Esta página se ha traducido con Cloud Translation API.

Crear una zona de reenvío,Crear una zona de reenvío,Crear una zona de reenvío,Crear una zona de reenvío

Esta página proporciona instrucciones sobre cómo crear una zona de reenvío. Para obtener información detallada, consulte Zonas de reenvío .

Permisos necesarios para esta tarea

Para realizar esta tarea, se le deben haber otorgado los siguientes permisos o los siguientes roles de IAM.

Permisos

dns.managedZones.create para crear una zona administrada
dns.managedZones.list para enumerar las zonas administradas
dns.managedZones.update para actualizar una zona administrada
dns.managedZones.patch para actualizar una zona administrada

Roles

roles/dns.admin

Antes de comenzar, asegúrese de comprender lo siguiente:

Las diferencias entre el enrutamiento estándar y privado como se muestra en Destinos de reenvío y métodos de enrutamiento
Los métodos de reenvío de DNS saliente
Los requisitos de red para el reenvío de destinos
Las mejores prácticas para las zonas de reenvío de DNS en la nube

Para crear una nueva zona de reenvío privada administrada, complete los siguientes pasos.

Consola

En el Google Cloud consola, vaya a la página Crear una zona DNS .
Vaya a Crear una zona DNS
Para el tipo de Zona , seleccione Privada .
Introduzca un nombre de zona como por ejemplo my-new-zone .
Introduzca un sufijo de nombre DNS para la zona privada. Todos los registros de la zona comparten este sufijo. Por ejemplo, example.private .
Opcional: agregue una descripción.
En Opciones , seleccione Reenviar consultas a otro servidor .
Seleccione las redes en las que debe ser visible la zona privada.
Para agregar un destino de reenvío, haga clic en elemento . Puede agregar varias direcciones IP o un solo nombre de dominio completo (FQDN). El destino de reenvío debe ser una lista de direcciones IP o un FQDN. No se pueden usar direcciones IP y un FQDN en la misma zona.
Para forzar el enrutamiento privado al destino de reenvío, en Reenvío privado , seleccione la casilla de verificación Habilitar .
Haga clic en Crear .

nube g

Ejecute el comando dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Reemplace lo siguiente:

NAME : un nombre para tu zona
DESCRIPTION : una descripción de su zona
DNS_SUFFIX : el sufijo DNS para su zona, como por ejemplo example.private
VPC_NETWORK_LIST : una lista delimitada por comas de redes VPC que están autorizadas a consultar la zona
FORWARDING_TARGETS_LIST : una lista de direcciones IP delimitadas por comas o un único nombre de dominio completo al que se envían las consultas. Los nombres de dominio se resuelven a sus direcciones IP. RFC 1918: Las direcciones IP especificadas con este indicador deben estar ubicadas en su red de VPC o en una red local conectada a Google CloudUsando Cloud VPN o Cloud Interconnect. Las direcciones IP no RFC 1918 especificadas con esta bandera deben ser accesibles a través de Internet.
PRIVATE_FORWARDING_TARGETS_LIST : una lista de direcciones IP, delimitada por comas, o un único nombre de dominio completo al que se envían las consultas. Los nombres de dominio se resuelven a sus direcciones IP. Cualquier dirección IP especificada con este indicador debe estar ubicada en su red de VPC o en una red local conectada a ella. Google Cloud utilizando Cloud VPN o Cloud Interconnect.

Terraformar

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Envíe una solicitud POST utilizando el método managedZones.create :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Reemplace lo siguiente:

PROJECT_ID : el ID del proyecto donde se crea la zona administrada
NAME : un nombre para tu zona
DESCRIPTION : una descripción de su zona
DNS_NAME : el sufijo DNS para su zona, como por ejemplo example.private
VPC_NETWORK_1 y VPC_NETWORK_2 : URL de las redes de VPC del mismo proyecto que pueden consultar registros en esta zona. Puede agregar varias redes de VPC como se indica. Para determinar la URL de una red de VPC, descríbala con el siguiente comando gcloud , reemplazando VPC_NETWORK_NAME por el nombre de la red:
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 y FORWARDING_TARGET_2 : Direcciones IP de los servidores de nombres de destino de reenvío o un único nombre de dominio completo. Puede agregar varias direcciones IP según se indica. Las direcciones IP RFC 1918 especificadas aquí deben estar ubicadas en su red de VPC o en una red local conectada a Google Cloud Usando Cloud VPN o Cloud Interconnect. Las direcciones IP no RFC 1918 especificadas con esta bandera deben ser accesibles a través de Internet.

