Esta página foi traduzida pela API Cloud Translation.

Políticas de servidor DNS

Uma política de servidor DNS permite que você configure quais servidores DNS usar ao resolver nomes de domínio para seu Google Cloud Recursos. Você pode usar políticas de servidor DNS para controlar a resolução de DNS em uma rede de Nuvem Privada Virtual (VPC) específica. Uma política de servidor DNS especifica o encaminhamento de DNS de entrada, o encaminhamento de DNS de saída ou ambos. Uma política de servidor DNS de entrada permite o encaminhamento de DNS de entrada, enquanto uma política de servidor DNS de saída é uma maneira de implementar o encaminhamento de DNS de saída.

Você também pode configurar o DNS64 ( Preview ) para permitir que instâncias de VM somente IPv6 ( Preview ) se comuniquem com destinos somente IPv4.

Sub-redes VPC somente IPv6 ( Visualização ) não oferecem suporte a políticas de servidor DNS de entrada. No entanto, você pode configurar políticas de servidor DNS de saída para suas instâncias de VM somente IPv6 ( Visualização ).

Políticas de servidor de entrada

Cada rede VPC fornece serviços de resolução de nomes do Cloud DNS para instâncias de máquina virtual (VM) que possuem uma interface de rede (vNIC) conectada à rede VPC. Quando uma VM usa seu servidor de metadados 169.254.169.254 como servidor de nomes, Google Cloud pesquisa recursos do Cloud DNS de acordo com a ordem de resolução de nomes da rede VPC .

Para disponibilizar os serviços de resolução de nomes de uma rede VPC para redes locais conectadas à rede VPC usando túneis Cloud VPN, anexos de VLAN do Cloud Interconnect ou dispositivos de roteador, você pode usar uma política de servidor de entrada .

Ao criar uma política de servidor de entrada, o Cloud DNS cria pontos de entrada para a política de servidor de entrada na rede VPC à qual a política de servidor é aplicada. Os pontos de entrada para a política de servidor de entrada são endereços IPv4 internos originados do intervalo de endereços IPv4 primário de cada sub-rede na rede VPC aplicável, exceto para sub-redes com dados --purpose específico, como sub-redes somente proxy para determinados balanceadores de carga e sub-redes usadas pelo Cloud NAT para NAT privado.

Por exemplo, se você tiver uma rede VPC que contém duas sub-redes na mesma região e uma terceira sub-rede em uma região diferente, ao configurar uma política de servidor de entrada para a rede VPC, o Cloud DNS usará um total de três endereços IPv4 como pontos de entrada da política de servidor de entrada, um por sub-rede.

Para obter informações sobre como criar uma política de servidor de entrada para uma VPC, consulte Criar uma política de servidor de entrada .

Rede e região para consultas de entrada

Para processar consultas DNS enviadas aos pontos de entrada da política do servidor de entrada, o Cloud DNS associa a consulta a uma rede VPC e a uma região:

