Esta página foi traduzida pela API Cloud Translation.

Criar uma zona de encaminhamento,Criar uma zona de encaminhamento,Criar uma zona de encaminhamento,Criar uma zona de encaminhamento

Esta página fornece instruções sobre como criar uma zona de encaminhamento. Para obter informações básicas detalhadas, consulte Zonas de encaminhamento .

Permissões necessárias para esta tarefa

Para executar esta tarefa, você deve ter recebido as seguintes permissões ou as seguintes funções do IAM.

Permissões

dns.managedZones.create para criar uma zona gerenciada
dns.managedZones.list para listar zonas gerenciadas
dns.managedZones.update para atualizar uma zona gerenciada
dns.managedZones.patch para atualizar uma zona gerenciada

Funções

roles/dns.admin

Antes de começar, certifique-se de entender o seguinte:

As diferenças entre roteamento padrão e privado, conforme mostrado em Destinos de encaminhamento e métodos de roteamento
Os métodos de encaminhamento de DNS de saída
Os requisitos de rede para encaminhamento de alvos
As melhores práticas para zonas de encaminhamento do Cloud DNS

Para criar uma nova zona de encaminhamento privada gerenciada, conclua as seguintes etapas.

Console

No Google Cloud console, vá para a página Criar uma zona DNS .
Vá para Criar uma zona DNS
Para o tipo de zona , selecione Privado .
Digite um nome de zona , como my-new-zone .
Insira um sufixo de nome DNS para a zona privada. Todos os registros na zona compartilham este sufixo. Por exemplo, example.private .
Opcional: adicione uma descrição.
Em Opções , selecione Encaminhar consultas para outro servidor .
Selecione as redes para as quais a zona privada deve ser visível.
Para adicionar um destino de encaminhamento, clique em item . Você pode adicionar vários endereços IP ou um único nome de domínio totalmente qualificado (FQDN). O destino de encaminhamento deve ser uma lista de endereços IP ou um FQDN. Não é possível usar endereços IP e um FQDN na mesma zona.
Para forçar o roteamento privado para o destino de encaminhamento, em Encaminhamento privado , marque a caixa de seleção Ativar .
Clique em Criar .

gcloud

Execute o comando dns managed-zones create :

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Substitua o seguinte:

NAME : um nome para sua zona
DESCRIPTION : uma descrição para sua zona
DNS_SUFFIX : o sufixo DNS para sua zona, como example.private
VPC_NETWORK_LIST : uma lista delimitada por vírgulas de redes VPC que estão autorizadas a consultar a zona
FORWARDING_TARGETS_LIST : uma lista de endereços IP delimitada por vírgulas ou um único nome de domínio totalmente qualificado para o qual as consultas são enviadas. Os nomes de domínio são resolvidos para seus endereços IP. Os endereços IP especificados com este sinalizador, de acordo com a RFC 1918, devem estar localizados na sua rede VPC ou em uma rede local conectada a Google Cloudusando Cloud VPN ou Cloud Interconnect. Endereços IP não RFC 1918 especificados com este sinalizador devem ser acessíveis pela Internet.
PRIVATE_FORWARDING_TARGETS_LIST : uma lista de endereços IP delimitada por vírgulas ou um único nome de domínio totalmente qualificado para o qual as consultas são enviadas. Os nomes de domínio são resolvidos para seus endereços IP. Qualquer endereço IP especificado com este sinalizador deve estar localizado na sua rede VPC ou em uma rede local conectada a Google Cloud usando Cloud VPN ou Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Envie uma solicitação POST usando o método managedZones.create :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Substitua o seguinte:

PROJECT_ID : o ID do projeto onde a zona gerenciada é criada
NAME : um nome para sua zona
DESCRIPTION : uma descrição para sua zona
DNS_NAME : o sufixo DNS para sua zona, como example.private
VPC_NETWORK_1 e VPC_NETWORK_2 : URLs para redes VPC no mesmo projeto que podem consultar registros nesta zona. Você pode adicionar várias redes VPC, conforme indicado. Para determinar a URL de uma rede VPC, descreva a rede com o seguinte comando gcloud , substituindo VPC_NETWORK_NAME pelo nome da rede:
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 e FORWARDING_TARGET_2 : Endereços IP dos servidores de nomes de destino de encaminhamento ou um único nome de domínio totalmente qualificado. Você pode adicionar vários endereços IP, conforme indicado. Os endereços IP RFC 1918 especificados aqui devem estar localizados na sua rede VPC ou em uma rede local conectada a Google Cloud usando Cloud VPN ou Cloud Interconnect. Endereços IP não RFC 1918 especificados com este sinalizador devem ser acessíveis pela Internet.

