Ordem de resolução de nomes

O Cloud DNS usa o seguinte procedimento para responder a consultas de instâncias de máquina virtual (VM) do Compute Engine e nós do Google Kubernetes Engine (GKE).

Para VMs do Compute Engine diferentes de nós do GKE, o Cloud DNS segue a ordem de resolução da rede VPC para processar as consultas recebidas. Cada VM deve ser configurada para usar o endereço IP do servidor de metadados ( 169.254.169.254 ) como seu servidor de nomes.

Para nós do GKE:

1. O Cloud DNS primeiro tenta corresponder a uma consulta usando políticas de resposta com escopo de cluster e zonas privadas .

2. O Cloud DNS continua seguindo a ordem de resolução da rede VPC .

Políticas de resposta com escopo de cluster e zonas privadas

1. Correspondência usando regras em políticas de resposta com escopo de cluster do GKE . O Cloud DNS verifica todas as políticas de resposta com escopo de cluster do GKE aplicáveis ​​em busca de uma regra em que o atributo de nome DNS corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar políticas de resposta com escopo de cluster.

   1. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra servir dados locais, o Cloud DNS retornará os dados locais como sua resposta, concluindo o processo de resolução de nomes.

   2. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS continuará para a próxima etapa.

   3. Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma política de resposta aplicável ao escopo do cluster para o nó, o Cloud DNS continuará para a próxima etapa.

2. Corresponda registros em zonas privadas com escopo de cluster . O Cloud DNS verifica todas as zonas privadas gerenciadas com escopo de cluster em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros em zonas privadas com escopo de cluster.

   1. Se a correspondência mais específica para a consulta for o nome da zona de uma zona privada com escopo de cluster, o Cloud DNS usará os dados de registro dessa zona para resolver a solicitação.

      • Se a zona contiver um registro que corresponda exatamente à consulta, o Cloud DNS retornará os dados desse registro.
      • Se a zona não contiver um registro correspondente, o Cloud DNS retornará NXDOMAIN .

   2. Se a correspondência mais específica para a consulta for o nome de uma zona de encaminhamento com escopo de cluster, o Cloud DNS encaminhará a consulta para um dos destinos de encaminhamento da zona de encaminhamento para concluir o processo de resolução de nomes. O Cloud DNS retornará uma das seguintes respostas.

      • A resposta recebida do destino de encaminhamento.
      • Uma resposta SERVFAIL , se o destino de encaminhamento não responder ao Cloud DNS.

   3. Se a consulta não corresponder a nenhuma zona privada no escopo do cluster, o Cloud DNS continuará para a ordem de resolução da rede VPC .

Ordem de resolução da rede VPC

1. Correspondência usando o servidor de nomes alternativo da rede VPC . Se a rede VPC tiver uma política de servidor de saída ,Google Cloud encaminha a consulta para um dos servidores de nomes alternativos definidos nessa política para concluir o processo de resolução de nomes.

   Se houver dois ou mais servidores de nomes alternativos na política de servidor de saída, o Cloud DNS os classificará usando um algoritmo interno. Começando com classificações iguais, os servidores de nomes alternativos aumentam de classificação com base em taxas mais altas de respostas bem-sucedidas (incluindo respostas NXDOMAIN ) e no menor tempo de ida e volta (a menor latência de resposta).

   O Cloud DNS envia consultas para servidores de nomes alternativos e retorna respostas usando o seguinte processo.

   • Se houver dois ou mais servidores de nomes alternativos na política de servidor de saída, o Cloud DNS enviará primeiro a consulta ao servidor de nomes alternativo com a classificação mais alta e, em seguida, ao servidor de nomes alternativo com a classificação seguinte, caso o Cloud DNS não receba nenhuma resposta do servidor de nomes alternativo com a classificação mais alta. Se o Cloud DNS não receber nenhuma resposta do servidor de nomes alternativo com a classificação seguinte, o Cloud DNS continuará consultando os servidores de nomes alternativos em ordem decrescente de classificação até esgotar a lista de servidores de nomes alternativos.

   • Se o Cloud DNS receber uma resposta de um servidor de nomes alternativo, ele retornará essa resposta. As respostas incluem respostas NXDOMAIN .

   • Se o Cloud DNS não receber uma resposta de todos os servidores de nomes alternativos na política do servidor de saída, o Cloud DNS sintetizará uma resposta SERVFAIL . Para solucionar problemas de conectividade do servidor de nomes alternativo, consulte Requisitos de rede do servidor de nomes alternativo .

