Crea una zona di inoltro

Questa pagina fornisce istruzioni su come creare una zona di inoltro. Per informazioni di base dettagliate, vedi Zone di inoltro.

Prima di iniziare, verifica di aver compreso quanto segue:

Per creare una nuova zona di inoltro privato gestita, completa i seguenti passaggi.

Console

  1. Nella console Google Cloud , vai alla pagina Crea una zona DNS.

    Vai a Crea una zona DNS

  2. Per Tipo di zona, seleziona Privata.

  3. Inserisci un Nome zona, ad esempio my-new-zone.

  4. Inserisci un suffisso del nome DNS per la zona privata. Tutti i record nella zona condividono questo suffisso. Ad esempio, example.private.

  5. (Facoltativo) Aggiungi una descrizione.

  6. Nella sezione Opzioni, seleziona Inoltra le query a un altro server.

  7. Seleziona le reti a cui deve essere visibile la zona privata.

  8. Per aggiungere una destinazione di inoltro, fai clic su Aggiungi elemento. Puoi aggiungere più indirizzi IP o un singolo nome di dominio completo (FQDN). Il target di forwarding deve essere un elenco di indirizzi IP o un FQDN. Non puoi utilizzare sia indirizzi IP che un nome di dominio completo nella stessa zona.

  9. Per forzare il routing privato alla destinazione di inoltro, seleziona la casella di controllo Abilita in Inoltro privato.

  10. Fai clic su Crea.

gcloud

Esegui il comando dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Sostituisci quanto segue:

  • NAME: un nome per la zona
  • DESCRIPTION: una descrizione della zona
  • DNS_SUFFIX: il suffisso DNS per la zona, ad esempio example.private
  • VPC_NETWORK_LIST: un elenco separato da virgole di reti VPC autorizzate a eseguire query sulla zona
  • FORWARDING_TARGETS_LIST: un elenco delimitato da virgole di indirizzi IP o un singolo nome di dominio completo a cui vengono inviate le query. I nomi di dominio vengono risolti nei relativi indirizzi IP. Gli indirizzi IP RFC 1918 specificati con questo flag devono trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloudutilizzando Cloud VPN o Cloud Interconnect. Gli indirizzi IP non RFC 1918 specificati con questo flag devono essere accessibili a internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: un elenco delimitato da virgole di indirizzi IP o un singolo nome di dominio completo a cui vengono inviate le query. I nomi di dominio vengono risolti nei relativi indirizzi IP. Qualsiasi indirizzo IP specificato con questo flag deve trovarsi nella tua rete VPC o in una rete on-premise connessa a Google Cloud utilizzando Cloud VPN o Cloud Interconnect.

Terraform 

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Invia una richiesta POST utilizzando il metodo managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui viene creata la zona gestita
  • NAME: un nome per la zona
  • DESCRIPTION: una descrizione della zona
  • DNS_NAME: il suffisso DNS per la zona, ad esempio example.private
  • VPC_NETWORK_1 e VPC_NETWORK_2: URL per le reti VPC nello stesso progetto in grado di eseguire query sui record in questa zona. Puoi aggiungere più reti VPC come indicato. Per determinare l'URL di una rete VPC, descrivi la rete con il seguente comando gcloud, sostituendo VPC_NETWORK_NAME con il nome della rete: 
    gcloud compute networks describe VPC_NETWORK_NAME 
    
   --format="get(selfLink)"
  • FORWARDING_TARGET_1 e FORWARDING_TARGET_2: Indirizzi IP dei nameserver di destinazione del forwarding o un singolo nome di dominio completo. Puoi aggiungere più indirizzi IP come indicato. Gli indirizzi IP RFC 1918 specificati qui devono trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloud tramite Cloud VPN o Cloud Interconnect. Gli indirizzi IP non RFC 1918 specificati con questo flag devono essere accessibili a internet.

Requisiti di rete del target di forwarding

Quando Cloud DNS invia richieste alle destinazioni di forwarding, invia pacchetti con gli intervalli di origine elencati nella tabella seguente.

Tipo di destinazione forwarding Intervalli di origine

Target di tipo 1

Un indirizzo IP interno di una VM Google Cloud o di un bilanciatore del carico di rete passthrough interno nella stessa rete VPC autorizzata a utilizzare la zona di forwarding.

Destinazione di tipo 2

Un indirizzo IP di un sistema on-premise, connesso alla rete VPC autorizzata a utilizzare la zona di forwarding, utilizzando Cloud VPN o Cloud Interconnect.

Per saperne di più sugli indirizzi IP supportati, consulta Destinazioni di forwarding e metodi di routing.

35.199.192.0/19

Cloud DNS utilizza l'intervallo di origine 35.199.192.0/19 per tutti i clienti. Questo intervallo è accessibile solo da una rete VPC Google Cloud o da una rete on-premise connessa a una rete VPC.

