Políticas de roteamento de DNS e verificações de integridade,Políticas de roteamento de DNS e verificações de integridade

Você pode configurar políticas de roteamento DNS para conjuntos de registros de recursos em ambientes privadosou públicozonas para direcionar o tráfego com base em critérios específicos. Crie conjuntos de registros de recursos com valores de política de roteamento específicos para configurar essas políticas. Esses valores determinam como o Cloud DNS roteia o tráfego de consulta.

O Cloud DNS oferece suporte às seguintes políticas de roteamento:

• Política de roteamento round robin ponderado (WRR) : use uma política de roteamento WRR para atribuir pesos diferentes a cada conjunto de registros de recursos para um nome DNS. Uma política de roteamento WRR ajuda a garantir que o tráfego seja distribuído de acordo com os pesos configurados.A combinação de políticas de roteamento WRR e geolocalização não é suportada.

• Política de roteamento de geolocalização : use a política de roteamento de geolocalização para especificar as geolocalizações de origem e fornecer respostas correspondentes a essas geografias. A política de roteamento de geolocalização aplica a correspondência mais próxima para o local de origem quando nenhum item da política corresponde exatamente à origem do tráfego.

  • Política de roteamento de geolocalização com uma cerca geográfica : use uma política de roteamento de geolocalização com uma cerca geográfica para restringir o tráfego a uma geolocalização específica, mesmo que todos os pontos de extremidade nessa geolocalização não estejam íntegros.

• Política de roteamento de failover : use a política de roteamento de failover para definir configurações de backup ativo.

As políticas de roteamento DNS não podem ser configuradas para as seguintes zonas privadas:

• Zonas de encaminhamento
• Zonas de peering de DNS
• Zonas de pesquisa reversa gerenciadas
• Zonas do Diretório de Serviços

Políticas de roteamento WRR

Uma política de roteamento WRR permite especificar pesos diferentes por destino DNS, e o Cloud DNS garante que seu tráfego seja distribuído de acordo com esses pesos. Você pode usar essa política para oferecer suporte a configurações manuais active-active ou active-passive . Você também pode dividir o tráfego entre as versões de produção e experimentais do seu serviço.

O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para balanceadores de carga internos e endpoints externos. O Cloud DNS permite o failover automático quando os endpoints falham nas verificações de integridade. Durante um failover, o Cloud DNS ajusta automaticamente a divisão do tráfego entre os endpoints íntegros restantes. Para obter mais informações, consulte Verificações de integridade .

Políticas de roteamento de geolocalização

Uma política de roteamento de geolocalização permite mapear o tráfego originário de geografias de origem (Google Cloud regiões) para alvos DNS específicos. Use esta política para distribuir solicitações recebidas para diferentes instâncias de serviço com base na origem do tráfego. Você pode usar este recurso com tráfego de foraGoogle Cloud ou com tráfego originário de Google Cloud e destinado a balanceadores de carga de rede de passagem interna. O Cloud DNS usa a região onde as consultas entram Google Cloud como a geografia de origem.

Uma política de roteamento de geolocalização mapeia a origem de forma diferente para DNS público e privado das seguintes maneiras:

• Para DNS público, é usado o endereço IP de origem ou o mecanismo de extensão para a sub-rede do cliente DNS (EDNS) da consulta.
• Para DNS privado, a sub-rede do cliente EDNS não é usada. Em vez disso, o local da consulta é o local do sistema que envia os pacotes para a consulta:
  • Para consultas de uma instância de máquina virtual (VM) do Compute Engine com uma interface de rede em uma rede VPC, o local da consulta é a região que contém a instância da VM.
  • Para consultas recebidas por um ponto de entrada de política de servidor de entrada , o local da consulta é a região do túnel do Cloud VPN, do anexo de VLAN do Cloud Interconnect ou do dispositivo do roteador que recebeu os pacotes para a consulta. A região do endereço IP do ponto de entrada não é relevante. Para obter mais informações, consulte Rede e região para consultas de entrada .

O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para balanceadores de carga internos e endpoints externos. O Cloud DNS permite failover automático quando os endpoints falham nas verificações de integridade. Ao usar políticas de roteamento por geolocalização, o tráfego é redirecionado para a geolocalização mais próxima do tráfego de origem.

Política de roteamento de geolocalização com geofence

Uma cerca geográfica ajuda a garantir que o tráfego seja direcionado para uma região específica, mesmo que todos os pontos de extremidade dentro dessa região não passem nas verificações de integridade.