   Se a rede VPC não tiver uma política de servidor de saída, o Cloud DNS continuará para a próxima etapa.

2. Correspondência usando regras em políticas de resposta com escopo de rede VPC . O Cloud DNS verifica todas as políticas de resposta de rede VPC aplicáveis ​​em busca de uma regra em que o atributo de nome DNS corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar as políticas de resposta com escopo de rede VPC.

   1. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra servir dados locais, o Cloud DNS retornará os dados locais como sua resposta, concluindo o processo de resolução de nomes.

   2. Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS continuará para a próxima etapa.

   3. Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma política de resposta no escopo da rede VPC aplicável para a VM ou o nó, o Cloud DNS continuará para a próxima etapa.

3. Encontre registros em zonas privadas gerenciadas no escopo da rede VPC . O Cloud DNS verifica todas as zonas privadas gerenciadas autorizadas para a rede VPC em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros.

   1. Se a correspondência mais específica para a consulta for o nome da zona de uma zona privada no escopo da rede VPC, o Cloud DNS usará os dados de registro dessa zona para resolver a solicitação.

      • Se a zona contiver um registro que corresponda exatamente à consulta, o Cloud DNS retornará os dados do registro.
      • Se a zona não contiver um registro correspondente, o Cloud DNS retornará NXDOMAIN .

   2. Se a correspondência mais específica para a consulta for o nome de uma zona de encaminhamento com escopo de rede VPC, o Cloud DNS encaminhará a consulta para um dos destinos de encaminhamento da zona de encaminhamento para concluir o processo de resolução de nomes. O Cloud DNS retornará uma das seguintes respostas.

      • A resposta recebida do destino de encaminhamento.
      • Uma resposta SERVFAIL , se o destino de encaminhamento não responder ao Cloud DNS.

   3. Se a correspondência mais específica para a consulta for o nome de uma zona de peering no escopo da rede VPC, o Cloud DNS interromperá o processo atual de resolução de nomes e iniciará um novo processo de resolução de nomes da perspectiva da rede VPC de destino da zona de peering.

   Se a consulta não corresponder a uma zona privada, zona de encaminhamento ou zona de peering, o Cloud DNS continuará para a próxima etapa.

4. Corresponda registros em zonas internas do Compute Engine . O Cloud DNS verifica todas as zonas DNS internas aplicáveis ​​do Compute Engine em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros.

   1. Se a correspondência mais específica para a consulta for um nome DNS interno do Compute Engine, o Cloud DNS retornará o endereço IP interno da interface de rede da VM ou seu ponteiro de pesquisa reversa como resposta, concluindo o processo de resolução de nome.

5. Registro de correspondência usando consulta DNS pública . Google Cloud segue o registro de início de autoridade (SOA) para consultar zonas disponíveis publicamente, incluindo zonas públicas do Cloud DNS. O Cloud DNS retorna uma das seguintes respostas.

   • A resposta recebida de um servidor de nomes autoritativo.
   • Uma resposta NXDOMAIN , se o registro não existir.

Exemplo

Suponha que você tenha duas redes VPC, vpc-a e vpc-b , e um cluster GKE, cluster-a , juntamente com os seguintes recursos com escopo:

1. vpc-a está autorizado a consultar as seguintes zonas privadas. Observe o ponto final em cada entrada:

   • static.example.com.
   • 10.internal.

2. peer.com. é uma zona de peering que pode consultar a ordem de resolução de nomes VPC de vpc-b .

3. vpc-a não está associado a nenhum servidor de saída ou políticas de resposta.

4. cluster-a está autorizado a consultar uma zona privada chamada example.com . cluster-a também não está associado a nenhum servidor de saída ou políticas de resposta.

5. Uma VM no cluster-a pode consultar:

   • example.com e filhos (incluindo static.example.com ), respondidos pela zona privada chamada example.com , autorizada a cluster-a .
   • 10.internal em vpc-a .
   • peer.com usando a zona de peering.

6. Uma VM que não está no cluster-a pode consultar:

   • static.example.com e filhos, respondidos pela zona privada chamada static.example.com autorizada a vpc-a . Consultas para example.com retornam respostas da internet.
   • 10.internal em vpc-a .
   • peer.com usando a zona de peering.

O que vem a seguir

• Para encontrar soluções para problemas comuns que você pode encontrar ao usar o Cloud DNS, consulte Solução de problemas .
• Para obter uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS .
• Para saber como configurar políticas de resposta, consulte Gerenciar políticas e regras de resposta .