本頁面提供 Cloud DNS 特色與功能的總覽。Cloud DNS 是一種彈性絕佳的高效能通用網域名稱系統 (DNS) 服務,會以符合成本效益的方式,將您的網域名稱發布到全域 DNS。
DNS 是一種階層型分散式資料庫,可用來儲存 IP 位址和其他資料,並按名稱來查詢這些資料。有了 Cloud DNS,您就能在 DNS 中發布區域和記錄,不必自行管理 DNS 伺服器和軟體。
Cloud DNS 提供公開區域和私人代管 DNS 區域。公開區域可以顯示在公開網際網路上,而不公開區域只會顯示在您指定的一或多個虛擬私有雲 (VPC) 網路上。如要進一步瞭解區域,請參閱「DNS 區域總覽」。
Cloud DNS 支援專案層級和個別 DNS 區域層級的身分與存取權管理 (IAM) 權限。如要進一步瞭解如何設定個別資源的 IAM 權限,請參閱「建立具備特定 IAM 權限的可用區」。
如需 DNS 常用術語清單,請參閱「一般 DNS 總覽」。
如要瞭解 Cloud DNS 的建構基礎,請參閱重要術語。
如要開始使用 Cloud DNS,請參閱快速入門導覽課程。
歡迎試用
如果您未曾使用過 Google Cloud,歡迎建立帳戶,親自體驗實際使用 Cloud DNS 的成效。新客戶可以獲得價值 $300 美元的免費抵免額,可用於執行、測試及部署工作負載。
免費試用 Cloud DNS共用 VPC 的注意事項
如要將 Cloud DNS 代管不公開區域、Cloud DNS 轉送區域或 Cloud DNS 對等互連區域與共用虛擬私人雲端搭配使用,您必須在主專案中建立區域,然後將一個或多個共用虛擬私人雲端網路新增至該區域的已授權網路清單。或者,您也可以使用跨專案繫結,在服務專案中設定區域。
詳情請參閱「Cloud DNS 私人區域的最佳做法」。
DNS 轉送方法
Google Cloud 為私人區域提供傳入和傳出 DNS 轉送。您可以建立轉送可用區或 Cloud DNS 伺服器政策,藉此設定 DNS 轉送。下表概述這兩種方法。
| DNS 轉送 | Cloud DNS 方法 |
|---|---|
| 傳入 | 建立傳入伺服器政策,讓內部部署 DNS 用戶端或伺服器將 DNS 要求傳送至 Cloud DNS。接著,DNS 用戶端或伺服器就能根據虛擬私人雲端網路的名稱解析順序解析記錄。 內部部署用戶端可以解析已授權虛擬私人雲端網路的不公開區域、轉送區域和對等互連區域中的記錄。內部部署用戶端會使用 Cloud VPN 或 Cloud Interconnect 連線至 VPC 網路。 |
| 傳出 |
您可以在 VPC 網路中設定 VM,以便執行下列操作: |
您可以同時為虛擬私有雲網路設定傳入和傳出 DNS 轉送。雙向轉送可讓虛擬私有雲網路中的 VM 解析地端部署網路或其他雲端服務供應商託管網路中的記錄。這類轉送功能還可讓內部部署網路中的主機解析Google Cloud 資源的記錄。
Cloud DNS 控制平面會使用轉送目標選取順序選取轉送目標。如果無法存取轉送目標,或是轉送目標的回應速度不夠快,外送轉送查詢有時可能會導致 SERVFAIL 錯誤。如需疑難排解操作說明,請參閱「傳出轉送查詢收到 SERVFAIL 錯誤」。
如要瞭解如何套用伺服器政策,請參閱「建立 DNS 伺服器政策」。如要瞭解如何建立轉送可用區,請參閱「建立轉送可用區」。
DNSSEC
Cloud DNS 支援代管的 DNSSEC,保護網域免於假冒及快取中毒攻擊。使用驗證解析器 (如 Google 公用 DNS) 時,DNSSEC 會提供網域查詢的強式驗證 (而非加密)。如要進一步瞭解 DNSSEC,請參閱「管理 DNSSEC 設定」。
DNS64 (預先發布版)
您可以使用 Cloud DNS DNS64,將僅支援 IPv6 的 Compute Engine 虛擬機器 (VM) 執行個體 (預先發布版) 連線至 IPv4 目的地。DNS64 會為每個 IPv4 目的地提供合成的 IPv6 位址。Cloud DNS 會將已知前置字串 (WKP) 64:ff9b::/96 與目的地 IPv4 位址的 32 位元結合,建立合成位址。
設定 DNS64 和網路位址轉譯功能,並使用公用 NAT (NAT64),讓僅支援 IPv6 的 VM 執行個體 (預先發布版) 與網際網路上的 IPv4 目的地通訊。如要設定 NAT64,請按照「建立 Cloud NAT 閘道」中的指示操作。
