您可以透過 DNS 伺服器政策,設定要用來解析 Google Cloud 資源網域名稱的 DNS 伺服器。您可以使用 DNS 伺服器政策,控管特定虛擬私有雲 (VPC) 網路中的 DNS 解析。DNS 伺服器政策會指定傳入 DNS 轉送和/或傳出 DNS 轉送。傳入 DNS 伺服器政策可允許傳入 DNS 轉送,而傳出 DNS 伺服器政策則是實作傳出 DNS 轉送的一種方式。
您也可以設定 DNS64 (預先發布版),讓僅支援 IPv6 的 VM 執行個體 (預先發布版) 與僅支援 IPv4 的目的地通訊。
僅支援 IPv6 的 VPC 子網路 (前測) 不支援傳入 DNS 伺服器政策。不過,您可以為僅支援 IPv6 的 VM 執行個體設定傳出 DNS 伺服器政策 (預先發布版)。
內送伺服器政策
每個 VPC 網路都會為虛擬機器 (VM) 執行個體提供 Cloud DNS 名稱解析服務,這些執行個體的網路介面 (vNIC) 已連接至 VPC 網路。當 VM 使用中繼資料伺服器 169.254.169.254 做為名稱伺服器時, Google Cloud 會根據虛擬私有雲網路名稱解析順序搜尋 Cloud DNS 資源。
如要將 VPC 網路的名稱解析服務提供給使用 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器設備,連線至 VPC 網路的內部部署網路,您可以使用傳入伺服器政策。
建立傳入伺服器政策時,Cloud DNS 會在套用伺服器政策的 VPC 網路中建立傳入伺服器政策進入點。傳入伺服器政策進入點是內部 IPv4 位址,來自適用虛擬私有雲網路中每個子網路的主要 IPv4 位址範圍,但具有特定 --purpose 資料的子網路除外,例如某些負載平衡器的 Proxy-only 子網路,以及 Cloud NAT 用於私人 NAT 的子網路。
舉例來說,如果您的 VPC 網路包含同一個區域中的兩個子網路,以及不同區域中的第三個子網路,當您為 VPC 網路設定傳入伺服器政策時,Cloud DNS 會使用總共三個 IPv4 位址做為傳入伺服器政策的進入點,每個子網路一個。
如要瞭解如何為 VPC 建立傳入伺服器政策,請參閱「建立傳入伺服器政策」。
傳入查詢的網路和區域
為了處理傳送至傳入伺服器政策進入點的 DNS 查詢,Cloud DNS 會將查詢與 VPC 網路和區域建立關聯:
DNS 查詢的相關聯 VPC 網路是包含 Cloud VPN 通道、Cloud Interconnect VLAN 連結,或路由器機器人網路介面的 VPC 網路,該網路會接收 DNS 查詢的封包。
Google 建議您在連線至內部部署網路的虛擬私有雲網路中,建立傳入伺服器政策。這樣一來,傳入伺服器政策的進入點就會位於與 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器裝置相同的 VPC 網路中,這些連結會連線至內部部署網路。
內部部署網路可以將查詢傳送至不同 VPC 網路中的傳入伺服器政策進入點,例如,如果包含 Cloud VPN 通道、Cloud Interconnect VLAN 連結或連線至內部部署網路的路由器設備的 VPC 網路,也透過虛擬私有雲網路對等互連連線至其他 VPC 網路,不過,我們不建議使用這種設定,因為 DNS 查詢的相關聯 VPC 網路與含有內送伺服器政策的 VPC 網路不相符,也就是說,DNS 查詢不會使用含有內送伺服器政策的 VPC 網路中的 Cloud DNS 私人區域和回應政策進行解析。為避免混淆,建議您改用下列設定步驟:
- 在 VPC 網路中建立傳入伺服器政策,以便透過 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器裝置連線至內部部署網路。
- 設定內部部署系統,將 DNS 查詢傳送至上一個步驟中設定的傳入伺服器政策進入點。
設定已授權連線至內部部署網路的 VPC 網路的 Cloud DNS 資源。請使用下列一或多種方法:
- 將連線至內部部署網路的 VPC 網路,新增至已授權使用其他 VPC 網路的 Cloud DNS 私人區域的已授權網路清單:如果 Cloud DNS 私人區域和連線至內部部署網路的 VPC 網路,位於同一機構的不同專案中,請在授權網路時使用完整網路網址。詳情請參閱「設定跨專案繫結」。
- Cloud DNS 對等互連區域 (針對連線至內部部署網路的虛擬私有雲網路授權):將對等互連區域的目標網路設為其他虛擬私有雲網路。無論連線至地端部署網路的 VPC 網路是否使用 VPC 網路對等互連連線至對等互連區的目標 VPC 網路,都無關緊要,因為 Cloud DNS 對等互連區不依賴 VPC 網路對等互連連線。
如果內部部署網路使用 VPC 網路對等互連功能,將查詢傳送至傳入伺服器政策,則含有傳入伺服器政策的網路必須包含 VM、VLAN 連結或 Cloud VPN 通道,且位於與傳入查詢相同的區域。
