本文提供適用於 Cloud DNS 的重要術語。請詳閱這些術語,進一步瞭解 Cloud DNS 的運作方式和基礎概念。
Cloud DNS API 是以專案、代管區域、記錄集和記錄集變更為建構重點。
- 專案
- Google Cloud 主控台專案是資源的容器、存取權控管的網域,也是設定和匯總帳單的地方。詳情請參閱「建立及管理專案」。
- 代管可用區
代管區域保存具有相同 DNS 名稱後置字串 (例如
example.com) 的網域名稱系統 (DNS) 記錄。專案可以有多個代管區域,但各區域的名稱不得重複。在 Cloud DNS 中,代管區域是以 DNS 區域為模型的資源。代管區域中的所有記錄都託管於由 Google 營運的相同名稱伺服器。這些名稱伺服器會依據區域的設定方式,回應代管區域的 DNS 查詢。專案可以含有多個代管區域。只要代管區域存在,每天每個區域都會產生費用累計。代管區域支援標籤功能,您可使用這個功能來整理帳單。
- 公共區
公開區域可以在網際網路上顯示。Cloud DNS 含有公開權威名稱伺服器,不論查詢源自何處,都可以回應有關公開區域的查詢。您可以在公開區域中建立 DNS 記錄,以在網際網路上發布您的服務。例如,您可以在公開網站
www.example.com的公開區域example.com中建立下列記錄。DNS 名稱 類型 TTL (秒) 資料 www.example.com A 300 198.51.100.0 Cloud DNS 會在建立公開區域時指派一組名稱伺服器。如果希望能夠透過網際網路解析公開區域中的 DNS 記錄,您必須更新註冊商的網域註冊名稱伺服器設定。
如要進一步瞭解如何註冊及設定網域,請參閱「使用 Cloud DNS 設定網域」。
- 私人區域
不公開區域可讓您管理虛擬機器 (VM) 執行個體、負載平衡器及其他 Google Cloud 資源的自訂網域名稱,而不會向公開網際網路暴露基本的 DNS 資料。不公開區域是一種 DNS 記錄容器,只能由您授權的一或多個虛擬私人雲端 (VPC) 網路進行查詢。
您必須在建立或更新不公開區域時,指定可查詢該區域的已授權虛擬私人雲端網路清單。只有已授權網路可以查詢您的不公開區域;如果您未指定任何已授權網路,則完全無法查詢不公開區域。
您可以將不公開區域與共用虛擬私人雲端搭配使用。如要瞭解將不公開區域與共用虛擬私人雲端搭配使用的相關重要資訊,請參閱「共用虛擬私人雲端的注意事項」。
不公開區域不支援 DNS 安全擴充 (DNSSEC) 或 NS 類型的自訂資源記錄集。針對不公開區域中的 DNS 記錄所發出的要求,必須透過中繼資料伺服器
169.254.169.254提交,該伺服器是以 Google 提供的映像檔來建立的預設 VM 內部名稱伺服器。您可以從使用已授權虛擬私人雲端網路的任何 VM 向此名稱伺服器提交查詢。例如,您可以為
dev.gcp.example.com建立一個不公開區域,以託管實驗性應用程式的內部 DNS 記錄。下表列出了該區域中的範例記錄。資料庫用戶端可使用內部 DNS 名稱而非 IP 位址連線到資料庫伺服器db-01.dev.gcp.example.com。資料庫用戶端會使用 VM 上的主機解析器來解析此內部 DNS 名稱,從而將 DNS 查詢提交到中繼資料伺服器169.254.169.254。中繼資料伺服器可做為遞迴解析器以查詢您的不公開區域。DNS 名稱 類型 TTL (秒) 資料 db-01.dev.gcp.example.comA 5 10.128.1.35 instance-01.dev.gcp.example.comA 50 10.128.1.10 您可以使用不公開區域建立水平分割 DNS 設定。 這是因為您可以建立包含不同記錄組的不公開區域,這樣就能覆寫公開區域中的整組記錄。 接著,您可以控制哪些 VPC 網路會查詢不公開區域中的記錄。例如,請參閱重疊區域。
- Service Directory