Requisitos de rede de destino de encaminhamento

Quando o Cloud DNS envia solicitações para destinos de encaminhamento, ele envia pacotes com os intervalos de origem listados na tabela a seguir.

Tipo de destino de encaminhamento Intervalos de origem

Tipo de destino de encaminhamento	Intervalos de origem
Alvo tipo 1 Um endereço IP interno de um Google Cloud VM ou um balanceador de carga de rede de passagem interna na mesma rede VPC que está autorizado a usar a zona de encaminhamento. Alvo tipo 2 Um endereço IP de um sistema local, conectado à rede VPC autorizada a usar a zona de encaminhamento, usando o Cloud VPN ou o Cloud Interconnect. Para obter mais informações sobre quais endereços IP são suportados, consulte Destinos de encaminhamento e métodos de roteamento .	`35.199.192.0/19` O Cloud DNS usa o`35.199.192.0/19` intervalo de origem para todos os clientes. Este intervalo só é acessível a partir de um Google Cloud Rede VPC ou de uma rede local conectada a uma rede VPC.
Alvo tipo 3 Um endereço IP externo de um servidor de nomes DNS acessível à Internet ou o endereço IP externo de um Google Cloud recurso; por exemplo, o endereço IP externo de uma VM em outra rede VPC.	Intervalos de origem do DNS público do Google
Alvo tipo 4 Um nome de domínio totalmente qualificado de um servidor de nomes de destino que resolve para endereços IPv4 ou IPv6 por meio da ordem de resolução de rede VPC . O nome de domínio pode resolver para até 50 endereços IP. Os endereços IP resolvidos podem ter como alvo os Tipos 1-3.	Dependendo dos endereços IP resolvidos, os intervalos de origem podem ser um dos seguintes: 35.199.192.0/19 Intervalos de origem do DNS público do Google

Alvo tipo 1

Um endereço IP interno de um Google Cloud VM ou um balanceador de carga de rede de passagem interna na mesma rede VPC que está autorizado a usar a zona de encaminhamento.

Alvo tipo 2

Um endereço IP de um sistema local, conectado à rede VPC autorizada a usar a zona de encaminhamento, usando o Cloud VPN ou o Cloud Interconnect.

Para obter mais informações sobre quais endereços IP são suportados, consulte Destinos de encaminhamento e métodos de roteamento .

35.199.192.0/19

O Cloud DNS usa o35.199.192.0/19 intervalo de origem para todos os clientes. Este intervalo só é acessível a partir de um Google Cloud Rede VPC ou de uma rede local conectada a uma rede VPC.

Alvo tipo 3

Um endereço IP externo de um servidor de nomes DNS acessível à Internet ou o endereço IP externo de um Google Cloud recurso; por exemplo, o endereço IP externo de uma VM em outra rede VPC.

Intervalos de origem do DNS público do Google

Alvo tipo 4

Um nome de domínio totalmente qualificado de um servidor de nomes de destino que resolve para endereços IPv4 ou IPv6 por meio da ordem de resolução de rede VPC . O nome de domínio pode resolver para até 50 endereços IP.

Os endereços IP resolvidos podem ter como alvo os Tipos 1-3.

