Descripción general de Cloud DNS

En esta página, se proporciona una descripción general de los atributos y capacidades de Cloud DNS. Cloud DNS es un servicio de sistema de nombres de dominio (DNS) global, resiliente y de alto rendimiento que publica tus nombres de dominio en el DNS global de una manera rentable.

DNS es una base de datos distribuida y jerárquica que te permite almacenar direcciones IP y otros datos, y buscarlos por nombre. Cloud DNS te permite publicar tus zonas y registros en el DNS sin la carga de administrar tus propios servidores y software DNS.

En Cloud DNS, se ofrecen zonas públicas y zonas del DNS administradas privadas. Una zona pública es visible para el Internet público, mientras que una zona privada solo es visible desde una o más redes de nube privada virtual (VPC) que especifiques. Consulta Descripción general de las zonas del DNS para obtener información detallada sobre ellas.

Cloud DNS admite permisos de Identity and Access Management (IAM) a nivel de proyecto y a nivel de zona del DNS individual. Para obtener información sobre cómo configurar permisos de IAM de recursos individuales, consulta Crea una zona con permisos de IAM específicos.

Para obtener una lista de terminología de DNS general, consulta Descripción general de DNS.

Para obtener una lista de la terminología clave en la que se basa Cloud DNS, consulta Términos clave.

Para comenzar a utilizar Cloud DNS, consulta la Guía de inicio rápido.

Pruébalo tú mismo

Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud DNS en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Probar Cloud DNS gratis

Consideraciones de la VPC compartida

Para usar una zona privada administrada por Cloud DNS, una zona de reenvío de Cloud DNS o una zona de intercambio de tráfico de Cloud DNS con VPC compartida, debes crear la zona en el proyecto host. Luego, agrega una o más redes de VPC compartida a la lista de redes autorizadas para esa zona. De forma alternativa, puedes configurar la zona en un proyecto de servicio con vinculación entre proyectos.

Si deseas obtener más información, consulta Prácticas recomendadas para las zonas privadas de Cloud DNS.

Métodos de reenvío de DNS

Google Cloud ofrece reenvío de DNS entrante y saliente para zonas privadas. Para configurar el reenvío de DNS, crea una zona de reenvío o una política de servidor de Cloud DNS. Los dos métodos se resumen en la siguiente tabla:

Reenvío de DNS	Métodos de Cloud DNS
Entrante	Crea una política de servidor de entrada para permitir que un cliente o servidor DNS local envíe solicitudes de DNS a Cloud DNS. Luego, con el cliente o servidor DNS, se pueden resolver registros de acuerdo con el pedido de resolución de nombres de una red de VPC. Los clientes locales pueden resolver registros en zonas privadas, zonas de reenvío y zonas de intercambio de tráfico en las que se autorizó la red de VPC. Los clientes locales usan Cloud VPN o Cloud Interconnect para conectarse a la red de VPC.
Saliente	Puedes configurar las VMs en una red de VPC para hacer lo siguiente: Envía solicitudes de DNS a los servidores de nombres DNS que elijas. Los servidores de nombres pueden estar ubicados en la misma red de VPC, en una red local o en Internet. Resuelve registros alojados en servidores de nombres configurados como destinos de reenvío de una zona de reenvío autorizada para su uso por tu red de VPC. Para obtener información sobre cómo Google Cloud enruta el tráfico a un destino de reenvío, consulta Destinos de reenvío y métodos de enrutamiento. Crea una política de servidor de salida para la red de VPC a fin de enviar todas las solicitudes de DNS en un servidor de nombres alternativo. Cuando usas un servidor de nombres alternativo, en las VMs de tu red de VPC ya no se pueden resolver los registros de las zonas privadas de Cloud DNS, las zonas de reenvío, las zonas de intercambio de tráfico o las zonas de DNS internas de Compute Engine. Para obtener más detalles, consulta Pedido de resolución de nombres.

Reenvío de DNS

Métodos de Cloud DNS

Entrante

Crea una política de servidor de entrada para permitir que un cliente o servidor DNS local envíe solicitudes de DNS a Cloud DNS. Luego, con el cliente o servidor DNS, se pueden resolver registros de acuerdo con el pedido de resolución de nombres de una red de VPC.

Los clientes locales pueden resolver registros en zonas privadas, zonas de reenvío y zonas de intercambio de tráfico en las que se autorizó la red de VPC. Los clientes locales usan Cloud VPN o Cloud Interconnect para conectarse a la red de VPC.

