Policy server DNS

Una policy dei server DNS consente di configurare i server DNS da utilizzare per la risoluzione dei nomi di dominio per le tue risorse Google Cloud . Puoi utilizzare le policy dei server DNS per controllare la risoluzione DNS all'interno di una rete virtual private cloud (VPC) specifica. Una policy dei server DNS specifica il forwarding DNS in entrata, il forwarding DNS in uscita o entrambi. Una policy dei server DNS in entrata consente il forwarding DNS in entrata, mentre una policy dei server DNS in uscita è un modo per implementare il forwarding DNS in uscita.

Puoi anche configurare DNS64 per consentire alle istanze VM solo IPv6 di comunicare con destinazioni solo IPv4.

Le subnet VPC solo IPv6 non supportano le policy dei server DNS in entrata. Tuttavia, puoi configurare policy dei server DNS in uscita per le istanze VM solo IPv6.

Policy dei server in entrata

Ogni rete VPC fornisce servizi di risoluzione dei nomi Cloud DNS alle istanze di macchine virtuali (VM) che dispongono di un'interfaccia di rete (vNIC) collegata alla rete VPC. Quando una VM utilizza il server dei metadati 169.254.169.254 come server dei nomi, Google Cloud cerca le risorse Cloud DNS in base all'ordine di risoluzione dei nomi della rete VPC.

Per rendere disponibili i servizi di risoluzione dei nomi di una rete VPC alle reti on-premise connesse alla rete VPC utilizzando tunnel Cloud VPN, collegamenti VLAN di Cloud Interconnect o appliance router, puoi utilizzare una policy dei server in entrata.

Quando crei una policy dei server in entrata, Cloud DNS crea entry point della policy dei server in entrata nella rete VPC a cui viene applicata la policy dei server. Gli entry point della policy dei server in entrata sono indirizzi IPv4 interni provenienti dall'intervallo di indirizzi IPv4 principale di ogni subnet nella rete VPC applicabile, ad eccezione delle subnet con dati --purpose specifici, come le subnet solo proxy per determinati bilanciatori del carico e le subnet utilizzate da Cloud NAT per Private NAT.

Ad esempio, se hai una rete VPC che contiene due subnet nella stessa regione e una terza subnet in una regione diversa, quando configuri una policy dei server in entrata per la rete VPC, Cloud DNS utilizza un totale di tre indirizzi IPv4 come entry point della policy dei server in entrata, uno per subnet.

Per informazioni su come creare una policy dei server in entrata per un VPC, consulta Crea una policy dei server in entrata.

Rete e regione per le query in entrata

Per elaborare le query DNS inviate agli entry point della policy dei server in entrata, Cloud DNS associa la query a una rete VPC e a una regione:

La rete VPC associata a una query DNS è la rete VPC che contiene il tunnel Cloud VPN, il collegamento VLAN di Cloud Interconnect o l'interfaccia di rete dell'appliance router che riceve i pacchetti per la query DNS.
- Google consiglia di creare una policy dei server in entrata nella rete VPC che si connette alla rete on-premise. In questo modo, gli entry point della policy dei server in entrata si trovano nella stessa rete VPC dei tunnel Cloud VPN, dei collegamenti VLAN Cloud Interconnect o delle appliance router che si connettono alla rete on-premise.
- È possibile che una rete on-premise invii query agli entry point della policy dei server in entrata in una rete VPC diversa, ad esempio se la rete VPC contenente i tunnel Cloud VPN, i collegamenti VLAN Cloud Interconnect o le appliance router che si connettono alla rete on-premise è connessa anche a una rete VPC diversa utilizzando il peering di rete VPC. Tuttavia, non consigliamo di utilizzare questa configurazione perché la rete VPC associata per le query DNS non corrisponde alla rete VPC contenente gli entry point della policy dei server in entrata, il che significa che le query DNS non vengono risolte utilizzando le zone private e le policy di risposta Cloud DNS nella rete VPC contenente la policy dei server in entrata. Per evitare confusione, ti consigliamo invece i seguenti passaggi di configurazione:
  1. Crea una policy dei server in entrata nella rete VPC che si connette alla rete on-premise utilizzando tunnel Cloud VPN, collegamenti VLAN Cloud Interconnect o appliance router.
  2. Configura i sistemi on-premise per inviare query DNS agli entry point della policy dei server in entrata configurati nel passaggio precedente.
  3. Configura le risorse Cloud DNS autorizzate per la rete VPC che si connette alla rete on-premise. Utilizza uno o più dei seguenti metodi:
    - Aggiungi la rete VPC che si connette alla rete on-premise all'elenco delle reti autorizzate per le zone private Cloud DNS autorizzate per l'altra rete VPC: se una zona privata Cloud DNS e la rete VPC che si connette alla rete on-premise si trovano in progetti diversi della stessa organizzazione, utilizza l'URL di rete completo quando autorizzi la rete. Per saperne di più, consulta Configura l'associazione tra progetti.
    - Zone di peering Cloud DNS autorizzate per la rete VPC che si connette alla rete on-premise: imposta la rete di destinazione della zona di peering sull'altra rete VPC. Non importa se la rete VPC che si connette alla rete on-premise è connessa alla rete VPC di destinazione della zona di peering utilizzando il peering di rete VPC, perché le zone di peering Cloud DNS non si basano sul peering di rete VPC per la connettività di rete.
- Se una rete on-premise invia query a una policy dei server in entrata utilizzando il peering di rete VPC, la rete con la policy dei server in entrata deve contenere una VM, un collegamento VLAN o un tunnel Cloud VPN nella stessa regione delle query in entrata.
La regione associata a una query DNS è sempre la regione che contiene il tunnel Cloud VPN, il collegamento VLAN di Cloud Interconnect o l'interfaccia di rete dell'appliance router che riceve i pacchetti per la query DNS, non la regione della subnet contenente l'entry point della policy dei server in entrata.
- Ad esempio, se i pacchetti per una query DNS entrano in una rete VPC utilizzando un tunnel Cloud VPN situato nella regione us-east1 e vengono inviati a un entry point della policy dei server in entrata nella regione us-west1, la regione associata alla query DNS è us-east1.
- Come best practice, invia le query DNS all'indirizzo IPv4 di un entry point della policy dei server in entrata nella stessa regione del tunnel Cloud VPN, del collegamento VLAN di Cloud Interconnect o dell'appliance router.
- La regione associata a una query DNS è importante se utilizzi policy di routing basate sulla geolocalizzazione. Per saperne di più, consulta Gestisci le policy di routing DNS e i controlli di integrità.

Annuncio di route dell'entry point della policy del server in entrata

Poiché gli indirizzi IP degli entry point della policy dei server in entrata vengono presi dagli intervalli di indirizzi IPv4 principali delle subnet, i router Cloud annunciano questi indirizzi IP quando la sessione BGP (Border Gateway Protocol) per un tunnel Cloud VPN, un collegamento VLAN di Cloud Interconnect o un'appliance router è configurata per utilizzare la modalità di annuncio predefinita del router Cloud. Puoi anche configurare una sessione BGP per annunciare gli indirizzi IP degli entry point della policy dei server in entrata se utilizzi la modalità di annuncio personalizzata del router Cloud in uno dei seguenti modi:

Annunci gli intervalli di indirizzi IP della subnet oltre ai prefissi personalizzati.
Includi gli indirizzi IP degli entry point della policy dei server in entrata nei tuoi annunci con prefisso personalizzato.

Policy dei server in uscita

Puoi modificare l'ordine di risoluzione dei nomi Cloud DNS di una rete VPC creando una policy dei server in uscita che specifica un elenco di server dei nomi alternativi. Quando una VM utilizza il server di metadati 169.254.169.254 come server dei nomi e quando hai specificato server dei nomi alternativi per una rete VPC, Cloud DNS invia tutte le query ai server dei nomi alternativi a meno che le query non corrispondano a una policy di risposta con ambito cluster Google Kubernetes Engine o a una zona privata con ambito cluster GKE.

Quando in una policy dei server in uscita esistono due o più server dei nomi alternativi, Cloud DNS li classifica ed esegue query su di loro come descritto nel primo passaggio dell'ordine di risoluzione dei nomi VPC. Importante: esamina attentamente l'ordine di risoluzione della rete VPC. L'utilizzo di server dei nomi alternativi disattiva la risoluzione di molte funzionalità di Cloud DNS e può influire anche sulla risoluzione delle query DNS pubbliche, a seconda della configurazione dei server dei nomi alternativi. Per saperne di più su altre strategie per il forwarding DNS in uscita, consulta Metodi di forwarding DNS nella panoramica di Cloud DNS. Per informazioni su come creare policy dei server in uscita, consulta Creazione di una policy dei server in uscita.

