Este documento fornece a terminologia principal aplicável ao Cloud DNS. Revise esses termos para entender melhor como o Cloud DNS funciona e os conceitos em que se baseia.
A API do Cloud DNS é criada em torno de projetos , zonas gerenciadas , conjuntos de registros e alterações em conjuntos de registros.
- projeto
- UM Google Cloud O projeto console é um contêiner para recursos, um domínio para controle de acesso e o local onde o faturamento é configurado e agregado. Para mais detalhes, consulte Criação e gerenciamento de projetos .
- zona gerenciada
A zona gerenciada contém registros do Sistema de Nomes de Domínio (DNS) para o mesmo sufixo de nome DNS (como
example.com). Um projeto pode ter várias zonas gerenciadas, mas cada uma delas deve ter um nome exclusivo. No Cloud DNS, a zona gerenciada é o recurso que modela uma zona DNS .Todos os registros em uma zona gerenciada são hospedados nos mesmos servidores de nomes operados pelo Google. Esses servidores de nomes respondem às consultas DNS na sua zona gerenciada de acordo com a configuração da zona. Um projeto pode conter várias zonas gerenciadas. As cobranças são cobradas por zona a cada dia de existência da zona gerenciada. As zonas gerenciadas oferecem suporte a rótulos que você pode usar para organizar sua cobrança.
- zona pública
Uma zona pública é visível para a internet. O Cloud DNS possui servidores de nomes públicos autoritativos que respondem a consultas sobre zonas públicas, independentemente de onde as consultas se originam. Você pode criar registros DNS em uma zona pública para publicar seu serviço na internet. Por exemplo, você pode criar o seguinte registro em uma zona pública
example.compara o seu site públicowww.example.com.Nome DNS Tipo TTL (segundos) Dados www.exemplo.com UM 300 198.51.100.0 O Cloud DNS atribui um conjunto de servidores de nomes quando uma zona pública é criada. Para que os registros DNS em uma zona pública possam ser resolvidos pela internet, você precisa atualizar a configuração do servidor de nomes do seu registro de domínio com o seu registrador.
Para obter mais informações sobre como registrar e configurar seu domínio, consulte Configurar um domínio usando o Cloud DNS .
- zona privada
As zonas privadas permitem que você gerencie nomes de domínio personalizados para suas instâncias de máquina virtual (VM), balanceadores de carga e outros Google Cloud recursos sem expor os dados DNS subjacentes à internet pública. Uma zona privada é um contêiner de registros DNS que só pode ser consultado por uma ou mais redes de Nuvem Privada Virtual (VPC) que você autorizar.
Você deve especificar a lista de redes VPC autorizadas que podem consultar sua zona privada ao criá-la ou atualizá-la. Somente redes autorizadas têm permissão para consultar sua zona privada; se você não especificar nenhuma rede autorizada, não poderá consultar a zona privada.
Você pode usar zonas privadas com a VPC Compartilhada . Para obter informações importantes sobre o uso de zonas privadas com a VPC Compartilhada, consulte Considerações sobre a VPC Compartilhada .
Zonas privadas não oferecem suporte a extensões de segurança DNS (DNSSEC) ou conjuntos de registros de recursos personalizados do tipo NS. As solicitações de registros DNS em zonas privadas devem ser enviadas por meio do servidor de metadados
169.254.169.254, que é o servidor de nomes interno padrão para VMs criadas a partir de imagens fornecidas pelo Google .Você pode enviar consultas a este servidor de nomes de qualquer VM que utilize uma rede VPC autorizada. Por exemplo, você pode criar uma zona privada para
dev.gcp.example.compara hospedar registros DNS internos para aplicativos experimentais. A tabela a seguir mostra exemplos de registros nessa zona. Os clientes do banco de dados podem se conectar ao servidor de banco de dadosdb-01.dev.gcp.example.comusando seu nome DNS interno em vez de seu endereço IP. Os clientes do banco de dados resolvem esse nome DNS interno usando o resolvedor de host na VM, que envia a consulta DNS ao servidor de metadados169.254.169.254. O servidor de metadados atua como um resolvedor recursivo para consultar sua zona privada.Nome DNS Tipo TTL (segundos) Dados db-01.dev.gcp.example.comUM 5 10.128.1.35 instance-01.dev.gcp.example.comUM 50 10.128.1.10 Zonas privadas permitem que você crie configurações de DNS de horizonte dividido . Isso ocorre porque você pode criar uma zona privada com um conjunto diferente de registros, que substitui todo o conjunto de registros em uma zona pública. Você pode então controlar quais redes VPC consultam os registros na zona privada. Por exemplo, veja zonas sobrepostas .
- Diretório de serviços
O Service Directory é um registro de serviço gerenciado paraGoogle Cloud que permite registrar e descobrir serviços usando HTTP ou gRPC (usando sua API de pesquisa), além de usar DNS tradicional. Você pode usar o Diretório de Serviços para registrar ambosGoogle Cloud e não-Google Cloud serviços.