Quando o geofencing está desativado e ocorre uma falha na verificação de integridade para uma geolocalização específica, o tráfego é automaticamente redirecionado para a geolocalização mais próxima. No entanto, quando o geofencing está ativado, esse failover automático não ocorre. Como um servidor autoritativo, o Cloud DNS deve retornar um valor e, nesse cenário, o Cloud DNS retorna todos os endereços IP inalterados quando os endpoints falham nas verificações de integridade.

Políticas de roteamento de failover

A política de roteamento de failover permite que você defina configurações de backup ativo para fornecer alta disponibilidade para recursos internos na sua rede VPC.

Em operação normal, o Cloud DNS sempre retorna os endereços IP do conjunto active . Quando todos os endereços IP do conjunto active se tornam insalubres, o Cloud DNS fornece os endereços IP do conjunto backup . Se você configurar o conjunto backup como uma política de roteamento de geolocalização, ele funcionará conforme descrito na seção Políticas de roteamento de geolocalização . Se você configurar o conjunto de backup para um balanceador de carga interno, o Cloud DNS verificará a integridade de todos os endereços IP virtuais (VIP) de backup.

O Cloud DNS permite que você distribua gradualmente o tráfego para os endereços VIP de backup, para que você possa verificar se eles estão funcionando. Você pode configurar a porcentagem do tráfego enviado para o backup como uma fração de 0 a 1. Você pode acionar manualmente um failover enviando 100% do tráfego para os endereços VIP de backup. O valor típico é 0,1. As verificações de integridade podem ser aplicadas apenas a balanceadores de carga internos e endpoints externos.

Verificações de saúde

O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para os seguintes balanceadores de carga internos e endpoints externos:

• Balanceadores de carga de aplicativos internos (regionais e entre regiões)
• Balanceadores de carga de rede de passagem interna
• Balanceadores de carga de rede proxy internos ( visualização )
• Pontos de extremidade externos

Quando você deseja usar a verificação de integridade com uma zona gerenciada e as Extensões de Segurança DNS (DNSSEC) estão habilitadas, apenas um único endereço IP pode ser usado em cada item de política(um WRR ou geolocalização). Não é possível misturar endereços IP com verificação de integridade e endereços IP sem verificação de integridade em uma política específica.

Para obter informações sobre as práticas recomendadas a serem lembradas ao configurar o registro do Cloud DNS e as verificações de integridade, consulte Práticas recomendadas .

Verificações de integridade para balanceadores de carga internos

Verificações de integridade para balanceadores de carga internos estão disponíveis somente em zonas privadas.

Para Application Load Balancers internos e Network Load Balancers de proxy interno, o Cloud DNS considera a integridade do próprio balanceador de carga durante a decisão de roteamento. Quando um balanceador de carga recebe uma consulta, ele distribui o tráfego apenas para os serviços de back-end íntegros. Para ajudar a garantir a integridade dos back-ends, você pode gerenciar o ciclo de vida dos back-ends usando serviços como grupos de instâncias gerenciadas (MIGs). O Cloud DNS não precisa estar ciente da integridade de back-ends individuais; o balanceador de carga cuida dessa tarefa.

Para balanceadores de carga de rede de passagem interna, o Cloud DNS verifica as informações de integridade nas instâncias de back-end individuais do balanceador de carga. O Cloud DNS aplica um limite padrão de 20% e, se pelo menos 20% das instâncias de back-end estiverem íntegras, o endpoint do balanceador de carga será considerado íntegro. As políticas de roteamento de DNS marcam o endpoint como íntegro ou não íntegro com base nesse limite e roteiam o tráfego de acordo.

Um único endereço IP virtual (VIP) de um balanceador de carga de rede de passagem interna pode ter várias instâncias de back-end. Se um balanceador de carga de rede de passagem interna não tiver nenhuma instância de back-end, o Cloud DNS ainda o considera íntegro. Para que a verificação de integridade funcione corretamente, especifique pelo menos uma instância de back-end na configuração do balanceador de carga.

Quando o ponto de extremidade é marcado como não íntegro, as seguintes condições podem ocorrer:

• Se houver vários endereços VIP programados em relação a uma política, somente endereços VIP saudáveis ​​serão retornados.

