DNS-Serverrichtlinien konfigurieren

Auf dieser Seite wird beschrieben, wie Sie DNS-Serverrichtlinien konfigurieren und mit VPC-Netzwerken (Virtual Private Cloud) verwenden. Bevor Sie diese Seite verwenden, lesen Sie die Übersicht zu DNS-Serverrichtlinien.

Hinweise

Für die Cloud DNS API müssen Sie ein Google Cloud -Projekt erstellen und die Cloud DNS API aktivieren.

Wenn Sie eine Anwendung erstellen, die die REST API verwendet, müssen Sie auch eine OAuth 2.0-Client-ID anlegen.

  1. Falls noch nicht geschehen, registrieren Sie sich für ein Google-Konto.
  2. Aktivieren Sie die Cloud DNS API in der Google Cloud Console. Sie können ein vorhandenes Compute Engine- oder App Engine-Projekt auswählen oder ein neues Projekt erstellen.
  3. Für Anfragen an die REST API müssen Sie eine OAuth 2.0-Client-ID erstellen. Weitere Informationen finden Sie unter OAuth 2.0 einrichten.
  4. Notieren Sie sich im Projekt die folgenden Informationen, die in späteren Schritten eingegeben werden müssen:
    • Die Client-ID (xxxxxx.apps.googleusercontent.com).
    • Die Projekt-ID, die Sie verwenden möchten. Die ID finden Sie in der Google Cloud Console oben auf der Seite Übersicht. Sie können auch den Nutzer nach dem Projektnamen fragen, der in Ihrer Anwendung verwendet werden soll.

Wenn Sie die Google Cloud CLI zuvor noch nicht ausgeführt haben, müssen Sie mit dem folgenden Befehl den Projektnamen angeben und bei der Google Cloud Console authentifizieren:

gcloud auth login

Wenn Sie ein anderes Projekt als zuvor auswählen möchten, geben Sie in der Befehlszeile die Option --project an.

DNS-Serverrichtlinien erstellen

Jedes DNS-Serverrichtlinienobjekt kann eine der folgenden Serverrichtlinien definieren:

Jedes VPC-Netzwerk kann auf maximal eine DNS-Serverrichtlinie verweisen. Wenn Sie die Weiterleitung sowohl für eingehenden als auch für ausgehenden Traffic für ein VPC-Netzwerk definieren müssen, erstellen Sie eine Richtlinie, die sowohl eingehenden als auch ausgehenden Traffic definiert. Sie können DNS64 nicht mit einer DNS-Serverrichtlinie für eingehenden Traffic konfigurieren.

DNS-Serverrichtlinie für eingehenden Traffic erstellen

So erstellen Sie eine DNS-Serverrichtlinie für eingehenden Traffic: Cloud DNS erstellt eine Reihe von Weiterleitungs-IP-Adressen für eingehenden Traffic aus den primären IPv4-Adressbereichen von Subnetzen in jedem VPC-Netzwerk, für das die Richtlinie gilt. Nachdem Sie Ihre Richtlinie erstellt haben, können Sie die Einstiegspunkte auflisten, die von Cloud DNS erstellt werden.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien für Cloud-DNS-Server.

    Zu Cloud DNS-Serverrichtlinien

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie im Feld Name den Namen der DNS-Serverrichtlinie für eingehenden Traffic ein, die Sie erstellen möchten, z. B. inbound-dns-server-policy.

  4. Wählen Sie im Abschnitt Weiterleitung der eingehenden Abfragen die Option Ein aus.

  5. Optional können Sie DNS64 aktivieren, um die Kommunikation zwischen Arbeitslasten, die nur IPv6 verwenden, und Zielen, die nur IPv4 verwenden, zu ermöglichen. Weitere Informationen finden Sie unter DNS64 konfigurieren.

  6. Sie können optional private DNS-Logs im Bereich Logs aktivieren. Dadurch können jedoch Ihre Kosten in Cloud Logging steigen.

