Questa pagina fornisce una panoramica delle caratteristiche e funzionalità di Cloud DNS. Cloud DNS è un servizio DNS (Domain Name System) globale, resiliente e ad alte prestazioni che pubblica i tuoi nomi di dominio nel DNS globale in modo economico.
Il DNS è un database distribuito gerarchico che ti consente di archiviare gli indirizzi IP e altri dati e di cercarli per nome. Cloud DNS ti consente di pubblicare le tue zone e i tuoi record in DNS senza l'onere di gestire il software e i server DNS.
Cloud DNS offre sia zone pubbliche che zone DNS gestite private. Una zona pubblica è visibile su internet pubblico, mentre una zona privata è visibile solo da una o più reti Virtual Private Cloud (VPC) che specifichi. Per informazioni dettagliate sulle zone, consulta Panoramica delle zone DNS.
Cloud DNS supporta le autorizzazioni Identity and Access Management (IAM) a livello di progetto e di singola zona DNS. Per informazioni su come impostare le autorizzazioni IAM per le singole risorse, consulta Crea una zona con autorizzazioni IAM specifiche.
Per un elenco della terminologia DNS generale, consulta la panoramica generale del DNS.
Per un elenco della terminologia chiave su cui si basa Cloud DNS, consulta la sezione Termini chiave.
Per iniziare a utilizzare Cloud DNS, consulta la guida rapida.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni di Cloud DNS in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti senza addebiti per l'esecuzione, il test e il deployment dei workload.
Prova Cloud DNS gratuitamenteConsiderazioni sul VPC condiviso
Per utilizzare una zona privata gestita Cloud DNS, una zona di inoltro Cloud DNS o una zona di peering Cloud DNS con il VPC condiviso, devi creare la zona nel progetto host e poi aggiungere una o più reti VPC condiviso all'elenco delle reti autorizzate per quella zona. In alternativa, puoi configurare la zona in un progetto di servizio utilizzando l'associazione tra progetti.
Per maggiori informazioni, consulta Best practice per le zone private Cloud DNS.
Metodi di forwarding DNS
Google Cloud offre l'inoltro DNS in entrata e in uscita per le zone private. Puoi configurare l'inoltro DNS creando una zona di inoltro o un criterio del server Cloud DNS. I due metodi sono riassunti nella tabella seguente.
| Forwarding DNS | Metodi Cloud DNS |
|---|---|
| In entrata | Crea un criterio del server in entrata per consentire a un client o server DNS on-premise di inviare richieste DNS a Cloud DNS. Il client o il server DNS può quindi risolvere i record in base all'ordine di risoluzione dei nomi di una rete VPC. I client on-premise possono risolvere i record nelle zone private, nelle zone di forwarding e nelle zone di peering per le quali è stata autorizzata la rete VPC. I client on-premise utilizzano Cloud VPN o Cloud Interconnect per connettersi alla rete VPC. |
| In uscita |
Puoi configurare le VM in una rete VPC per eseguire le seguenti operazioni:
|
Puoi configurare contemporaneamente l'inoltro DNS in entrata e in uscita per una rete VPC. L'inoltro bidirezionale consente alle VM nella tua rete VPC di risolvere i record in una rete on-premise o in una rete ospitata da un altro cloud provider. Questo tipo di inoltro consente inoltre agli host nella rete on-premise di risolvere i record per le tue risorseGoogle Cloud .
Il control plane Cloud DNS utilizza l'ordine di selezione della destinazione di inoltro per selezionare una destinazione di inoltro. Le query inoltrate in uscita a volte potrebbero generare errori SERVFAIL se le destinazioni di inoltro non sono raggiungibili o se non rispondono abbastanza rapidamente. Per istruzioni sulla risoluzione dei problemi, vedi Le query inoltrate in uscita ricevono errori SERVFAIL.
Per informazioni su come applicare le policy del server, consulta Creare policy del server DNS. Per scoprire come creare una zona di inoltro, consulta Crea una zona di inoltro.
DNSSEC
Cloud DNS supporta DNSSEC gestito, proteggendo i tuoi domini da attacchi di spoofing e poisoning della cache. Quando utilizzi un resolver di convalida come Google Public DNS, DNSSEC fornisce un'autenticazione efficace (ma non la crittografia) delle ricerche di dominio. Per ulteriori informazioni su DNSSEC, consulta Gestire la configurazione DNSSEC.
DNS64 (anteprima)
Puoi connettere le istanze di macchine virtuali (VM) Compute Engine solo IPv6 (anteprima) alle destinazioni IPv4 utilizzando DNS64 di Cloud DNS. DNS64 fornisce un indirizzo IPv6 sintetico per
ogni destinazione IPv4. Cloud DNS crea un indirizzo sintetizzato combinando il prefisso noto (WKP) 64:ff9b::/96 con i 32 bit dell'indirizzo IPv4 di destinazione.
Configura DNS64 e la Network Address Translation con NAT pubblico (NAT64) per consentire alle istanze VM solo IPv6 (anteprima) di comunicare con destinazioni IPv4 su internet. Per configurare NAT64, segui le istruzioni riportate in Crea un gateway Cloud NAT.
L'esempio seguente mostra come un'istanza VM solo IPv6 (anteprima)
denominata vmipv6 risolve il nome di una destinazione solo IPv4.
