本頁面提供 Cloud DNS 特色與功能的總覽。Cloud DNS 是一種韌性絕佳的高效能全球網域名稱系統 (DNS) 服務,以符合成本效益的方式,將您的網域名稱發布到全球DNS。
DNS 是一種階層型分散式資料庫,可用來儲存 IP 位址和其他資料,並按名稱來查詢這些資料。Cloud DNS 可讓您在 DNS 中發布區域和記錄,無須管理自己的 DNS 伺服器與軟體。
Cloud DNS 提供公開和私人代管 DNS 區域。公開區域可供公開網際網路存取,而私人區域只允許您指定的一或多個虛擬私有雲 (VPC) 網路存取。如要進一步瞭解區域,請參閱「DNS 區域總覽」。
Cloud DNS 支援專案層級和個別 DNS 區域層級的身分與存取權管理 (IAM) 權限。如要瞭解如何設定個別資源的 IAM 權限,請參閱「建立具備特定 IAM 權限的區域」。
如需 DNS 常用術語清單,請參閱「一般 DNS 總覽」。
如需 Cloud DNS 的重要術語清單,請參閱「重要詞彙」。
如要開始使用 Cloud DNS,請參閱「快速入門導覽課程」。
歡迎試用
如果您未曾使用 Google Cloud,歡迎建立帳戶,親自體驗 Cloud DNS 的實際成效。新客戶還能獲得價值 $300 美元的免費抵免額,用於執行、測試及部署工作負載。
免費試用 Cloud DNSShared VPC 的注意事項
如要將 Cloud DNS 代管私人區域、Cloud DNS 轉送區域或 Cloud DNS 對接區域與 Shared VPC 搭配使用,您必須在主專案中建立區域,然後將一或多個 Shared VPC 網路新增至該區域的授權網路清單。或者,您也可以使用跨專案繫結,在服務專案中設定區域。
詳情請參閱「Cloud DNS 私人區域最佳做法」。
DNS 轉送方法
Google Cloud 提供私人區域的傳入和傳出 DNS 轉送功能。如要設定 DNS 轉送功能,您可以建立轉送區域或 Cloud DNS 伺服器政策。下表概略說明這兩種方法。
| DNS 轉送 | Cloud DNS 方法 |
|---|---|
| 傳入 | 建立「傳入伺服器政策」,讓地端部署 DNS 用戶端或伺服器將 DNS 要求傳送至 Cloud DNS。如此一來,DNS 用戶端或伺服器就能按照虛擬私有雲網路的名稱解析順序,解析記錄。 地端部署用戶端可以解析私有/轉送/對接區域中的記錄,這些區域的虛擬私有雲網路已獲授權。地端部署用戶端會使用 Cloud VPN 或 Cloud Interconnect 連線至 VPC 網路。 |
| 傳出 |
您可以設定虛擬私有雲網路中的 VM,執行下列操作:
|
您可以同時為虛擬私有雲網路設定傳入和傳出 DNS 轉送。虛擬私有雲網路中的 VM 可以透過雙向轉送,解析地端部署網路或其他雲端服務供應商所託管網路中的記錄。地端部署網路中的主機也能透過這類轉送功能,解析Google Cloud 資源的記錄。
Cloud DNS 控制層會依照轉送目標選取順序,選取轉送目標。如果轉送目標無法連線或回應速度不夠快,傳出的轉送查詢有時可能會導致 SERVFAIL 錯誤。如需疑難排解說明,請參閱「傳出的轉送查詢收到 SERVFAIL 錯誤」。
如要瞭解如何套用伺服器政策,請參閱「建立 DNS 伺服器政策」。如要瞭解如何建立轉送區域,請參閱「建立轉送區域」。
DNSSEC
Cloud DNS 支援代管的 DNSSEC,可保護網域,防範假冒及快取中毒攻擊。使用驗證解析器 (如 Google 公用 DNS) 時,DNSSEC 可為網域查詢提供強式驗證機制,但不提供加密功能。如要進一步瞭解 DNSSEC,請參閱「管理 DNSSEC 設定」。
進階威脅偵測 (預先發布版)
您可以使用由 Infoblox 提供技術支援的 DNS Armor (預先發布版),監控傳送至網際網路的 DNS 查詢以偵測惡意活動。Infoblox 會分析傳送至網際網路的查詢 DNS 記錄,找出惡意模式和其他遭入侵的跡象,讓您掌握威脅狀況,且不會影響實際執行環境流量。如要進一步瞭解 DNS Armor 威脅偵測功能,請參閱「進階威脅偵測總覽」。DNS64
您可以使用 Cloud DNS DNS64,將僅支援 IPv6 的 Compute Engine 虛擬機器 (VM) 執行個體連線至 IPv4 目的地。DNS64 會為每個 IPv4 目的地提供合成的 IPv6 位址。Cloud DNS 會結合已知前置碼 (WKP) 64:ff9b::/96 和目的地 IPv4 位址的 32 位元,建立合成位址。