  7. Wählen Sie in der Liste Netzwerke die VPC-Netzwerke aus, die Sie an diese DNS-Serverrichtlinie binden möchten.

    Ein Netzwerk kann nur an eine einzelne Richtlinie gebunden sein. Wenn Sie kein Netzwerk aus der Liste auswählen können, wird es von einer anderen Richtlinie verwendet. Um zu sehen, welches Netzwerk von einer Richtlinie verwendet wird, sehen Sie sich die Spalte In Verwendung von auf der Seite DNS-Serverrichtlinien an.

  8. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl dns policies create aus, um eine DNS-Serverrichtlinie für eingehenden Traffic zu erstellen:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --enable-inbound-forwarding

Ersetzen Sie Folgendes:

  • NAME: ein Name für die Richtlinie
  • DESCRIPTION: eine Beschreibung der Richtlinie
  • VPC_NETWORK_LIST: eine durch Kommas getrennte Liste von VPC-Netzwerken, an die die DNS-Serverrichtlinie gebunden werden muss

Terraform 

resource "google_dns_policy" "default" {
  name                      = "example-inbound-policy"
  enable_inbound_forwarding = true

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

DNS-Serverrichtlinie für ausgehenden Traffic erstellen

Wenn Sie eine Liste alternativer Nameserver für ein VPC-Netzwerk angeben möchten, können Sie eine DNS-Serverrichtlinie für ausgehenden Traffic erstellen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien für Cloud-DNS-Server.

    Zu Cloud DNS-Serverrichtlinien

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie im Feld Name den Namen der ausgehenden DNS-Serverrichtlinie ein, die Sie erstellen möchten, z. B. outbound-dns-server-policy.

  4. Wählen Sie im Abschnitt Weiterleitung der eingehenden Abfragen die Option Aus aus.

  5. Sie können optional private DNS-Logs im Bereich Logs aktivieren. Dadurch können jedoch Ihre Kosten in Cloud Logging steigen.

  6. Klicken Sie im Abschnitt Alternative DNS-Server (optional) auf Element hinzufügen und geben Sie die IP-Adresse Ihrer ausgehenden DNS-Server in das Feld IP-Adresse ein.

    • Klicken Sie das Kästchen Private Weiterleitung an, wenn Sie das private Routing zu ausgehenden DNS-Servern erzwingen möchten.

  7. Wählen Sie in der Liste Netzwerke die VPC-Netzwerke aus, die Sie an diese DNS-Serverrichtlinie binden möchten.

  8. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl dns policies create aus, um eine DNS-Serverrichtlinie für ausgehenden Traffic zu erstellen:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST"

Ersetzen Sie Folgendes:

  • NAME: ein Name für die Richtlinie
  • DESCRIPTION: eine Beschreibung der Richtlinie
  • VPC_NETWORK_LIST: eine durch Kommas getrennte Liste von VPC-Netzwerken, die die alternativen Nameserver abfragen
  • ALTERNATIVE_NAMESERVER_LIST: eine durch Kommas getrennte Liste von IP-Adressen, die Sie als alternative Nameserver verwenden können
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: eine durch Kommas getrennte Liste von IP-Adressen, die Sie als alternative Nameserver verwenden können und die über ein privates Routing zugänglich sind

Terraform 

resource "google_dns_policy" "default" {
  name = "example-outbound-policy"

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

DNS-Serverrichtlinie für die Weiterleitung von eingehendem und ausgehendem Traffic erstellen

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien für Cloud-DNS-Server.

    Zu Cloud DNS-Serverrichtlinien

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie im Feld Name den Namen der DNS-Serverrichtlinie für eingehenden Traffic ein, die Sie erstellen möchten, z. B. inbound-outbound-dns-server-policy.

  4. Wählen Sie im Abschnitt Weiterleitung der eingehenden Abfragen die Option Ein aus.

  5. Sie können optional private DNS-Logs im Bereich Logs aktivieren. Dadurch können jedoch Ihre Kosten in Cloud Logging steigen.

  6. Klicken Sie im Abschnitt Alternative DNS-Server (optional) auf Element hinzufügen und geben Sie die IP-Adresse Ihrer ausgehenden DNS-Server in das Feld IP-Adresse ein.