O Cloud DNS permite que você crie zonas baseadas no Diretório de Serviços, que são um tipo de zona privada que contém informações sobre seus serviços e endpoints. Você não adiciona conjuntos de registros à zona; em vez disso, eles são inferidos automaticamente com base na configuração do namespace do Diretório de Serviços associado à zona. Para obter mais informações sobre o Diretório de Serviços, consulte a Visão geral do Diretório de Serviços .
Ao criar uma zona com suporte do Service Directory , você não pode adicionar registros à zona diretamente; os dados vêm do registro de serviço do Service Directory.
- DNS em nuvem e pesquisa reversa para endereços não RFC 1918
Por padrão, o Cloud DNS encaminha solicitações de registros PTR de endereços não RFC 1918 pela internet pública. No entanto, o Cloud DNS também oferece suporte à consulta reversa de endereços não RFC 1918 usando zonas privadas.
Após configurar uma rede VPC para usar endereços não RFC 1918, você deve configurar uma zona privada do Cloud DNS como uma zona de pesquisa reversa gerenciada . Essa configuração permite que o Cloud DNS resolva endereços não RFC 1918 localmente, em vez de enviá-los pela internet.
Ao criar uma zona DNS de pesquisa reversa gerenciada, você não pode adicionar registros à zona diretamente; os dados vêm dos dados de endereço IP do Compute Engine.
O Cloud DNS também oferece suporte ao encaminhamento de saída para endereços não RFC 1918, roteando privadamente esses endereços dentro Google CloudPara habilitar esse tipo de encaminhamento de saída, você deve configurar uma zona de encaminhamento com argumentos de caminho de encaminhamento específicos. Para obter detalhes, consulte Destinos de encaminhamento e métodos de roteamento .
- zona de encaminhamento
Uma zona de encaminhamento é um tipo de zona privada gerenciada pelo Cloud DNS que encaminha solicitações para essa zona aos endereços IP de seus destinos de encaminhamento. Para obter mais informações, consulte Métodos de encaminhamento de DNS .
Ao criar uma zona de encaminhamento , você não pode adicionar registros diretamente a ela; os dados vêm de um ou mais servidores de nomes de destino ou resolvedores configurados.
- zona de peering
Uma zona de peering é um tipo de zona privada gerenciada pelo Cloud DNS que segue a ordem de resolução de nomes de outra rede VPC. Você pode usá-la para resolver os nomes definidos na outra rede VPC.
Ao criar uma zona de peering de DNS , você não pode adicionar registros à zona diretamente; os dados vêm da rede VPC produtora de acordo com sua ordem de resolução de nomes .
- política de resposta
Uma política de resposta é um conceito de zona privada do Cloud DNS que contém regras em vez de registros. Essas regras podem ser usadas para obter efeitos semelhantes ao conceito de rascunho da Zona de Política de Resposta (RPZ) de DNS ( IETF ). O recurso de política de resposta permite que você introduza regras personalizadas em servidores DNS da sua rede que o resolvedor de DNS consulta durante as pesquisas. Se uma regra na política de resposta afetar a consulta recebida, ela será processada. Caso contrário, a pesquisa prosseguirá normalmente. Para obter mais informações, consulte Gerenciando políticas e regras de resposta .
Uma política de resposta é diferente de uma RPZ, que é uma zona DNS normal com dados formatados especialmente, o que faz com que resolvedores compatíveis executem ações específicas. Políticas de resposta não são zonas DNS e são gerenciadas separadamente na API.
- operações de zona
Quaisquer alterações feitas em zonas gerenciadas no Cloud DNS são registradas na coleção de operações , que lista as atualizações da zona gerenciada (modificando descrições ou o estado ou a configuração do DNSSEC). As alterações em conjuntos de registros dentro de uma zona são armazenadas separadamente em conjuntos de registros de recursos, descritos posteriormente neste documento.
- Nome de Domínio Internacionalizado (IDN)
Um Nome de Domínio Internacionalizado (IDN) é um nome de domínio da internet que permite que pessoas do mundo todo usem um alfabeto ou script específico de um idioma, como árabe, chinês, cirílico, devanágari, hebraico ou caracteres especiais baseados no alfabeto latino em nomes de domínio. Essa conversão é implementada usando Punycode , que é uma representação de caracteres Unicode que usam ASCII. Por exemplo, uma representação IDN de
.ελé.xn--qxam. Alguns navegadores, clientes de e-mail e aplicativos podem reconhecê-lo e processá-lo como.ελpara você. O padrão de Internacionalização de Nomes de Domínio em Aplicativos (IDNA) permite apenas strings Unicode curtas o suficiente para serem representadas como um rótulo DNS válido. Para obter informações sobre como usar IDN com o Cloud DNS, consulte Criando zonas com nomes de domínio internacionalizados .- registrador
Um registrador de nomes de domínio é uma organização que gerencia a reserva de nomes de domínio da internet. Um registrador deve ser credenciado por um registro de domínio de nível superior genérico (gTLD) ou um registro de domínio de nível superior de código de país (ccTLD).