Requisitos de la red de destino de reenvío

Cuando Cloud DNS envía solicitudes a destinos de reenvío, envía paquetes con los rangos de origen enumerados en la siguiente tabla.

Tipo de destino de reenvío Rangos de fuentes

Tipo de destino de reenvío	Rangos de fuentes
Objetivo tipo 1 Una dirección IP interna de un Google Cloud VM o un balanceador de carga de red de paso interno en la misma red VPC que está autorizado a usar la zona de reenvío. Objetivo de tipo 2 Una dirección IP de un sistema local, conectado a la red VPC autorizada para usar la zona de reenvío, mediante Cloud VPN o Cloud Interconnect. Para obtener más información sobre qué direcciones IP son compatibles, consulte Destinos de reenvío y métodos de enrutamiento .	`35.199.192.0/19` Cloud DNS utiliza el`35.199.192.0/19` Rango de origen para todos los clientes. Este rango solo es accesible desde un Google Cloud Red VPC o desde una red local conectada a una red VPC.
Objetivo tipo 3 Una dirección IP externa de un servidor de nombres DNS accesible a Internet o la dirección IP externa de un Google Cloud recurso; por ejemplo, la dirección IP externa de una VM en otra red VPC.	Rangos de origen del DNS público de Google
Objetivo tipo 4 Un nombre de dominio completo de un servidor de nombres de destino que resuelve direcciones IPv4 o IPv6 mediante el orden de resolución de red de VPC . El nombre de dominio puede resolver hasta 50 direcciones IP. Las direcciones IP resueltas pueden ser de tipo objetivo 1 a 3.	Dependiendo de las direcciones IP resueltas, los rangos de origen pueden ser uno de los siguientes: 35.199.192.0/19 Rangos de origen del DNS público de Google

Objetivo tipo 1

Una dirección IP interna de un Google Cloud VM o un balanceador de carga de red de paso interno en la misma red VPC que está autorizado a usar la zona de reenvío.

Objetivo de tipo 2

Una dirección IP de un sistema local, conectado a la red VPC autorizada para usar la zona de reenvío, mediante Cloud VPN o Cloud Interconnect.

Para obtener más información sobre qué direcciones IP son compatibles, consulte Destinos de reenvío y métodos de enrutamiento .

35.199.192.0/19

Cloud DNS utiliza el35.199.192.0/19 Rango de origen para todos los clientes. Este rango solo es accesible desde un Google Cloud Red VPC o desde una red local conectada a una red VPC.

Objetivo tipo 3

Una dirección IP externa de un servidor de nombres DNS accesible a Internet o la dirección IP externa de un Google Cloud recurso; por ejemplo, la dirección IP externa de una VM en otra red VPC.

Rangos de origen del DNS público de Google

Objetivo tipo 4

Un nombre de dominio completo de un servidor de nombres de destino que resuelve direcciones IPv4 o IPv6 mediante el orden de resolución de red de VPC . El nombre de dominio puede resolver hasta 50 direcciones IP.

Las direcciones IP resueltas pueden ser de tipo objetivo 1 a 3.