    • Wählen Sie Private Weiterleitung aus, wenn Sie das private Routing zu ausgehenden DNS-Servern erzwingen möchten.

  7. Wählen Sie in der Liste Netzwerke die VPC-Netzwerke aus, die Sie an diese DNS-Serverrichtlinie binden möchten.

  8. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl dns policies create aus, um eine DNS-Serverrichtlinie für die eingehende und ausgehende Weiterleitung zu erstellen:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST" \
    --enable-inbound-forwarding

Dabei gilt:

  • NAME: ein Name für die Richtlinie
  • DESCRIPTION: eine Beschreibung der Richtlinie
  • VPC_NETWORK_LIST: Eine durch Kommas getrennte Liste von VPC-Netzwerken, in denen eingehende Weiterleitungsadressen erstellt werden und die alternative Nameserver abfragen müssen
  • ALTERNATIVE_NAMESERVER_LIST: eine durch Kommas getrennte Liste von IP-Adressen, die Sie als alternative Nameserver verwenden können
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: eine durch Kommas getrennte Liste von IP-Adressen, die Sie als alternative Nameserver verwenden können und die über ein privates Routing zugänglich sind

Terraform 

resource "google_dns_policy" "example_policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network_1.id
  }
  networks {
    network_url = google_compute_network.network_2.id
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Weiterleitungs-Einstiegspunkte für eingehenden Traffic auflisten

Wenn eine DNS-Serverrichtlinie für eingehenden Traffic auf ein VPC-Netzwerk angewendet wird, erstellt Cloud DNS eine Reihe regionaler interner IP-Adressen, die als Ziele dienen, an die Ihre lokalen Systeme oder Namensauflöser DNS-Abfragen senden können. Diese Adressen dienen als Einstiegspunkte für die Reihenfolge der Namensauflösung Ihres VPC-Netzwerks.

Google Cloud -Firewallregeln gelten nicht für die regionalen internen Adressen, die als Einstiegspunkte für Weiterleitungen von eingehendem Traffic dienen. Cloud DNS akzeptiert TCP- und UDP-Traffic auf Port 53 automatisch.

Jede Weiterleitung von eingehendem Traffic akzeptiert und empfängt Abfragen von Cloud VPN-Tunneln oder Cloud Interconnect-Anhängen (VLANs) in derselben Region wie die regionale interne IP-Adresse. VM-Instanzen können über jede der internen IP-Adressen im selben VPC-Netzwerk auf die eingehende Weiterleitung zugreifen. Für den Zugriff auf die eingehende Weiterleitung muss entweder die Netzwerkschnittstelle eine externe IP-Adresse haben oder für ein Subnetz der NIC muss der private Google-Zugriff aktiviert sein.

Console

So rufen Sie die Liste der Weiterleitungs-Einstiegspunkte für eingehenden Traffic für eine Richtlinie auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien für Cloud-DNS-Server.

    Zu Cloud DNS-Serverrichtlinien

  2. Klicken Sie auf den Namen der Richtlinie.

  3. Klicken Sie auf der Seite Richtliniendetails auf den Tab Wird verwendet von.

Für jedes Netzwerk, das an die Richtlinie gebunden ist, werden die IP-Adressen für die Weiterleitung eingehender Anfragen aufgeführt.

gcloud

Um die Gruppe regionaler interner IP-Adressen aufzulisten, die als Einstiegspunkt für alle Richtlinien zur Weiterleitung von eingehendem Traffic dienen, führen Sie den Befehl compute addresses list aus:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

DNS-Richtlinien aktualisieren

Die folgenden Abschnitte enthalten Informationen zum Ändern von VPC-Netzwerken und zum Aktivieren oder Deaktivieren der eingehenden Weiterleitung.

VPC-Netzwerke ändern

In der folgenden Liste wird beschrieben, was geschieht, wenn Sie die Liste der VPC-Netzwerke ändern, für die eine DNS-Richtlinie gilt:

  • Wenn die Richtlinie eine Richtlinie für eingehenden Traffic festlegt, werden in VPC-Netzwerken nach Bedarf Einstiegspunkte für Weiterleitungen von eingehendem Traffic erstellt.