Service Directory 是Google Cloud 的受管理服務註冊中心,可讓您使用 HTTP 或 gRPC (使用其 Lookup API) 註冊及探索服務,同時也能使用傳統 DNS。您可以使用 Service Directory 註冊Google Cloud 和非Google Cloud 服務。
Cloud DNS 可讓您建立由服務目錄支援的區域,這類私人區域包含服務和端點的相關資訊。您不需要將記錄集新增至可用區,系統會根據與可用區相關聯的服務目錄命名空間設定,自動推斷記錄集。如要進一步瞭解 Service Directory,請參閱 Service Directory 總覽。
建立由 Service Directory 支援的區域時,您無法直接將記錄新增至區域,因為資料來自 Service Directory 服務註冊中心。
- 非 RFC 1918 位址的 Cloud DNS 和反向查詢
根據預設,Cloud DNS 會透過公開網際網路轉送非 RFC 1918 位址的 PTR 記錄要求。不過,Cloud DNS 也支援使用私人區域反向查詢非 RFC 1918 位址。
將 VPC 網路設定為使用非 RFC 1918 位址後,您必須將 Cloud DNS 私人區域設為受管理的反向查詢區域。這項設定可讓 Cloud DNS 在本機解析非 RFC 1918 位址,而非透過網際網路傳送。
建立受管理的反向查詢 DNS 區域時,您無法直接將記錄新增至該區域,因為資料來自 Compute Engine IP 位址資料。
Cloud DNS 也支援傳出轉送至非 RFC 1918 位址的功能,方法是私下在 Google Cloud中轉送這些位址。如要啟用這類外寄轉送,您必須使用特定轉送路徑引數設定轉送區。詳情請參閱「轉送目標和轉送方法」。
- 轉送區
轉送區域是一種 Cloud DNS 代管不公開區域,會將送入該區域的要求傳送到轉送目標的 IP 位址。詳情請參閱「DNS 轉送方法」。
建立轉送區域時,您無法直接將記錄新增至轉送區域,因為資料來自一或多個已設定的目標名稱伺服器或解析器。
- 對等互連區
對等互連區域是一種 Cloud DNS 代管不公開區域,會遵循另一個虛擬私人雲端網路的名稱解析順序。您可以使用它解析其他虛擬私有雲網路中定義的名稱。
建立 DNS 對等互連區域時,您無法直接將記錄新增至該區域;資料會根據供應者虛擬私有雲網路的名稱解析順序提供。
- 回應政策
回應政策是 Cloud DNS 私人區域的概念,其中包含規則而非記錄。這些規則可用於達到類似 DNS 回應政策區域 (RPZ) 草稿概念的效果 (IETF)。回應政策功能可讓您將自訂規則導入網路中的 DNS 伺服器,以便 DNS 解析器在查詢期間參照規則。如果回應政策中的規則會影響傳入的查詢,系統會處理該規則。否則,查詢會照常進行。詳情請參閱「管理回應政策和規則」。
回應政策與 RPZ 不同,後者是使用特殊格式資料的一般 DNS 區域,可讓相容的解析工具執行特殊動作。回應政策並非 DNS 可用區,而是在 API 中個別管理。
- 區域作業
您在 Cloud DNS 中對代管區域所做的任何變更都會記錄在作業集合中,該集合會列出代管區域更新資訊 (修改說明或 DNSSEC 狀態或設定)。區域內記錄集的變更會分別儲存在資源記錄集中,詳情請參閱本文後續章節。
- 國際化網域名稱 (IDN)
國際化網域名稱 (IDN) 是一種網域名稱,可讓世界各地的使用者在網域名稱中使用特定語言的文字或字母,例如阿拉伯文、中文、斯拉夫字母、德瓦納甘文、希伯來文,或以拉丁字母為基礎的特殊字元。這項轉換作業是透過使用 Punycode 實作,這是使用 ASCII 的萬國碼字元表示法。舉例來說,
.ελ的 IDN 表示法為.xn--qxam。部分瀏覽器、電子郵件用戶端和應用程式可能會辨識並代您顯示為.ελ。應用程式國際化網域名稱 (IDNA) 標準只允許短到可做為有效 DNS 標籤的 Unicode 字串。如要瞭解如何在 Cloud DNS 中使用 IDN,請參閱「使用國際化網域名稱建立區域」。- 註冊商