Saliente

Puedes configurar las VMs en una red de VPC para hacer lo siguiente:

Envía solicitudes de DNS a los servidores de nombres DNS que elijas. Los servidores de nombres pueden estar ubicados en la misma red de VPC, en una red local o en Internet.
Resuelve registros alojados en servidores de nombres configurados como destinos de reenvío de una zona de reenvío autorizada para su uso por tu red de VPC. Para obtener información sobre cómo Google Cloud enruta el tráfico a un destino de reenvío, consulta Destinos de reenvío y métodos de enrutamiento.
Crea una política de servidor de salida para la red de VPC a fin de enviar todas las solicitudes de DNS en un servidor de nombres alternativo. Cuando usas un servidor de nombres alternativo, en las VMs de tu red de VPC ya no se pueden resolver los registros de las zonas privadas de Cloud DNS, las zonas de reenvío, las zonas de intercambio de tráfico o las zonas de DNS internas de Compute Engine. Para obtener más detalles, consulta Pedido de resolución de nombres.

Puedes configurar el reenvío entrante y saliente de forma simultánea para una red de VPC. Con el reenvío bidireccional, se pueden resolver los registros de una red local o una red alojada por un proveedor de servicios en la nube diferente con las VMs de tu red de VPC. Con este tipo de reenvío, también se permite la resolución de los registros para tus recursos deGoogle Cloud con los hosts de la red local.

En el plano de control de Cloud DNS, se usa el pedido de selección de destino de reenvío para seleccionar un destino de reenvío. Las consultas de reenvío de salida a veces pueden generar errores SERVFAIL si no se puede acceder a los destinos de reenvío o si no responden lo suficientemente rápido. Para obtener instrucciones sobre la solución de problemas, revisa Las consultas de reenvío de salida reciben errores SERVFAIL.

Si deseas obtener información para aplicar las políticas de servidor, consulta Crea políticas de servidor DNS. Si deseas obtener más información para crear una zona de reenvío, consulta Crea una zona de reenvío.

DNSSEC

Cloud DNS admite DNSSEC administradas, que protegen tus dominios contra la falsificación de identidad y los ataques de envenenamiento de caché. Cuando usas un agente de resolución de validación como el DNS público de Google, DNSSEC proporciona una autenticación sólida (pero no la encriptación) de las búsquedas de dominio. Para obtener más información sobre DNSSEC, consulta Administra la configuración de DNSSEC.

Detección avanzada de amenazas (vista previa)

Supervisa tus consultas de DNS vinculadas a Internet para detectar actividad maliciosa con DNS Armor (vista previa), con tecnología de Infoblox. Los registros de consultas de DNS con destino a Internet se analizan con Infoblox en busca de patrones maliciosos y otros indicios de compromiso, lo que permite obtener visibilidad sobre las amenazas sin afectar el tráfico de producción. Para obtener más información sobre la detección de amenazas de DNS Armor, consulta la Descripción general de la detección avanzada de amenazas.

DNS64

Puedes conectar tus instancias de máquinas virtuales (VM) de Compute Engine solo con IPv6 a destinos IPv4 con DNS64 de Cloud DNS. DNS64 proporciona una dirección IPv6 sintetizada para cada destino IPv4. Cloud DNS crea una dirección sintetizada combinando el prefijo conocido (WKP) 64:ff9b::/96 con los 32 bits de la dirección IPv4 de destino.

Configura DNS64 y la traducción de direcciones de red con la NAT pública (NAT64) para habilitar que tus instancias de VM con solo IPv6 puedan comunicarse con destinos IPv4 en Internet. Para configurar NAT64, sigue las instrucciones que se indican en Crea una puerta de enlace de Cloud NAT.

En el siguiente ejemplo, se muestra cómo una instancia de VM solo IPv6 llamada vmipv6 resuelve el nombre de un destino solo IPv4.

La instancia de VM vmipv6 inicia una solicitud de DNS para resolver el nombre de destino en una dirección IPv6.
Si existe un registro AAAA (dirección IPv6), Cloud DNS devuelve la dirección IPv6 y la instancia de VM vmipv6 la usa para conectarse al destino.
Si no existe un registro AAAA, pero configuraste DNS64, Cloud DNS busca un registro A (dirección IPv4). Si Cloud DNS encuentra un registro A, sintetiza un registro AAAA agregando el prefijo a la dirección IPv4 con 64:ff9b::/96.

DNS64 traduce una dirección IPv4 a una dirección IPv6 sintetizada. — DNS64 traduce una dirección IPv4 a una dirección IPv6 sintetizada (haz clic para agrandar).