Tipo di target 3

Un indirizzo IP esterno di un server dei nomi DNS accessibile a internet o l'indirizzo IP esterno di una risorsa Google Cloud , ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC.

 Intervalli di origine di Google Public DNS

Target di tipo 4

Un nome di dominio completo di un server dei nomi di destinazione che si risolve in indirizzi IPv4 e IPv6 tramite l' ordine di risoluzione della rete VPC. Il nome di dominio può essere risolto in un massimo di 50 indirizzi IP.

Gli indirizzi IP risolti possono essere di tipo 1-3.

A seconda degli indirizzi IP risolti, gli intervalli di origine possono essere uno dei seguenti:

Target di tipo 1 e di tipo 2

Cloud DNS richiede quanto segue per accedere a una destinazione di tipo 1 o 2. Questi requisiti sono gli stessi indipendentemente dal fatto che la destinazione sia un indirizzo IP RFC 1918 e che tu stia utilizzando il routing standard o se scegli il routing privato:

  • Configurazione del firewall per 35.199.192.0/19

    Per le destinazioni di tipo 1, crea una regola firewall di autorizzazione in entrata per il traffico TCP e UDP sulla porta 53, applicabile alle destinazioni di inoltro in ogni rete VPC autorizzata. Per le destinazioni di tipo 2, configura un firewall di rete on-premise e apparecchiature simili per consentire la porta TCP e UDP 53.

  • Percorso verso il target di forwarding

    Per le destinazioni di tipo 1, Cloud DNS utilizza una route di subnet per accedere alla destinazione nella rete VPC autorizzata a utilizzare la zona di inoltro. Per i target di nomi di tipo 2, Cloud DNS utilizza route dinamiche personalizzate o statiche personalizzate, ad eccezione delle route statiche taggate, per accedere al target di forwarding.

  • Percorso di ritorno a 35.199.192.0/19 tramite la stessa rete VPC

    Per i target di tipo 1, Google Cloud utilizza un percorso di routing speciale per la destinazione 35.199.192.0/19. Per le destinazioni di tipo 2, la tua rete on-premise deve avere una route per la destinazione 35.199.192.0/19, il cui hop successivo si trova nella stessa rete VPC da cui ha avuto origine la richiesta, tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. Per informazioni su come soddisfare questo requisito, consulta Strategie di percorso di ritorno per target di tipo 2.

  • Risposta diretta dal target

    Cloud DNS richiede che la destinazione di inoltro che riceve i pacchetti sia quella che invia le risposte a 35.199.192.0/19. Se il target di inoltro invia la richiesta a un server dei nomi diverso e questo altro server dei nomi risponde a 35.199.192.0/19, Cloud DNS ignora la risposta. Per motivi di sicurezza, Google Cloud si aspetta che l'indirizzo di origine della risposta DNS di ogni server dei nomi di destinazione corrisponda all'indirizzo IP della destinazione di forwarding.

Strategie di percorso di ritorno per i target di tipo 2

Cloud DNS non può inviare risposte dalle destinazioni di inoltro di tipo 2 su internet o tramite una rete VPC diversa. Le risposte devono tornare alla stessa rete VPC, anche se possono utilizzare qualsiasi tunnel Cloud VPN o collegamento VLAN nella stessa rete.

  • Per i tunnel Cloud VPN che utilizzano il routing statico, crea manualmente una route nella tua rete on-premise la cui destinazione è 35.199.192.0/19 e il cui hop successivo è il tunnel Cloud VPN. Per i tunnel Cloud VPN che utilizzano il routing basato su criteri, configura il selettore di traffico locale di Cloud VPN e il selettore di traffico remoto del gateway VPN on-premise in modo da includere 35.199.192.0/19.
  • Per i tunnel Cloud VPN che utilizzano il routing dinamico o per Cloud Interconnect, configura una pubblicità di route personalizzata per 35.199.192.0/19 nella sessione BGP del router Cloud che gestisce il tunnel o il collegamento VLAN.

Target di tipo 3

Quando Cloud DNS utilizza il routing standard per accedere a un indirizzo IP esterno, si aspetta che la destinazione di forwarding sia un sistema su internet, accessibile pubblicamente, o un indirizzo IP esterno di una risorsa Google Cloud .

Ad esempio, una destinazione di tipo 3 include l'indirizzo IP esterno di una VM in una rete VPC diversa.

Il routing privato alle destinazioni di tipo 3 non è supportato.

Target di tipo 4

Una destinazione di tipo 4 risolve innanzitutto gli indirizzi IP della destinazione. La destinazione di inoltro risolta può quindi essere risolta in un massimo di 50 indirizzi IP, inclusi indirizzi IPv4 e IPv6. A seconda della rete della destinazione di inoltro risolta, la destinazione di tipo 4 ha gli stessi requisiti di rete di una destinazione di tipo 1, 2 o 3.

Per ulteriori requisiti sull'utilizzo di un FQDN come destinazione di inoltro, vedi Utilizzare le zone di inoltro.

Passaggi successivi