Configurar políticas de servidor DNS

En esta página se describe cómo configurar políticas de servidor DNS y cómo usarlas con redes de nube privada virtual (VPC). Antes de usar esta página, consulta el resumen de las políticas de servidores DNS.

Antes de empezar

La API Cloud DNS requiere que crees un Google Cloud proyecto y habilites la API Cloud DNS.

Si vas a crear una aplicación que use la API REST, también debes crear un ID de cliente de OAuth 2.0.

  1. Si aún no tienes una, regístrate para obtener una cuenta de Google.
  2. Habilita la API Cloud DNS en la Google Cloud consola. Puedes elegir un proyecto de Compute Engine o App Engine que ya tengas o crear uno.
  3. Si necesitas enviar solicitudes a la API REST, debes crear un ID de OAuth 2.0. Consulta Configurar OAuth 2.0.
  4. En el proyecto, anota la siguiente información que debes introducir en pasos posteriores:
    • El ID de cliente (xxxxxx.apps.googleusercontent.com).
    • El ID del proyecto que quieras usar. Puedes encontrar el ID en la parte superior de la página Información general de la consola Google Cloud . También puedes pedirle al usuario que proporcione el nombre del proyecto que quiera usar en tu aplicación.

Si no has ejecutado la CLI de Google Cloud anteriormente, debes ejecutar el siguiente comando para especificar el nombre del proyecto y autenticarte con la consola: Google Cloud 

gcloud auth login

Para elegir un proyecto diferente del que hayas elegido anteriormente, especifica la opción --project en la línea de comandos.

Crear políticas de servidor DNS

Cada objeto de política de servidor DNS puede definir cualquiera de las siguientes políticas de servidor:

Cada red de VPC puede hacer referencia a una sola política de servidor DNS. Si necesitas definir el reenvío tanto entrante como saliente de una red de VPC, crea una política que defina ambas políticas. No puedes configurar DNS64 con una política de servidor DNS entrante.

Crear una política de servidor DNS entrante

Para crear una política de servidor DNS entrante, sigue estas instrucciones. Cloud DNS crea un conjunto de direcciones IP de reenviador entrante a partir de los intervalos de direcciones IPv4 principales de las subredes de cada red VPC a la que se aplica la política. Una vez que hayas creado la política, puedes listar los puntos de entrada que crea Cloud DNS.

Consola

  1. En la Google Cloud consola, abre la página Políticas de servidor de Cloud DNS.

    Ir a las políticas de servidor de Cloud DNS

  2. Haz clic en Crear política.

  3. En el campo Nombre, introduce el nombre de la política de servidor DNS entrante que quieras crear, como inbound-dns-server-policy.

  4. En la sección Reenvío de consultas entrantes, selecciona Activado.

  5. También puedes habilitar DNS64 para permitir la comunicación entre cargas de trabajo solo IPv6 y destinos solo IPv4. Para obtener más información, consulta el artículo sobre cómo configurar DNS64.

  6. También puedes habilitar los registros DNS privados en la sección Registros, pero esto puede aumentar los costes en Cloud Logging.

  7. En la lista Redes, selecciona las redes de VPC que quieras vincular a esta política de servidor DNS.

    Una red solo se puede vincular a una política. Si no puedes seleccionar una red de la lista, significa que otra política la está usando. Para ver qué red usa una política, consulta la columna En uso por de la página Políticas de servidor DNS.

  8. Haz clic en Crear.

gcloud

Para crear una política de servidor DNS entrante, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --enable-inbound-forwarding

Haz los cambios siguientes:

  • NAME: nombre de la política
  • DESCRIPTION: una descripción de la política
  • VPC_NETWORK_LIST: lista delimitada por comas de redes de VPC a las que debe enlazarse la política de servidor DNS

Terraform 

resource "google_dns_policy" "default" {
  name                      = "example-inbound-policy"
  enable_inbound_forwarding = true

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Crear una política de servidor DNS saliente

Para especificar una lista de servidores de nombres alternativos para una red de VPC, puedes crear una política de servidor DNS saliente.

