Orden de resolución de nombres

Cloud DNS utiliza el siguiente procedimiento para responder consultas de instancias de máquinas virtuales (VM) de Compute Engine y nodos de Google Kubernetes Engine (GKE).

Para las máquinas virtuales de Compute Engine que no sean nodos de GKE, Cloud DNS sigue el orden de resolución de la red de VPC para procesar las consultas que recibe. Cada máquina virtual debe estar configurada para usar la dirección IP del servidor de metadatos ( 169.254.169.254 ) como servidor de nombres.

Para los nodos de GKE:

1. Cloud DNS primero intenta hacer coincidir una consulta utilizando políticas de respuesta con alcance de clúster y zonas privadas .

2. Cloud DNS continúa siguiendo el orden de resolución de red de VPC .

Políticas de respuesta con alcance de clúster y zonas privadas

1. Coincidencia mediante reglas en las políticas de respuesta de GKE con ámbito de clúster . Cloud DNS analiza todas las políticas de respuesta de GKE aplicables con ámbito de clúster en busca de una regla cuyo atributo de nombre DNS coincida con la mayor parte posible de la consulta. Cloud DNS utiliza la coincidencia del sufijo más largo para analizar las políticas de respuesta con ámbito de clúster.

   1. Si Cloud DNS encuentra una regla de política de respuesta coincidente y la regla proporciona datos locales, Cloud DNS devuelve los datos locales como respuesta, completando así el proceso de resolución de nombres.

   2. Si Cloud DNS encuentra una regla de política de respuesta coincidente y el comportamiento de la regla omite la política de respuesta, Cloud DNS continúa con el siguiente paso.

   3. Si Cloud DNS no encuentra una política de respuesta coincidente o si no hay una política de respuesta aplicable a todo el clúster para el nodo, Cloud DNS continúa con el siguiente paso.

2. Coincidir registros en zonas privadas de clúster . Cloud DNS escanea todas las zonas privadas administradas de clúster en busca de un registro que coincida con la mayor parte posible de la consulta. Cloud DNS utiliza la coincidencia de sufijo más largo para encontrar registros en zonas privadas de clúster.

   1. Si la coincidencia más específica para la consulta es el nombre de la zona de una zona privada con alcance de clúster, Cloud DNS utiliza los datos de registro de esa zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS devuelve los datos de ese registro.
      • Si la zona no contiene un registro coincidente, Cloud DNS devuelve NXDOMAIN .

   2. Si la coincidencia más específica de la consulta es el nombre de una zona de reenvío de clúster, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona para completar el proceso de resolución de nombres. Cloud DNS devuelve una de las siguientes respuestas.

      • La respuesta recibida del destino de reenvío.
      • Una respuesta SERVFAIL , si el destino de reenvío no responde a Cloud DNS.

   3. Si la consulta no coincide con ninguna zona privada con alcance de clúster, Cloud DNS continúa con el orden de resolución de red de VPC .

Orden de resolución de la red VPC

1. Coincidencia mediante un servidor de nombres alternativo de la red VPC . Si la red VPC tiene una política de servidor de salida ,Google Cloud reenvía la consulta a uno de los servidores de nombres alternativos definidos en esa política para completar el proceso de resolución de nombres.

   Si existen dos o más servidores de nombres alternativos en la política de servidores de salida, Cloud DNS los clasifica mediante un algoritmo interno. A partir de rangos iguales, los servidores de nombres alternativos aumentan su clasificación según la mayor tasa de respuestas correctas (incluidas las respuestas de NXDOMAIN ) y el menor tiempo de respuesta (la menor latencia de respuesta).

   Cloud DNS envía consultas a servidores de nombres alternativos y devuelve respuestas mediante el siguiente proceso.

   • Si existen dos o más servidores de nombres alternativos en la política de servidores de salida, Cloud DNS envía primero la consulta al servidor de nombres alternativo de mayor rango y, si no recibe respuesta del primero, al siguiente. Si no recibe respuesta del segundo, continúa consultando los servidores de nombres alternativos en orden descendente hasta agotar la lista.

   • Si Cloud DNS recibe una respuesta de un servidor de nombres alternativo, la devuelve. Las respuestas incluyen las respuestas NXDOMAIN .

   • Si Cloud DNS no recibe respuesta de todos los servidores de nombres alternativos de la política de servidores de salida, genera una respuesta SERVFAIL . Para solucionar problemas de conectividad con servidores de nombres alternativos, consulte Requisitos de red para servidores de nombres alternativos .

   Si la red VPC no tiene una política de servidor saliente, Cloud DNS continúa con el siguiente paso.

2. Coincidencia mediante reglas en políticas de respuesta de red de VPC . Cloud DNS analiza todas las políticas de respuesta de red de VPC aplicables en busca de una regla cuyo atributo de nombre DNS coincida con la mayor parte posible de la consulta. Cloud DNS utiliza la coincidencia del sufijo más largo para analizar las políticas de respuesta de red de VPC.

