Reihenfolge der Namensauflösung

Cloud DNS verwendet das folgende Verfahren, um Abfragen von Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten (GKE) zu beantworten.

Bei anderen Compute Engine-VMs als GKE-Knoten folgt Cloud DNS der Reihenfolge der Auflösung für VPC-Netzwerke, um eingehende Abfragen zu verarbeiten. Jede VM muss so konfiguriert sein, dass sie die IP-Adresse des Metadatenservers (169.254.169.254) als Nameserver verwendet.

Für GKE-Knoten:

  1. Cloud DNS versucht zuerst, eine Abfrage mithilfe von Antwortrichtlinien und privaten Zonen auf Clusterebene abzugleichen.

  2. Cloud DNS folgt dann der Reihenfolge der Auflösung für das VPC-Netzwerk.

Antwortrichtlinien auf Clusterebene und private Zonen

  1. Übereinstimmung mithilfe von Regeln in Antwortrichtlinien auf GKE-Cluster-Clusterebene Cloud DNS sucht in allen relevanten Antwortrichtlinien auf Clusterebene in GKE nach einer Regel, bei der das DNS-Namenattribut möglichst genau mit der Abfrage übereinstimmt. Cloud DNS verwendet das Abgleichverfahren „Longest Suffix“, um Antwortrichtlinien auf Clusterebene zu prüfen.

    1. Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel lokale Daten bereitstellt, gibt Cloud DNS die lokalen Daten als Antwort zurück und schließt die Namensauflösung ab.

    2. Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel die Antwortrichtlinie umgeht, fährt Cloud DNS mit dem nächsten Schritt fort.

    3. Wenn Cloud DNS keine übereinstimmende Antwortrichtlinie findet oder wenn es keine anwendbare Antwortrichtlinie auf Clusterebene für den Knoten gibt, fährt Cloud DNS mit dem nächsten Schritt fort.

  2. Einträge in privaten Zonen auf Clusterebene abgleichen Cloud DNS sucht in allen verwalteten privaten Zonen auf Clusterebene nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS verwendet das Abgleichverfahren „Längstes gemeinsames Suffix“, um Einträge in privaten Zonen auf Clusterebene zu finden.

    1. Wenn der Zonenname einer privaten Zone auf Clusterebene die beste Übereinstimmung für die Abfrage ist, verwendet Cloud DNS die Eintragsdaten dieser Zone, um die Anfrage zu lösen.

      • Wenn die Zone einen Eintrag enthält, der genau mit der Abfrage übereinstimmt, gibt Cloud DNS die Daten dieses Eintrags zurück.
      • Wenn die Zone keinen übereinstimmenden Eintrag enthält, gibt Cloud DNS NXDOMAIN zurück.
    2. Wenn der Zonenname einer Weiterleitungszone in Clusterebene die beste Übereinstimmung für die Abfrage ist, leitet Cloud DNS die Abfrage an eines der Weiterleitungsziele der Weiterleitungszone weiter, um die Namensauflösung abzuschließen. Cloud DNS gibt eine der folgenden Antworten zurück.

      • Die Antwort, die vom Weiterleitungsziel empfangen wurde.
      • Eine SERVFAIL-Antwort, wenn das Weiterleitungsziel nicht auf Cloud DNS reagiert.
    3. Wenn die Abfrage nicht mit einer privaten Zone auf Clusterebene übereinstimmt, fährt Cloud DNS mit der Reihenfolge der Auflösung des VPC-Netzwerks fort.

Reihenfolge der VPC-Netzwerkauflösung

  1. Übereinstimmung mit dem alternativen Nameserver des VPC-Netzwerks Wenn für das VPC-Netzwerk eine Serverrichtlinie für ausgehenden Traffic konfiguriert ist, leitet Google Cloud die Abfrage an einen der in dieser Richtlinie definierten alternativen Nameserver weiter, um die Namensauflösung abzuschließen.

