Gérer les stratégies et les règles de réponse

Cette page fournit des informations sur la gestion des stratégies de réponse et des règles des stratégies de réponse.

Les zones privées Cloud DNS vous permettent de créer des stratégies de réponse pouvant modifier le comportement du résolveur en fonction des règles de stratégie de réponse. Toutefois, vous ne pouvez associer qu'une seule stratégie de réponse par réseau.

Vous pouvez créer plusieurs règles dans une même stratégie de réponse, chacune pouvant effectuer l'une des opérations suivantes:

  • Modifier les résultats pour les noms de requête sélectionnés (y compris les caractères génériques) en fournissant des enregistrements de ressources spécifiques.
  • Déclencher un comportement passthru qui contourne la stratégie de réponse et exclut les noms qui normalement correspondraient. Par exemple, dans le cas des réponses génériques, la mise en correspondance des requêtes DNS privées se poursuit comme si elle n'avait jamais détecté de caractère générique.

Pour plus d'informations sur la manière dont VPC Service Controls permet aux clients d'appliquer des contrôles sur l'accès aux API à partir de leurs réseaux VPC privés, consultez la page Configurer une connectivité privée aux API et services Google.

Gérer les stratégies de réponse

Créer une stratégie de réponse

Pour créer une stratégie de réponse, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Cliquez sur l'onglet Zones de stratégie de réponse.

  3. Cliquez sur Créer une stratégie de réponse.

  4. Saisissez le nom de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicy.

  5. Saisissez une description de la stratégie de réponse, comme My new response policy.

  6. Dans la liste déroulante Réseaux, sélectionnez un ou plusieurs réseaux à associer à la stratégie de réponse.

  7. Cliquez sur Create (Créer).

    Vous pouvez créer une règle de stratégie de réponse dans chaque zone de stratégie de réponse que vous créez. Pour obtenir des instructions, consultez la section Créer une règle de stratégie de réponse.

gcloud

Exécutez la commande gcloud dns response-policies create :

gcloud dns response-policies create RESPONSE_POLICY_NAME \
    --networks=NETWORK \
   [--description=DESCRIPTION]

Remplacez l'élément suivant :

  • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse que vous souhaitez supprimer, par exemple myresponsepolicy
  • NETWORK : liste de noms de réseaux séparés par une virgule à associer à la stratégie de réponse, par exemple network1, network2
  • DESCRIPTION : description de la stratégie de réponse, par exemple My new response policy

API

Envoyez une requête POST à l'aide de la méthode responsePolicies.create :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies

Remplacez PROJECT_ID par le nom ou l'ID du projet dans lequel vous souhaitez créer la stratégie de réponse.

Afficher les stratégies de réponse

Pour afficher la liste de toutes les stratégies de réponse d'un projet donné ou afficher la description d'une stratégie de réponse spécifique, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Cliquez sur l'onglet Zones de stratégie de réponse.

  3. La page Liste des stratégies de réponse répertorie les stratégies de réponse que vous avez créées.

gcloud

  • Pour afficher la liste de toutes les stratégies de réponse d'un projet, exécutez la commande gcloud dns response-policies list :

    gcloud dns response-policies list
    
  • Vous pouvez limiter le nombre de stratégies de réponse à l'aide de l'option --limit. Par exemple, pour afficher la liste des dix premières stratégies de réponse, exécutez la commande suivante :

    gcloud dns response-policies list \
      --limit=10
    
  • Pour afficher une description détaillée d'une stratégie de réponse, exécutez la commande gcloud dns response-policies describe :

    gcloud dns response-policies describe RESPONSE_POLICY_NAME
    

    Remplacez RESPONSE_POLICY_NAME par le nom ou l'ID de la stratégie de réponse pour laquelle vous souhaitez afficher la description.

API

Pour afficher la description détaillée d'une stratégie de réponse, envoyez une requête GET à l'aide de la méthode responsePolicies.get :

GET https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME

Remplacez l'élément suivant :

  • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
  • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse dont vous souhaitez afficher la description, par exemple myresponsepolicy

Mettre à jour une stratégie de réponse

Pour mettre à jour une stratégie de réponse, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Cliquez sur la stratégie de réponse que vous souhaitez modifier. Vous pouvez également cliquer sur Plus sur la ligne du nom de la stratégie de réponse.

