Configura las políticas del servidor DNS

En esta página, se describe cómo configurar las políticas del servidor DNS y usarlas con redes de nube privada virtual (VPC). Antes de usar esta página, revisa la descripción general de las políticas del servidor DNS.

Antes de comenzar

La API de Cloud DNS requiere que crees un proyecto de Google Cloud y habilites la API de Cloud DNS.

Si creas una aplicación que usa la API de REST, también debes crear un ID de cliente de OAuth 2.0.

  1. Si aún no lo hiciste, regístrate para obtener una Cuenta de Google.
  2. Habilita la API de Cloud DNS en la consola de Google Cloud . Puedes seleccionar un proyecto existente de Compute Engine o App Engine, o puedes crear uno nuevo.
  3. Si necesitas realizar solicitudes a la API de REST, deberás crear un ID de OAuth 2.0. Consulta Configura OAuth 2.0.
  4. En el proyecto, presta atención a la información que deberás ingresar en los pasos posteriores:
    • El ID de cliente (xxxxxx.apps.googleusercontent.com)
    • El ID del proyecto que deseas usar. Puedes encontrarlo en la parte superior de la página Descripción general en la consola de Google Cloud . También podrías solicitarle al usuario que te brinde el nombre del proyecto que desea usar en tu app

Si no ejecutaste Google Cloud CLI antes, debes ejecutar el siguiente comando para especificar el nombre del proyecto y autenticarlo con la consola de Google Cloud :

gcloud auth login

Para elegir un proyecto diferente del que elegiste anteriormente, especifica la opción --project en la línea de comandos.

Crea políticas del servidor DNS

En cada objeto de política del servidor DNS, se puede definir cualquiera de las siguientes políticas del servidor:

En cada red de VPC, solo puede hacerse referencia a una política del servidor DNS. Si necesitas definir el reenvío de entrada y salida para una red de VPC, crea una política que defina una política tanto de entrada como de salida. No puedes configurar DNS64 con una política del servidor DNS de entrada.

Crea una política del servidor DNS de entrada

Para crear una política del servidor DNS de entrada, cumple con las siguientes instrucciones. Cloud DNS crea un conjunto de direcciones IP de reenviadores de entrada a partir de los rangos de direcciones IPv4 principales de las subredes en cada red de VPC a la que se aplica la política. Después de crear la política, puedes crear una ficha con los puntos de entrada que crea Cloud DNS.

Consola

  1. En la consola de Google Cloud , abre la página Políticas del servidor de Cloud DNS.

    Ir a Políticas del servidor de Cloud DNS

  2. Haz clic en Crear política.

  3. En el campo Nombre, ingresa el nombre de la política del servidor DNS de entrada que deseas crear, como inbound-dns-server-policy.

  4. En la sección Reenvío de consultas entrantes, selecciona Activado.

  5. De manera opcional, puedes habilitar DNS64 para permitir la comunicación entre cargas de trabajo solo IPv6 y destinos solo IPv4. Consulta Configura DNS64 para obtener más información.

  6. De manera opcional, puedes habilitar los registros de DNS privado en la sección Registros; sin embargo, esto puede aumentar tus costos en Cloud Logging.

  7. En la lista Redes, selecciona las redes de VPC que deseas vincular a esta política del servidor DNS.

    Una red se puede vincular a una sola política. Si no puedes seleccionar una red de la lista, significa que otra política la está usando. Para ver qué red usa una política, consulta la columna En uso por en la página Políticas del servidor DNS.

  8. Haz clic en Crear.

gcloud

Para crear una política del servidor de entrada, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --enable-inbound-forwarding

Reemplaza lo siguiente:

  • NAME: un nombre para la política
  • DESCRIPTION: una descripción de la política
  • VPC_NETWORK_LIST: una lista delimitada por comas de redes de VPC a las que se debe vincular la política del servidor DNS

Terraform 

resource "google_dns_policy" "default" {
  name                      = "example-inbound-policy"
  enable_inbound_forwarding = true

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Crea una política del servidor DNS de salida

Para especificar una lista de servidores de nombres alternativos para una red de VPC, puedes crear una política del servidor de DNS de salida.

Consola

  1. En la consola de Google Cloud , abre la página Políticas del servidor de Cloud DNS.

    Ir a Políticas del servidor de Cloud DNS

  2. Haz clic en Crear política.

  3. En el campo Nombre, ingresa el nombre de la política del servidor DNS de salida que deseas crear, como outbound-dns-server-policy.