Consola

  1. En la Google Cloud consola, abre la página Políticas de servidor de Cloud DNS.

    Ir a las políticas de servidor DNS de Cloud DNS

  2. Haz clic en Crear política.

  3. En el campo Nombre, introduce el nombre de la política de servidor DNS saliente que quieras crear, como outbound-dns-server-policy.

  4. En la sección Reenvío de consultas entrantes, selecciona Desactivado.

  5. También puedes habilitar los registros DNS privados en la sección Registros, pero esto puede aumentar los costes en Cloud Logging.

  6. En la sección Servidores DNS alternativos (opcional), haz clic en Añadir elemento e introduce la dirección IP de tus servidores DNS salientes en el campo Dirección IP.

    • Marca la casilla Reenvío privado si quieres forzar el enrutamiento privado a los servidores DNS salientes.

  7. En la lista Redes, selecciona las redes de VPC que quieras vincular a esta política de servidor DNS.

  8. Haz clic en Crear.

gcloud

Para crear una política de servidor DNS saliente, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST"

Haz los cambios siguientes:

  • NAME: nombre de la política
  • DESCRIPTION: una descripción de la política
  • VPC_NETWORK_LIST: una lista delimitada por comas de redes de VPC que consultan los servidores de nombres alternativos.
  • ALTERNATIVE_NAMESERVER_LIST: lista delimitada por comas de direcciones IP que puede usar como servidores de nombres alternativos.
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: una lista de direcciones IP separadas por comas que puedes usar como servidores de nombres alternativos, a los que se accede mediante el enrutamiento privado.

Terraform 

resource "google_dns_policy" "default" {
  name = "example-outbound-policy"

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Crear una política de servidor DNS para el reenvío entrante y saliente

Consola

  1. En la Google Cloud consola, abre la página Políticas de servidor de Cloud DNS.

    Ir a las políticas de servidor de Cloud DNS

  2. Haz clic en Crear política.

  3. En el campo Nombre, introduce el nombre de la política de servidor DNS entrante que quieras crear, como inbound-outbound-dns-server-policy.

  4. En la sección Reenvío de consultas entrantes, selecciona Activado.

  5. También puedes habilitar los registros DNS privados en la sección Registros, pero esto puede aumentar los costes en Cloud Logging.

  6. En la sección Servidores DNS alternativos (opcional), haz clic en Añadir elemento e introduce la dirección IP de tus servidores DNS salientes en el campo Dirección IP.

    • Selecciona Reenvío privado si quieres forzar el enrutamiento privado a servidores DNS salientes.

  7. En la lista Redes, selecciona las redes de VPC que quieras vincular a esta política de servidor DNS.

  8. Haz clic en Crear.

gcloud

Para crear una política de servidor DNS para el reenvío entrante y saliente, ejecuta el comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST" \
    --enable-inbound-forwarding

Haz los cambios siguientes:

  • NAME: nombre de la política
  • DESCRIPTION: una descripción de la política
  • VPC_NETWORK_LIST: lista delimitada por comas de redes de VPC en las que se deben crear direcciones de reenvío entrantes y que deben consultar los servidores de nombres alternativos.
  • ALTERNATIVE_NAMESERVER_LIST: lista delimitada por comas de direcciones IP que puede usar como servidores de nombres alternativos.
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: una lista de direcciones IP separadas por comas que puedes usar como servidores de nombres alternativos, a los que se accede mediante el enrutamiento privado.

Terraform 

resource "google_dns_policy" "example_policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network_1.id
  }
  networks {
    network_url = google_compute_network.network_2.id
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Mostrar puntos de entrada de reenviadores de entrada

Cuando se aplica una política de servidor DNS entrante a una red de VPC, Cloud DNS crea un conjunto de direcciones IP internas regionales que sirven como destinos a los que pueden enviar consultas de DNS tus sistemas o resoluciones de nombres locales. Estas direcciones sirven como puntos de entrada al orden de resolución de nombres de tu red VPC.

Las reglas de cortafuegosGoogle Cloud no se aplican a las direcciones internas regionales que actúan como puntos de entrada para los reenviadores entrantes. Cloud DNS acepta automáticamente el tráfico TCP y UDP en el puerto 53.