A rede VPC associada para uma consulta DNS é a rede VPC que contém o túnel Cloud VPN, o anexo Cloud Interconnect VLAN ou a interface de rede do dispositivo Roteador que recebe os pacotes para a consulta DNS.
- O Google recomenda a criação de uma política de servidor de entrada na rede VPC que se conecta à sua rede local. Dessa forma, os pontos de entrada da política de servidor de entrada estarão localizados na mesma rede VPC que os túneis do Cloud VPN, os anexos de VLAN do Cloud Interconnect ou os dispositivos do roteador que se conectam à rede local.
- É possível que uma rede local envie consultas a pontos de entrada da política do servidor de entrada em uma rede VPC diferente — por exemplo, se a rede VPC que contém os túneis do Cloud VPN, os anexos de VLAN do Cloud Interconnect ou os dispositivos do roteador que se conectam à rede local também estiver conectada a uma rede VPC diferente usando o VPC Network Peering. No entanto, não recomendamos usar essa configuração porque a rede VPC associada para consultas DNS não corresponde à rede VPC que contém os pontos de entrada da política do servidor de entrada, o que significa que as consultas DNS não são resolvidas usando as zonas privadas e as políticas de resposta do Cloud DNS na rede VPC que contém a política do servidor de entrada. Para evitar confusão, recomendamos as seguintes etapas de configuração:
  1. Crie uma política de servidor de entrada na rede VPC que se conecta à rede local usando túneis Cloud VPN, anexos de VLAN do Cloud Interconnect ou dispositivos de roteador.
  2. Configure os sistemas locais para enviar consultas DNS aos pontos de entrada da política do servidor de entrada configurados na etapa anterior.
  3. Configure os recursos do Cloud DNS autorizados para a rede VPC que se conecta à rede local. Use um ou mais dos seguintes métodos:
    - Adicione a rede VPC que se conecta à rede local à lista de redes autorizadas para as zonas privadas do Cloud DNS que estão autorizadas para a outra rede VPC : se uma zona privada do Cloud DNS e a rede VPC que se conecta à rede local estiverem em projetos diferentes da mesma organização, use a URL completa da rede ao autorizá-la. Para obter mais informações, consulte Configurar vinculação entre projetos .
    - Zonas de peering do Cloud DNS autorizadas para a rede VPC que se conecta à rede local : defina a rede de destino da zona de peering como a outra rede VPC. Não importa se a rede VPC que se conecta à rede local está conectada à rede VPC de destino da zona de peering usando o peering de rede VPC, pois as zonas de peering do Cloud DNS não dependem do peering de rede VPC para conectividade de rede.
- Se uma rede local enviar consultas para uma política de servidor de entrada usando o VPC Network Peering, a rede com a política de servidor de entrada deverá conter uma VM, um anexo de VLAN ou um túnel VPN na nuvem localizado na mesma região das consultas de entrada.
A região associada para uma consulta DNS é sempre a região que contém o túnel VPN na nuvem, o anexo VLAN do Cloud Interconnect ou a interface de rede do dispositivo roteador que recebe os pacotes para a consulta DNS, não a região da sub-rede que contém o ponto de entrada da política do servidor de entrada.
- Por exemplo, se os pacotes para uma consulta DNS entrarem em uma rede VPC usando um túnel Cloud VPN localizado na região us-east1 e forem enviados para um ponto de entrada de política de servidor de entrada na região us-west1 , a região associada para a consulta DNS será us-east1 .
- Como prática recomendada, envie consultas DNS para o endereço IPv4 de um ponto de entrada da política do servidor de entrada na mesma região que o túnel do Cloud VPN, o anexo do Cloud Interconnect VLAN ou o dispositivo do roteador.
- A região associada a uma consulta DNS é importante se você usar políticas de roteamento de geolocalização. Para obter mais informações, consulte Gerenciar políticas de roteamento de DNS e verificações de integridade .

Anúncio de rota de ponto de entrada da política do servidor de entrada

Como os endereços IP dos pontos de entrada da política do servidor de entrada são obtidos dos intervalos de endereços IPv4 primários das sub-redes, os Cloud Routers anunciam esses endereços IP quando a sessão do Border Gateway Protocol (BGP) de um túnel Cloud VPN, anexo de VLAN do Cloud Interconnect ou dispositivo do roteador está configurada para usar o modo de anúncio padrão do Cloud Router. Você também pode configurar uma sessão BGP para anunciar os endereços IP dos pontos de entrada da política do servidor de entrada se usar o modo de anúncio personalizado do Cloud Router de uma das seguintes maneiras:

Você anuncia intervalos de endereços IP de sub-rede, além de seus prefixos personalizados.
Inclua endereços IP de ponto de entrada da política do servidor de entrada em seus anúncios de prefixo personalizados.

Políticas de servidor de saída

Você pode modificar a ordem de resolução de nomes do Cloud DNS de uma rede VPC criando uma política de servidor de saída que especifique uma lista de servidores de nomes alternativos . Quando uma VM usa seu servidor de metadados 169.254.169.254 como servidor de nomes, e quando você especifica servidores de nomes alternativos para uma rede VPC, o Cloud DNS envia todas as consultas para os servidores de nomes alternativos , a menos que as consultas sejam correspondidas por uma política de resposta com escopo de cluster do Google Kubernetes Engine ou uma zona privada com escopo de cluster do GKE.

Quando existem dois ou mais servidores de nomes alternativos em uma política de servidor de saída, o Cloud DNS classifica os servidores de nomes alternativos e os consulta conforme descrito na primeira etapa da ordem de resolução de nomes da VPC.Importante: Revise a ordem de resolução da rede VPC com atenção. O uso de servidores de nomes alternativos desabilita a resolução de muitos recursos do Cloud DNS e também pode afetar a resolução de consultas DNS públicas, dependendo da configuração dos servidores de nomes alternativos. Para obter mais informações sobre outras estratégias de encaminhamento de DNS de saída, consulte Métodos de encaminhamento de DNS na Visão geral do Cloud DNS.Para obter informações sobre como criar políticas de servidor de saída, consulte Criação de uma política de servidor de saída .

Tipos de servidores de nomes alternativos, métodos de roteamento e endereços

O Cloud DNS oferece suporte aos seguintes servidores de nomes alternativos e oferece métodos de roteamento padrão ou privados para conectividade.