Dependendo dos endereços IP resolvidos, os intervalos de origem podem ser um dos seguintes:

35.199.192.0/19
Intervalos de origem do DNS público do Google

Alvos Tipo 1 e Tipo 2

O Cloud DNS exige o seguinte para acessar um destino Tipo 1 ou Tipo 2. Esses requisitos são os mesmos, independentemente de o destino ser um endereço IP RFC 1918 e você usar o roteamento padrão ou optar pelo roteamento privado:

Configuração de firewall para35.199.192.0/19
Para destinos do Tipo 1, crie uma regra de firewall de permissão de entrada para tráfego TCP e UDP nas portas 53 , aplicável aos seus destinos de encaminhamento em cada rede VPC autorizada. Para destinos do Tipo 2, configure um firewall de rede local e equipamentos semelhantes para permitir TCP e UDP nas portas 53 .
Rota para o destino de encaminhamento
Para destinos do Tipo 1, o Cloud DNS usa uma rota de sub-rede para acessar o destino na rede VPC autorizada a usar a zona de encaminhamento. Para destinos de nome do Tipo 2, o Cloud DNS usa rotas dinâmicas ou estáticas personalizadas , exceto rotas estáticas marcadas, para acessar o destino de encaminhamento.
Rota de retorno para35.199.192.0/19 através da mesma rede VPC
Para alvos do Tipo 1, Google Cloud usa um caminho de roteamento especial para o35.199.192.0/19 destino. Para alvos do Tipo 2, sua rede local deve ter uma rota para o35.199.192.0/19 destino, cujo próximo salto está na mesma rede VPC onde a solicitação se originou, por meio de um túnel Cloud VPN ou anexo de VLAN para Cloud Interconnect. Para obter informações sobre como atender a esse requisito, consulte estratégias de rota de retorno para destinos do Tipo 2 .
Resposta direta do alvo
O DNS em nuvem exige que o destino de encaminhamento que recebe os pacotes seja aquele que envia respostas para35.199.192.0/19 . Se o seu destino de encaminhamento enviar a solicitação para um servidor de nomes diferente e esse outro servidor de nomes responder a35.199.192.0/19 , o Cloud DNS ignora a resposta. Por motivos de segurança, Google Cloud espera que o endereço de origem da resposta DNS de cada servidor de nomes de destino corresponda ao endereço IP do destino de encaminhamento.

Estratégias de rota de retorno para alvos do Tipo 2

O Cloud DNS não pode enviar respostas de destinos de encaminhamento Tipo 2 pela internet ou por meio de uma rede VPC diferente. As respostas devem retornar à mesma rede VPC, embora possam usar qualquer túnel VPN ou anexo de VLAN da Cloud nessa mesma rede.

Para túneis VPN em nuvem que usam roteamento estático, crie manualmente uma rota em sua rede local cujo destino é35.199.192.0/19 e cujo próximo salto é o túnel VPN em nuvem. Para túneis VPN em nuvem que usam roteamento baseado em políticas, configure o seletor de tráfego local da VPN em nuvem e o seletor de tráfego remoto do gateway VPN local para incluir35.199.192.0/19 .
Para túneis Cloud VPN que usam roteamento dinâmico ou para Cloud Interconnect, configure um anúncio de rota personalizado para35.199.192.0/19 na sessão BGP do Cloud Router que gerencia o túnel ou anexo de VLAN.

Alvos do tipo 3

Quando o Cloud DNS usa o roteamento padrão para acessar um endereço IP externo, ele espera que o destino de encaminhamento seja um sistema na Internet, acessível publicamente, ou um endereço IP externo de um Google Cloud recurso.

Por exemplo, um destino Tipo 3 inclui o endereço IP externo de uma VM em uma rede VPC diferente.

O roteamento privado para destinos do Tipo 3 não é suportado.

Alvos do tipo 4

Um alvo Tipo 4 primeiro resolve o endereço IP do alvo. O alvo de encaminhamento resolvido pode então ser resolvido para até 50 endereços IP, que podem ser IPv4 ou IPv6. Dependendo da rede do alvo de encaminhamento resolvido, o alvo Tipo 4 tem os mesmos requisitos de rede que um alvo Tipo 1, 2 ou 3.

Para obter requisitos adicionais sobre o uso de um FQDN como um destino de encaminhamento, consulte Usar zonas de encaminhamento .

O que vem a seguir

Para trabalhar com zonas gerenciadas, consulte Criar, modificar e excluir zonas .
Para encontrar soluções para problemas comuns que você pode encontrar ao usar o Cloud DNS, consulte Solução de problemas .
Para obter uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS .