Panoramica di Cloud DNS

Questa pagina fornisce una panoramica delle caratteristiche e delle funzionalità di Cloud DNS. Cloud DNS è un servizio DNS (Domain Name System) globale, resiliente e ad alte prestazioni che pubblica i tuoi nomi di dominio nel DNS globale in modo conveniente.

Il DNS è un database distribuito gerarchico che ti consente di archiviare indirizzi IP e altri dati e di cercarli per nome. Cloud DNS ti consente di pubblicare le tue zone e i tuoi record in DNS senza l'onere di gestire il software e i server DNS.

Cloud DNS offre sia zone pubbliche sia zone DNS gestite private. Una zona pubblica è visibile sulla rete internet pubblica, mentre una zona privata è visibile solo da una o più reti VPC (Virtual Private Cloud) specificate da te. Per informazioni dettagliate sulle zone, consulta Panoramica delle zone DNS.

Cloud DNS supporta le autorizzazioni IAM (Identity and Access Management) a livello di progetto e di singola zona DNS. Per informazioni su come impostare le autorizzazioni IAM per le singole risorse, consulta Crea una zona con autorizzazioni IAM specifiche.

Per un elenco della terminologia DNS generale, consulta Panoramica generale del DNS.

Per un elenco della terminologia chiave su cui si basa Cloud DNS, consulta Termini chiave.

Per iniziare a utilizzare Cloud DNS, consulta la Guida rapida.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni di Cloud DNS in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload.

Prova Cloud DNS gratuitamente

Considerazioni sul VPC condiviso

Per utilizzare una zona privata gestita Cloud DNS, una zona di forwarding Cloud DNS o una zona di peering Cloud DNS con VPC condiviso, devi creare la zona nel progetto host e poi aggiungere una o più reti VPC condivise all'elenco delle reti autorizzate per quella zona. In alternativa, puoi configurare la zona in un progetto di servizio utilizzando l'associazione tra progetti.

Per saperne di più, consulta Best practice per le zone private Cloud DNS.

Metodi di forwarding DNS

Google Cloud offre il forwarding DNS in entrata e in uscita per le zone private. Puoi configurare il forwarding DNS creando una zona di forwarding o una policy dei server Cloud DNS. I due metodi sono riassunti nella tabella seguente.

Forwarding DNS	Metodi Cloud DNS
In entrata	Crea una policy dei server in entrata per consentire a un client o a un server DNS on-premise di inviare richieste DNS a Cloud DNS. Il client o il server DNS può quindi risolvere i record in base all'ordine di risoluzione dei nomi di una rete VPC. I client on-premise possono risolvere i record nelle zone private, nelle zone di forwarding e nelle zone di peering per cui è stata autorizzata la rete VPC. I client on-premise utilizzano Cloud VPN o Cloud Interconnect per connettersi alla rete VPC.
In uscita	Puoi configurare le VM in una rete VPC per eseguire le seguenti operazioni: Inviare richieste DNS ai server dei nomi DNS che preferisci. I server dei nomi possono trovarsi nella stessa rete VPC, in una rete on-premise o su internet. Risolvere i record ospitati sui server dei nomi configurati come target di forwarding di una zona di forwarding autorizzata per l'utilizzo da parte della tua rete VPC. Per informazioni su come Google Cloud instrada il traffico verso un target di forwarding, vedi Target di forwarding e metodi di routing. Creare una policy dei server in uscita per la rete VPC per inviare tutte le richieste DNS a un server dei nomi alternativo. Quando utilizzi un server dei nomi alternativo, le VM nella tua rete VPC non sono più in grado di risolvere i record nelle zone private o di forwarding, di peering Cloud DNS o nelle zone DNS interne di Compute Engine. Per altri dettagli, consulta Ordine di risoluzione dei nomi.

Forwarding DNS

Metodi Cloud DNS

In entrata

Crea una policy dei server in entrata per consentire a un client o a un server DNS on-premise di inviare richieste DNS a Cloud DNS. Il client o il server DNS può quindi risolvere i record in base all'ordine di risoluzione dei nomi di una rete VPC.

I client on-premise possono risolvere i record nelle zone private, nelle zone di forwarding e nelle zone di peering per cui è stata autorizzata la rete VPC. I client on-premise utilizzano Cloud VPN o Cloud Interconnect per connettersi alla rete VPC.