Tipo de servidor de nomes alternativo Suporte de roteamento padrão Suporte para roteamento privado Intervalo de endereços de origem da consulta

Tipo de servidor de nomes alternativo	Suporte de roteamento padrão	Suporte para roteamento privado	Intervalo de endereços de origem da consulta
Servidor de nomes tipo 1 Um endereço IP interno de um Google Cloud VM na mesma rede VPC onde a política do servidor de saída é definida.	Somente endereços IP RFC 1918 — tráfego sempre roteado por meio de uma rede VPC autorizada.	Qualquer endereço IP interno, como um endereço privado RFC 1918, um endereço IP privado não RFC 1918 ou um endereço IP externo reutilizado de forma privada, exceto um endereço IP de servidor de nomes alternativo proibido — tráfego sempre roteado por meio de uma rede VPC autorizada.	`35.199.192.0/19`
Servidor de nomes tipo 2 Um endereço IP de um sistema local, conectado à rede VPC com a política de servidor de saída, usando o Cloud VPN ou o Cloud Interconnect.	Somente endereços IP RFC 1918 — tráfego sempre roteado por meio de uma rede VPC autorizada.	Qualquer endereço IP interno, como um endereço privado RFC 1918, um endereço IP privado não RFC 1918 ou um endereço IP externo reutilizado de forma privada, exceto um endereço IP de servidor de nomes alternativo proibido — tráfego sempre roteado por meio de uma rede VPC autorizada.	`35.199.192.0/19`
Servidor de nomes tipo 3 Um endereço IP externo de um servidor de nomes DNS acessível à Internet ou o endereço IP externo de um Google Cloud recurso — por exemplo, o endereço IP externo de uma VM em outra rede VPC.	Somente endereços IP externos roteáveis pela Internet — tráfego sempre roteado para a Internet ou para o endereço IP externo de um Google Cloud recurso.	O roteamento privado não é suportado.	Intervalos de origem do DNS público do Google

Servidor de nomes tipo 1

Um endereço IP interno de um Google Cloud VM na mesma rede VPC onde a política do servidor de saída é definida.

Somente endereços IP RFC 1918 — tráfego sempre roteado por meio de uma rede VPC autorizada.

Qualquer endereço IP interno, como um endereço privado RFC 1918, um endereço IP privado não RFC 1918 ou um endereço IP externo reutilizado de forma privada, exceto um endereço IP de servidor de nomes alternativo proibido — tráfego sempre roteado por meio de uma rede VPC autorizada.

35.199.192.0/19

Servidor de nomes tipo 2

Um endereço IP de um sistema local, conectado à rede VPC com a política de servidor de saída, usando o Cloud VPN ou o Cloud Interconnect.

Somente endereços IP RFC 1918 — tráfego sempre roteado por meio de uma rede VPC autorizada.

35.199.192.0/19

Servidor de nomes tipo 3

Um endereço IP externo de um servidor de nomes DNS acessível à Internet ou o endereço IP externo de um Google Cloud recurso — por exemplo, o endereço IP externo de uma VM em outra rede VPC.

Somente endereços IP externos roteáveis pela Internet — tráfego sempre roteado para a Internet ou para o endereço IP externo de um Google Cloud recurso.

O roteamento privado não é suportado.

Intervalos de origem do DNS público do Google

O Cloud DNS oferece dois métodos de roteamento para consultar servidores de nomes alternativos:

Roteamento padrão . O Cloud DNS determina o tipo de servidor de nomes alternativo usando seu endereço IP e, em seguida, usa qualquer privado ou público roteamento:
- Se o servidor de nomes alternativo for um endereço IP RFC 1918, o Cloud DNS classificará o servidor de nomes como um servidor de nomes Tipo 1 ou Tipo 2 e encaminhará as consultas por meio de uma rede VPC autorizada (roteamento privado).
- Se o servidor de nomes alternativo não for um endereço IP RFC 1918, o Cloud DNS o classificará como Tipo 3 e espera que ele seja acessível pela internet. O Cloud DNS encaminha consultas pela internet (roteamento público).
Roteamento privado . O Cloud DNS trata o servidor de nomes alternativo como Tipo 1 ou Tipo 2. O Cloud DNS sempre roteia o tráfego por meio de uma rede VPC autorizada, independentemente do endereço IP do servidor de nomes alternativo (RFC 1918 ou não).

Endereços IP de servidores de nomes alternativos proibidos

Você não pode usar os seguintes endereços IP para servidores de nomes alternativos do Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Requisitos de rede de servidores de nomes alternativos

Os requisitos de rede para servidores de nomes alternativos variam de acordo com o tipo do servidor. Para determinar o tipo de um servidor de nomes alternativo, consulte Tipos de servidores de nomes alternativos, métodos de roteamento e endereços . Em seguida, consulte uma das seções a seguir para verificar os requisitos de rede.