   1. Si Cloud DNS encuentra una regla de política de respuesta coincidente y la regla proporciona datos locales, Cloud DNS devuelve los datos locales como respuesta, completando así el proceso de resolución de nombres.

   2. Si Cloud DNS encuentra una regla de política de respuesta coincidente y el comportamiento de la regla omite la política de respuesta, Cloud DNS continúa con el siguiente paso.

   3. Si Cloud DNS no encuentra una política de respuesta coincidente o si no hay una política de respuesta con alcance de red de VPC aplicable para la máquina virtual o el nodo, Cloud DNS continúa con el siguiente paso.

3. Coincidir registros en zonas privadas administradas con alcance de red de VPC . Cloud DNS escanea todas las zonas privadas administradas autorizadas para la red de VPC en busca de un registro que coincida con la mayor parte posible de la consulta. Cloud DNS utiliza la coincidencia del sufijo más largo para encontrar registros.

   1. Si la coincidencia más específica para la consulta es el nombre de la zona de una zona privada con alcance de red VPC, Cloud DNS utiliza los datos de registro de esa zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS devuelve los datos del registro.
      • Si la zona no contiene un registro coincidente, Cloud DNS devuelve NXDOMAIN .

   2. Si la coincidencia más específica de la consulta es el nombre de zona de una zona de reenvío de red de VPC, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona para completar el proceso de resolución de nombres. Cloud DNS devuelve una de las siguientes respuestas.

      • La respuesta recibida del destino de reenvío.
      • Una respuesta SERVFAIL , si el destino de reenvío no responde a Cloud DNS.

   3. Si la coincidencia más específica para la consulta es el nombre de una zona de emparejamiento con alcance de red de VPC, Cloud DNS detiene el proceso de resolución de nombres actual y comienza un nuevo proceso de resolución de nombres desde la perspectiva de la red de VPC de destino de la zona de emparejamiento.

   Si la consulta no coincide con una zona privada, una zona de reenvío o una zona de intercambio, Cloud DNS continúa con el siguiente paso.

4. Coincidir registros en zonas internas de Compute Engine . Cloud DNS escanea todas las zonas DNS internas de Compute Engine aplicables en busca de un registro que coincida con la mayor parte posible de la consulta. Cloud DNS utiliza la coincidencia del sufijo más largo para encontrar registros.

   1. Si la coincidencia más específica para la consulta es un nombre DNS interno de Compute Engine, Cloud DNS devuelve la dirección IP interna de la interfaz de red de la VM o su puntero de búsqueda inversa como respuesta, completando el proceso de resolución de nombres.

5. Coincidencia de registros mediante una consulta DNS pública . Google Cloud Sigue el registro de inicio de autoridad (SOA) para consultar zonas disponibles públicamente, incluidas las zonas públicas de Cloud DNSCloud DNS devuelve una de las siguientes respuestas.

   • La respuesta recibida de un servidor de nombres autorizado.
   • Una respuesta NXDOMAIN , si el registro no existe.

Ejemplo

Supongamos que tiene dos redes VPC, vpc-a y vpc-b , y un clúster de GKE, cluster-a , junto con los siguientes recursos con alcance:

1. vpc-a está autorizado a consultar las siguientes zonas privadas. Observe el punto final en cada entrada:

   • static.example.com.
   • 10.internal.

2. peer.com. es una zona de peering que puede consultar el orden de resolución de nombres de VPC de vpc-b .

3. vpc-a no está asociado con ningún servidor de salida ni con ninguna política de respuesta.

4. cluster-a está autorizado a consultar una zona privada llamada example.com . cluster-a tampoco está asociado con ningún servidor de salida ni con ninguna política de respuesta.

5. Una máquina virtual del cluster-a puede consultar:

   • example.com y sus hijos (incluido static.example.com ), respondidos por la zona privada llamada example.com , autorizada al cluster-a .
   • 10.internal en vpc-a .
   • peer.com mediante el uso de la zona de peering.

6. Una máquina virtual que no está en cluster-a puede consultar:

   • static.example.com y sus elementos secundarios, respondidos por la zona privada static.example.com autorizada a vpc-a . Las consultas a example.com devuelven respuestas de internet.
   • 10.internal en vpc-a .
   • peer.com mediante el uso de la zona de peering.

¿Qué sigue?

• Para encontrar soluciones a problemas comunes que pueda encontrar al usar Cloud DNS, consulte Solución de problemas .
• Para obtener una descripción general de Cloud DNS, consulte Descripción general de Cloud DNS .
• Para saber cómo configurar políticas de respuesta, consulte Administrar políticas y reglas de respuesta .