建立跨專案繫結可用區

本頁面提供如何建立可啟用跨專案繫結的可用區的操作說明。如需詳細背景資訊，請參閱「跨專案繫結」。

這項工作需要的權限

如要執行這項工作，您必須具備以下權限或以下 IAM 角色。

權限

• dns.networks.bindPrivateDNSZone 在擁有虛擬私有雲網路的專案上
• dns.managedZones.create 在擁有 DNS 區域的專案上

角色

• roles/dns.admin

限制

• 您的專案必須屬於同一個機構。
• 您無法將區域與機構外專案中的 VPC 網路建立關聯。

設定跨專案繫結

您可以建立代管私人可用區，並繫結至同機構中其他專案擁有的網路。請勿在同一個專案中指定網路，而是在同一個機構下的其他專案中指定網路的網址。

範例：假設您有兩個專案：專案 A 和 專案 B。虛擬私有雲網路位於專案 A 中。如要確保該虛擬私有雲網路中的所有 VM 都能解析 專案 B 中的 DNS 區域，請按照下列步驟操作。

1. 如要取得網路網址，請在專案 A 中使用 gcloud compute networks describe 指令：

   gcloud compute networks describe NETWORK_NAME
   

   將 NETWORK_NAME 替換為 專案 A 中的 VPC 網路名稱。

   輸出內容會將網路網址列為 SelfLink，這是您需要的網址。輸出看起來類似以下內容：

   autoCreateSubnetworks: true
   creationTimestamp: '2021-08-11T14:07:16.454-07:00'
   description: Default network for the project
   id: '2485375699124847339'
   kind: compute#network
   name: default
   routingConfig:
    routingMode: REGIONAL
   selfLink: https://www.googleapis.com/compute/v1/projects/project-a/global/networks/default
   subnetworks:
   

2. 在您要建立或管理 DNS 區域的 專案 B 中，執行 dns managed-zones create 指令，即可建立私人區域：

   gcloud dns managed-zones create NAME \
    --dns-name=DNS_SUFFIX \
    --description="Cross Project Binding" \
    --visibility=private \
    --networks=VPC_NETWORK
   

   更改下列內容：

   • NAME：可用區名稱
   • DNS_SUFFIX：區域的 DNS 後置字串，例如 example.private
   • VPC_NETWORK：獲授權從 project A 查詢區域的共用 VPC 網址，例如 https://www.googleapis.com/compute/v1/projects/project-a/global/networks/default。

   這會在您要建立及管理 DNS 可用區的 專案 B 中建立不公開區域。輸出內容會與下列內容相似：

   Created
   [https://dns.googleapis.com/dns/v1/projects/project-b/managedZones/my-zone].
   

後續步驟

• 如要使用受管理的區域，請參閱「建立、修改及刪除區域」。
• 如要找出使用 Cloud DNS 時可能遇到的常見問題解決方案，請參閱「疑難排解」。
• 如要瞭解 Cloud DNS 的總體概況，請參閱 Cloud DNS 總覽。