- DNS interno
Google Cloud Cria nomes DNS internos para VMs automaticamente, mesmo que você não use o Cloud DNS. Para obter mais informações sobre DNS interno, consulte a documentação do DNS interno .
- subzona delegada
O DNS permite que o proprietário de uma zona delegue um subdomínio a um servidor de nomes diferente usando registros NS (servidor de nomes). Os resolvedores seguem esses registros e enviam consultas para o subdomínio ao servidor de nomes de destino especificado na delegação.
- conjuntos de registros de recursos
Um conjunto de registros de recursos é uma coleção de registros DNS com o mesmo rótulo, classe e tipo, mas com dados diferentes. Os conjuntos de registros de recursos mantêm o estado atual dos registros DNS que compõem uma zona gerenciada. Você pode ler um conjunto de registros de recursos, mas não pode modificá-lo diretamente. Em vez disso, você edita o conjunto de registros de recursos em uma zona gerenciada criando uma solicitação
Changena coleção de alterações . Você também pode editar os conjuntos de registros de recursos usando a APIResourceRecordSets. O conjunto de registros de recursos reflete todas as suas alterações imediatamente. No entanto, há um atraso entre o momento em que as alterações são feitas na API e o momento em que elas entram em vigor nos seus servidores DNS autoritativos. Para obter informações sobre como gerenciar registros, consulte Adicionar, modificar e excluir registros .- alteração do conjunto de registros de recursos
Para fazer uma alteração em um conjunto de registros de recursos, envie uma solicitação
ChangeouResourceRecordSetscontendo adições ou exclusões. Adições e exclusões podem ser feitas em massa ou em uma única transação atômica e entram em vigor simultaneamente em cada servidor DNS autoritativo.Por exemplo, se você tiver um registro A parecido com este:
www A 203.0.113.1 203.0.113.2
E você executa um comando parecido com este:
DEL www A 203.0.113.2 ADD www A 203.0.113.3
Seu registro fica assim após a alteração em massa:
www A 203.0.113.1 203.0.113.3
O ADD e o DEL acontecem simultaneamente.
- Formato de número de série SOA
Os números de série dos registros SOA criados em zonas gerenciadas pelo Cloud DNS aumentam monotonicamente a cada alteração transacional nos conjuntos de registros de uma zona feita usando o comando
gcloud dns record-sets transaction. No entanto, você pode alterar manualmente o número de série de um registro SOA para um número arbitrário, incluindo uma data no formato ISO 8601, conforme recomendado na RFC 1912.Por exemplo, no registro SOA a seguir, você pode alterar o número de série diretamente do Google Cloud console inserindo o valor desejado no terceiro campo delimitado por espaços do registro:
ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com. [serial number] 21600 3600 259200 300`
- Política do servidor DNS
Uma política de servidor DNS permite que você acesse serviços de resolução de nomes fornecidos por Google Cloud em uma rede VPC com encaminhamento de entrada ou substituir a ordem de resolução de nomes da VPC por uma política de servidor de saída. Para obter mais informações, consulte Políticas de servidor DNS .
- domínio, subdomínio e delegação
A maioria dos subdomínios são apenas registros na zona gerenciada do domínio pai. Subdomínios delegados por meio da criação de registros NS (servidor de nomes) na zona do domínio pai também precisam ter suas próprias zonas.
Crie zonas públicas gerenciadas para domínios pais no Cloud DNS antes de criar quaisquer zonas públicas para seus subdomínios delegados. Faça isso mesmo se você estiver hospedando o domínio pai em outro serviço DNS. Se você tiver várias zonas de subdomínio, mas não criar a zona pai, pode ser complicado criá-la posteriormente se você decidir movê-la para o Cloud DNS. Para obter mais informações, consulte Limites do servidor de nomes .DNSSEC
O Domain Name System Security Extensions (DNSSEC) é um conjunto de extensões do Internet Engineering Task Force (IETF) para DNS que autentica respostas a pesquisas de nomes de domínio. O DNSSEC não oferece proteção de privacidade para essas pesquisas, mas impede que invasores manipulem ou envenenem as respostas às solicitações de DNS.
- Coleção DNSKEYs
A coleção DNSKEYs contém o estado atual dos registros DNSKEY usados para assinar uma zona gerenciada habilitada para DNSSEC. Você só pode ler esta coleção; todas as alterações nas DNSKEYs são feitas pelo Cloud DNS. A coleção DNSKEYs contém todas as informações que os registradores de domínio precisam para ativar o DNSSEC .