In uscita

Puoi configurare le VM in una rete VPC per eseguire le seguenti operazioni:

Inviare richieste DNS ai server dei nomi DNS che preferisci. I server dei nomi possono trovarsi nella stessa rete VPC, in una rete on-premise o su internet.
Risolvere i record ospitati sui server dei nomi configurati come target di forwarding di una zona di forwarding autorizzata per l'utilizzo da parte della tua rete VPC. Per informazioni su come Google Cloud instrada il traffico verso un target di forwarding, vedi Target di forwarding e metodi di routing.
Creare una policy dei server in uscita per la rete VPC per inviare tutte le richieste DNS a un server dei nomi alternativo. Quando utilizzi un server dei nomi alternativo, le VM nella tua rete VPC non sono più in grado di risolvere i record nelle zone private o di forwarding, di peering Cloud DNS o nelle zone DNS interne di Compute Engine. Per altri dettagli, consulta Ordine di risoluzione dei nomi.

Puoi configurare contemporaneamente il forwarding DNS in entrata e in uscita per una rete VPC. Il forwarding bidirezionale consente alle VM nella tua rete VPC di risolvere i record in una rete on-premise o in una rete ospitata da un altro cloud provider. Questo tipo di forwarding consente inoltre agli host della rete on-premise di risolvere i record per le tue risorseGoogle Cloud .

Il control plane di Cloud DNS utilizza l'ordine di selezione del target di forwarding per selezionare una destinazione di forwarding. A volte le query inoltrate in uscita possono generare errori SERVFAIL se le destinazioni di forwarding non sono raggiungibili o se non rispondono abbastanza rapidamente. Per istruzioni per la risoluzione dei problemi, consulta Le query inoltrate in uscita ricevono errori SERVFAIL.

Per informazioni su come applicare le policy dei server, consulta Crea policy dei server DNS. Per scoprire come creare una zona di forwarding, consulta Crea una zona di forwarding.

DNSSEC

Cloud DNS supporta DNSSEC gestito, proteggendo i tuoi domini da attacchi di spoofing e poisoning della cache. Quando utilizzi un resolver di convalida come Google Public DNS, DNSSEC fornisce l'autenticazione avanzata (ma non la crittografia) delle ricerche di dominio. Per saperne di più su DNSSEC, consulta Gestione della configurazione DNSSEC.

Rilevamento avanzato delle minacce (anteprima)

Monitora le query DNS su internet per rilevare attività dannose utilizzando DNS Armor (anteprima), basato su Infoblox. I log delle query DNS su internet vengono analizzati da Infoblox per rilevare pattern dannosi e altri segni di compromissione, fornendo visibilità sulle minacce senza influire sul traffico di produzione. Per saperne di più sul rilevamento delle minacce di DNS Armor, consulta Panoramica del rilevamento avanzato delle minacce.

DNS64

Puoi connettere le istanze di macchine virtuali (VM) di Compute Engine solo IPv6 alle destinazioni IPv4 utilizzando Cloud DNS DNS64. DNS64 fornisce un indirizzo IPv6 sintetizzato per ogni destinazione IPv4. Cloud DNS crea un indirizzo sintetizzato combinando il prefisso well-known (WKP) 64:ff9b::/96 con i 32 bit dell'indirizzo IPv4 di destinazione.

Configura DNS64 e la Network Address Translation con Public NAT (NAT64) per consentire alle tue istanze VM solo IPv6 di comunicare con destinazioni IPv4 su internet. Per configurare NAT64, segui le istruzioni riportate in Crea un gateway Cloud NAT.

L'esempio seguente mostra come un'istanza VM solo IPv6 denominata vmipv6 risolve il nome di una destinazione solo IPv4.

L'istanza VM vmipv6 avvia una richiesta DNS per risolvere il nome di destinazione in un indirizzo IPv6.
Se esiste un record AAAA (indirizzo IPv6), Cloud DNS restituisce l'indirizzo IPv6 e l'istanza VM vmipv6 lo utilizza per connettersi alla destinazione.
Se non esiste alcun record AAAA, ma hai configurato DNS64, Cloud DNS cerca un record A (indirizzo IPv4). Se Cloud DNS trova un record A, sintetizza un record AAAA anteponendo all'indirizzo IPv4 64:ff9b::/96.

DNS64 traduce un indirizzo IPv4 in un indirizzo IPv6 sintetizzato. — DNS64 traduce un indirizzo IPv4 in un indirizzo IPv6 sintetizzato (fai clic per ingrandire).

Ad esempio, se l'indirizzo IPv4 è 32.34.50.60, l'indirizzo IPv6 sintetizzato risultante è 64:ff9b::2022:323c, dove 2022:323c è l'equivalente esadecimale dell'indirizzo IPv4. Il prefisso 64:ff9b::/96 è definito nella RFC 6052. Cloud DNS sintetizza questi indirizzi IPv6 anche quando ospiti i record DNS on-premise, a condizione che abiliti il forwarding DNS in Cloud DNS.