DNS 查詢的相關聯區域「一律」是包含 Cloud VPN 通道、Cloud Interconnect VLAN 連結,或接收 DNS 查詢封包的 Router 裝置網路介面,而非包含傳入伺服器政策進入點的子網路區域。
- 舉例來說,如果 DNS 查詢的封包是透過位於
us-east1區域的 Cloud VPN 通道進入 VPC 網路,並傳送至us-west1區域中的傳入伺服器政策進入點,DNS 查詢的關聯區域就是us-east1。 - 最佳做法是將 DNS 查詢傳送至與 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器裝置相同區域的傳入伺服器政策進入點 IPv4 位址。
- 如果您使用地理位置路由政策,DNS 查詢的關聯區域就很重要。如需更多資訊,請參閱「管理 DNS 轉送政策和健康狀態檢查」。
- 舉例來說,如果 DNS 查詢的封包是透過位於
Inbound Server Policy 進入點路徑廣告
由於入站伺服器政策進入點 IP 位址是從子網路的主要 IPv4 位址範圍取得,因此當 Cloud VPN 通道、Cloud Interconnect VLAN 連結或路由器裝置的邊界閘道通訊協定 (BGP) 工作階段,已設定為使用 Cloud Router 預設廣告模式時,Cloud Router 就會廣告這些 IP 位址。如果您使用下列任一方式使用 Cloud Router 自訂廣告模式,也可以設定 BGP 工作階段,以便通告傳入伺服器政策進入點 IP 位址:
- 除了自訂前置字串外,您還可以通告子網路 IP 位址範圍。
- 您在自訂前置字串廣告中加入了內送伺服器政策進入點 IP 位址。
外寄伺服器政策
您可以建立指定替代名稱伺服器清單的傳出伺服器政策,藉此修改虛擬私人雲端網路的 Cloud DNS 名稱解析順序。當 VM 使用中繼資料伺服器 169.254.169.254 做為名稱伺服器,且您已為虛擬私人雲端網路指定替代名稱伺服器時,Cloud DNS 會將所有查詢傳送至替代名稱伺服器,除非查詢已與 Google Kubernetes Engine 叢集範圍回應政策或 GKE 叢集範圍私人區域相符。
其他名稱伺服器類型、轉送方法和位址
Cloud DNS 支援下列替代名稱伺服器,並提供標準或私人轉送方法來連線。
| 其他名稱伺服器類型 | 標準轉送支援 | 私人路由支援 | 查詢來源位址範圍 |
|---|---|---|---|
第 1 類名稱伺服器 同一個虛擬私有雲網路中,已定義傳出伺服器政策的 Google Cloud VM 內部 IP 位址。 |
僅限 RFC 1918 IP 位址:流量一律會經過授權的虛擬私有雲網路。 | 任何內部 IP 位址,例如 RFC 1918 私人位址、非 RFC 1918 私人 IP 位址,或私人重複使用的外部 IP 位址 (除了禁止的其他名稱伺服器 IP 位址),流量一律會透過已授權的 VPC 網路轉送。 | 35.199.192.0/19 |
Type 2 名稱伺服器 內部部署系統的 IP 位址,使用 Cloud VPN 或 Cloud Interconnect 連線至 VPC 網路,並套用傳出伺服器政策。 |
僅限 RFC 1918 IP 位址:流量一律會經過授權的虛擬私有雲網路。 | 任何內部 IP 位址,例如 RFC 1918 私人位址、非 RFC 1918 私人 IP 位址,或私人重複使用的外部 IP 位址 (除了禁止的其他名稱伺服器 IP 位址),流量一律會透過已授權的 VPC 網路轉送。 | 35.199.192.0/19 |
Type 3 名稱伺服器 可供網際網路存取的 DNS 名稱伺服器外部 IP 位址,或 Google Cloud 資源的外部 IP 位址,例如其他虛擬私有雲網路中的 VM 外部 IP 位址。 |
僅限可透過網際網路路由的外部 IP 位址:流量一律會路由至網際網路或 Google Cloud 資源的外部 IP 位址。 | 不支援私人路由。 | Google 公用 DNS 來源範圍 |
Cloud DNS 提供兩種查詢替代名稱伺服器的轉送方法:
標準轉送:Cloud DNS 會使用 IP 位址判斷替代名稱伺服器的類型,然後使用 私人 或公開 路由:
- 如果替代名稱伺服器是 RFC 1918 IP 位址,Cloud DNS 會將名稱伺服器歸類為 Type 1 或 Type 2 名稱伺服器,並透過已授權的 VPC 網路 (私人路由) 轉送查詢。
- 如果替代名稱伺服器「不是」RFC 1918 IP 位址,Cloud DNS 會將名稱伺服器歸類為 Type 3,並預期替代名稱伺服器可透過網際網路存取。Cloud DNS 會透過網際網路路由查詢 (公開路由)。
私人路由。Cloud DNS 會將替代名稱伺服器視為 Type 1 或 Type 2。無論替代名稱伺服器的 IP 位址是否為 RFC 1918,Cloud DNS 一律會透過授權的 VPC 網路轉送流量。
禁止的替代名稱伺服器 IP 位址
您無法使用下列 IP 位址做為 Cloud DNS 的替代名稱伺服器:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
其他名稱伺服器網路需求
替代名稱伺服器的網路需求會因替代名稱伺服器的類型而異。如要判斷替代名稱伺服器的類型,請參閱「替代名稱伺服器類型、轉送方法和位址」。然後參閱下列任一節,瞭解網路需求。
類型 1 替代名稱伺服器的網路需求
Cloud DNS 會將來源位於 35.199.192.0/19 IP 位址範圍的封包傳送至 Type 1 替代名稱伺服器 IP 位址。Google Cloud 會使用虛擬私人雲端網路中的本機子網路路由,為查詢轉送封包。確認您沒有建立任何以政策為準的路徑,其目的地包含 Type 1 替代名稱伺服器 IP 位址。
如要在替代名稱伺服器 VM 上允許傳入封包,您必須建立允許輸入的虛擬私有雲防火牆規則,或在防火牆政策中建立具有下列特性的規則:
- 目標:必須包含替代名稱伺服器 VM
- 來源:
35.199.192.0/19 - 通訊協定:
TCP和UDP - 通訊埠:
53
Cloud DNS 規定每個替代名稱伺服器都必須將回應封包傳回查詢來源 35.199.192.0/19 中的 Cloud DNS IP 位址。回應封包的來源「必須」與 Cloud DNS 傳送原始查詢的替代名稱伺服器 IP 位址相符。如果回應來自非預期的 IP 位址來源,Cloud DNS 會忽略這些回應,例如,如果其他名稱伺服器可能會將查詢轉送至其他名稱伺服器,Cloud DNS 就會忽略該其他名稱伺服器的 IP 位址。
當 Type 1 別名伺服器將回應封包傳送至 35.199.192.0/19 時,會使用特殊路由路徑。
類型 2 替代名稱伺服器的網路需求
Cloud DNS 會將來源為 35.199.192.0/19 IP 位址範圍的封包傳送至Type 2 替代名稱伺服器。Cloud DNS 會在內部虛擬私有雲網路中,依據下列類型的路徑套用傳出伺服器政策:
如要在 Type 2 替代名稱伺服器上允許傳入封包,請務必設定適用於替代名稱伺服器和任何相關內部部署網路設備的防火牆功能,以及允許輸入的防火牆規則。有效的防火牆設定必須允許 TCP 和 UDP 通訊協定,並使用目的地通訊埠 53 和 35.199.192.0/19 來源。
Cloud DNS 規定每個替代名稱伺服器都必須將回應封包傳回查詢來源 35.199.192.0/19 中的 Cloud DNS IP 位址。回應封包的來源「必須」與 Cloud DNS 傳送原始查詢的替代名稱伺服器 IP 位址相符。如果回應來自非預期的 IP 位址來源,Cloud DNS 會忽略這些回應,例如,如果其他名稱伺服器可能會將查詢轉送至其他名稱伺服器,Cloud DNS 就會忽略該其他名稱伺服器的 IP 位址。
您的內部部署網路必須具有 35.199.192.0/19 目的地的路徑,其下一個躍點是 Cloud VPN 通道、Cloud Interconnect VLAN 連結,或 Cloud DNS 傳送查詢的同一虛擬私有雲網路和地區中的 Cloud Router。只要後續中繼符合這些網路和區域需求, Google Cloud 就不需要對稱的回傳路徑。Type 2 別名名稱伺服器的回應無法使用下列任何下一個中繼路由:
- 網際網路上的下一個躍點
- 虛擬私有雲網路中的下一個躍點,與查詢來源的虛擬私有雲網路不同
- 位於同一個虛擬私有雲網路,但位於與查詢來源不同的區域中的下一個躍點
如要在內部部署網路中設定 35.199.192.0/19 路徑,請使用 Cloud Router 自訂廣告模式,並在相關 Cloud VPN 通道、Cloud Interconnect VLAN 連結或 Cloud Router 的 BGP 工作階段中,將 35.199.192.0/19 納入自訂前置字串,以便將您的 VPC 網路連線至內部部署網路,而該網路包含 Type 2 別名伺服器。或者,您也可以在內部網路中設定等效的靜態路徑。
類型 3 備用名稱伺服器的網路需求
Cloud DNS 會將來源符合 Google 公開 DNS 來源範圍的封包傳送至 Type 3 替代名稱伺服器。Cloud DNS 使用公開轉送,因此不依賴任何在套用傳出伺服器政策的 VPC 網路中的路徑。
如要在 Type 3 替代名稱伺服器上允許傳入封包,請確認套用至替代名稱伺服器的有效防火牆設定,可允許來自 Google 公用 DNS 來源範圍的封包。
後續步驟
- 如要設定及套用 DNS 伺服器政策,請參閱「套用 DNS 伺服器政策」。