  3. Cliquez sur Modifier la stratégie de réponse.

  4. Effectuez les mises à jour requises.

  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande gcloud dns response-policies update :

gcloud dns response-policies update RESPONSE_POLICY_NAME

Remplacez RESPONSE_POLICY_NAME par le nom ou l'ID de la stratégie de réponse que vous souhaitez mettre à jour, par exemple myresponsepolicy.

Utilisez la même syntaxe que la commande create pour tous les champs mis à jour.

API

  • Pour appliquer une mise à jour partielle à une stratégie de réponse, envoyez une requête PATCH à l'aide de la méthode responsePolicies.patch :

    PATCH https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME
    

    Remplacez l'élément suivant :

    • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse que vous souhaitez supprimer, par exemple myresponsepolicy
  • Pour mettre à jour une stratégie de réponse, envoyez une requête UPDATE à l'aide de la méthode responsePolicies.update :

    UPDATE https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME
    

    Remplacez l'élément suivant :

    • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse que vous souhaitez supprimer, par exemple myresponsepolicy

Supprimer une stratégie de réponse

Pour supprimer une stratégie de réponse, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Cliquez sur Plus sur la ligne du nom de la stratégie de réponse.

  3. Cliquez sur Supprimer.

gcloud

Exécutez la commande gcloud dns response-policies delete :

gcloud dns response-policies delete RESPONSE_POLICY_NAME

Remplacez RESPONSE_POLICY_NAME par le nom ou l'ID de la stratégie de réponse que vous souhaitez supprimer.

API

Envoyez une requête DELETE à l'aide de la méthode responsePolicies.delete :

DELETE https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME

Remplacez l'élément suivant :

  • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
  • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse que vous souhaitez supprimer, par exemple myresponsepolicy

Gérer les règles de stratégie de réponse

La stratégie de réponse DNS d'un site est constituée de règles qu'un résolveur DNS consulte lors des recherches. Si une règle de la stratégie de réponse affecte la requête entrante, elle est traitée. Sinon, la recherche se déroule normalement.

Créer une règle de stratégie de réponse

Pour créer une règle de stratégie de réponse, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Cliquez sur l'onglet Zones de stratégie de réponse.

  3. Dans la liste des zones de règles de réponse, cliquez sur la zone pour laquelle vous souhaitez créer une règle.

  4. Cliquez sur Créer une règle de stratégie de réponse.

  5. Saisissez le nom de la règle de stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule.

  6. Dans la liste déroulante Sélecteur, choisissez le type de sélecteur auquel appliquer cette règle.

  7. Saisissez le nom DNS (caractère générique ou exact) pour lequel vous souhaitez appliquer la règle, par exemple www.googleapis.com.

  8. Choisissez l'action pour la règle de stratégie de réponse. Par exemple, pour modifier le comportement de la stratégie de réponse, choisissez Comportement. Sinon, sélectionnez Données locales.

    • Si vous avez choisi Comportement, sélectionnez le comportement de la règle dans la liste déroulante.

    • Si vous avez choisi Données locales, vous devez ajouter un nouveau jeu d'enregistrements de ressources. Pour savoir comment ajouter un nouveau jeu d'enregistrements de ressources, consultez la section Créer un jeu d'enregistrements de ressources.

  9. Cliquez sur Create (Créer).

gcloud

  • Pour modifier le comportement des noms de requête sélectionnés, exécutez la commande gcloud dns response-policies rules create et spécifiez l'option --type :

    gcloud dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME \
      --dns-name=DNS_NAME \
      --local-data=name="DNS_NAME.",type="RRTYPE",ttl=TTL,rrdatas="RRDATA"
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy
    • DNS_NAME : le DNS ou le nom de domaine, par exemple www.googleapis.com
    • TTL : délai de vie pour la stratégie de réponse, par exemple 21600
    • RRTYPE : type d'enregistrement de la ressource, par exemple A
    • RRDATA : données d'enregistrement de ressources, par exemple 1.2.3.4. Séparez plusieurs entrées avec |, par exemple 1.2.3.4|5.6.7.8.
  • Pour créer une règle de contournement, exécutez la commande gcloud dns response-policies rules create, puis définissez l'option --behavior sur bypassResponsePolicy :

    gcloud dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME \
      --dns-name=DNS_NAME \
      --behavior=bypassResponsePolicy
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy
    • DNS_NAME : le DNS ou le nom de domaine, par exemple www.googleapis.com