Puoi utilizzare DNS64 nei seguenti scenari:

Rispettare i mandati che richiedono di passare a indirizzi IPv6 senza allocare indirizzi IPv4.
Eseguire la transizione all'infrastruttura di indirizzi solo IPv6 in più fasi, mantenendo l'accesso all'infrastruttura IPv4 esistente.
Evitare interruzioni ai servizi critici garantendo l'accesso continuo agli ambienti con indirizzi IPv4 legacy durante la transizione agli indirizzi IPv6.

Per configurare DNS64 per una rete VPC, segui le istruzioni riportate in Configura DNS64.

Controllo dell'accesso

Puoi gestire gli utenti autorizzati ad apportare modifiche ai tuoi record DNS nella pagina IAM e amministrazione della consoleGoogle Cloud . Per essere autorizzati ad apportare modifiche, gli utenti devono disporre del ruolo DNS Administrator (roles/dns.admin) nella sezione Autorizzazioni della console Google Cloud . Il ruolo DNS Reader (roles/dns.reader) concede l'accesso di sola lettura ai record Cloud DNS.

Queste autorizzazioni si applicano anche ai service account che potresti utilizzare per gestire i tuoi servizi DNS.

Per visualizzare le autorizzazioni assegnate a questi ruoli, consulta Ruoli.

Controllo dell'accesso per le zone gestite

Gli utenti con il ruolo Proprietario o Editor (roles/owner o roles/editor) di progetto possono gestire o visualizzare le zone gestite nel progetto specifico che stanno gestendo.

Gli utenti con il ruolo DNS Administrator o DNS Reader possono gestire o visualizzare le zone gestite in tutti i progetti a cui hanno accesso.

Project Owner, Editor, DNS Administrator e DNS Reader del progetto possono visualizzare l'elenco delle zone private applicate a qualsiasi rete VPC nel progetto corrente.

Accesso con autorizzazioni per risorsa

Per configurare una policy su una risorsa DNS come una zona gestita, devi disporre dell'accesso come Proprietario al progetto che possiede la risorsa. Il ruolo DNS Administrator non dispone dell'autorizzazione setIamPolicy. In qualità di Project Owner puoi anche creare ruoli IAM personalizzati per le tue esigenze specifiche. Per informazioni dettagliate, consulta Informazioni sui ruoli IAM personalizzati.

Prestazioni e tempistiche

Cloud DNS utilizza anycast per gestire le tue zone gestite da più località in tutto il mondo in modo da garantire l'alta affidabilità. Le richieste vengono indirizzate automaticamente alla località più vicina, riducendo la latenza e migliorando le prestazioni di ricerca dei nomi autorevoli per i tuoi utenti.

Propagazione delle modifiche

Le modifiche vengono propagate in due parti. Prima di tutto, è necessario eseguire il push della modifica che invii tramite l'API o lo strumento a riga di comando ai server DNS autorevoli di Cloud DNS. In secondo luogo, i resolver DNS devono rilevare questa modifica quando la cache dei record scade.

Il valore di durata (TTL) impostato per i record, specificato in secondi, controlla la cache del resolver DNS. Ad esempio, se imposti un valore TTL di 86400 (il numero di secondi in 24 ore), i resolver DNS ricevono l'istruzione di memorizzare nella cache i record per 24 ore. Alcuni resolver DNS ignorano il valore TTL o utilizzano i propri valori, il che può ritardare la propagazione completa dei record.

Se prevedi di apportare una modifica ai servizi che richiede una finestra ristretta, potresti modificare il TTL impostando un valore più breve prima di apportare la modifica. Il nuovo valore TTL più breve viene applicato dopo la scadenza del valore TTL precedente nella cache del resolver. Questo approccio può contribuire a ridurre la finestra di memorizzazione nella cache e garantire una modifica più rapida delle nuove impostazioni dei record. Dopo la modifica, puoi riportare il valore al valore TTL precedente per ridurre il carico sui resolver DNS.

Passaggi successivi

Per iniziare a utilizzare Cloud DNS, consulta la Guida rapida: configura i record DNS per un nome di dominio con Cloud DNS.
Per registrare e configurare il tuo dominio, consulta Tutorial: configura un dominio utilizzando Cloud DNS.
Per informazioni sulle librerie client API, consulta Esempi e librerie.
Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.