Orden de resolución de nombres

Cloud DNS usa el siguiente procedimiento para responder consultas: instancias de máquina virtual (VM) de Compute Engine y nodos de Google Kubernetes Engine (GKE).

En el caso de las VMs de Compute Engine que no son nodos de GKE, Cloud DNS sigue el orden de resolución de la red de VPC para procesar las consultas que recibe. Cada VM debe configurarse para usa la dirección IP del servidor de metadatos (169.254.169.254) como su servidor de nombres.

Para los nodos de GKE:

  1. Cloud DNS primero intenta hacer coincidir una consulta con políticas de respuesta y zonas privadas centradas en el clúster.

  2. Cloud DNS continúa siguiendo la red de VPC orden de resolución.

Políticas de respuesta con permiso de clúster y zonas privadas

  1. Establece coincidencias con reglas en la respuesta con permiso de clúster de GKE políticas. Cloud DNS analiza todos los recursos de GKE políticas de respuesta con permiso de clúster para una regla en la que el atributo nombre de DNS coincida con la mayor parte posible de la consulta. Usos de Cloud DNS coincidencia con el sufijo más largo para analizar políticas de respuesta con alcance de clúster.

    1. Si Cloud DNS encuentra una regla de política de respuesta que coincida y el entrega a los datos locales, entonces Cloud DNS devuelve la como respuesta, lo que completa el proceso de resolución de nombres.

    2. Si Cloud DNS encuentra una regla de política de respuesta que coincida y el el comportamiento de la regla omite la política de respuesta, continúa con el siguiente paso.

    3. Si Cloud DNS no encuentra una política de respuesta coincidente o si no hay una política de respuesta aplicable centrada en el clúster para el nodo, Cloud DNS continúa con el siguiente paso.

  2. Haz coincidir los registros en zonas privadas con permiso de clúster. Análisis de Cloud DNS todas las zonas privadas administradas con alcance de clúster para un registro que coincida con la mayor la consulta como sea posible. Cloud DNS utiliza la coincidencia con el sufijo más largo para buscar registros en zonas privadas con permiso de clúster.

    1. Si la coincidencia más específica de la consulta es el nombre de zona de una zona privada centrada en el clúster, Cloud DNS usa los datos de registro de esa zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS muestra los datos de ese registro.
      • Si la zona no contiene un registro coincidente, Cloud DNS muestra NXDOMAIN

    2. Si la coincidencia más específica para la consulta es el nombre de la zona de una con alcance de clúster y, luego, Cloud DNS reenvía a uno de los destinos de reenvío de la zona de reenvío para completar de resolución de nombres. Cloud DNS devuelve uno de los siguientes de respuestas ante incidentes.

      • Es la respuesta recibida del destino de reenvío.
      • Una respuesta SERVFAIL, si el destino de reenvío no responde a Cloud DNS

    3. Si la consulta no coincide con ninguna zona privada con permiso de clúster, Cloud DNS continúa a la red de VPC orden de resolución.

Orden de resolución de la red de VPC

  1. Haz coincidir con el servidor de nombres alternativo de la red de VPC. Si el botón de VPC tiene un servidor de salida política, Google Cloud reenvía la consulta a uno de los nombres alternativos. de servidores definidos en ese para completar el proceso de resolución de nombres.

    Si existen dos o más servidores de nombres alternativos en el servidor saliente , Cloud DNS clasifica los servidores de nombres alternativos con un algoritmo interno. A partir de clasificaciones iguales, los servidores de nombres alternativos aumentan en clasificación en función de tasas más altas de respuestas correctas (incluidas las respuestas NXDOMAIN) y en función del tiempo de ida y vuelta más corto (la latencia de respuesta más baja).

    Cloud DNS envía consultas a servidores de nombres alternativos y devuelve respuestas mediante el siguiente proceso.

    • Si existen dos o más servidores de nombres alternativos en el servidor saliente , Cloud DNS primero envía la consulta a la fuente de datos al servidor de nombres alternativo y, luego, al nombre alternativo clasificado si Cloud DNS no recibe ninguna respuesta del y el servidor de nombres alternativo con la clasificación más alta. Si Cloud DNS no tiene cualquier respuesta del servidor de nombres alternativo clasificado Cloud DNS continúa consultando servidores de nombres alternativos descenderá hasta agotar la lista de servidores de nombres alternativos.

    • Si Cloud DNS recibe una respuesta de un nombre alternativo servidor, Cloud DNS devuelve esa respuesta. Las respuestas incluyen NXDOMAIN respuestas.

    • Si Cloud DNS no recibe una respuesta de todos servidores de nombres alternativos en la política del servidor saliente Cloud DNS sintetiza una respuesta SERVFAIL. Para solucionar problemas de conectividad del servidor de nombres alternativo, consulta Requisitos de red del servidor de nombres alternativo.

    Si la red de VPC no tiene una política del servidor saliente, Cloud DNS continúa con el paso siguiente.

  2. Coincidencias con reglas en la respuesta con alcance de red de VPC políticas. Cloud DNS analiza todas las políticas de respuesta de red de VPC aplicables en busca de una regla en la que el atributo de nombre de DNS coincida con la mayor parte posible de la consulta. Cloud DNS usa el sufijo más largo para analizar políticas de respuesta con alcance de red de VPC.

    1. Si Cloud DNS encuentra una regla de política de respuesta que coincida y la regla entrega datos locales, Cloud DNS muestra los datos locales como su respuesta y completa el proceso de resolución de nombres.

    2. Si Cloud DNS encuentra una regla de política de respuesta que coincida y el el comportamiento de la regla omite la política de respuesta, continúa con el siguiente paso.

    3. Si Cloud DNS no encuentra una política de respuesta que coincida, o si no hay una respuesta aplicable con alcance de red de VPC política para la VM o el nodo, Cloud DNS continúa con la siguiente paso.

  3. Haz coincidir los registros en zonas privadas administradas y con alcance de red de VPC. Cloud DNS analiza todas las zonas privadas administradas autorizadas para el red de VPC para un registro que coincida con la mayor cantidad de consultas posible como sea posible. Cloud DNS usa la coincidencia con el sufijo más largo para encontrar registros.

    1. Si la coincidencia más específica para la consulta es el nombre de la zona de una Zona privada con alcance de red de VPC, Cloud DNS usa esa los datos de los registros de la zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS devuelve los datos del registro.
      • Si la zona no contiene un registro coincidente, Cloud DNS muestra NXDOMAIN

    2. Si la coincidencia más específica para la consulta es el nombre de la zona de una Zona de reenvío con alcance de red de VPC y, luego, Cloud DNS reenviará la consulta a uno de los destinos de reenvío de la zona de reenvío, completa el proceso de resolución de nombres. Cloud DNS devuelve uno de las siguientes respuestas.

      • Es la respuesta recibida del destino de reenvío.
      • Una respuesta SERVFAIL, si el destino de reenvío no responde Cloud DNS:

    3. Si la coincidencia más específica para la consulta es el nombre de una VPC de intercambio de tráfico con alcance de red, Cloud DNS detiene el de resolución de nombres de dominio y comienza un nuevo proceso de resolución de nombres a partir del de la red de VPC de destino de la zona de intercambio de tráfico.

    Si la consulta no coincide con ninguna zona privada, de reenvío ni de intercambio de tráfico, Cloud DNS continúa con el paso siguiente.

  4. Haz coincidir los registros en las zonas internas de Compute Engine. Cloud DNS analiza todas las instancias de Compute Engine zonas del DNS internas para un registro que coincida la mayor parte posible de la consulta. Cloud DNS usa el sufijo más largo la coincidencia para encontrar registros.

    1. Si la coincidencia más específica de la consulta es un nombre de DNS interno de Compute Engine, Cloud DNS muestra la dirección IP interna de la interfaz de red de la VM o su puntero de búsqueda inversa como respuesta, lo que completa el proceso de resolución de nombres.

  5. Registro de coincidencias usando una consulta de DNS pública. Google Cloud sigue los inicio de autoridad (SOA) para consultar zonas disponibles públicamente, como Zonas públicas de Cloud DNS. Cloud DNS muestra una de las siguientes respuestas.

    • Es la respuesta recibida de un servidor de nombres autorizado.
    • Una respuesta NXDOMAIN, si el registro no existe

Ejemplo

Supongamos que tienes dos redes de VPC, vpc-a y vpc-b, y un clúster de GKE, cluster-a, junto con los siguientes recursos con permiso:

  1. vpc-a está autorizado para consultar las siguientes zonas privadas. Observa el final en cada entrada:

    • static.example.com.
    • 10.internal.

  2. peer.com. es una zona de intercambio de tráfico que puede consultar la VPC orden de resolución de nombres de vpc-b.

  3. vpc-a no está asociado con ningún servidor saliente ni política de respuesta.

  4. cluster-a está autorizado para consultar una zona privada llamada example.com. cluster-a tampoco está asociado con ningún servidor saliente ni política de respuesta.

  5. Una VM en cluster-a puede consultar lo siguiente:

    • example.com y sus elementos secundarios (incluido static.example.com), que reciben respuesta de la zona privada llamada example.com, están autorizados para cluster-a
    • 10.internal en vpc-a.
    • peer.com mediante la zona de intercambio de tráfico.

  6. Una VM que no está en cluster-a puede consultar lo siguiente:

    • static.example.com y los elementos secundarios, que reciben respuesta de la zona privada llamada static.example.com, están autorizados para vpc-a Las consultas para example.com muestran respuestas de Internet.
    • 10.internal en vpc-a.
    • peer.com mediante la zona de intercambio de tráfico.

¿Qué sigue?