網域名稱註冊商是管理網際網路網域名稱預訂的機構。註冊商必須經過通用頂層網域 (gTLD) 註冊管理機構或國碼頂層網域 (ccTLD) 註冊管理機構的認證。
- 內部 DNS
Google Cloud 會自動為 VM 建立內部 DNS 名稱,即使您不使用 Cloud DNS 也一樣。如要進一步瞭解內部 DNS,請參閱內部 DNS 說明文件。
- 委派的子區域
DNS 可讓區域擁有者使用 NS (名稱伺服器) 記錄,將子網域委派給不同的名稱伺服器。解析器會依據這些記錄,將對於子網域的查詢傳送至委派作業所指定的目標名稱伺服器。
- 資源記錄集
資源記錄集是一系列標籤、類別和類型相同,但資料不同的 DNS 記錄。資源記錄集會保存構成代管區域的 DNS 記錄現行狀態。您可以讀取資源記錄集,但不可直接修改。而是要在變更集合中建立
Change要求,進而編輯代管區域中的資源記錄集。您也可以使用ResourceRecordSetsAPI 編輯資源記錄集。資源記錄集會立即反映所有變更,至於在 API 中進行的變更則必須經過一段延遲時間後,才會在您的權威 DNS 伺服器上生效。如要瞭解如何管理記錄,請參閱新增、修改及刪除記錄。- 資源記錄集變更
如要變更資源記錄集,請提交含有新增或刪除作業的
Change或ResourceRecordSets要求。系統可在一次整體性交易中完成大量新增和刪除作業,且這些修改會在每個權威 DNS 伺服器中同時生效。舉例來說,如果您有一筆 A 記錄,如下所示:
www A 203.0.113.1 203.0.113.2
然後您執行下列指令:
DEL www A 203.0.113.2 ADD www A 203.0.113.3
記錄經過批次變更後,會如下所示:
www A 203.0.113.1 203.0.113.3
「ADD」和「DEL」會同時發生。
- SOA 序號的格式
每當使用
gcloud dns record-sets transaction指令對區域的記錄集進行交易變更時,在 Cloud DNS 代管區域中建立的 SOA 記錄序號就會單調遞增。不過,您可以自由地將 SOA 記錄序號手動變更為任意號碼,但必須加上 RFC 1912 中建議的 ISO 8601 格式日期。舉例來說,在下列 SOA 記錄中,您可以直接從 Google Cloud 主控台變更序號,方法是在記錄的第三個空格分隔欄位中輸入所需的值:
ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com. [serial number] 21600 3600 259200 300`
- DNS 伺服器政策
DNS 伺服器政策可讓您在具有傳入轉送功能的虛擬私人雲端網路中存取 Google Cloud 提供的名稱解析服務,或使用傳出伺服器政策取代 VPC 名稱解析順序。詳情請參閱「DNS 伺服器政策」。
- 網域、子網域和委派
大部分的子網域都只是上層網域代管區域中的記錄。因為在上層網域中建立 NS (名稱伺服器) 記錄而被「委派」的子網域,也必須有自己的區域。
在為受委派的子網域建立任何公開可用區「之前」,請在 Cloud DNS 中建立上層網域的代管公開可用區。即使您要在另一個 DNS 服務上託管上層網域,也必須執行這項建立作業。如果您有數個子網域區域,但並未建立上層區域,則日後決定要將這些區域移到 Cloud DNS 時,建立上層區域的程序可能會很複雜。詳情請參閱「名稱伺服器限制」。 DNSSEC
網域名稱系統安全擴充 (DNSSEC) 是網際網路工程任務團隊 (IETF) 開發的 DNS 擴充套件,可用來驗證網域名稱查詢的回應。DNSSEC 不會為這些查詢提供隱私權保護,但可防止攻擊者操縱或毒害 DNS 要求的回應。
- DNSKEY 集合
DNSKEY 集合含有用來簽署已啟用 DNSSEC 的代管區域的 DNSKEY 記錄現行狀態。您只能讀取這個集合,DNSKEY 的所有變更都是由 Cloud DNS 執行。DNSKEY 集合含有網域註冊商啟用 DNSSEC 所需的所有資訊。