API

  • Pour créer une règle de stratégie de réponse, envoyez une requête POST à l'aide de la méthode responsePolicyRules.create :

    POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules
    

    Remplacez l'élément suivant :

    • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse pour laquelle vous souhaitez créer une règle telle que myresponsepolicy

Afficher une règle de stratégie de réponse

Pour afficher la liste de toutes les règles de stratégie de réponse d'une stratégie de réponse donnée ou pour afficher la description d'une règle de stratégie de réponse spécifique, procédez comme suit.

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Dans l'onglet Zones de la stratégie de réponse, cliquez sur le nom de la stratégie de réponse pour laquelle vous souhaitez afficher les règles associées. La page Détails de la stratégie de réponse répertorie les règles associées à la stratégie de réponse.

  3. Pour afficher les détails d'une règle de stratégie de réponse spécifique, cliquez sur le nom de la règle. Vous pouvez également cliquer sur Plus sur la ligne du nom de la règle de stratégie de réponse.

gcloud

  • Pour afficher la liste des règles de stratégie de réponse Cloud DNS dans une stratégie de réponse, utilisez la commande gcloud dns response-policies rules list :

    gcloud dns response-policies rules list RESPONSE_POLICY_NAME
    

    Remplacez RESPONSE_POLICY_NAME par le nom de la stratégie de réponse, par exemple myresponsepolicy.

  • Pour afficher les informations détaillées d'une règle de stratégie de réponse, exécutez la commande gcloud dns response-policies rules describe :

    gcloud dns response-policies rules describe RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy

API

Pour afficher la description détaillée d'une règle de stratégie de réponse, envoyez une requête GET à l'aide de la méthode responsePolicyRules.get :

GET https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE

Remplacez l'élément suivant :

  • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
  • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse pour laquelle vous souhaitez créer une règle telle que myresponsepolicy
  • RESPONSE_POLICY_RULE : règle de la stratégie de réponse de laquelle vous souhaitez consulter les détails

Mettre à jour une règle de stratégie de réponse

Pour modifier ou mettre à jour une règle de stratégie de réponse, procédez comme suit.

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Cliquez sur le nom de la stratégie de réponse pour laquelle vous souhaitez modifier les règles.

  3. Cliquez sur le nom de la règle de réponse que vous souhaitez modifier.

  4. Sur la page Détails de la règle de stratégie de réponse, cliquez sur le nom de la règle que vous souhaitez modifier.

  5. Effectuez les mises à jour requises.

  6. Cliquez sur Enregistrer.

gcloud

Exécutez la commande gcloud dns response-policies rules update :

gcloud dns response-policies rules update RESPONSE_POLICY_RULE_NAME \
    --response-policy=RESPONSE_POLICY_NAME
  

Remplacez l'élément suivant :

  • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
  • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy

    Utilisez la même syntaxe que la commande create pour tous les champs mis à jour.

API

  • Pour appliquer une mise à jour partielle à une règle de stratégie de réponse, envoyez une requête PATCH à l'aide de la méthode responsePolicyRules.patch :

    PATCH https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Remplacez l'élément suivant :

    • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse dont vous souhaitez mettre à jour la règle, par exemple myresponsepolicy
    • RESPONSE_POLICY_RULE : règle de la stratégie de réponse à mettre à jour
  • Pour mettre à jour une règle de stratégie de réponse, envoyez une requête UPDATE à l'aide de la méthode responsePolicyRules.update :

    UPDATE https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Remplacez l'élément suivant :

    • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse dont vous souhaitez mettre à jour la règle, par exemple myresponsepolicy
    • RESPONSE_POLICY_RULE : règle de la stratégie de réponse à mettre à jour

Supprimer une règle de stratégie de réponse

Pour supprimer une stratégie de réponse, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Cliquez sur le nom de la stratégie de réponse pour laquelle vous souhaitez modifier les règles.

