Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
O Cloud DNS usa o procedimento a seguir para responder a consultas de instâncias de máquina virtual (VM) do Compute Engine e de nós do Google Kubernetes Engine (GKE).
Para VMs do Compute Engine que não sejam os nós do GKE, o Cloud DNS segue a ordem de resolução da rede VPC para processar as consultas recebidas. Cada VM precisa ser configurada de modo que use o endereço IP do servidor de metadados (169.254.169.254) como servidor de nomes.
Políticas de resposta e zonas particulares no escopo de cluster
Correspondência usando regras em políticas de resposta no escopo de cluster do GKE. O Cloud DNS verifica todas as políticas de resposta no escopo de cluster do GKE aplicáveis em busca de uma regra em que o atributo de nome de DNS corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar políticas de resposta no escopo de cluster.
Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra disponibilizar dados locais, o Cloud DNS retornará os dados locais como resposta, concluindo o processo de resolução de nome.
Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS seguirá para a próxima etapa.
Se o Cloud DNS não encontrar uma política de resposta correspondente ou se não houver uma política de resposta no escopo de cluster aplicável ao nó, o Cloud DNS seguirá para a próxima etapa.
Correspondência de registros em zonas particulares no escopo de cluster. O Cloud DNS verifica todas as zonas particulares gerenciadas no escopo de cluster em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para
encontrar registros em zonas particulares no escopo de cluster.
Se a correspondência mais específica à consulta for o nome de uma zona particular no escopo de cluster, o Cloud DNS vai usar os dados de registro dessa zona para resolver a solicitação.
Se a zona contiver um registro que corresponda exatamente à consulta, o Cloud DNS
vai retornar os dados desse registro.
Se a zona não tiver um registro correspondente, o Cloud DNS vai retornar
NXDOMAIN.
Se a correspondência mais específica à consulta for o nome de uma zona de encaminhamento no escopo de cluster, o Cloud DNS encaminhará a consulta para um dos destinos de encaminhamento da respectiva zona para concluir o processo de resolução de nome. O Cloud DNS retorna uma das respostas a seguir.
A resposta recebida do destino de encaminhamento.
Uma resposta SERVFAIL, se o destino de encaminhamento não responder ao Cloud DNS.
Se a consulta não corresponder a nenhuma zona particular no escopo de cluster,
o Cloud DNS continuará com a ordem de resolução de rede
VPC.
Ordem de resolução de rede VPC
Correspondência usando o servidor de nomes alternativo da rede VPC. Se a
rede VPC tiver uma política de servidor de saída,
Google Cloud encaminhará a consulta para um dos servidores de nomes
alternativos definidos nessa
política para concluir o processo de resolução de nome.
Se dois ou mais servidores de nomes alternativos existirem na política de servidor de saída, o Cloud DNS vai classificar os servidores de nomes alternativos usando um algoritmo interno. Começando com classificações iguais, os servidores de nomes alternativos
aumentam de classificação com base em taxas mais altas de respostas bem-sucedidas (incluindo
respostas NXDOMAIN) e com base no tempo de ida e volta mais curto (a menor
latência de resposta).
O Cloud DNS envia consultas para servidores de nomes alternativos e retorna
respostas usando o seguinte processo.
Se dois ou mais servidores de nomes alternativos existirem na política de servidor
de saída, o Cloud DNS primeiro enviará a consulta para o servidor de nomes alternativo
com a classificação mais alta e, em seguida, para o servidor de nomes alternativo
com a classificação seguinte, se o Cloud DNS não receber nenhuma resposta do servidor de nomes alternativo
com a classificação mais alta. Se o Cloud DNS não
receber nenhuma resposta do servidor de nomes alternativo de classificação seguinte,
ele continuará a consultar servidores de nomes alternativos por
classificação decrescente até esgotar a lista de servidores de nomes alternativos.
Se o Cloud DNS receber uma resposta de um servidor de nomes alternativo, ele vai retornar essa resposta. As respostas incluem
NXDOMAIN.
Se o Cloud DNS não receber uma resposta de todos
os servidores de nomes alternativos na política de servidor de saída,
ele sintetizará uma resposta SERVFAIL. Para resolver problemas de conectividade do servidor de nomes alternativo, consulte Requisitos de rede do servidor de nomes
alternativo.
Se a rede VPC não tiver uma política de servidor de saída, o Cloud DNS seguirá para a próxima etapa.
Correspondência usando regras em políticas de resposta no escopo de rede
VPC. O Cloud DNS verifica todas as políticas de resposta de rede VPC aplicáveis em busca de uma regra em que o atributo de nome de DNS corresponde ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para verificar políticas de resposta no escopo de rede VPC.
