Descripción general de DNS en la nube,Descripción general de DNS en la nube,Descripción general de DNS en la nube,Descripción general de DNS en la nube

Esta página ofrece una descripción general de las características y capacidades de Cloud DNS. Cloud DNS es un servicio de Sistema de Nombres de Dominio (DNS) global, resistente y de alto rendimiento que publica sus nombres de dominio en el DNS global de forma rentable .

DNS es una base de datos distribuida jerárquica que permite almacenar direcciones IP y otros datos, y buscarlos por nombre. Cloud DNS permite publicar las zonas y registros en DNS sin la carga de gestionar los servidores y el software DNS.

Cloud DNS ofrece zonas públicas y privadas administradas. Una zona pública es visible para la red pública de internet, mientras que una zona privada solo es visible desde una o más redes de Nube Virtual Privada (VPC) que usted especifique. Para obtener información detallada sobre las zonas, consulte la descripción general de las zonas DNS .

Cloud DNS admite permisos de Gestión de Identidad y Acceso (IAM) a nivel de proyecto y de zona DNS individual. Para obtener información sobre cómo configurar permisos de IAM para recursos individuales, consulte Crear una zona con permisos de IAM específicos .

Para obtener una lista de la terminología general de DNS, consulte la Descripción general de DNS .

Para obtener una lista de la terminología clave sobre la que se basa Cloud DNS, consulte Términos clave .

Para comenzar a utilizar Cloud DNS, consulte la Guía de inicio rápido .

Pruébelo usted mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud DNS en situaciones reales. Los nuevos clientes también reciben $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo.

Pruebe Cloud DNS gratis

Consideraciones sobre VPC compartida

Para usar una zona privada administrada por Cloud DNS, una zona de reenvío de Cloud DNS o una zona de emparejamiento de Cloud DNS con una VPC compartida, debe crear la zona en el proyecto host y, a continuación, agregar una o más redes de VPC compartidas a la lista de redes autorizadas para dicha zona. Como alternativa, puede configurar la zona en un proyecto de servicio mediante el enlace entre proyectos .

Para obtener más información, consulte Mejores prácticas para zonas privadas de Cloud DNS .

Métodos de reenvío de DNS

Google Cloud Ofrece reenvío DNS entrante y saliente para zonas privadas. Puede configurar el reenvío DNS creando una zona de reenvío o una política de servidor DNS en la nube. Los dos métodos se resumen en la siguiente tabla.

Reenvío de DNS Métodos de DNS en la nube
Entrante

Cree una política de servidor entrante para permitir que un cliente o servidor DNS local envíe solicitudes DNS a Cloud DNS. El cliente o servidor DNS podrá resolver los registros según el orden de resolución de nombres de una red VPC.

Los clientes locales pueden resolver registros en zonas privadas, de reenvío y de peering para las que la red VPC esté autorizada. Los clientes locales utilizan Cloud VPN o Cloud Interconnect para conectarse a la red VPC.

Saliente

Puede configurar máquinas virtuales en una red VPC para hacer lo siguiente:

  • Envíe solicitudes DNS a los servidores de nombres DNS que elija. Estos servidores pueden estar ubicados en la misma red de VPC, en una red local o en internet.
  • Resolver registros alojados en servidores de nombres configurados como destinos de reenvío de una zona de reenvío autorizada para su uso por su red de VPC. Para obtener información sobre cómo... Google Clouddirige el tráfico a un destino de reenvío, consulte Destinos de reenvío y métodos de enrutamiento .
  • Cree una política de servidor saliente para la red de VPC que envíe todas las solicitudes DNS a un servidor de nombres alternativo. Al usar un servidor de nombres alternativo, las máquinas virtuales de su red de VPC ya no pueden resolver registros en las zonas privadas, de reenvío y de emparejamiento de Cloud DNS, ni en las zonas DNS internas de Compute Engine. Para obtener más información, consulte Orden de resolución de nombres .

Puede configurar simultáneamente el reenvío de DNS entrante y saliente para una red de VPC. El reenvío bidireccional permite que las máquinas virtuales de su red de VPC resuelvan registros en una red local o en una red alojada por otro proveedor de nube. Este tipo de reenvío también permite que los hosts de la red local resuelvan registros para su...Google Cloud recursos.

El plano de control de Cloud DNS utiliza el orden de selección de destinos de reenvío para seleccionar un destino. Las consultas reenviadas salientes pueden generar errores SERVFAIL si no se puede acceder a los destinos de reenvío o si no responden con la suficiente rapidez. Para obtener instrucciones sobre la solución de problemas, consulte "Las consultas reenviadas salientes reciben errores SERVFAIL" .

Para obtener información sobre cómo aplicar políticas de servidor, consulte Crear políticas de servidor DNS . Para aprender a crear una zona de reenvío, consulte Crear una zona de reenvío .

DNSSEC

Cloud DNS admite DNSSEC administrado, lo que protege sus dominios de ataques de suplantación de identidad y envenenamiento de caché. Al usar un solucionador de validación como Google Public DNS , DNSSEC proporciona una autenticación robusta (pero no cifrado) para las búsquedas de dominio. Para obtener más información sobre DNSSEC, consulte Administrar la configuración de DNSSEC .

DNS64 ( Vista previa )

Puede conectar sus instancias de máquina virtual (VM) de Compute Engine solo para IPv6 ( versión preliminar ) a destinos IPv4 mediante Cloud DNS DNS64. DNS64 proporciona una dirección IPv6 sintetizada para cada destino IPv4. Cloud DNS crea una dirección sintetizada combinando el prefijo bien conocido (WKP) 64:ff9b::/96 con los 32 bits de la dirección IPv4 de destino.

