Cloud DNS verwendet das folgende Verfahren, um Abfragen von Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten (GKE) zu beantworten.
Bei anderen Compute Engine-VMs als GKE-Knoten folgt Cloud DNS der Reihenfolge der Auflösung für VPC-Netzwerke, um eingehende Abfragen zu verarbeiten. Jede VM muss so konfiguriert sein, dass sie die IP-Adresse des Metadatenservers (169.254.169.254
) als Nameserver verwendet.
Für GKE-Knoten:
Cloud DNS versucht zuerst, eine Abfrage mithilfe von Antwortrichtlinien und privaten Zonen auf Clusterebene abzugleichen.
Cloud DNS folgt dann der Reihenfolge der Auflösung für das VPC-Netzwerk.
Antwortrichtlinien auf Clusterebene und private Zonen
Übereinstimmung mithilfe von Regeln in Antwortrichtlinien auf GKE-Cluster-Clusterebene Cloud DNS sucht in allen relevanten Antwortrichtlinien auf Clusterebene in GKE nach einer Regel, bei der das DNS-Namenattribut möglichst genau mit der Abfrage übereinstimmt. Cloud DNS verwendet das Abgleichverfahren „Longest Suffix“, um Antwortrichtlinien auf Clusterebene zu prüfen.
Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel lokale Daten bereitstellt, gibt Cloud DNS die lokalen Daten als Antwort zurück und schließt die Namensauflösung ab.
Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel die Antwortrichtlinie umgeht, fährt Cloud DNS mit dem nächsten Schritt fort.
Wenn Cloud DNS keine übereinstimmende Antwortrichtlinie findet oder wenn es keine anwendbare Antwortrichtlinie auf Clusterebene für den Knoten gibt, fährt Cloud DNS mit dem nächsten Schritt fort.
Einträge in privaten Zonen auf Clusterebene abgleichen Cloud DNS sucht in allen verwalteten privaten Zonen auf Clusterebene nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS verwendet das Abgleichverfahren „Längstes gemeinsames Suffix“, um Einträge in privaten Zonen auf Clusterebene zu finden.
Wenn der Zonenname einer privaten Zone auf Clusterebene die beste Übereinstimmung für die Abfrage ist, verwendet Cloud DNS die Eintragsdaten dieser Zone, um die Anfrage zu lösen.
- Wenn die Zone einen Eintrag enthält, der genau mit der Abfrage übereinstimmt, gibt Cloud DNS die Daten dieses Eintrags zurück.
- Wenn die Zone keinen übereinstimmenden Eintrag enthält, gibt Cloud DNS
NXDOMAIN
zurück.
Wenn der Zonenname einer Weiterleitungszone in Clusterebene die beste Übereinstimmung für die Abfrage ist, leitet Cloud DNS die Abfrage an eines der Weiterleitungsziele der Weiterleitungszone weiter, um die Namensauflösung abzuschließen. Cloud DNS gibt eine der folgenden Antworten zurück.
- Die Antwort, die vom Weiterleitungsziel empfangen wurde.
- Eine
SERVFAIL
-Antwort, wenn das Weiterleitungsziel nicht auf Cloud DNS reagiert.
Wenn die Abfrage nicht mit einer privaten Zone auf Clusterebene übereinstimmt, fährt Cloud DNS mit der Reihenfolge der Auflösung des VPC-Netzwerks fort.
Reihenfolge der VPC-Netzwerkauflösung
Übereinstimmung mit dem alternativen Nameserver des VPC-Netzwerks Wenn für das VPC-Netzwerk eine Serverrichtlinie für ausgehenden Traffic konfiguriert ist, leitet Google Cloud die Abfrage an einen der in dieser Richtlinie definierten alternativen Nameserver weiter, um die Namensauflösung abzuschließen.
Wenn in der ausgehenden Serverrichtlinie zwei oder mehr alternative Nameserver vorhanden sind, werden diese von Cloud DNS anhand eines internen Algorithmus sortiert. Ausgehend von gleichen Rängen steigen alternative Nameserver aufgrund einer höheren Rate erfolgreicher Antworten (einschließlich
NXDOMAIN
-Antworten) und aufgrund der kürzesten Umlaufzeit (der niedrigsten Antwortlatenz) in der Rangfolge auf.Cloud DNS sendet Abfragen an alternative Nameserver und gibt Antworten mit dem folgenden Verfahren zurück.
Wenn in der ausgehenden Serverrichtlinie zwei oder mehr alternative Nameserver vorhanden sind, sendet Cloud DNS die Abfrage zuerst an den alternativen Nameserver mit dem höchsten Rang und dann an den alternativen Nameserver mit dem nächsthöheren Rang, wenn Cloud DNS keine Antwort vom alternativen Nameserver mit dem höchsten Rang erhält. Wenn Cloud DNS keine Antwort vom nächsten alternativen Nameserver erhält, werden alternative Nameserver in absteigender Reihenfolge abgefragt, bis die Liste der alternativen Nameserver aufgebraucht ist.
Wenn Cloud DNS eine Antwort von einem alternativen Nameserver empfängt, gibt Cloud DNS diese Antwort zurück. Antworten enthalten
NXDOMAIN
Antworten.Wenn Cloud DNS keine Antwort von allen alternativen Nameservern in der ausgehenden Serverrichtlinie erhält, synthetisiert Cloud DNS eine
SERVFAIL
-Antwort. Informationen zur Fehlerbehebung bei der Verbindung mit alternativen Nameservern finden Sie unter Netzwerkanforderungen für alternative Nameserver.
Wenn das VPC-Netzwerk keine Serverrichtlinie für ausgehenden Traffic hat, fährt Cloud DNS mit dem nächsten Schritt fort.