Se o Cloud DNS encontrar uma regra de política de resposta correspondente e a regra disponibilizar dados locais, o Cloud DNS retornará os dados locais como resposta, concluindo o processo de resolução de nome.
Se o Cloud DNS encontrar uma regra de política de resposta correspondente e o comportamento da regra ignorar a política de resposta, o Cloud DNS seguirá para a próxima etapa.
Se o Cloud DNS não encontrar uma política de resposta correspondente ou se
não houver uma política de resposta no escopo de rede VPC aplicável
à VM ou ao nó, o Cloud DNS vai seguir para a próxima
etapa.
Correspondência de registros em zonas particulares gerenciadas no escopo de rede VPC.
O Cloud DNS verifica todas as zonas particulares gerenciadas autorizadas para a
rede VPC em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo para encontrar registros.
Se a correspondência mais específica à consulta for o nome de uma zona particular no escopo de rede VPC, o Cloud DNS vai usar os dados de registro dessa zona para resolver a solicitação.
Se a zona contiver um registro que corresponda exatamente à consulta, o Cloud DNS
vai retornar os dados do registro.
Se a zona não tiver um registro correspondente, o Cloud DNS vai retornar
NXDOMAIN.
Se a correspondência mais específica à consulta for o nome de uma zona de encaminhamento no escopo de rede VPC, o Cloud DNS vai encaminhar a consulta para um dos destinos de encaminhamento da respectiva zona para concluir o processo de resolução de nome. O Cloud DNS retorna uma das respostas a seguir.
A resposta recebida do destino de encaminhamento.
Uma resposta SERVFAIL, se o destino de encaminhamento não responder ao Cloud DNS.
Se a correspondência mais específica à consulta for o nome de uma zona de peering no escopo de rede VPC, o Cloud DNS vai interromper o processo de resolução de nome atual e iniciar um novo processo com base na perspectiva da rede VPC de destino da zona de peering.
Se a consulta não corresponder a uma zona particular, de encaminhamento ou de peering,
o Cloud DNS vai passar para a próxima etapa.
Correspondência de registros em zonas internas do Compute Engine.
O Cloud DNS verifica todas as zonas de DNS interno do
Compute Engine aplicáveis em busca de um registro que corresponda ao máximo possível da consulta. O Cloud DNS usa a correspondência de sufixo mais longo
para encontrar registros.
Se a correspondência mais específica à consulta for um nome de DNS interno do Compute Engine, o Cloud DNS vai retornar o endereço IP interno da interface de rede da VM ou o ponteiro de pesquisa reversa como resposta, concluindo o processo de resolução de nome.
Correspondência de registro usando uma consulta DNS pública: Google Cloud segue o
registro de início de autoridade (SOA) para consultar zonas disponíveis publicamente, incluindo
zonas públicas do Cloud DNS. O Cloud DNS retorna uma das
seguintes respostas.
A resposta recebida de um servidor de nomes autoritativo.
Uma resposta NXDOMAIN, se o registro não existir.
Exemplo
Suponha que você tenha duas redes VPC, vpc-a e vpc-b, e
um cluster do GKE, cluster-a, com os seguintes recursos com
escopo:
vpc-a está autorizado a consultar as seguintes zonas particulares. Observe o ponto final em cada entrada:
static.example.com.
10.internal.
peer.com. é uma zona de peering que pode consultar a ordem de resolução de nome de VPC de vpc-b.
vpc-a não está associado a nenhum servidor de saída ou políticas de resposta.
cluster-a está autorizado a consultar uma zona particular chamada example.com.
cluster-a também não está associado a nenhuma política de resposta ou servidor de
saída.
Uma VM em cluster-a pode consultar:
example.com e filhos (incluindo static.example.com),
respondidos pela zona particular chamada example.com, autorizada a
cluster-a.
10.internal em vpc-a.
peer.com usando a zona de peering.
Uma VM que não está em cluster-a pode consultar:
static.example.com e filhos, respondidos pela zona particular chamada
static.example.com autorizada a vpc-a. As consultas para example.com
retornam respostas da Internet.
10.internal em vpc-a.
peer.com usando a zona de peering.