• Se todos os endereços VIP programados em um bucket de política estiverem com problemas, essa linha de política falhou. O seguinte comportamento se aplica:

  • Para uma política de WRR, o Cloud DNS distribui o tráfego proporcionalmente entre os endpoints íntegros restantes definidos na política.
  • Para uma política de geolocalização que não tenha cercas habilitadas, o tráfego alterna para pontos de extremidade na geografia mais próxima da fonte Google Cloud região definida na política.
  • Para uma política de geolocalização com geofencing habilitado, o Cloud DNS distribui o tráfego para o endereço VIP mais próximo da origem Google Cloud região definida na política.
  • Para uma política de failover, o Cloud DNS alterna o tráfego para os endpoints de backup definidos na política.
  • Se todos os buckets de políticas estiverem com problemas, o Cloud DNS se comportará como se todos os endpoints estivessem íntegros. Esse cenário pode levar à distribuição de tráfego para endpoints que não respondem.

Para obter mais informações sobre verificações de integridade para balanceadores de carga internos, consulte Visão geral das verificações de integridade .

Verificações de integridade para endpoints externos

As verificações de integridade para endpoints externos estão disponíveis apenas em zonas públicas. Os endpoints que você deseja verificar devem ser acessíveis pela internet pública. O endpoint especificado pode ser qualquer endereço IP externo e porta, incluindo um VIP de Balanceador de Carga de Aplicativo externo global, um VIP de Balanceador de Carga de Aplicativo externo regional, um VIP de Balanceador de Carga de Rede de proxy externo global, endpoints locais ou qualquer outro endpoint acessível pela internet pública.

Use verificações de integridade para endpoints externos nos seguintes cenários:

• Para redirecionar o tráfego para um Application Load Balancer externo regional se um backend de Application Load Balancer externo global ou um backend de Network Load Balancer de proxy externo global ficar com problemas.
• Para redirecionar o tráfego para outro Application Load Balancer externo regional se o backend de um Application Load Balancer externo regional específico ficar com problemas.
• Para monitorar a integridade de endpoints locais ou outros endpoints que podem ser acessados ​​na Internet pública.

Ao criar uma política de roteamento DNS com verificações de integridade para endpoints externos, o Cloud DNS envia sondas de verificação de integridade para seus endpoints. Essas sondas de verificação de integridade se originam de três Google Cloud Regiões de origem que você especificar. Os sondadores de verificação de integridade de cada região são executados de forma independente, e o Cloud DNS agrega seus resultados para determinar a integridade geral do endpoint. Em cada região, três instâncias do sondador de verificação de integridade sondam cada endpoint. Se uma sondagem falhar, o Cloud DNS ainda poderá determinar a integridade do endpoint usando as sondagens restantes. Isso significa que você tem nove sondadores no total para cada endpoint, e cada sondagem ocorre na frequência especificada no intervalo de verificação da verificação de integridade. Com base nos parâmetros da política de roteamento e nas informações de integridade, o Cloud DNS seleciona um endpoint e roteia o tráfego para ele.

O Cloud DNS oferece suporte aos protocolos TCP, HTTP e HTTPS com as seguintes ressalvas:

• O campo de solicitação TCP não é suportado.
• O campo proxyHeader para HTTP, HTTPS e TCP não é suportado.

Os protocolos SSL, HTTP/2 e gRPC não são suportados.

Para o protocolo TCP, o Cloud DNS tenta se conectar ao endpoint. Para os protocolos HTTP e HTTPS, o Cloud DNS verifica se o endpoint retorna um código de resposta HTTP 200 Você também pode configurar a verificação de integridade baseada em conteúdo, em que o Cloud DNS verifica se a resposta contém uma string específica.

Ao contrário da verificação de integridade para balanceadores de carga internos, as verificações de integridade do Cloud DNS para endpoints externos não se originam de intervalos de endereços IP fixos. Os intervalos de endereços IP de origem da sonda estão sujeitos a alterações ao longo do tempo.

O protocolo e a porta especificados ao criar a verificação de integridade determinam como as sondagens de verificação de integridade serão realizadas. Se você não especificar uma porta, o Cloud DNS usará a porta 80 Para ajudar a garantir que as verificações de integridade funcionem corretamente, configure suas regras de firewall para permitir sondagens de verificação de integridade de qualquer endereço IP de origem e na porta específica configurada na verificação de integridade.