  3. Cliquez sur le nom de la règle de stratégie de réponse que vous souhaitez supprimer.

  4. Sur la page Détails de la règle de stratégie de réponse, cliquez sur Plus sur la ligne du nom de la règle de stratégie de réponse.

  5. Cliquez sur Supprimer. Vous pouvez également cliquer sur la règle que vous souhaitez supprimer : sur la page Détails de la règle de stratégie de réponse, cliquez sur Supprimer la règle de stratégie de réponse.

gcloud

  • Pour supprimer une règle de stratégie de réponse Cloud DNS, utilisez la commande gcloud dns response-policies rules delete :

    gcloud dns response-policies rules delete RESPONSE_POLICY_RULE_NAME \
      --response-policy=RESPONSE_POLICY_NAME
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy

API

  • Pour supprimer une règle de stratégie de réponse, envoyez une requête DELETE à l'aide de la méthode responsePolicyRules.delete :

    DELETE https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/responsePolicies/RESPONSE_POLICY_NAME/rules/RESPONSE_POLICY_RULE
    

    Remplacez l'élément suivant :

    • PROJECT_ID : ID du projet dans lequel vous avez créé la stratégie de réponse
    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse dont vous souhaitez supprimer une règle, par exemple myresponsepolicy
    • RESPONSE_POLICY_RULE : règle de la stratégie de réponse à supprimer

Cas d'utilisation

Cette section fournit des exemples de cas d'utilisation pour configurer des règles pour les stratégies de réponse.

Diriger des noms spécifiques vers les adresses IP virtuelles limitées

Vous pouvez configurer une stratégie de réponse contenant des données CNAME locales pour chaque zone afin de traduire les requêtes de l'API Google en API Google limitées. Les noms qui ne sont pas spécifiés sont toujours résolus à l'aide du DNS standard.

Par exemple, vous pouvez créer une stratégie de réponse pour pubsub.googleapis.com, qui contient des données CNAME locales pour une zone, afin de traduire les requêtes de l'API Google en restricted.googleapis.com. En attendant, www.googleapis.com, qui n'est pas spécifié, est toujours résolu à l'aide d'un DNS standard.

Dans l'exemple de configuration suivant, vous allez créer une stratégie, puis l'appliquer à un réseau VPC spécifique.

gcloud

  1. Pour créer une règle de réponse, exécutez la commande gcloud dns response-policies create :

    gcloud dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse que vous souhaitez supprimer, par exemple myresponsepolicy
    • NETWORK : liste de noms de réseaux séparés par une virgule à associer à la stratégie de réponse, par exemple network1,network2
    • DESCRIPTION : description de la stratégie de réponse, par exemple My new response policy
  2. Si vous utilisez uniquement une plage d'adresses IPv4 pour restricted.googleapis.com, ajoutez une règle à la stratégie qui contient un jeu d'enregistrements de la plage d'adresses IPv4.

    Commande gcloud dns response-policies rules create :

    gcloud dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=DNS_NAME. \
        --local-data=name="DNS_NAME.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
    

    Remplacez les éléments suivants :

    • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy
    • DNS_NAME : nom DNS pour lequel vous créez la règle, par exemple pubsub.googleapis.com. (notez le point final)
  3. Si vous utilisez à la fois des plages d'adresses IPv4 et IPv6 pour restricted.googleapis.com, ajoutez une règle à la stratégie qui contient des jeux d'enregistrements des plages d'adresses IPv4 et IPv6.

    gcloud dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=DNS_NAME. \
        --local-data=name="DNS_NAME.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7" \
        --local-data=name="DNS_NAME.",type="AAAA",ttl=300,rrdatas="2600:2d00:0002:1000::"
    

API

  1. Créez une stratégie de réponse par URL :

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse
    • RESPONSE_POLICY_DESCRIPTION : description de la stratégie de réponse
    • URL_TO_NETWORK : l'URL pour laquelle vous créez la stratégie de réponse

  2. Si vous utilisez uniquement une plage d'adresses IPv4 pour restricted.googleapis.com, ajoutez une règle à la stratégie qui contient un jeu d'enregistrements de la plage d'adresses IPv4.