    Wenn in der ausgehenden Serverrichtlinie zwei oder mehr alternative Nameserver vorhanden sind, werden diese von Cloud DNS anhand eines internen Algorithmus sortiert. Ausgehend von gleichen Rängen steigen alternative Nameserver aufgrund einer höheren Rate erfolgreicher Antworten (einschließlich NXDOMAIN-Antworten) und aufgrund der kürzesten Umlaufzeit (der niedrigsten Antwortlatenz) in der Rangfolge auf.

    Cloud DNS sendet Abfragen an alternative Nameserver und gibt Antworten mit dem folgenden Verfahren zurück.

    • Wenn in der ausgehenden Serverrichtlinie zwei oder mehr alternative Nameserver vorhanden sind, sendet Cloud DNS die Abfrage zuerst an den alternativen Nameserver mit dem höchsten Rang und dann an den alternativen Nameserver mit dem nächsthöheren Rang, wenn Cloud DNS keine Antwort vom alternativen Nameserver mit dem höchsten Rang erhält. Wenn Cloud DNS keine Antwort vom nächsten alternativen Nameserver erhält, werden alternative Nameserver in absteigender Reihenfolge abgefragt, bis die Liste der alternativen Nameserver aufgebraucht ist.

    • Wenn Cloud DNS eine Antwort von einem alternativen Nameserver empfängt, gibt Cloud DNS diese Antwort zurück. Antworten enthalten NXDOMAIN Antworten.

    • Wenn Cloud DNS keine Antwort von allen alternativen Nameservern in der ausgehenden Serverrichtlinie erhält, synthetisiert Cloud DNS eine SERVFAIL-Antwort. Informationen zur Fehlerbehebung bei der Verbindung mit alternativen Nameservern finden Sie unter Netzwerkanforderungen für alternative Nameserver.

    Wenn das VPC-Netzwerk keine Serverrichtlinie für ausgehenden Traffic hat, fährt Cloud DNS mit dem nächsten Schritt fort.

  2. Übereinstimmung mithilfe von Regeln in VPC-Netzwerk-Antwortrichtlinien Cloud DNS sucht in allen anwendbaren VPC-Netzwerk-Antwortrichtlinien nach einer Regel, bei der das DNS-Namenattribut so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS verwendet das Abgleichsprinzip „Longest Suffix“, um Antwortrichtlinien auf VPC-Netzwerk zu prüfen.

    1. Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel lokale Daten bereitstellt, gibt Cloud DNS die lokalen Daten als Antwort zurück und schließt den Vorgang zur Namensauflösung ab.

    2. Wenn Cloud DNS eine übereinstimmende Antwortrichtlinienregel findet und die Regel die Antwortrichtlinie umgeht, fährt Cloud DNS mit dem nächsten Schritt fort.

    3. Wenn Cloud DNS keine übereinstimmende Antwortrichtlinie findet oder wenn es keine anwendbare Antwortrichtlinie auf VPC-Netzwerk für die VM oder den Knoten gibt, fährt Cloud DNS mit dem nächsten Schritt fort.

  3. Datensätze in verwalteten privaten Zonen auf VPC-Netzwerk abgleichen Cloud DNS sucht in allen verwalteten privaten Zonen, die für das VPC-Netzwerk autorisiert sind, nach einem Eintrag, der der Abfrage so weit wie möglich entspricht. Cloud DNS verwendet die Abgleichmethode „Längstes gemeinsames Suffix“, um Einträge zu finden.

    1. Wenn der Zonenname einer privaten Zone im VPC-Netzwerk die beste Übereinstimmung für die Abfrage ist, verwendet Cloud DNS die Eintragsdaten dieser Zone, um die Anfrage zu lösen.