您也可以使用 Public NAT (NAT64) 設定 DNS64 和網路位址轉譯,讓僅支援 IPv6 的 VM 執行個體與網際網路上的 IPv4 目的地通訊。如要設定 NAT64,請按照「建立 Cloud NAT 閘道」中的說明操作。
以下範例說明僅支援的 IPv6 VM 執行個體 vmipv6,如何解析僅支援 IPv4 目的地的名稱。
vmipv6VM 執行個體會啟動 DNS 要求,將目的地名稱解析為 IPv6 位址。如果
AAAA記錄 (IPv6 位址) 存在,Cloud DNS 會傳回 IPv6 位址,而vmipv6VM 執行個體會使用該位址連線至目的地。如果
AAAA記錄不存在,但您已設定 DNS64,Cloud DNS 則會搜尋A記錄 (IPv4 位址)。如果 Cloud DNS 找到A記錄,就會在 IPv4 位址前加上前置碼64:ff9b::/96,合成AAAA記錄。
舉例來說,如果 IPv4 位址是 32.34.50.60,合成 IPv6 位址就會是 64:ff9b::2022:323c,其中的 2022:323c 是 IPv4 位址的十六進制等效位址。64:ff9b::/96 前置碼定義於 RFC 6052。即使您在地端部署環境中託管 DNS 記錄,只要在 Cloud DNS 中啟用 DNS 轉送功能,Cloud DNS 仍會合成 IPv6 位址。
下列情況可以使用 DNS64:
- 為遵守相關規定,改用 IPv6 位址而不分配 IPv4 位址。
- 分階段轉譯為僅支援 IPv6 的位址基礎架構,同時維持現有 IPv4 基礎架構的存取權。
- 為避免重要服務中斷,在轉譯為 IPv6 位址期間,確保能繼續存取採用舊版 IPv4 位址的環境。
如要為虛擬私有雲網路設定 DNS64,請按照「設定 DNS64」文中的說明操作。
存取控管
您可以在Google Cloud 控制台的「IAM & Admin」(IAM 與管理員) 頁面中,管理有權變更 DNS 記錄的使用者。如要授權使用者進行變更,對方在 Google Cloud 控制台的「Permissions」(權限) 部分中,必須具備 DNS 管理員角色 (roles/dns.admin)。DNS 讀取者角色 (roles/dns.reader) 會授予 Cloud DNS 記錄的唯讀存取權。
這些權限也適用於您用來管理 DNS 服務的服務帳戶。
如要查看指派給這些角色的權限,請參閱「角色」。
代管區域的存取控管機制
具備專案擁有者或編輯者角色 (roles/owner 或 roles/editor) 的使用者,可以管理或查看自己所管理特定專案中的代管區域。
具備 DNS 管理員或 DNS 讀取者角色的使用者,可以管理或查看有權存取的所有專案中的代管區域。
專案擁有者、編輯者、DNS 管理員和 DNS 讀取者,都能查看目前的專案中,套用到任何虛擬私有雲網路的私人區域清單。
依資源劃分的存取權限
如要在代管區域等 DNS 資源上設定政策,您必須具備該資源所屬專案的擁有者存取權。DNS 管理員角色沒有 setIamPolicy 權限。專案擁有者也可以根據特定需求建立自訂 IAM 角色。如需詳細資訊,請參閱「瞭解 IAM 自訂角色」。
效能與時間
Cloud DNS 會使用 anycast,從全球多個位置為代管區域提供服務。系統會自動將要求轉送到最近的位置,縮短延遲時間並提高使用者的權威名稱查詢效能。變更傳播
變更會分成兩部分傳播。首先,您透過 API 或指令列工具傳送的變更必須推送到 Cloud DNS 的權威 DNS 伺服器。第二,DNS 解析器必須在記錄快取到期時納入這項變更。
您為記錄設定的存留時間 (TTL) 值 (以秒為單位),控制了 DNS 解析器的快取行為。例如,如果將 TTL 值設為 86400 (24 小時的秒數),系統便會指示 DNS 解析器將記錄保存在快取中 24 小時。部分 DNS 解析器會忽略 TTL 值或使用自己的值,可能進而導致記錄的完整傳播發生延遲。
如果您計劃進行的變更需要在較短的時間內傳播,請先將存留時間變更為較小的值再執行變更,但是需等到解析器快取中先前的存留時間值過期後,才會套用這個新的值。這個方法有助於縮段快取時間,並確保以更快的速度變更新的記錄設定。變更完成後,可以將存留時間改回先前的值,減輕 DNS 解析器的負載。
後續步驟
如要開始使用 Cloud DNS,請參閱「快速入門導覽課程:使用 Cloud DNS 設定網域名稱的 DNS 記錄」。
如要註冊及設定網域,請參閱「教學課程:使用 Cloud DNS 設定網域」。
如要瞭解 API 用戶端程式庫,請參閱「範例和程式庫」。
如要瞭解使用 Cloud DNS 時可能遇到的常見問題解決方法,請參閱這篇文章。