  • Wenn die Richtlinie eine Richtlinie für ausgehenden Traffic festlegt, wird die Reihenfolge der Namensauflösung jedes VPC-Netzwerks aktualisiert, um die angegebenen alternativen Nameserver einzuschließen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien für Cloud-DNS-Server.

    Zu Cloud DNS-Serverrichtlinien

  2. Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.

  3. Klicken Sie auf Richtlinie bearbeiten.

  4. Aktivieren oder deaktivieren Sie in der Liste Netzwerke die Kästchen neben den VPC-Netzwerken.

  5. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl dns policies update aus, um die Liste der Netzwerke zu ändern, für die eine DNS-Serverrichtlinie gilt:

gcloud dns policies update NAME \
    --networks="VPC_NETWORK_LIST"

Dabei gilt:

  • NAME: ein Name für die Richtlinie
  • VPC_NETWORK_LIST: eine durch Kommas getrennte Liste von VPC-Netzwerken, auf die die Richtlinie angewendet wird. Die Liste, der von Ihnen angegebenen VPC-Netzwerke, ersetzt die vorherige Liste

Weiterleitung von eingehendem Traffic aktivieren oder deaktivieren

Sie können die Weiterleitung von eingehendem Traffic für eine DNS-Serverrichtlinie aktivieren, die nur eine Richtlinie für ausgehenden Traffic (alternativer Nameserver) definiert. Sie können auch die Weiterleitung von eingehendem Traffic für eine vorhandene DNS-Richtlinie deaktivieren.

Console

Aktivieren Sie die Weiterleitung von eingehendem Traffic für eine DNS-Serverrichtlinie:

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien für Cloud-DNS-Server.

    Zu Cloud DNS-Serverrichtlinien

  2. Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.

  3. Klicken Sie auf Richtlinie bearbeiten.

  4. Wählen Sie im Abschnitt Weiterleitung der eingehenden Abfragen die Option Ein aus.

  5. Klicken Sie auf Speichern.

So deaktivieren Sie die Weiterleitung von eingehendem Traffic für eine DNS-Serverrichtlinie:

  1. Öffnen Sie die Seite Cloud DNS-Serverrichtlinien.
  2. Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.
  3. Klicken Sie auf Richtlinie bearbeiten.
  4. Wählen Sie im Abschnitt Weiterleitung der eingehenden Abfragen die Option Aus aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl dns policies update aus, um die eingehende Weiterleitung für eine DNS-Serverrichtlinie zu aktivieren:

gcloud dns policies update NAME \
    --enable-inbound-forwarding

Geben Sie das Flag--no-enable-inbound-forwarding an, um die Weiterleitung von eingehendem Traffic für eine DNS-Serverrichtlinie zu deaktivieren:

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Ersetzen Sie NAME durch den Namen der Richtlinie.

DNS-Richtlinien auflisten

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien für Cloud-DNS-Server.

    Zu Cloud DNS-Serverrichtlinien

  2. Alle in Ihrem Projekt erstellten DNS-Serverrichtlinien werden aufgeführt.

gcloud

Führen Sie den Befehl dns policies list aus, um DNS-Serverrichtlinien in Ihrem Projekt aufzulisten:

gcloud dns policies list

DNS-Richtlinie löschen

Console

Damit Sie eine DNS-Serverrichtlinie löschen können, darf sie nicht an ein Netzwerk gebunden sein. Aktualisieren Sie die Richtlinie, um alle Netzwerke zu entfernen, bevor Sie die Richtlinie löschen.

  1. Öffnen Sie in der Google Cloud Console die Seite Richtlinien für Cloud-DNS-Server.

    Zu Cloud DNS-Serverrichtlinien

  2. Klicken Sie neben dem Namen der Richtlinie, die Sie löschen möchten, auf Löschen.

gcloud

Führen Sie den Befehl dns policies delete aus, um eine DNS-Serverrichtlinie zu löschen:

gcloud dns policies delete NAME

Ersetzen Sie NAME durch den Namen der Richtlinie, die gelöscht werden soll.

Nächste Schritte

  • Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie im Artikel zur Fehlerbehebung.
  • Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.