Crea una zona di inoltro

Questa pagina fornisce istruzioni su come creare una zona di inoltro. Per informazioni di approfondimento, consulta Zone di inoltro.

Prima di iniziare, assicurati di aver compreso quanto segue:

Per creare una nuova zona di inoltro privato gestita, completa i seguenti passaggi.

Console

  1. Nella console Google Cloud, vai alla pagina Crea una zona DNS.

    Vai a Crea una zona DNS

  2. In Tipo di zona, seleziona Privato.

  3. Inserisci un nome zona, ad esempio my-new-zone.

  4. Inserisci un suffisso del nome DNS per la zona privata. Tutti i record della zona condividono questo suffisso. Ad esempio, example.private.

  5. (Facoltativo) Aggiungi una descrizione.

  6. Nella sezione Opzioni, seleziona Inoltra le query a un altro server.

  7. Seleziona le reti a cui deve essere visibile la zona privata.

  8. Per aggiungere gli indirizzi IPv4 di una destinazione di inoltro, fai clic su Aggiungi elemento. Puoi aggiungere più indirizzi IP.

  9. Per forzare il routing privato al target di inoltro, in Inoltro privato, seleziona la casella di controllo Attiva.

  10. Fai clic su Crea.

gcloud

Esegui il comando dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Sostituisci quanto segue:

  • NAME: un nome per la zona
  • DESCRIPTION: una descrizione della tua zona
  • DNS_SUFFIX: il suffisso DNS per la tua zona, ad esempio example.private
  • VPC_NETWORK_LIST: un elenco separato da virgole di reti VPC autorizzate a eseguire query sulla zona
  • FORWARDING_TARGETS_LIST: un elenco di indirizzi IP delimitati da virgole a cui vengono inviate le query. Gli indirizzi IP RFC 1918 specificati con questo flag devono trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloud utilizzando Cloud VPN o Cloud Interconnect. Gli indirizzi IP non RFC 1918 specificati con questo flag devono essere accessibili da internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: un elenco di indirizzi IP separati da virgole a cui vengono inviate le query. Qualsiasi indirizzo IP specificato con questo flag deve trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloud utilizzando Cloud VPN o Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Invia una richiesta POST utilizzando il metodo managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui viene creata la zona gestita
  • NAME: un nome per la zona
  • DESCRIPTION: una descrizione della tua zona
  • DNS_NAME: il suffisso DNS per la tua zona, ad esempio example.private
  • VPC_NETWORK_1 e VPC_NETWORK_2: URL per le reti VPC nello stesso progetto che sono in grado di eseguire query sui record in questa zona. Puoi aggiungere più reti VPC come indicato. Per determinare l'URL di una rete VPC, descriverla con il seguente comando gcloud, sostituendo VPC_NETWORK_NAME con il nome della rete:
    gcloud compute networks describe VPC_NETWORK_NAME 
    --format="get(selfLink)"
  • FORWARDING_TARGET_1 e FORWARDING_TARGET_2: indirizzi IP dei server dei nomi di destinazione del forwarding. Puoi aggiungere più target di inoltro come indicato. Gli indirizzi IP RFC 1918 specificati qui devono trovarsi nella rete VPC o in una rete on-premise collegata a Google Cloud utilizzando Cloud VPN o Cloud Interconnect. Gli indirizzi IP non RFC 1918 specificati con questo flag devono essere accessibili da internet.

Requisiti della rete di destinazione del forwarding

Quando Cloud DNS invia richieste ai target di inoltro, invia pacchetti con gli intervalli di origine elencati nella tabella seguente.

Tipo di destinazione forwarding Intervalli di origine

Target di tipo 1

Un indirizzo IP interno di una VM Google Cloud o di un Network Load Balancer passthrough interno nella stessa rete VPC autorizzata a utilizzare la zona di inoltro.

Target di tipo 2

Un indirizzo IP di un sistema on-premise, connesso alla rete VPC autorizzata a utilizzare la zona di inoltro, utilizzando Cloud VPN o Cloud Interconnect.

Per ulteriori informazioni sugli indirizzi IP supportati, consulta Destinatari di inoltro e metodi di routing.