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "DNS_NAME.",
          type: "A",
          ttl: 300,
          rrdata: ["199.36.153.4", "199.36.153.5", "199.36.153.6", "199.36.153.7"]
        }
      ]
    }
    

    Remplacez les éléments suivants :

    • RULE_NAME : nom de la règle que vous créez, par exemple pubsub
    • DNS_NAME : nom DNS pour lequel vous créez la règle, par exemple pubsub.googleapis.com. (notez le point final)
  3. Si vous utilisez à la fois des plages d'adresses IPv4 et IPv6 pour restricted.googleapis.com, ajoutez une règle à la stratégie qui contient des jeux d'enregistrements des plages d'adresses IPv4 et IPv6.

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "DNS_NAME.",
          type: "A",
          ttl: 300,
          rrdata: [""199.36.153.4", "199.36.153.5", "199.36.153.6", "199.36.153.7""]
        }
      ],
      local_data: [
        {
          name: "DNS_NAME.",
          type: "AAAA",
          ttl: 300,
          rrdata: ["2600:2d00:0002:1000::"]
        }
      ]
    }
    

    Remplacez les éléments suivants :

    • RULE_NAME : nom de la règle que vous créez, par exemple pubsub
    • DNS_NAME : nom DNS pour lequel vous créez la règle, par exemple pubsub.googleapis.com. (notez le point final)

Rediriger tous les noms, sauf certains vers des adresses IP virtuelles limitées

Vous pouvez définir des règles pour exclure certaines réponses DNS d'une règle de stratégie couvrant un domaine entier ou un bloc d'adresses IP volumineux. Ce concept est appelé comportement passthru. Avec le comportement passthru, vous pouvez autoriser les noms qui ne sont pas compatibles avec les contrôles de service après le nom générique.

Par exemple, vous pouvez autoriser www.googleapis.com après le nom générique de l'exemple *.googleapis.com. La correspondance exacte pour www est prioritaire sur le caractère générique *.

Dans l'exemple de configuration suivant, vous allez créer une stratégie avec un nom spécifique et vous allez l'appliquer à un réseau VPC spécifique. La règle permet à www.googleapis.com de contourner le caractère générique *.googleapis.com.

gcloud

  1. Pour créer une règle de réponse, exécutez la commande gcloud dns response-policies create :

    gcloud dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse que vous souhaitez supprimer, par exemple myresponsepolicy
    • NETWORK : liste de noms de réseaux séparés par une virgule à associer à la stratégie de réponse, par exemple network1,network2
    • DESCRIPTION : description de la stratégie de réponse, par exemple My new response policy
  2. Pour ajouter une règle de contournement à la stratégie, exécutez la commande gcloud dns response-policies rules create, puis définissez l'option --behavior sur bypassResponsePolicy :

    gcloud dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=DNS_NAME \
        --behavior=bypassResponsePolicy
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy
    • DNS_NAME : le DNS ou le nom de domaine, par exemple www.googleapis.com

API

  1. Créez une stratégie de réponse :

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, telle que my-response-policy
    • RESPONSE_POLICY_DESCRIPTION : description de la stratégie de réponse, telle que my response policy
    • URL_TO_NETWORK : l'URL pour laquelle vous créez la stratégie de réponse
  2. Ajoutez une règle à la stratégie :

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "*.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["restricted.googleapis.com."]
        }
      ]
    }
    {
      kind: "dns#responsePolicyRules",
      rule_name: "www-passthru",
      dns_name: "www.googleapis.com.",
      behavior: BYPASS_RESPONSE_POLICY
    }
    

    Remplacez l'élément suivant :

    • RULE_NAME : nom de la règle que vous créez, par exemple googleapis
    • DNS_NAME : nom DNS générique pour lequel vous créez la règle, par exemple *.googleapis.com.. notez le point final

Étapes suivantes