Übereinstimmung mithilfe von Regeln in VPC-Netzwerk-Antwortrichtlinien Cloud DNS sucht in allen anwendbaren VPC-Netzwerk-Antwortrichtlinien nach einer Regel, bei der das DNS-Namenattribut so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS verwendet das Abgleichsprinzip „Longest Suffix“, um Antwortrichtlinien auf VPC-Netzwerk zu prüfen.
Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel lokale Daten bereitstellt, gibt Cloud DNS die lokalen Daten als Antwort zurück und schließt den Vorgang zur Namensauflösung ab.
Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel die Antwortrichtlinie umgeht, fährt Cloud DNS mit dem nächsten Schritt fort.
Wenn Cloud DNS keine übereinstimmende Antwortrichtlinie findet oder wenn es keine anwendbare Antwortrichtlinie auf VPC-Netzwerk für die VM oder den Knoten gibt, fährt Cloud DNS mit dem nächsten Schritt fort.
Datensätze in verwalteten privaten Zonen auf VPC-Netzwerk abgleichen Cloud DNS sucht in allen verwalteten privaten Zonen, die für das VPC-Netzwerk autorisiert sind, nach einem Eintrag, der der Abfrage so weit wie möglich entspricht. Cloud DNS verwendet die Abgleichmethode „Längstes gemeinsames Suffix“, um Einträge zu finden.
Wenn der Zonenname einer privaten Zone im VPC-Netzwerk die beste Übereinstimmung für die Abfrage ist, verwendet Cloud DNS die Eintragsdaten dieser Zone, um die Anfrage zu lösen.
- Wenn die Zone einen Eintrag enthält, der genau mit der Abfrage übereinstimmt, gibt Cloud DNS die Daten des Eintrags zurück.
- Wenn die Zone keinen übereinstimmenden Eintrag enthält, gibt Cloud DNS
NXDOMAIN
zurück.
Wenn die am besten passende Übereinstimmung für die Abfrage der Zonenname einer Weiterleitungszone auf VPC-Netzwerk ist, leitet Cloud DNS die Abfrage an eines der Weiterleitungsziele der Weiterleitungszone weiter, um die Namensauflösung abzuschließen. Cloud DNS gibt eine der folgenden Antworten zurück.
- Die Antwort, die vom Weiterleitungsziel empfangen wurde.
- Eine
SERVFAIL
-Antwort, wenn das Weiterleitungsziel nicht auf Cloud DNS reagiert.
Wenn der am besten passende Wert für die Abfrage der Name einer Peering-Zone auf VPC-Netzwerkebene ist, beendet Cloud DNS den aktuellen Namensauflösungsprozess und startet einen neuen Namensauflösungsprozess aus der Perspektive des Ziel-VPC-Netzwerk der Peering-Zone.
Wenn die Anfrage nicht mit einer privaten Zone, einer Weiterleitungszone oder einer Peeringzone übereinstimmt, fährt Cloud DNS mit dem nächsten Schritt fort.
Einträge in internen Compute Engine-Zonen abgleichen Cloud DNS sucht in allen internen DNS-Zonen der Compute Engine nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS verwendet das Abgleichverfahren „Längstes gemeinsames Suffix“, um Einträge zu finden.
- Wenn die genaueste Übereinstimmung für die Abfrage ein interner DNS-Name der Compute Engine ist, gibt Cloud DNS die interne IP-Adresse der Netzwerkschnittstelle der VM oder den Rückwärtssuchzeiger als Antwort zurück und schließt damit die Namensauflösung ab.
Eintrag mithilfe einer öffentlichen DNS-Abfrage abgleichen Google Cloud folgt dem SOA-Eintrag (Start of Authority), um öffentlich verfügbare Zonen abzufragen, einschließlich öffentlicher Cloud DNS-Zonen. Cloud DNS gibt eine der folgenden Antworten zurück.
- Die Antwort, die von einem autoritativen Nameserver empfangen wurde.
- Eine
NXDOMAIN
-Antwort, wenn der Eintrag nicht vorhanden ist.
Beispiel
Angenommen, Sie haben die zwei VPC-Netzwerke vpc-a
und vpc-b
sowie den GKE-Cluster cluster-a
und die folgenden bereichsbezogenen Ressourcen:
vpc-a
ist berechtigt, die folgenden privaten Zonen abzufragen. Beachten Sie den abschließenden Punkt in jedem Eintrag:static.example.com.
10.internal.
peer.com.
ist eine Peering-Zone, über die die Reihenfolge der VPC-Namensauflösung vonvpc-b
abgefragt werden kann.vpc-a
ist mit keinem ausgehenden Server oder Antwortrichtlinien verknüpft.cluster-a
ist berechtigt, eine private Zone mit dem Namenexample.com
abzufragen.cluster-a
ist auch mit keinem ausgehenden Server oder Antwortrichtlinien verknüpft.Eine VM in
cluster-a
kann Folgendes abfragen:example.com
und untergeordnete Elemente (einschließlichstatic.example.com
), beantwortet von der privaten Zoneexample.com
, die fürcluster-a
autorisiert ist.10.internal
aufvpc-a
.peer.com
durch Verwenden der Peering-Zone.
Eine VM, die nicht in
cluster-a
enthalten ist, kann Folgendes abfragen:static.example.com
und untergeordnete Elemente, beantwortet von der privaten Zonestatic.example.com
, die fürvpc-a
autorisiert ist. Abfragen fürexample.com
geben Internetantworten zurück.10.internal
aufvpc-a
.peer.com
durch Verwenden der Peering-Zone.
Nächste Schritte
- Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können finden Sie unter Fehlerbehebung.
- Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.
- Informationen zum Konfigurieren von Antwortrichtlinien finden Sie unter Antwortrichtlinien und Regeln verwalten.