35.199.192.0/19

Cloud DNS utilizza l'intervallo di origine 35.199.192.0/19 per tutti i clienti. Questo intervallo è solo accessibile da una rete VPC Google Cloud o da una rete on-premise collegata a una rete VPC.

Target di tipo 3

Un indirizzo IP esterno di un DNS name server accessibile a internet o l'indirizzo IP esterno di una risorsa Google Cloud, ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC.

Intervalli di origine di Google Public DNS

Target di tipo 1 e 2

Per accedere a un target di tipo 1 o di tipo 2, Cloud DNS richiede quanto segue. Questi requisiti sono gli stessi se la destinazione è un indirizzo IP RFC 1918 e utilizzi il routing standard o se scegli il routing privato:

  • Configurazione del firewall per 35.199.192.0/19

    Per i target di tipo 1, crea una regola firewall che consenta il traffico in entrata per la porta TCP e UDP53, applicabile ai target di inoltro in ogni rete VPC autorizzata. Per i target di tipo 2, configura un firewall di rete on-premise e apparecchiature simili per consentire la porta TCP e UDP 53.

  • Percorso fino alla destinazione di inoltro

    Per i target di tipo 1, Cloud DNS utilizza una route di subnet per accedere al target nella rete VPC autorizzata a utilizzare la zona di inoltro. Per i target dei nomi di tipo 2, Cloud DNS utilizza route statici o dinamici personalizzati, ad eccezione dei route statici con tag, per accedere al target di inoltro.

  • Percorso di ritorno a 35.199.192.0/19 tramite la stessa rete VPC

    Per i target di tipo 1, Google Cloud utilizza un percorso di instradamento speciale per la destinazione 35.199.192.0/19. Per i target di tipo 2, la rete on-premise deve avere una route per la destinazione 35.199.192.0/19, il cui hop successivo si trova nella stessa rete VPC da cui ha avuto origine la richiesta, tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. Per informazioni su come soddisfare questo requisito, consulta le strategie di percorso di ritorno per i target di tipo 2.

  • Risposta diretta dal target

    Cloud DNS richiede che il destinazione di inoltro che riceve i pacchetti sia quella che invia le risposte a35.199.192.0/19. Se il target di inoltro invia la richiesta a un altro server dei nomi e questo altro server dei nomi risponde a 35.199.192.0/19, Cloud DNS ignora la risposta. Per motivi di sicurezza, Google Cloud si aspetta che l'indirizzo di origine della risposta DNS di ogni server dei nomi di destinazione corrisponda all'indirizzo IP del target di inoltro.

Strategie di percorso di ritorno per i target di tipo 2

Cloud DNS non può inviare risposte dai target di inoltro di tipo 2 tramite internet o una rete VPC diversa. Le risposte devono tornare alla stessa rete VPC, anche se possono utilizzare qualsiasi tunnel Cloud VPN o collegamento VLAN nella stessa rete.

  • Per i tunnel Cloud VPN che utilizzano il routing statico, crea manualmente un route nella rete on-premise la cui destinazione è 35.199.192.0/19 e il cui hop successivo è il tunnel Cloud VPN. Per i tunnel Cloud VPN che utilizzano il routing basato su criteri, configura il selettore del traffico locale di Cloud VPN e il selettore del traffico remoto del gateway VPN on-premise in modo da includere 35.199.192.0/19.
  • Per i tunnel VPN Cloud che utilizzano il routing dinamico o per Cloud Interconnect, configura un annuncio route personalizzato per 35.199.192.0/19 nella sessione BGP del router Cloud che gestisce il tunnel o il collegamento VLAN.

Target di tipo 3

Quando Cloud DNS utilizza il routing standard per accedere a un indirizzo IP esterno, si aspetta che la destinazione del reindirizzamento sia un sistema su internet, accessibile pubblicamente o un indirizzo IP esterno di una risorsa Google Cloud.

Ad esempio, un target di tipo 3 include l'indirizzo IP esterno di una VM in un'altra rete VPC.

Il routing privato ai target di tipo 3 non è supportato.

Passaggi successivi