A seguir
Para achar soluções de problemas comuns que podem ser encontrados ao usar o Cloud DNS, consulte Solução de problemas.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-11 UTC."],[[["\u003cp\u003eCloud DNS handles queries from Compute Engine VMs by following the VPC network resolution order, with each VM needing to use the metadata server IP address (169.254.169.254) as its name server.\u003c/p\u003e\n"],["\u003cp\u003eFor GKE nodes, Cloud DNS first attempts to match queries using cluster-scoped response policies and private zones before proceeding to the VPC network resolution order.\u003c/p\u003e\n"],["\u003cp\u003eThe VPC network resolution order involves matching queries against alternative name servers, VPC network-scoped response policies, managed private zones, Compute Engine internal zones, and finally, public DNS queries.\u003c/p\u003e\n"],["\u003cp\u003eLongest-suffix matching is utilized by Cloud DNS to scan cluster-scoped and VPC network-scoped resources for records or rules that match queries.\u003c/p\u003e\n"],["\u003cp\u003eOutbound server policies help reroute queries through alternative name servers, which are ranked based on response success rates and latency, for a faster resolution.\u003c/p\u003e\n"]]],[],null,["# Name resolution order\n\nCloud DNS uses the following procedure to answer queries from\nCompute Engine virtual machine (VM) instances and\nGoogle Kubernetes Engine (GKE) nodes.\n\nFor Compute Engine VMs other than GKE nodes,\nCloud DNS follows the [VPC network resolution\norder](#vpc_steps) to process queries it receives. Each VM must be configured to\nuse the metadata server IP address (`169.254.169.254`) as its name server.\n\nFor GKE nodes:\n\n1. Cloud DNS first attempts to match a query using [cluster-scoped\n response policies and private zones](#gke_steps).\n\n2. Cloud DNS continues by following the [VPC network\n resolution order](#vpc_steps).\n\nCluster-scoped response policies and private zones\n--------------------------------------------------\n\n1. **Match using rules in GKE cluster-scoped response\n policies**. Cloud DNS scans all applicable GKE\n cluster-scoped response policies for a rule where the DNS name attribute\n matches as much of the query as possible. Cloud DNS uses\n longest-suffix matching to scan cluster-scoped response policies.\n\n 1. If Cloud DNS finds a matching response policy rule *and* the\n rule serves local data, then Cloud DNS returns the local\n data as its response, completing the name resolution process.\n\n 2. If Cloud DNS finds a matching response policy rule *and* the\n rule's behavior bypasses the response policy, then Cloud DNS\n continues to the next step.\n\n 3. If Cloud DNS fails to find a matching response policy *or* if\n there isn't an applicable cluster-scoped response policy for the node,\n then Cloud DNS continues to the next step.\n\n2. **Match records in cluster-scoped private zones**. Cloud DNS scans\n all cluster-scoped managed private zones for a record that matches as much of\n the query as possible. Cloud DNS uses longest-suffix matching to\n find records in cluster-scoped private zones.\n\n 1. If the most specific match for the query is the zone name of a\n cluster-scoped private zone, Cloud DNS uses that zone's record\n data to resolve the request.\n\n - If the zone contains a record that exactly matches the query, Cloud DNS returns that record's data.\n - If the zone doesn't contain a matching record, Cloud DNS returns `NXDOMAIN`.\n 2. If the most specific match for the query is the zone name of a\n cluster-scoped forwarding zone, then Cloud DNS forwards the\n query to one of the forwarding zone's forwarding targets to complete the\n name resolution process. Cloud DNS returns one of the following\n responses.\n\n - The response received from the forwarding target.\n - A `SERVFAIL` response, if the forwarding target doesn't respond to Cloud DNS.\n 3. If the query doesn't match any cluster-scoped private zone,\n Cloud DNS continues to the [VPC network\n resolution order](#vpc_steps).\n\nVPC network resolution order\n----------------------------\n\n1. **Match using VPC network alternative name server** . If the\n VPC network has an [outbound server\n policy](/dns/docs/server-policies-overview#dns-server-policy-out),\n Google Cloud forwards the query to one of the [alternative name\n servers](/dns/docs/server-policies-overview#altns-targets) defined in that\n policy to complete the name resolution process.\n\n If two or more alternative name servers exist in the outbound server\n policy, Cloud DNS ranks the alternative name servers using an\n internal algorithm. Beginning with equal ranks, alternative name servers\n increase in rank based on higher rates of successful responses (including\n `NXDOMAIN` responses) *and* based on the shortest round-trip time (the lowest\n response latency).\n\n Cloud DNS sends queries to alternative name servers and returns\n responses using the following process.\n - If two or more alternative name servers exist in the outbound server\n policy, Cloud DNS first sends the query to the highest-ranked\n alternative name server, then to the next-ranked alternative name\n server if Cloud DNS does *not* receive *any* response from the\n highest-ranked alternative name server. If Cloud DNS doesn't\n receive any response from the next-ranked alternative name server,\n Cloud DNS continues to query alternative name servers by\n descending rank until it exhausts the list of alternative name servers.