Dependiendo de las direcciones IP resueltas, los rangos de origen pueden ser uno de los siguientes:

35.199.192.0/19
Rangos de origen del DNS público de Google

Objetivos de tipo 1 y tipo 2

Cloud DNS requiere lo siguiente para acceder a un destino de tipo 1 o tipo 2. Estos requisitos son los mismos independientemente de si el destino es una dirección IP RFC 1918 y se utiliza el enrutamiento estándar o si se elige el enrutamiento privado:

Configuración de firewall para35.199.192.0/19
Para los destinos de tipo 1, cree una regla de firewall que permita el acceso al tráfico del puerto TCP y UDP 53 , aplicable a sus destinos de reenvío en cada red VPC autorizada. Para los destinos de tipo 2, configure un firewall de red local y equipos similares para permitir el puerto TCP y UDP 53 .
Ruta al destino de reenvío
Para los destinos de tipo 1, Cloud DNS utiliza una ruta de subred para acceder al destino en la red de VPC autorizada para usar la zona de reenvío. Para los destinos de nombre de tipo 2, Cloud DNS utiliza rutas dinámicas o estáticas personalizadas , excepto las rutas estáticas etiquetadas, para acceder al destino de reenvío.
Ruta de regreso a35.199.192.0/19 a través de la misma red VPC
Para los objetivos de tipo 1, Google Cloud utiliza una ruta de enrutamiento especial para el35.199.192.0/19 destino. Para los destinos de tipo 2, su red local debe tener una ruta para el35.199.192.0/19 destino, cuyo próximo salto está en la misma red VPC donde se originó la solicitud, a través de un túnel VPN en la nube o un adjunto de VLAN para Cloud Interconnect. Para obtener información sobre cómo cumplir con este requisito, consulte las estrategias de ruta de retorno para destinos de tipo 2 .
Respuesta directa del objetivo
El DNS en la nube requiere que el destino de reenvío que recibe los paquetes sea el que envía las respuestas.35.199.192.0/19 . Si su destino de reenvío envía la solicitud a un servidor de nombres diferente y ese otro servidor de nombres responde a35.199.192.0/19 Cloud DNS ignora la respuesta. Por razones de seguridad, Google Cloud espera que la dirección de origen de la respuesta DNS de cada servidor de nombres de destino coincida con la dirección IP del destino de reenvío.

Estrategias de ruta de retorno para objetivos de tipo 2

Cloud DNS no puede enviar respuestas desde destinos de reenvío de tipo 2 a través de internet ni de una red VPC diferente. Las respuestas deben regresar a la misma red VPC, aunque pueden usar cualquier túnel o conexión VLAN de Cloud VPN en esa misma red.

Para los túneles VPN en la nube que utilizan enrutamiento estático, cree manualmente una ruta en su red local cuyo destino sea35.199.192.0/19 Y cuyo siguiente salto es el túnel VPN en la nube. Para los túneles VPN en la nube que utilizan enrutamiento basado en políticas, configure el selector de tráfico local de la VPN en la nube y el selector de tráfico remoto de la puerta de enlace VPN local para incluir...35.199.192.0/19 .
Para los túneles VPN en la nube que utilizan enrutamiento dinámico o para Cloud Interconnect, configure un anuncio de ruta personalizado para35.199.192.0/19 en la sesión BGP del Cloud Router que administra el túnel o la conexión VLAN.

Objetivos de tipo 3

Cuando Cloud DNS utiliza el enrutamiento estándar para acceder a una dirección IP externa, espera que el destino del reenvío sea un sistema en Internet, de acceso público, o una dirección IP externa de un Google Cloud recurso.

Por ejemplo, un objetivo de tipo 3 incluye la dirección IP externa de una máquina virtual en una red de VPC diferente.

No se admite el enrutamiento privado a objetivos de tipo 3.

Objetivos de tipo 4

Un objetivo de Tipo 4 primero resuelve su dirección IP. El objetivo de reenvío resuelto puede entonces resolverse a hasta 50 direcciones IP, que pueden ser IPv4 o IPv6. Dependiendo de la red del objetivo de reenvío resuelto, el objetivo de Tipo 4 tiene los mismos requisitos de red que un objetivo de Tipo 1, 2 o 3.

Para conocer requisitos adicionales sobre el uso de un FQDN como destino de reenvío, consulte Usar zonas de reenvío .

¿Qué sigue?

Para trabajar con zonas administradas, consulte Crear, modificar y eliminar zonas .
Para encontrar soluciones a problemas comunes que pueda encontrar al usar Cloud DNS, consulte Solución de problemas .
Para obtener una descripción general de Cloud DNS, consulte Descripción general de Cloud DNS .