Configure DNS64 y la traducción de direcciones de red con NAT pública (NAT64) para que sus instancias de máquina virtual (VM) solo IPv6 ( versión preliminar ) se comuniquen con destinos IPv4 en internet. Para configurar NAT64, siga las instrucciones de "Crear una puerta de enlace NAT en la nube" .

El siguiente ejemplo muestra cómo una instancia de VM solo IPv6 ( versión preliminar ) denominada vmipv6 resuelve el nombre de un destino solo IPv4.

  1. La instancia de VM vmipv6 inicia una solicitud DNS para resolver el nombre de destino en una dirección IPv6.

  2. Si existe un registro AAAA (dirección IPv6), Cloud DNS devuelve la dirección IPv6 y la instancia de VM vmipv6 la utiliza para conectarse al destino.

  3. Si no existe ningún registro AAAA , pero se configuró DNS64, Cloud DNS busca un registro A (dirección IPv4). Si Cloud DNS encuentra un registro A , sintetiza un registro AAAA anteponiendo 64:ff9b::/96 a la dirección IPv4.

DNS64 traduce una dirección IPv4 en una dirección IPv6 sintetizada.
DNS64 traduce una dirección IPv4 en una dirección IPv6 sintetizada (haga clic para ampliar).

Por ejemplo, si la dirección IPv4 es 32.34.50.60 , la dirección IPv6 sintetizada resultante es 64:ff9b::2022:323c , donde 2022:323c es el equivalente hexadecimal de la dirección IPv4. El prefijo 64:ff9b::/96 se define en RFC 6052. Cloud DNS sintetiza estas direcciones IPv6 incluso cuando se alojan los registros DNS localmente, siempre que se habilite el reenvío DNS en Cloud DNS.

Puede utilizar DNS64 en los siguientes escenarios:

  • Cumplir con los mandatos que exigen un cambio a direcciones IPv6 sin asignar direcciones IPv4.
  • Realizar la transición a una infraestructura de direcciones solo IPv6 en etapas mientras se mantiene el acceso a la infraestructura IPv4 existente.
  • Evite interrupciones en servicios críticos al garantizar el acceso continuo a entornos con direcciones IPv4 heredadas durante su transición a direcciones IPv6.

Para configurar DNS64 para una red VPC, siga las instrucciones en Configurar DNS64 .

Control de acceso

Puede administrar los usuarios que tienen permiso para realizar cambios en sus registros DNS en la página IAM y administración enGoogle Cloud consola . Para que los usuarios estén autorizados a realizar cambios, deben tener el rol de administrador de DNS ( roles/dns.admin ) en la sección Permisos de la consola. Google Cloud consola. El rol de lector DNS ( roles/dns.reader ) otorga acceso de solo lectura a los registros DNS de la nube.

Estos permisos también se aplican a las cuentas de servicio que pueda utilizar para administrar sus servicios de DNS.

Para ver los permisos asignados a estos roles, consulte Roles .

Control de acceso para zonas gestionadas

Los usuarios con el rol de Propietario del proyecto o el rol de Editor ( roles/owner o roles/editor ) pueden administrar o ver las zonas administradas en el proyecto específico que están administrando.

Los usuarios con el rol de administrador de DNS o de lector de DNS pueden administrar o ver las zonas administradas en todos los proyectos a los que tienen acceso.

Los propietarios de proyectos, editores, administradores de DNS y lectores de DNS pueden ver la lista de zonas privadas aplicadas a cualquier red VPC en el proyecto actual.

Acceso por permiso de recurso

Para configurar una política en un recurso DNS, como una zona administrada, debe tener acceso de propietario al proyecto propietario de dicho recurso. El rol de administrador de DNS no tiene el permiso setIamPolicy . Como propietario del proyecto, también puede crear roles de IAM personalizados según sus necesidades. Para obtener información detallada, consulte Descripción de los roles personalizados de IAM .

Rendimiento y sincronización

Cloud DNS utiliza anycast para servir sus zonas administradas desde múltiples ubicaciones en todo el mundo y lograr alta disponibilidad. Las solicitudes se enrutan automáticamente a la ubicación más cercana, lo que reduce la latencia y mejora el rendimiento de la búsqueda de nombres autorizada para sus usuarios.

Propagación de cambios

Los cambios se propagan en dos partes. Primero, el cambio que envía a través de la API o la herramienta de línea de comandos debe enviarse a los servidores DNS autorizados de Cloud DNS. Segundo, los solucionadores DNS deben detectar este cambio cuando caduque la caché de los registros.

El valor de tiempo de vida (TTL) que configure para sus registros, especificado en segundos, controla la caché del solucionador DNS. Por ejemplo, si configura un valor de TTL de 86400 (la cantidad de segundos en 24 horas), los solucionadores DNS recibirán instrucciones para almacenar en caché los registros durante 24 horas. Algunos solucionadores DNS ignoran el valor de TTL o usan sus propios valores, lo que puede retrasar la propagación completa de los registros.

Si planea cambiar los servicios que requieren un período de tiempo limitado, le recomendamos cambiar el TTL a un valor más corto antes de realizar el cambio. Este nuevo valor se aplica después de que el anterior caduque en la caché del solucionador. Este enfoque puede ayudar a reducir el período de tiempo de almacenamiento en caché y a garantizar un cambio más rápido en la nueva configuración de registros. Después del cambio, puede restablecer el valor a su TTL anterior para reducir la carga en los solucionadores DNS.

¿Qué sigue?