Se você não tiver configurado seu firewall para permitir verificações de integridade, as verificações falharão, então o Cloud DNS considerará os endpoints bloqueados como não íntegros. Se todos os endpoints forem considerados não íntegros, o Cloud DNS ainda fornecerá todos eles como resultado, mesmo que não estejam íntegros.

Intervalo de verificação de saúde

O Cloud DNS envia periodicamente sondas de verificação de integridade de acordo com o intervalo de verificação de integridade. Por exemplo, se o intervalo de verificação de integridade for de 30 segundos, o Cloud DNS envia uma sonda de verificação de integridade a cada 30 segundos.

Para verificação de integridade do ponto de extremidade externo do Cloud DNS, o intervalo de verificação de integridade deve ser entre 30 e 300 segundos.

Políticas de roteamento round robin ponderado e verificações de integridade

O Cloud DNS suporta pesos de 0 a 1000, incluindo ambos. Quando verificações de integridade são incluídas, ocorre o seguinte:

• Se você configurar vários destinos, todos com peso 0, o tráfego será distribuído igualmente entre os destinos.
• Se você configurar um novo destino ponderado diferente de zero, ele se tornará o destino principal, e todo o tráfego será transferido para esse destino.
• À medida que você adiciona mais alvos com pesos diferentes de zero, o Cloud DNS calcula dinamicamente a divisão do tráfego entre os alvos (a cada solicitação) e distribui o tráfego adequadamente. Por exemplo, se você configurou três alvos com pesos de 0, 25 e 75, o alvo com peso 0 não recebe tráfego, o alvo com peso 25 recebe um quarto do tráfego e o alvo restante recebe três quartos do tráfego de entrada.
• Se as verificações de integridade estiverem associadas a destinos ponderados diferentes de zero, mas não a destinos ponderados zero, os destinos ponderados zero serão sempre considerados íntegros. Se todos os registros diferentes de zero estiverem com problemas, o Cloud DNS retornará os registros ponderados zero.
• Se as verificações de integridade estiverem associadas a registros ponderados em zero e diferentes de zero, e se todos os registros falharem nas verificações de integridade, o Cloud DNS retornará todos os destinos ponderados em zero e ignorará os destinos ponderados em zero.
• Quando o Cloud DNS escolhe um bucket de peso para retornar ao solicitante (um único item de política), apenas o endereço IP nesse bucket de peso é retornado. Se você especificar apenas um endereço IP no bucket de peso, somente esse endereço IP estará na resposta. Se houver mais de um endereço IP no bucket de peso, o Cloud DNS retornará todos os endereços IP em ordem aleatória.

Políticas de roteamento de geolocalização e verificações de integridade

Para políticas de roteamento de geolocalização com verificações de integridade habilitadas, ocorre o seguinte:

• Quando uma política tem vários endereços IP configurados e todos os endereços IP têm verificação de integridade, somente os endereços IP íntegros são retornados.
• Quando há uma combinação de endereços IP com e sem verificação de integridade, e todos os endereços IP com verificação de integridade falham, o Cloud DNS retorna todos os endereços IP sem verificação de integridade configurada. Nesse cenário, o failover automático para a região geográfica mais próxima não ocorre.

Registro de verificação de integridade

O Cloud DNS oferece suporte ao registro de verificação de integridade e registra o status de integridade dos seus endereços IP habilitados para verificação de integridade quando você consulta o nome DNS que se refere a esses endereços IP.

O registro de verificação de integridade permite que você faça o seguinte:

• Valide se as políticas de roteamento estão funcionando conforme o esperado. Por exemplo:
  • Para políticas de geolocalização, ele permite validar se as políticas detectam a geografia correta e retornam o conjunto de dados de registros de recursos correto.
  • Para políticas WRR, ele permite que você valide se as políticas estão retornando os endereços IP com a ponderação correta.
• Identifique problemas de infraestrutura com backends e endereços IP específicos que apresentam falhas.
• Solucione problemas por que backends específicos nunca são incluídos ou são os únicos que estão sendo retornados.

Para obter mais informações, consulte informações de registro de verificação de integridade .

Tipos de registro suportados para políticas de roteamento DNS

As políticas de roteamento de DNS não oferecem suporte a todos os tipos de registros suportados pelo Cloud DNS .