      • Wenn die Zone einen Eintrag enthält, der genau mit der Abfrage übereinstimmt, gibt Cloud DNS die Daten des Eintrags zurück.
      • Wenn die Zone keinen übereinstimmenden Eintrag enthält, gibt Cloud DNS NXDOMAIN zurück.
    2. Wenn die am besten passende Übereinstimmung für die Abfrage der Zonenname einer Weiterleitungszone auf VPC-Netzwerk ist, leitet Cloud DNS die Abfrage an eines der Weiterleitungsziele der Weiterleitungszone weiter, um die Namensauflösung abzuschließen. Cloud DNS gibt eine der folgenden Antworten zurück.

      • Die Antwort, die vom Weiterleitungsziel empfangen wurde.
      • Eine SERVFAIL-Antwort, wenn das Weiterleitungsziel nicht auf Cloud DNS reagiert.
    3. Wenn der am besten passende Wert für die Abfrage der Name einer Peering-Zone auf VPC-Netzwerkebene ist, beendet Cloud DNS den aktuellen Namensauflösungsprozess und startet einen neuen Namensauflösungsprozess aus der Perspektive des Ziel-VPC-Netzwerk der Peering-Zone.

    Wenn die Anfrage nicht mit einer privaten Zone, einer Weiterleitungszone oder einer Peeringzone übereinstimmt, fährt Cloud DNS mit dem nächsten Schritt fort.

  4. Einträge in internen Compute Engine-Zonen abgleichen Cloud DNS sucht in allen internen DNS-Zonen der Compute Engine nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS verwendet das Abgleichverfahren „Längstes gemeinsames Suffix“, um Einträge zu finden.

    1. Wenn die genaueste Übereinstimmung für die Abfrage ein interner DNS-Name der Compute Engine ist, gibt Cloud DNS die interne IP-Adresse der Netzwerkschnittstelle der VM oder den Rückwärtssuchzeiger als Antwort zurück und schließt damit die Namensauflösung ab.
  5. Eintrag mithilfe einer öffentlichen DNS-Abfrage abgleichen Google Cloud folgt dem SOA-Eintrag (Start of Authority), um öffentlich verfügbare Zonen abzufragen, einschließlich öffentlicher Cloud DNS-Zonen. Cloud DNS gibt eine der folgenden Antworten zurück.

    • Die Antwort, die von einem autoritativen Nameserver empfangen wurde.
    • Eine NXDOMAIN-Antwort, wenn der Eintrag nicht vorhanden ist.

Beispiel

Angenommen, Sie haben die zwei VPC-Netzwerke vpc-a und vpc-b sowie den GKE-Cluster cluster-a und die folgenden bereichsbezogenen Ressourcen:

  1. vpc-a ist berechtigt, die folgenden privaten Zonen abzufragen. Beachten Sie den abschließenden Punkt in jedem Eintrag:

    • static.example.com.
    • 10.internal.
  2. peer.com. ist eine Peering-Zone, über die die Reihenfolge der VPC-Namensauflösung von vpc-b abgefragt werden kann.

  3. vpc-a ist mit keinem ausgehenden Server oder Antwortrichtlinien verknüpft.

  4. cluster-a ist berechtigt, eine private Zone mit dem Namen example.com abzufragen. cluster-a ist auch mit keinem ausgehenden Server oder Antwortrichtlinien verknüpft.

  5. Eine VM in cluster-a kann Folgendes abfragen:

    • example.com und untergeordnete Elemente (einschließlich static.example.com), beantwortet von der privaten Zone example.com, die für cluster-a autorisiert ist.
    • 10.internal auf vpc-a.
    • peer.com durch Verwenden der Peering-Zone.
  6. Eine VM, die nicht in cluster-a enthalten ist, kann Folgendes abfragen:

    • static.example.com und untergeordnete Elemente, beantwortet von der privaten Zone static.example.com, die für vpc-a autorisiert ist. Abfragen für example.com geben Internetantworten zurück.
    • 10.internal auf vpc-a.
    • peer.com durch Verwenden der Peering-Zone.

Nächste Schritte