以下範例說明名為 vmipv6 的僅支援 IPv6 的 VM 執行個體 (預先發布版) 如何解析僅支援 IPv4 的目的地名稱。
vmipv6VM 執行個體會啟動 DNS 要求,將目的地名稱解析為 IPv6 位址。如果存在
AAAA記錄 (IPv6 位址),Cloud DNS 會傳回 IPv6 位址,而vmipv6VM 執行個體會使用該位址連線至目的地。如果沒有
AAAA記錄,但您已設定 DNS64,Cloud DNS 會搜尋A記錄 (IPv4 位址)。如果 Cloud DNS 找到A記錄,就會在 IPv4 位址前面加上64:ff9b::/96,合成AAAA記錄。
舉例來說,如果 IPv4 位址是 32.34.50.60,產生的合成 IPv6 位址就是 64:ff9b::2022:323c,其中 2022:323c 是 IPv4 位址的十六進位等價。RFC 6052 中定義了 64:ff9b::/96 前置字元。只要在 Cloud DNS 中啟用 DNS 轉送功能,即使您在內部部署 DNS 記錄,Cloud DNS 也會合成這些 IPv6 位址。
您可以在下列情況下使用 DNS64:
- 遵守規定,要求轉換為 IPv6 位址,但不分配 IPv4 位址。
- 逐步改用僅限 IPv6 位址基礎架構,同時維持對現有 IPv4 基礎架構的存取權。
- 在改用 IPv6 位址期間,請確保持續存取採用舊版 IPv4 位址的環境,以免重要服務中斷。
如要為 VPC 網路設定 DNS64,請按照「設定 DNS64」中的操作說明進行。
存取權控管
您可以管理有權在Google Cloud 控制台的「IAM 與管理員」頁面中變更 DNS 記錄的使用者。如果要讓使用者有權執行變更,您必須在 Google Cloud 控制台的「權限」區段中,將使用者列為 DNS 管理員角色 (roles/dns.admin)。DNS 讀取者角色 (roles/dns.reader) 會授予 Cloud DNS 記錄的唯讀存取權。
這些權限也適用於您用來管理 DNS 服務的服務帳戶。
如要查看指派給這些角色的權限,請參閱「角色」。
代管區域的存取權控管
具備專案擁有者角色或編輯者角色 (roles/owner 或 roles/editor) 的使用者,可以在其管理的特定專案中管理或查看代管區域。
具備 DNS 管理員角色或 DNS 讀取者角色的使用者,可以在有權存取的所有專案中管理或查看代管區域。
專案擁有者、編輯者、DNS 管理員和 DNS 讀取者都能查看套用於當前專案中任何 VPC 網路的不公開區域清單。
每個資源的權限存取
如要在 DNS 資源 (例如管理區域) 上設定政策,您必須具備擁有該資源的專案擁有者存取權。DNS 管理員角色沒有 setIamPolicy 權限。身為專案擁有者,您也可以根據特定需求建立自訂身分與存取權管理角色。詳情請參閱「瞭解身分與存取權管理自訂角色」。
效能與時間
為了達到高可用性,Cloud DNS 使用 Anycast 從全球多個位置為您的代管區域提供服務。系統會自動將要求轉送到最近的位置,縮短延遲時間並提高使用者的權威名稱查詢效能。
變更傳播
變更會分成兩部分傳播。首先,您透過 API 或指令列工具傳送的變更必須推送到 Cloud DNS 的權威 DNS 伺服器。第二,DNS 解析器必須在記錄快取到期時納入變更。
您為記錄設定的存留時間 (TTL) 值 (以秒為單位) 會控制 DNS 解析器的快取。例如,如果您將 TTL 值設為 86400 (24 小時的秒數),則系統會指示 DNS 解析器將記錄保存在快取中 24 小時。部分 DNS 解析器會忽略 TTL 值,或使用自己的值,這可能會延遲記錄的完整傳播。
如果您計劃進行的變更需要在較短的時間內傳播,請先將 TTL 變更為較小的值,然後再進行變更。新的較短 TTL 值會在先前 TTL 值在解析器快取中到期後套用。這個方法有助於縮短快取時間,並確保能以更快的速度變更新的記錄設定。變更完成後,您可以將 TTL 改回先前的值,以減輕 DNS 解析器的負載。
後續步驟
如要開始使用 Cloud DNS,請參閱「快速入門:使用 Cloud DNS 設定網域名稱的 DNS 記錄」。
如要註冊及設定網域,請參閱「教學課程:使用 Cloud DNS 設定網域」。
如要瞭解 API 用戶端程式庫,請參閱「範例和程式庫」。
如要找出使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱「疑難排解」。