  4. En la sección Reenvío de consultas entrantes, selecciona Desactivado.

  5. De manera opcional, puedes habilitar los registros de DNS privado en la sección Registros; sin embargo, esto puede aumentar tus costos en Cloud Logging.

  6. En la sección Servidores DNS alternativos (opcional), haz clic en Agregar elemento y, luego, ingresa la dirección IP de tus servidores DNS de salida en el campo Dirección IP.

    • Selecciona la casilla de verificación Reenvío privado si deseas forzar el enrutamiento privado a los servidores DNS de salida.

  7. En la lista Redes, selecciona las redes de VPC que deseas vincular a esta política del servidor DNS.

  8. Haz clic en Crear.

gcloud

Para crear una política del servidor DNS de salida, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST"

Reemplaza lo siguiente:

  • NAME: un nombre para la política
  • DESCRIPTION: una descripción de la política
  • VPC_NETWORK_LIST: una lista delimitada por comas de redes de VPC que consultan los servidores de nombres alternativos
  • ALTERNATIVE_NAMESERVER_LIST: una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos y a los que se accede usando enrutamiento privado

Terraform 

resource "google_dns_policy" "default" {
  name = "example-outbound-policy"

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Crea una política del servidor DNS para el reenvío tanto de entrada como de salida

Consola

  1. En la consola de Google Cloud , abre la página Políticas del servidor de Cloud DNS.

    Ir a Políticas del servidor de Cloud DNS

  2. Haz clic en Crear política.

  3. En el campo Nombre, ingresa el nombre de la política del servidor DNS de entrada que deseas crear, como inbound-outbound-dns-server-policy.

  4. En la sección Reenvío de consultas entrantes, selecciona Activado.

  5. De manera opcional, puedes habilitar los registros de DNS privado en la sección Registros; sin embargo, esto puede aumentar tus costos en Cloud Logging.

  6. En la sección Servidores DNS alternativos (opcional), haz clic en Agregar elemento y, luego, ingresa la dirección IP de tus servidores DNS de salida en el campo Dirección IP.

    • Selecciona Reenvío privado si deseas forzar el enrutamiento privado a los servidores DNS de salida.

  7. En la lista Redes, selecciona las redes de VPC que deseas vincular a esta política del servidor DNS.

  8. Haz clic en Crear.

gcloud

Para crear una política del servidor DNS para reenvío de entrada y salida, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST" \
    --enable-inbound-forwarding

Reemplaza lo siguiente:

  • NAME: un nombre para la política
  • DESCRIPTION: una descripción de la política
  • VPC_NETWORK_LIST: una lista delimitada por comas de redes de VPC en la que se deben crear las direcciones de reenvío de entrada y que deben consultar los servidores de nombres alternativos
  • ALTERNATIVE_NAMESERVER_LIST: una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: una lista delimitada por comas de direcciones IP que puedes usar como servidores de nombres alternativos y a los que se accede usando enrutamiento privado

Terraform 

resource "google_dns_policy" "example_policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network_1.id
  }
  networks {
    network_url = google_compute_network.network_2.id
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Crea una lista con los puntos de entrada de los reenviadores entrantes

Cuando una política del servidor de entrada se aplica a una red de VPC, se crea un conjunto de direcciones IP internas regionales que sirven como destinos a los que tus sistemas locales o agentes de resolución de nombres pueden enviar consultas de DNS en Cloud DNS. Estas direcciones sirven como puntos de entrada al orden de la resolución de nombres de tu red de VPC.

Google Cloud Las reglas de firewall no se aplican a las direcciones internas regionales que actúan como puntos de entrada para los reenviadores entrantes. En Cloud DNS, se acepta el tráfico de TCP y UDP en el puerto 53 de forma automática.

En cada reenviador de entrada, se aceptan y reciben consultas de túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN) en la misma región que la dirección IP interna regional. Las instancias de VM pueden acceder al reenviador de entrada a través de cualquiera de las direcciones IP internas de la misma red de VPC. Para acceder al reenvío de entrada, la interfaz de la red debe tener una dirección IP externa o una subred de la NIC debe tener habilitado el Acceso privado a Google.