L'istanza VM
vmipv6avvia una richiesta DNS per risolvere il nome di destinazione in un indirizzo IPv6.Se esiste un record
AAAA(indirizzo IPv6), Cloud DNS restituisce l'indirizzo IPv6 e l'istanza VMvmipv6lo utilizza per connettersi alla destinazione.Se non esiste alcun record
AAAA, ma hai configurato DNS64, Cloud DNS cerca un recordA(indirizzo IPv4). Se Cloud DNS trova un recordA, sintetizza un recordAAAAanteponendo all'indirizzo IPv4 il prefisso64:ff9b::/96.
Ad esempio, se l'indirizzo IPv4 è 32.34.50.60, l'indirizzo IPv6 sintetizzato
risultante è 64:ff9b::2022:323c, dove 2022:323c è l'equivalente esadecimale
dell'indirizzo IPv4. Il prefisso 64:ff9b::/96 è definito nella RFC
6052. Cloud DNS
sintetizza questi indirizzi IPv6 anche quando ospiti i record DNS on-premise,
a condizione che tu abiliti l'inoltro DNS in Cloud DNS.
Puoi utilizzare DNS64 nei seguenti scenari:
- Rispettare i mandati che richiedono il passaggio agli indirizzi IPv6 senza allocare indirizzi IPv4.
- Esegui la transizione all'infrastruttura di indirizzi solo IPv6 in più fasi, mantenendo l'accesso all'infrastruttura IPv4 esistente.
- Evita interruzioni ai servizi critici garantendo l'accesso continuo agli ambienti con indirizzi IPv4 legacy durante la transizione agli indirizzi IPv6.
Per configurare DNS64 per una rete VPC, segui le istruzioni riportate in Configurare DNS64.
Controllo degli accessi
Puoi gestire gli utenti autorizzati ad apportare modifiche ai tuoi record DNS
nella pagina IAM e amministrazione della
Google Cloud console.
Per essere autorizzati ad apportare modifiche, gli utenti devono disporre del ruolo
Amministratore DNS (roles/dns.admin) nella sezione Autorizzazioni
della console Google Cloud . Il ruolo Lettore DNS (roles/dns.reader)
concede l'accesso di sola lettura ai record Cloud DNS.
Queste autorizzazioni si applicano anche agli account di servizio che potresti utilizzare per gestire i tuoi servizi DNS.
Per visualizzare le autorizzazioni assegnate a questi ruoli, vedi Ruoli.
Controllo dell'accesso per le zone gestite
Gli utenti con il ruolo Proprietario o Editor del progetto
(roles/owner o roles/editor) possono gestire o visualizzare le zone gestite nel progetto specifico che stanno gestendo.
Gli utenti con il ruolo di amministratore DNS o lettore DNS possono gestire o visualizzare le zone gestite in tutti i progetti a cui hanno accesso.
I proprietari, gli editor, gli amministratori DNS e i lettori DNS del progetto possono visualizzare l'elenco delle zone private applicate a qualsiasi rete VPC nel progetto corrente.
Accesso alle autorizzazioni per risorsa
Per configurare una policy su una risorsa DNS come una zona gestita, devi disporre dell'accesso Proprietario al progetto proprietario della risorsa. Il ruolo Amministratore DNS
non dispone dell'autorizzazione setIamPolicy. In qualità di proprietario del progetto, puoi anche creare ruoli IAM personalizzati per le tue esigenze specifiche. Per
informazioni dettagliate, consulta Informazioni sui ruoli IAM personalizzati.
Prestazioni e tempistica
Cloud DNS utilizza anycast per la gestione delle zone gestite da più località in tutto il mondo per un'elevata disponibilità. Le richieste vengono indirizzate automaticamente alla località più vicina, riducendo la latenza e migliorando le prestazioni di ricerca dei nomi autorevoli per i tuoi utenti.
Propagazione delle modifiche
Le modifiche vengono propagate in due parti. Innanzitutto, la modifica che invii tramite l'API o lo strumento a riga di comando deve essere inviata ai server DNS autorevoli di Cloud DNS. In secondo luogo, i resolver DNS devono rilevare questa modifica quando la cache dei record scade.
Il valore durata (TTL) impostato per i record, specificato in secondi, controlla la cache del resolver DNS. Ad esempio, se imposti un valore TTL di 86.400 (il numero di secondi in 24 ore), i resolver DNS ricevono l'istruzione di memorizzare nella cache i record per 24 ore. Alcuni resolver DNS ignorano il valore TTL o utilizzano i propri valori, il che può ritardare la propagazione completa dei record.
Se stai pianificando una modifica ai servizi che richiede una finestra ristretta, potresti modificare il TTL con un valore più breve prima di apportare la modifica. Il nuovo valore TTL più breve viene applicato dopo la scadenza del valore TTL precedente nella cache del resolver. Questo approccio può contribuire a ridurre la finestra di memorizzazione nella cache e garantire una modifica più rapida delle nuove impostazioni dei record. Dopo la modifica, puoi riportare il valore al TTL precedente per ridurre il carico sui resolver DNS.
Passaggi successivi
Per iniziare a utilizzare Cloud DNS, consulta la pagina Guida rapida: configura i record DNS per un nome di dominio con Cloud DNS.
Per registrare e configurare il tuo dominio, consulta il tutorial: configurare un dominio utilizzando Cloud DNS.
Per informazioni sulle librerie client API, consulta Esempi e librerie.
Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la sezione Risoluzione dei problemi.