Por ejemplo, si la dirección IPv4 es 32.34.50.60, la dirección IPv6 sintetizada resultante es 64:ff9b::2022:323c, donde 2022:323c es el equivalente hexadecimal de la dirección IPv4. El prefijo 64:ff9b::/96 se define en RFC 6052. Cloud DNS sintetiza estas direcciones IPv6 incluso cuando alojas los registros DNS de forma local, siempre y cuando habilites el reenvío de DNS en Cloud DNS.

Puedes usar DNS64 en las siguientes situaciones:

Cumple con los mandatos que requieren un cambio en direcciones IPv6 sin asignar direcciones IPv4.
Realiza la transición a la infraestructura de direcciones solo IPv6 en etapas y, al mismo tiempo, mantén el acceso a la infraestructura IPv4 existente.
Evita interrupciones en los servicios esenciales garantizando el acceso continuo a los entornos con direcciones IPv4 heredadas durante la transición a las direcciones IPv6.

Para configurar DNS64 en una red de VPC, sigue las instrucciones que se indican en Configura DNS64.

Control de acceso

Puedes administrar los usuarios que tienen permiso para realizar cambios en tus registros DNS en la página IAM y administración en la consolaGoogle Cloud . Para que los usuarios estén autorizados a realizar cambios, deben tener el rol de administrador de DNS (roles/dns.admin) en la sección Permisos de la consola Google Cloud . El rol de lector de DNS (roles/dns.reader) otorga acceso de solo lectura a los registros de Cloud DNS.

Estos permisos también se aplican a las cuentas de servicios que puedes usar para administrar tus servicios de DNS.

Para ver los permisos asignados a estos roles, consulta Roles.

Control de acceso para zonas administradas

Los usuarios que poseen el rol de propietario o rol de editor del proyecto (roles/owner o roles/editor) pueden administrar o ver las zonas administradas en el proyecto específico que están administrando.

Los usuarios con el rol de administrador de DNS o lector de DNS pueden administrar o ver las zonas administradas de todos los proyectos a los que tienen acceso.

Los propietarios del proyecto, los editores, los administradores de DNS y los lectores de DNS pueden ver la lista de zonas privadas aplicadas a cualquier red de VPC en el proyecto actual.

Acceso de permiso por recurso

Para configurar una política en un recurso de DNS, como una zona administrada, debes tener acceso de propietario al proyecto que posee ese recurso. El rol de administrador de DNS no tiene el permiso setIamPolicy. Como propietario del proyecto, también puedes crear roles de IAM personalizados para tus necesidades específicas. Para obtener más información, consulta Comprende los roles personalizados de IAM.

Rendimiento y tiempos

Cloud DNS usa anycast a fin de entregar tus zonas administradas desde diferentes ubicaciones en todo el mundo para una alta disponibilidad. Las solicitudes se enrutan automáticamente a la ubicación más cercana, lo que reduce la latencia y mejora el rendimiento de las búsquedas de nombres autorizadas para tus usuarios.

Propagación de cambios

Los cambios se propagan en dos partes. En primer lugar, el cambio que envías a través de la API o la herramienta de línea de comandos se debe enviar a los servidores de nombres autorizados de Cloud DNS. Segundo, los agentes de resolución de DNS deben recoger este cambio cuando su caché de registros vence.

El valor del tiempo de actividad (TTL) que estableces para tus registros, que se especifica en segundos, controla la caché del agente de resolución de DNS. Por ejemplo, si configuras un valor de TTL de 86,400 (la cantidad de segundos en 24 horas), los agentes de resolución de DNS reciben la instrucción de almacenar en caché los registros de 24 horas. Algunos agentes de resolución de DNS ignoran el valor de TTL o usan sus propios valores, lo que puede demorar la propagación total de los registros.

Si estás planificando un cambio en los servicios que requiere una ventana de tiempo reducida, podrías cambiar el TTL a un valor más corto antes de realizar la modificación. El nuevo valor de TTL más breve se aplicará una vez que el valor anterior haya expirado en la caché del agente de resolución. Este enfoque puede ayudar a reducir la ventana de almacenamiento en caché y garantizar un cambio más rápido en tu nueva configuración de registro. Después del cambio, puedes volver a cambiar el valor por el valor de TTL anterior a fin de reducir la carga en los agentes de resolución de DNS.

¿Qué sigue?

Para comenzar a usar Cloud DNS, consulta la Guía de inicio rápido: Configura registros DNS para un nombre de dominio con Cloud DNS.
Para registrar y configurar tu dominio, consulta el Instructivo: Configura un dominio con Cloud DNS.
Para obtener más información sobre las bibliotecas cliente de API, consulta Muestras y bibliotecas.
Para encontrar soluciones a problemas habituales que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.