Requisitos de rede para servidores de nomes alternativos do Tipo 1

O Cloud DNS envia pacotes cujas origens são do35.199.192.0/19 Intervalo de endereços IP para o endereço IP do servidor de nomes alternativo Tipo 1.Google Cloud Roteia pacotes para consultas usando rotas de sub-rede locais na rede VPC. Certifique-se de não ter criado nenhuma rota baseada em política cujos destinos incluam endereços IP de servidores de nomes alternativos Tipo 1.

Para permitir pacotes de entrada em VMs de servidores de nomes alternativos, você deve criar regras de firewall de VPC de permissão de entrada ou regras em políticas de firewall com as seguintes características:

Destinos: deve incluir as VMs do servidor de nomes alternativo
Fontes:35.199.192.0/19
Protocolos: TCP e UDP
Porto: 53

O Cloud DNS exige que cada servidor de nomes alternativo envie pacotes de resposta de volta ao endereço IP do Cloud DNS em35.199.192.0/19 de onde a consulta se originou. As fontes dos pacotes de resposta devem corresponder ao endereço IP do servidor de nomes alternativo para o qual o Cloud DNS envia a consulta original. O Cloud DNS ignora as respostas se elas vierem de uma fonte de endereço IP inesperada — por exemplo, o endereço IP de outro servidor de nomes para o qual um servidor de nomes alternativo possa encaminhar uma consulta.

Quando um servidor de nomes alternativo Tipo 1 envia pacotes de resposta para35.199.192.0/19 , ele usa um caminho de roteamento especial .

Requisitos de rede para servidores de nomes alternativos do Tipo 2

O Cloud DNS envia pacotes cujas origens são do35.199.192.0/19 Intervalo de endereços IP para servidores de nomes alternativos do Tipo 2. O Cloud DNS depende dos seguintes tipos de rotas dentro da rede VPC às quais a política de servidor de saída se aplica:

Rotas estáticas , exceto para rotas estáticas que se aplicam somente a VMs por tag de rede
Rotas dinâmicas

Para permitir a entrada de pacotes em servidores de nomes alternativos Tipo 2 , certifique-se de configurar regras de firewall de permissão de entrada aplicáveis aos servidores de nomes alternativos e a qualquer equipamento de rede local relevante com recursos de firewall. A configuração efetiva do firewall deve permitir os protocolos TCP e UDP com a porta de destino 53 e35.199.192.0/19 fontes.

Sua rede local deve ter rotas para o35.199.192.0/19 destino cujos próximos saltos são túneis de VPN na Nuvem, anexos de VLAN do Cloud Interconnect ou roteadores de Nuvem localizados na mesma rede VPC e região de onde o Cloud DNS envia a consulta. Desde que os próximos saltos atendam a esses requisitos de rede e região, Google Cloud não requer um caminho de retorno simétrico. Respostas de servidores de nomes alternativos do Tipo 2 não podem ser roteadas usando nenhum dos seguintes próximos saltos:

Próximos saltos na internet
Próximos saltos em uma rede VPC diferente da rede VPC onde as consultas se originaram
Próximos saltos na mesma rede VPC, mas em uma região diferente da região onde as consultas se originaram

Para configurar o35.199.192.0/19 rotas em sua rede local, use o modo de anúncio personalizado do Cloud Router e inclua35.199.192.0/19 como um prefixo personalizado nas sessões BGP dos túneis VPN da Nuvem relevantes, anexos de VLAN do Cloud Interconnect ou Roteadores da Nuvem que conectam sua rede VPC à rede local que contém o servidor de nomes alternativo Tipo 2. Como alternativa, você pode configurar rotas estáticas equivalentes na sua rede local.

Requisitos de rede para servidores de nomes alternativos do Tipo 3

O Cloud DNS envia pacotes cujas origens correspondem aos intervalos de origem do DNS público do Google para servidores de nomes alternativos do Tipo 3. O Cloud DNS usa roteamento público — ele não depende de nenhuma rota dentro da rede VPC à qual a política de servidor de saída se aplica.

Para permitir pacotes de entrada em servidores de nomes alternativos Tipo 3 , certifique-se de que a configuração de firewall efetiva aplicável ao servidor de nomes alternativo permita pacotes dos intervalos de origem do DNS público do Google.

O que vem a seguir

Para configurar e aplicar políticas de servidor DNS, consulte Aplicar políticas de servidor DNS .