Os seguintes tipos de registro são suportados:

O que vem a seguir

• Configurar políticas de roteamento de DNS e verificações de integridade

Você pode configurar políticas de roteamento DNS para conjuntos de registros de recursos em ambientes privadosou públicozonas para direcionar o tráfego com base em critérios específicos. Crie conjuntos de registros de recursos com valores de política de roteamento específicos para configurar essas políticas. Esses valores determinam como o Cloud DNS roteia o tráfego de consulta.

O Cloud DNS oferece suporte às seguintes políticas de roteamento:

• Política de roteamento round robin ponderado (WRR) : use uma política de roteamento WRR para atribuir pesos diferentes a cada conjunto de registros de recursos para um nome DNS. Uma política de roteamento WRR ajuda a garantir que o tráfego seja distribuído de acordo com os pesos configurados.A combinação de políticas de roteamento WRR e geolocalização não é suportada.

• Política de roteamento de geolocalização : use a política de roteamento de geolocalização para especificar as geolocalizações de origem e fornecer respostas correspondentes a essas geografias. A política de roteamento de geolocalização aplica a correspondência mais próxima para o local de origem quando nenhum item da política corresponde exatamente à origem do tráfego.

  • Política de roteamento de geolocalização com uma cerca geográfica : use uma política de roteamento de geolocalização com uma cerca geográfica para restringir o tráfego a uma geolocalização específica, mesmo que todos os pontos de extremidade nessa geolocalização não estejam íntegros.

• Política de roteamento de failover : use a política de roteamento de failover para definir configurações de backup ativo.

As políticas de roteamento DNS não podem ser configuradas para as seguintes zonas privadas:

• Zonas de encaminhamento
• Zonas de peering de DNS
• Zonas de pesquisa reversa gerenciadas
• Zonas do Diretório de Serviços

Políticas de roteamento WRR

Uma política de roteamento WRR permite especificar pesos diferentes por destino DNS, e o Cloud DNS garante que seu tráfego seja distribuído de acordo com esses pesos. Você pode usar essa política para oferecer suporte a configurações manuais active-active ou active-passive . Você também pode dividir o tráfego entre as versões de produção e experimentais do seu serviço.

O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para balanceadores de carga internos e endpoints externos. O Cloud DNS permite o failover automático quando os endpoints falham nas verificações de integridade. Durante um failover, o Cloud DNS ajusta automaticamente a divisão do tráfego entre os endpoints íntegros restantes. Para obter mais informações, consulte Verificações de integridade .

Políticas de roteamento de geolocalização

Uma política de roteamento de geolocalização permite mapear o tráfego originário de geografias de origem (Google Cloud regiões) para alvos DNS específicos. Use esta política para distribuir solicitações recebidas para diferentes instâncias de serviço com base na origem do tráfego. Você pode usar este recurso com tráfego de foraGoogle Cloud ou com tráfego originário de Google Cloud e destinado a balanceadores de carga de rede de passagem interna. O Cloud DNS usa a região onde as consultas entram Google Cloud como a geografia de origem.

Uma política de roteamento de geolocalização mapeia a origem de forma diferente para DNS público e privado das seguintes maneiras:

• Para DNS público, é usado o endereço IP de origem ou o mecanismo de extensão para a sub-rede do cliente DNS (EDNS) da consulta.
• Para DNS privado, a sub-rede do cliente EDNS não é usada. Em vez disso, o local da consulta é o local do sistema que envia os pacotes para a consulta:
  • Para consultas de uma instância de máquina virtual (VM) do Compute Engine com uma interface de rede em uma rede VPC, o local da consulta é a região que contém a instância da VM.
  • Para consultas recebidas por um ponto de entrada de política de servidor de entrada , o local da consulta é a região do túnel do Cloud VPN, do anexo de VLAN do Cloud Interconnect ou do dispositivo do roteador que recebeu os pacotes para a consulta. A região do endereço IP do ponto de entrada não é relevante. Para obter mais informações, consulte Rede e região para consultas de entrada .

O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para balanceadores de carga internos e endpoints externos. O Cloud DNS permite failover automático quando os endpoints falham nas verificações de integridade. Ao usar políticas de roteamento por geolocalização, o tráfego é redirecionado para a geolocalização mais próxima do tráfego de origem.

Política de roteamento de geolocalização com geofence

Uma cerca geográfica ajuda a garantir que o tráfego seja direcionado para uma região específica, mesmo que todos os pontos de extremidade dentro dessa região não passem nas verificações de integridade.