Tipi di server dei nomi alternativi, metodi di routing e indirizzi

Cloud DNS supporta i seguenti server dei nomi alternativi e offre metodi di routing standard o privati per la connettività.

Tipo di server dei nomi alternativo Supporto del routing standard Supporto del routing privato Intervallo di indirizzi di origine della query

Tipo di server dei nomi alternativo	Supporto del routing standard	Supporto del routing privato	Intervallo di indirizzi di origine della query
Server dei nomi di Tipo 1 Un indirizzo IP interno di una VM Google Cloud nella stessa rete VPC in cui è definita la policy dei server in uscita.	Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata.	Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP esterno riutilizzato privatamente, ad eccezione di un indirizzo IP del server dei nomi alternativo vietato: il traffico viene sempre instradato tramite una rete VPC autorizzata.	`35.199.192.0/19`
Server dei nomi di Tipo 2 Un indirizzo IP di un sistema on-premise, connesso alla rete VPC con la policy dei server in uscita, che utilizza Cloud VPN o Cloud Interconnect.	Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata.	Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP esterno riutilizzato privatamente, ad eccezione di un indirizzo IP del server dei nomi alternativo vietato: il traffico viene sempre instradato tramite una rete VPC autorizzata.	`35.199.192.0/19`
Server dei nomi di tipo 3 Un indirizzo IP esterno di un server dei nomi DNS accessibile a internet o l'indirizzo IP esterno di una risorsa Google Cloud , ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC.	Solo indirizzi IP esterni instradabili su internet: il traffico viene sempre instradato a internet o all'indirizzo IP esterno di una risorsa Google Cloud .	Il routing privato non è supportato.	Intervalli di origine di Google Public DNS

Server dei nomi di Tipo 1

Un indirizzo IP interno di una VM Google Cloud nella stessa rete VPC in cui è definita la policy dei server in uscita.

Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata.

Qualsiasi indirizzo IP interno, ad esempio un indirizzo privato RFC 1918, un indirizzo IP privato non RFC 1918 o un indirizzo IP esterno riutilizzato privatamente, ad eccezione di un indirizzo IP del server dei nomi alternativo vietato: il traffico viene sempre instradato tramite una rete VPC autorizzata.

35.199.192.0/19

Server dei nomi di Tipo 2

Un indirizzo IP di un sistema on-premise, connesso alla rete VPC con la policy dei server in uscita, che utilizza Cloud VPN o Cloud Interconnect.

Solo indirizzi IP RFC 1918: il traffico viene sempre instradato tramite una rete VPC autorizzata.

35.199.192.0/19

Server dei nomi di tipo 3

Un indirizzo IP esterno di un server dei nomi DNS accessibile a internet o l'indirizzo IP esterno di una risorsa Google Cloud , ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC.

Solo indirizzi IP esterni instradabili su internet: il traffico viene sempre instradato a internet o all'indirizzo IP esterno di una risorsa Google Cloud .

Il routing privato non è supportato.

Intervalli di origine di Google Public DNS

Cloud DNS offre due metodi di routing per eseguire query sui server dei nomi alternativi:

Routing standard. Cloud DNS determina il tipo di server dei nomi alternativo utilizzando il relativo indirizzo IP, quindi utilizza il routing privato o pubblico:
- Se il server dei nomi alternativo è un indirizzo IP RFC 1918, Cloud DNS lo classifica come server dei nomi di Tipo 1 o Tipo 2 e instrada le query tramite una rete VPC autorizzata (routing privato).
- Se il server dei nomi alternativo non è un indirizzo IP RFC 1918, Cloud DNS lo classifica come Tipo 3 e prevede che il server dei nomi alternativo sia accessibile da internet. Cloud DNS instrada le query su internet (routing pubblico).
Routing privato. Cloud DNS considera il server dei nomi alternativo di Tipo 1 o Tipo 2. Cloud DNS instrada sempre il traffico attraverso una rete VPC autorizzata, indipendentemente dall'indirizzo IP del server dei nomi alternativo (RFC 1918 o meno).

Indirizzi IP dei server dei nomi alternativi vietati

Non puoi utilizzare i seguenti indirizzi IP per i server dei nomi alternativi di Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Requisiti di rete per i server dei nomi alternativi

I requisiti di rete per i server dei nomi alternativi variano in base al tipo di server dei nomi alternativo. Per determinare il tipo di un server dei nomi alternativo, consulta Tipi di server dei nomi alternativi, metodi di routing e indirizzi. Per i requisiti di rete, consulta una delle sezioni seguenti.

Requisiti di rete per i server dei nomi alternativi di Tipo 1

Cloud DNS invia pacchetti le cui origini provengono dall'intervallo di indirizzi IP 35.199.192.0/19 all'indirizzo IP del server dei nomi alternativo di Tipo 1.Google Cloud instrada i pacchetti per le query utilizzando le route di subnet locali nella rete VPC. Assicurati di non aver creato route basate su policy le cui destinazioni includono indirizzi IP di server dei nomi alternativi di Tipo 1.

Per consentire i pacchetti in entrata sulle VM del server dei nomi alternativo, devi creare regole firewall VPC di autorizzazione in entrata o regole nelle policy del firewall con le seguenti caratteristiche:

Target: devono includere le VM del server dei nomi alternativo
Origini: 35.199.192.0/19
Protocolli: TCP e UDP
Porta: 53

Cloud DNS richiede che ogni server dei nomi alternativo invii pacchetti di risposta all'indirizzo IP di Cloud DNS in 35.199.192.0/19 da cui ha avuto origine la query. Le origini dei pacchetti di risposta devono corrispondere all'indirizzo IP del server dei nomi alternativo a cui Cloud DNS invia la query originale. Cloud DNS ignora le risposte se provengono da un'origine di indirizzi IP imprevista, ad esempio l'indirizzo IP di un altro server dei nomi a cui un server dei nomi alternativo potrebbe inoltrare una query.

Quando un server dei nomi alternativo di Tipo 1 invia pacchetti di risposta a 35.199.192.0/19, utilizza un percorso di routing speciale.

Requisiti di rete per i server dei nomi alternativi di Tipo 2

Cloud DNS invia pacchetti le cui origini provengono dall'intervallo di indirizzi IP 35.199.192.0/19 ai server dei nomi alternativi di Tipo 2. Cloud DNS si basa sui seguenti tipi di route all'interno della rete VPC a cui si applica la policy dei server in uscita:

Route statiche ad eccezione di quelle che si applicano solo alle VM in base al tag di rete
Route dinamiche

Per consentire i pacchetti in entrata sui server dei nomi alternativi di Tipo 2, assicurati di configurare le regole firewall di autorizzazione in entrata applicabili ai server dei nomi alternativi e a qualsiasi apparecchiatura di rete on-premise pertinente con funzionalità firewall. La configurazione firewall effettiva deve consentire sia i protocolli TCP sia UDP con porta di destinazione 53 e origini 35.199.192.0/19.

La tua rete on-premise deve avere route per la destinazione 35.199.192.0/19 i cui hop successivi sono tunnel Cloud VPN, collegamenti VLAN di Cloud Interconnect o router Cloud situati nella stessa rete VPC e nella stessa regione da cui Cloud DNS invia la query. Finché gli hop successivi soddisfano i requisiti di rete e regione, Google Cloud non richiede un percorso di ritorno simmetrico. Le risposte dei server dei nomi alternativi di Tipo 2 non possono essere instradate utilizzando uno dei seguenti hop successivi:

Hop successivi su internet
Hop successivi in una rete VPC diversa da quella in cui sono state generate le query
Hop successivi nella stessa rete VPC, ma in una regione diversa da quella in cui sono state generate le query

Per configurare le route 35.199.192.0/19 nella tua rete on-premise, utilizza la modalità di annuncio personalizzata del router Cloud e includi 35.199.192.0/19 come prefisso personalizzato nelle sessioni BGP dei tunnel Cloud VPN, dei collegamenti VLAN di Cloud Interconnect o dei router Cloud che connettono la tua rete VPC alla rete on-premise che contiene il server dei nomi alternativo di Tipo 2. In alternativa, puoi configurare route statiche equivalenti nella tua rete on-premise.

Requisiti di rete per i server dei nomi alternativi di Tipo 3

Cloud DNS invia pacchetti le cui origini corrispondono agli intervalli di origine di Google Public DNS ai server dei nomi alternativi di Tipo 3. Cloud DNS utilizza il routing pubblico, ovvero non si basa su alcuna route all'interno della rete VPC a cui si applicano le policy dei server in uscita.

Per consentire i pacchetti in entrata sui server dei nomi alternativi di Tipo 3, assicurati che la configurazione firewall effettiva applicabile al server dei nomi alternativo consenta i pacchetti provenienti dagli intervalli di origine di Google Public DNS.

Passaggi successivi

Per configurare e applicare le policy dei server DNS, consulta Applica le policy dei server DNS.