Consola

Sigue estos pasos para ver la lista de puntos de entrada de los reenviadores entrantes para una política:

  1. En la consola de Google Cloud , abre la página Políticas del servidor de Cloud DNS.

    Ir a Políticas del servidor de Cloud DNS

  2. Haz clic en el nombre de la política.

  3. En la página Detalles de la política, haz clic en la pestaña En uso por.

Cada red vinculada a la política muestra las direcciones IP de reenvío de consultas de entrada.

gcloud

Si quieres crear una ficha del conjunto de direcciones IP internas regionales que funcionan como puntos de entrada para las políticas de reenvío entrante, ejecuta el comando compute addresses list:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Actualiza las políticas de DNS

En las siguientes secciones, se brinda información para cambiar las redes de VPC y habilitar o inhabilitar el reenvío de entrada.

Cambia las redes de VPC

En la siguiente lista, se describe qué sucede cuando cambias la lista de redes de VPC a las que se aplica una política de DNS:

  • Si en la política se especifica una política de entrada, los puntos de entrada para los reenviadores entrantes se crean en las redes de VPC según sea necesario.

  • Si en la política se especifica una política de salida, el orden de resolución de nombres de cada red de VPC se actualiza para incluir los servidores de nombres alternativos especificados.

Consola

  1. En la consola de Google Cloud , abre la página Políticas del servidor de Cloud DNS.

    Ir a Políticas del servidor de Cloud DNS

  2. Haz clic en el nombre de la política que quieres cambiar.

  3. Haz clic en Editar política.

  4. En la lista Redes, selecciona o desmarca las casillas de verificación junto a las redes de VPC.

  5. Haz clic en Guardar.

gcloud

Para modificar la lista de redes a las que se aplica una política del servidor DNS, ejecuta el comando dns policies update:

gcloud dns policies update NAME \
    --networks="VPC_NETWORK_LIST"

Reemplaza lo siguiente:

  • NAME: un nombre para la política
  • VPC_NETWORK_LIST: una lista delimitada por comas de redes de VPC a las que se aplica la política, y la lista de redes de VPC que especificas reemplaza a la lista anterior

Habilita o inhabilita el reenvío de entrada

Puedes habilitar el reenvío de entrada para una política del servidor DNS que defina solo una política de salida (servidor de nombres alternativo). También puedes inhabilitar el reenvío de entrada para una política de DNS existente.

Consola

Habilita el reenvío de entrada para una política del servidor DNS:

  1. En la consola de Google Cloud , abre la página Políticas del servidor de Cloud DNS.

    Ir a Políticas del servidor de Cloud DNS

  2. Haz clic en el nombre de la política que quieres cambiar.

  3. Haz clic en Editar política.

  4. En la sección Reenvío de consultas entrantes, selecciona Activado.

  5. Haz clic en Guardar.

Inhabilita el reenvío de entrada para una política del servidor DNS:

  1. Abre la página Políticas del servidor de Cloud DNS.
  2. Haz clic en el nombre de la política que quieres cambiar.
  3. Haz clic en Editar política.
  4. En la sección Reenvío de consultas entrantes, selecciona Desactivado.
  5. Haz clic en Guardar.

gcloud

Para habilitar el reenvío entrante para una política del servidor DNS, ejecuta el comando dns policies update:

gcloud dns policies update NAME \
    --enable-inbound-forwarding

Para inhabilitar el reenvío de entrada para una política del servidor DNS, especifica la marca --no-enable-inbound-forwarding.

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Reemplaza NAME por el nombre de la política.

Crea una lista con las políticas de DNS

Consola

  1. En la consola de Google Cloud , abre la página Políticas del servidor de Cloud DNS.

    Ir a Políticas del servidor de Cloud DNS

  2. Se incluyen en una ficha todas las políticas del servidor DNS creadas en tu proyecto.

gcloud

Para crear una ficha con las políticas del servidor DNS en tu proyecto, ejecuta el comando dns policies list:

gcloud dns policies list

Borra una política de DNS

Consola

Para borrar una política del servidor DNS, no debe estar vinculada a ninguna red. Actualiza tu política para quitar todas las redes antes de borrarla.

  1. En la consola de Google Cloud , abre la página Políticas del servidor de Cloud DNS.

    Ir a Políticas del servidor de Cloud DNS

  2. Haz clic en Borrar junto al nombre de la política que deseas borrar.

gcloud

Para borrar una política de servidor, ejecuta el comando dns policies delete:

gcloud dns policies delete NAME

Reemplaza NAME por el nombre de la política que deseas borrar.

¿Qué sigue?