 伺服器設為
corp.example.com的權威伺服器。 - 在共用虛擬私人雲端網路的主專案中,在 Cloud DNS 上設定權威不公開區域 (例如
gcp.example.com),並設定該區域中資源的所有記錄。 - 在共用虛擬私人雲端網路的主機專案中設定 DNS 伺服器政策,以便允許傳入 DNS 轉送。
- 設定 DNS 轉送區域,將
corp.example.com轉送至內部部署 DNS 伺服器。共用虛擬私有雲網路必須獲得授權,才能查詢轉送區域。 - 在內部部署 DNS 伺服器上設定轉送至
gcp.example.com,並指向共用虛擬私人雲端網路中的傳入轉寄站 IP 位址。 - 確認內部部署防火牆允許 DNS 流量。
- 在 Cloud Router 執行個體中,為
35.199.192.0/19範圍新增自訂通告路徑至內部部署環境。
使用多個獨立虛擬私有雲網路的混合式架構
混合式架構的另一個選項是擁有多個獨立的 VPC 網路。Google Cloud 環境中的這些 VPC 網路並未透過 VPC 網路對等互連連線。所有虛擬私有雲網路都會使用個別的 Cloud VPN 通道或VLAN 連結連線至內部部署環境。
如圖 7 所示,這種架構的典型用途是當您有個別的實際工作環境和開發環境,且兩者不會彼此通訊,但共用 DNS 伺服器時。
如何設定此架構:
- 將地端 DNS 伺服器設為
corp.example.com的權威伺服器。 - 在實際工作環境共用虛擬私有雲網路的主專案中,在 Cloud DNS 上設定不公開區域 (例如
prod.gcp.example.com),並設定該區域中資源的所有記錄。 - 在開發共用虛擬私人雲端網路的主機專案中,在 Cloud DNS 上設定私人區域 (例如
dev.gcp.example.com),並設定該區域中資源的所有記錄。 - 在正式環境共用虛擬私有雲網路的主機專案上設定 DNS 伺服器政策,並允許傳入 DNS 轉送。
- 在實際工作環境的共用虛擬私有雲網路中,設定 DNS 區域,將
corp.example.com轉送至內部部署 DNS 伺服器。 - 將 DNS 對等互連區域從
prod.gcp.example.com的開發共用虛擬私有雲網路設定為實際用途共用虛擬私有雲網路。 - 將 DNS 對等互連區域從實際工作環境的共用虛擬私有雲網路,設為
dev.gcp.example.com的開發工作環境共用虛擬私有雲網路。 - 將
gcp.example.com.的解析權委派給內部部署名稱伺服器上的 Cloud DNS 傳入轉送虛擬 IP 位址,即可設定傳入轉送。 - 請確認防火牆允許在內部部署和Google Cloud 防火牆上允許 DNS 流量。
- 在 Cloud Router 執行個體中,為實際用途共用虛擬私人雲端網路中的 IP 位址範圍
35.199.192.0/19新增自訂宣傳路徑,以便將其傳送至內部部署環境。
混合式架構,使用中樞虛擬私有雲網路連結輻輳虛擬私有雲網路
另一個做法是使用 Cloud Interconnect 或 Cloud VPN,將內部部署基礎架構連線至中樞虛擬私有雲網路。如圖 8 所示,您可以使用 VPC 網路對等互連功能,將 VPC 網路與多個輻射狀 VPC 網路對等互連。每個輻射狀 VPC 網路都會在 Cloud DNS 上代管自己的私人區域。在 VPC 網路對等互連中使用自訂路徑,搭配 Cloud Router 的自訂路徑廣告,即可在內部部署網路和所有輻射狀 VPC 網路之間進行完整路徑交換和連線。DNS 對等互連會與 VPC 網路對等互連連線並行執行,以便在環境之間進行名稱解析。
下圖顯示這個架構。
如何設定此架構:
- 將地端 DNS 伺服器設為
corp.example.com的權威伺服器。 - 針對每個輻射狀 VPC 網路,在 Cloud DNS 中設定私人區域 (例如
projectX.gcp.example.com),並設定該區域中資源的所有記錄。 - 在主控台專案中設定用於實際用途的共用虛擬私有雲網路的 DNS 伺服器政策,以便傳入 DNS 轉送。
- 在樞紐 VPC 網路中,為
corp.example.com建立私人 DNS 區域,並設定傳出轉送至內部部署 DNS 伺服器的設定。 - 為
projectX.gcp.example.com設定從中樞虛擬私有雲網路到各個輻射狀虛擬私有雲網路的 DNS 對接區域。 - 為
example.com設定從每個輻射狀 VPC 網路到樞紐 VPC 網路的 DNS 對等互連區域。 - 在內部部署 DNS 伺服器上設定轉送至
gcp.example.com,以便指向中樞虛擬私有雲網路中的傳入轉寄站 IP 位址。 - 請確認防火牆允許在內部部署和Google Cloud 防火牆上允許 DNS 流量。
- 在 Cloud Router 執行個體中,針對樞紐虛擬私人雲端網路中的 IP 位址範圍
35.199.192.0/19,新增自訂宣傳路徑至內部部署環境。 - (選用) 如果您也使用自動產生的內部 DNS 名稱,請將每個輻射狀專案區域 (例如
spoke-project-x.internal) 與中心專案進行對等連線,並將所有.internal的查詢從內部轉送。
使用 Cloud DNS 設定多供應商公開 DNS
可靠的 DNS 是應用程式網路連線的重要基礎元素,可確保使用者能使用應用程式或服務。您可以設定多個 DNS 供應商,藉此提高應用程式和服務的可用性和彈性。設定多個 DNS 供應商後,即使其中一個 DNS 供應商發生服務中斷,使用者仍可使用您的應用程式或服務。您也可以使用多供應商 DNS 設定,簡化在內部部署環境和雲端環境中,具有內部部署環境和雲端環境依附元件的混合式應用程式部署和遷移作業。
Google Cloud 提供以 octoDNS 為基礎的開放原始碼解決方案,協助您設定及操作含有多個 DNS 供應商的環境。多供應商 DNS 解決方案會在雙主動 (建議) 或主動-被動設定中,將 Cloud DNS 做為其中一個 DNS 供應商,確保 DNS 架構具有高可用性。部署解決方案後,octoDNS 會在目前的 DNS 可用區與 Cloud DNS 中代管的 DNS 可用區之間,執行一次性和持續性同步作業。更新個別 DNS 記錄時,系統會將變更內容傳播至 Cloud DNS 中代管的對應 DNS 區域,而您不必對 CI/CD 管道進行任何變更。
- 如要在多供應商公開 DNS 設定中設定 Cloud DNS,請參閱 multi-provider-dns-with-clouddns。
後續步驟
- 如要找出使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱「疑難排解」。
- 如要瞭解如何實作使用 Google Cloud的混合式設定,請參閱混合式雲端和多雲端模式及實務做法解決方案指南。
- 如需更多參考架構、圖表和最佳做法,請瀏覽 雲端架構中心。