Quando o geofencing está desativado e ocorre uma falha na verificação de integridade para uma geolocalização específica, o tráfego é automaticamente redirecionado para a geolocalização mais próxima. No entanto, quando o geofencing está ativado, esse failover automático não ocorre. Como um servidor autoritativo, o Cloud DNS deve retornar um valor e, nesse cenário, o Cloud DNS retorna todos os endereços IP inalterados quando os endpoints falham nas verificações de integridade.

Políticas de roteamento de failover

A política de roteamento de failover permite que você defina configurações de backup ativo para fornecer alta disponibilidade para recursos internos na sua rede VPC.

Em operação normal, o Cloud DNS sempre retorna os endereços IP do conjunto active . Quando todos os endereços IP do conjunto active se tornam insalubres, o Cloud DNS fornece os endereços IP do conjunto backup . Se você configurar o conjunto backup como uma política de roteamento de geolocalização, ele funcionará conforme descrito na seção Políticas de roteamento de geolocalização . Se você configurar o conjunto de backup para um balanceador de carga interno, o Cloud DNS verificará a integridade de todos os endereços IP virtuais (VIP) de backup.

O Cloud DNS permite que você distribua gradualmente o tráfego para os endereços VIP de backup, para que você possa verificar se eles estão funcionando. Você pode configurar a porcentagem do tráfego enviado para o backup como uma fração de 0 a 1. Você pode acionar manualmente um failover enviando 100% do tráfego para os endereços VIP de backup. O valor típico é 0,1. As verificações de integridade podem ser aplicadas apenas a balanceadores de carga internos e endpoints externos.

Verificações de saúde

O Cloud DNS oferece suporte a verificações de integridade e failovers em políticas de roteamento para os seguintes balanceadores de carga internos e endpoints externos:

• Balanceadores de carga de aplicativos internos (regionais e entre regiões)
• Balanceadores de carga de rede de passagem interna
• Balanceadores de carga de rede proxy internos ( visualização )
• Pontos de extremidade externos

Quando você deseja usar a verificação de integridade com uma zona gerenciada e as Extensões de Segurança DNS (DNSSEC) estão habilitadas, apenas um único endereço IP pode ser usado em cada item de política(um WRR ou geolocalização). Não é possível misturar endereços IP com verificação de integridade e endereços IP sem verificação de integridade em uma política específica.

Para obter informações sobre as práticas recomendadas a serem lembradas ao configurar o registro do Cloud DNS e as verificações de integridade, consulte Práticas recomendadas .

Verificações de integridade para balanceadores de carga internos

Verificações de integridade para balanceadores de carga internos estão disponíveis somente em zonas privadas.

Para Application Load Balancers internos e Network Load Balancers de proxy interno, o Cloud DNS considera a integridade do próprio balanceador de carga durante a decisão de roteamento. Quando um balanceador de carga recebe uma consulta, ele distribui o tráfego apenas para os serviços de back-end íntegros. Para ajudar a garantir a integridade dos back-ends, você pode gerenciar o ciclo de vida dos back-ends usando serviços como grupos de instâncias gerenciadas (MIGs). O Cloud DNS não precisa estar ciente da integridade de back-ends individuais; o balanceador de carga cuida dessa tarefa.

Para balanceadores de carga de rede de passagem interna, o Cloud DNS verifica as informações de integridade nas instâncias de back-end individuais do balanceador de carga. O Cloud DNS aplica um limite padrão de 20% e, se pelo menos 20% das instâncias de back-end estiverem íntegras, o endpoint do balanceador de carga será considerado íntegro. As políticas de roteamento de DNS marcam o endpoint como íntegro ou não íntegro com base nesse limite e roteiam o tráfego de acordo.

Um único endereço IP virtual (VIP) de um balanceador de carga de rede de passagem interna pode ter várias instâncias de back-end. Se um balanceador de carga de rede de passagem interna não tiver nenhuma instância de back-end, o Cloud DNS ainda o considera íntegro. Para que a verificação de integridade funcione corretamente, especifique pelo menos uma instância de back-end na configuração do balanceador de carga.

Quando o ponto de extremidade é marcado como não íntegro, as seguintes condições podem ocorrer:

• Se houver vários endereços VIP programados em relação a uma política, somente endereços VIP saudáveis ​​serão retornados.