\n\n - If Cloud DNS receives a response from an alternative name\n server, Cloud DNS returns that response. Responses include\n `NXDOMAIN` responses.\n\n - If Cloud DNS does *not* receive a response from *all*\n alternative name servers in the outbound server policy,\n Cloud DNS synthesizes a `SERVFAIL` response. To troubleshoot\n alternative name server connectivity, see [Alternative name server\n network requirements](/dns/docs/server-policies-overview#altns-net-req).\n\n If the VPC network does *not* have an outbound server policy,\n Cloud DNS continues to the next step.\n2. **Match using rules in VPC network-scoped response\n policies**. Cloud DNS scans all applicable VPC\n network response policies for a rule where the DNS name attribute matches\n as much of the query as possible. Cloud DNS uses longest-suffix\n matching to scan VPC network-scoped response policies.\n\n 1. If Cloud DNS finds a matching response policy rule *and* the\n rule serves local data, then Cloud DNS returns the local data\n as its response, completing the name resolution process.\n\n 2. If Cloud DNS finds a matching response policy rule *and* the\n rule's behavior bypasses the response policy, then Cloud DNS\n continues to the next step.\n\n 3. If Cloud DNS fails to find a matching response policy *or* if\n there isn't an applicable VPC network-scoped response\n policy for the VM or node, then Cloud DNS continues to the next\n step.\n\n3. **Match records in VPC network-scoped managed private zones**.\n Cloud DNS scans all managed private zones authorized for the\n VPC network for a record that matches as much of the query as\n possible. Cloud DNS uses longest-suffix matching to find records.\n\n 1. If the most specific match for the query is the zone name of a\n VPC network-scoped private zone, Cloud DNS uses that\n zone's record data to resolve the request.\n\n - If the zone contains a record that exactly matches the query, Cloud DNS returns the record's data.\n - If the zone doesn't contain a matching record, Cloud DNS returns `NXDOMAIN`.\n 2. If the most specific match for the query is the zone name of a\n VPC network-scoped forwarding zone, then Cloud DNS\n forwards the query to one of the forwarding zone's forwarding targets to\n complete the name resolution process. Cloud DNS returns one of\n the following responses.\n\n - The response received from the forwarding target.\n - A `SERVFAIL` response, if the forwarding target doesn't respond to Cloud DNS.\n 3. If the most specific match for the query is the name of a VPC\n network-scoped peering zone, Cloud DNS stops the current name\n resolution process and begins a new name resolution process from the\n perspective of the peering zone's target VPC network.\n\n If the query doesn't match a private zone, forwarding zone, or peering zone,\n Cloud DNS continues to the next step.\n4. **Match records in Compute Engine internal zones** .\n Cloud DNS scans all applicable [Compute Engine\n internal DNS zones](/compute/docs/internal-dns) for a record that matches as\n much of the query as possible. Cloud DNS uses longest-suffix\n matching to find records.\n\n 1. If the most specific match for the query is a Compute Engine internal DNS name, Cloud DNS returns the internal IP address of the VM's network interface or its reverse lookup pointer as its response, completing the name resolution process.\n5. **Match record using public DNS query**. Google Cloud follows the\n start of authority (SOA) record to query publicly available zones, including\n Cloud DNS public zones. Cloud DNS returns one of the\n following responses.\n\n - The response received from an authoritative name server.\n - An `NXDOMAIN` response, if the record doesn't exist.\n\nExample\n-------\n\nSuppose that you have two VPC networks, `vpc-a` and `vpc-b`, and\na GKE cluster, `cluster-a`, along with the following scoped\nresources:\n\n1. `vpc-a` is authorized to query the following private zones. Note the trailing\n dot in each entry:\n\n - `static.example.com.`\n - `10.internal.`\n2. `peer.com.` is a peering zone that can query the VPC\n name resolution order of `vpc-b`.\n\n3. `vpc-a` is not associated with any outbound server or response policies.\n\n4. `cluster-a` is authorized to query a private zone called `example.com`.\n `cluster-a` is also not associated with any outbound server or response\n policies.\n\n5. A VM in `cluster-a` can query:\n\n - `example.com` and children (including `static.example.com`), answered by the private zone called `example.com`, authorized to `cluster-a`.\n - `10.internal` on `vpc-a`.\n - `peer.com` by using the peering zone.\n6. A VM that is *not* in `cluster-a` can query:\n\n - `static.example.com` and children, answered by the private zone called `static.example.com` authorized to `vpc-a`. Queries for `example.com` return internet responses.\n - `10.internal` on `vpc-a`.\n - `peer.com` by using the peering zone.\n\nWhat's next\n-----------\n\n- To find solutions for common issues that you might encounter when using Cloud DNS, see [Troubleshooting](/dns/docs/troubleshooting).\n- To get an overview of Cloud DNS, see [Cloud DNS overview](/dns/docs/overview).\n- To learn how to configure response policies, see [Manage response policies\n and rules](/dns/docs/zones/manage-response-policies)."]]