• Se todos os endereços VIP programados em um bucket de política estiverem com problemas, essa linha de política falhou. O seguinte comportamento se aplica:

  • Para uma política de WRR, o Cloud DNS distribui o tráfego proporcionalmente entre os endpoints íntegros restantes definidos na política.
  • Para uma política de geolocalização que não tenha cercas habilitadas, o tráfego alterna para pontos de extremidade na geografia mais próxima da fonte Google Cloud região definida na política.
  • Para uma política de geolocalização com geofencing habilitado, o Cloud DNS distribui o tráfego para o endereço VIP mais próximo da origem Google Cloud região definida na política.
  • Para uma política de failover, o Cloud DNS alterna o tráfego para os endpoints de backup definidos na política.
  • Se todos os buckets de políticas estiverem com problemas, o Cloud DNS se comportará como se todos os endpoints estivessem íntegros. Esse cenário pode levar à distribuição de tráfego para endpoints que não respondem.

Para obter mais informações sobre verificações de integridade para balanceadores de carga internos, consulte Visão geral das verificações de integridade .

Verificações de integridade para endpoints externos

As verificações de integridade para endpoints externos estão disponíveis apenas em zonas públicas. Os endpoints que você deseja verificar devem ser acessíveis pela internet pública. O endpoint especificado pode ser qualquer endereço IP externo e porta, incluindo um VIP de Balanceador de Carga de Aplicativo externo global, um VIP de Balanceador de Carga de Aplicativo externo regional, um VIP de Balanceador de Carga de Rede de proxy externo global, endpoints locais ou qualquer outro endpoint acessível pela internet pública.

Use verificações de integridade para endpoints externos nos seguintes cenários:

• Para redirecionar o tráfego para um Application Load Balancer externo regional se um backend de Application Load Balancer externo global ou um backend de Network Load Balancer de proxy externo global ficar com problemas.
• Para redirecionar o tráfego para outro Application Load Balancer externo regional se o backend de um Application Load Balancer externo regional específico ficar com problemas.
• Para monitorar a integridade de endpoints locais ou outros endpoints que podem ser acessados ​​na Internet pública.

Ao criar uma política de roteamento DNS com verificações de integridade para endpoints externos, o Cloud DNS envia sondas de verificação de integridade para seus endpoints. Essas sondas de verificação de integridade se originam de três Google Cloud Regiões de origem que você especificar. Os sondadores de verificação de integridade de cada região são executados de forma independente, e o Cloud DNS agrega seus resultados para determinar a integridade geral do endpoint. Em cada região, três instâncias do sondador de verificação de integridade sondam cada endpoint. Se uma sondagem falhar, o Cloud DNS ainda poderá determinar a integridade do endpoint usando as sondagens restantes. Isso significa que você tem nove sondadores no total para cada endpoint, e cada sondagem ocorre na frequência especificada no intervalo de verificação da verificação de integridade. Com base nos parâmetros da política de roteamento e nas informações de integridade, o Cloud DNS seleciona um endpoint e roteia o tráfego para ele.

O Cloud DNS oferece suporte aos protocolos TCP, HTTP e HTTPS com as seguintes ressalvas:

• O campo de solicitação TCP não é suportado.
• O campo proxyHeader para HTTP, HTTPS e TCP não é suportado.

Os protocolos SSL, HTTP/2 e gRPC não são suportados.

Para o protocolo TCP, o Cloud DNS tenta se conectar ao endpoint. Para os protocolos HTTP e HTTPS, o Cloud DNS verifica se o endpoint retorna um código de resposta HTTP 200 Você também pode configurar a verificação de integridade baseada em conteúdo, em que o Cloud DNS verifica se a resposta contém uma string específica.

Ao contrário da verificação de integridade para balanceadores de carga internos, as verificações de integridade do Cloud DNS para endpoints externos não se originam de intervalos de endereços IP fixos. Os intervalos de endereços IP de origem da sonda estão sujeitos a alterações ao longo do tempo.

O protocolo e a porta especificados ao criar a verificação de integridade determinam como as sondagens de verificação de integridade serão realizadas. Se você não especificar uma porta, o Cloud DNS usará a porta 80 Para ajudar a garantir que as verificações de integridade funcionem corretamente, configure suas regras de firewall para permitir sondagens de verificação de integridade de qualquer endereço IP de origem e na porta específica configurada na verificação de integridade.

Se você não tiver configurado seu firewall para permitir verificações de integridade, as verificações falharão, então o Cloud DNS considerará os endpoints bloqueados como não íntegros. Se todos os endpoints forem considerados não íntegros, o Cloud DNS ainda fornecerá todos eles como resultado, mesmo que não estejam íntegros.

Intervalo de verificação de saúde

O Cloud DNS envia periodicamente sondas de verificação de integridade de acordo com o intervalo de verificação de integridade. Por exemplo, se o intervalo de verificação de integridade for de 30 segundos, o Cloud DNS envia uma sonda de verificação de integridade a cada 30 segundos.

Para verificação de integridade do ponto de extremidade externo do Cloud DNS, o intervalo de verificação de integridade deve ser entre 30 e 300 segundos.

Políticas de roteamento round robin ponderado e verificações de integridade

O Cloud DNS suporta pesos de 0 a 1000, incluindo ambos. Quando verificações de integridade são incluídas, ocorre o seguinte:

• Se você configurar vários destinos, todos com peso 0, o tráfego será distribuído igualmente entre os destinos.
• Se você configurar um novo destino ponderado diferente de zero, ele se tornará o destino principal, e todo o tráfego será transferido para esse destino.
• À medida que você adiciona mais alvos com pesos diferentes de zero, o Cloud DNS calcula dinamicamente a divisão do tráfego entre os alvos (a cada solicitação) e distribui o tráfego adequadamente. Por exemplo, se você configurou três alvos com pesos de 0, 25 e 75, o alvo com peso 0 não recebe tráfego, o alvo com peso 25 recebe um quarto do tráfego e o alvo restante recebe três quartos do tráfego de entrada.
• Se as verificações de integridade estiverem associadas a destinos ponderados diferentes de zero, mas não a destinos ponderados zero, os destinos ponderados zero serão sempre considerados íntegros. Se todos os registros diferentes de zero estiverem com problemas, o Cloud DNS retornará os registros ponderados zero.
• Se as verificações de integridade estiverem associadas a registros ponderados em zero e diferentes de zero, e se todos os registros falharem nas verificações de integridade, o Cloud DNS retornará todos os destinos ponderados em zero e ignorará os destinos ponderados em zero.
• Quando o Cloud DNS escolhe um bucket de peso para retornar ao solicitante (um único item de política), apenas o endereço IP nesse bucket de peso é retornado. Se você especificar apenas um endereço IP no bucket de peso, somente esse endereço IP estará na resposta. Se houver mais de um endereço IP no bucket de peso, o Cloud DNS retornará todos os endereços IP em ordem aleatória.

Políticas de roteamento de geolocalização e verificações de integridade

Para políticas de roteamento de geolocalização com verificações de integridade habilitadas, ocorre o seguinte:

• Quando uma política possui vários endereços IP configurados e todos os endereços IP têm verificação de saúde, apenas os endereços IP saudáveis ​​são retornados.
• Quando há uma mistura e correspondência de endereços IP verificados e não verificados pela saúde, e todos os endereços IP verificados pela saúde falham, o Cloud DNS retorna todos os endereços IP que não têm verificação de saúde configurada. Nesse cenário, o failover automático para a próxima geografia mais próxima não ocorre.

Registro de verificação de saúde

O Cloud DNS suporta o registro de verificação de saúde e registra o status de saúde de seus endereços IP habilitados para verificação de saúde quando você consulta o nome do DNS que se refere a esses endereços IP.

O registro da verificação de saúde permite fazer o seguinte:

• Validar se as políticas de roteamento estão funcionando conforme o esperado. Por exemplo:
  • Para políticas de geolocalização, permite validar se as políticas detectam a geografia correta e retornam o conjunto de dados de registro de recursos corretos.
  • Para políticas da WRR, ele permite validar se as políticas estiverem retornando os endereços IP na peso correto.
• Identifique problemas de infraestrutura com back -ends e endereços IP específicos que têm falhas.
• Solucionar problemas por que os backnds específicos nunca estão incluídos ou são os únicos que estão sendo devolvidos.

Para mais informações, consulte Informações sobre o registro da verificação de saúde .

Tipos de registros suportados para políticas de roteamento de DNS

As políticas de roteamento de DNS não suportam todos os tipos de registros suportados pelo Cloud DNS .

Os seguintes tipos de registro são suportados:

O que vem a seguir

• Configurar políticas de roteamento de DNS e verificações de saúde