Cada reenviador entrante acepta y recibe consultas de túneles de Cloud VPN o de adjuntos de Cloud Interconnect (VLANs) de la misma región que la dirección IP interna regional. Las instancias de VM pueden acceder al reenviador entrante a través de cualquiera de las direcciones IP internas de la misma red VPC. Para acceder a la redirección entrante, la interfaz de red debe tener una dirección IP externa o una subred de la NIC debe tener habilitado el acceso privado de Google.

Consola

Para ver la lista de puntos de entrada de reenviadores de entrada de una política, sigue estos pasos:

  1. En la Google Cloud consola, abre la página Políticas de servidor de Cloud DNS.

    Ir a las políticas de servidor de Cloud DNS

  2. Haz clic en el nombre de la política.

  3. En la página Detalles de la política, haga clic en la pestaña En uso por.

En cada red vinculada a la política se indican las direcciones IP de reenvío de consultas entrantes.

gcloud

Para enumerar el conjunto de direcciones IP internas regionales que sirven como puntos de entrada para todas las políticas de reenvío entrantes, ejecuta el comando compute addresses list:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Actualizar las políticas de DNS

En las secciones siguientes se proporciona información sobre cómo cambiar las redes de nube privada virtual (VPC) y habilitar o inhabilitar el reenvío de entrada.

Cambiar redes de VPC

En la siguiente lista se describe lo que ocurre cuando cambias la lista de redes VPC a las que se aplica una política de DNS:

  • Si la política especifica una política de entrada, se crean puntos de entrada para los reenviadores de entrada en las redes de VPC según sea necesario.

  • Si la política especifica una política de salida, el orden de resolución de nombres de cada red de VPC se actualiza para incluir los servidores de nombres alternativos especificados.

Consola

  1. En la Google Cloud consola, abre la página Políticas de servidor de Cloud DNS.

    Ir a las políticas de servidor de Cloud DNS

  2. Haz clic en el nombre de la política que quieras cambiar.

  3. Haz clic en Editar política.

  4. En la lista Redes, marque o desmarque las casillas situadas junto a las redes VPC.

  5. Haz clic en Guardar.

gcloud

Para modificar la lista de redes a las que se aplica una política de servidor DNS, ejecuta el comando dns policies update:

gcloud dns policies update NAME \
    --networks="VPC_NETWORK_LIST"

Haz los cambios siguientes:

  • NAME: nombre de la política
  • VPC_NETWORK_LIST: lista delimitada por comas de redes de VPC a las que se aplica la política. La lista de redes de VPC que especifiques sustituirá a la anterior.

Habilitar o inhabilitar el reenvío de llamadas entrantes

Puedes habilitar el reenvío entrante en una política de servidor DNS que solo defina una política saliente (servidor de nombres alternativo). También puedes inhabilitar el reenvío entrante de una política de DNS.

Consola

Para habilitar el reenvío entrante de una política de servidor DNS, sigue estos pasos:

  1. En la Google Cloud consola, abre la página Políticas de servidor de Cloud DNS.

    Ir a las políticas de servidor DNS de Cloud DNS

  2. Haz clic en el nombre de la política que quieras cambiar.

  3. Haz clic en Editar política.

  4. En la sección Reenvío de consultas entrantes, selecciona Activado.

  5. Haz clic en Guardar.

Para inhabilitar el reenvío entrante de una política de servidor DNS, sigue estos pasos:

  1. Abre la página Políticas de servidor de Cloud DNS.
  2. Haz clic en el nombre de la política que quieras cambiar.
  3. Haz clic en Editar política.
  4. En la sección Reenvío de consultas entrantes, selecciona Desactivado.
  5. Haz clic en Guardar.

gcloud

Para habilitar el reenvío entrante de una política de servidor DNS, ejecuta el comando dns policies update:

gcloud dns policies update NAME \
    --enable-inbound-forwarding

Para inhabilitar el reenvío entrante de una política de servidor DNS, especifica la marca --no-enable-inbound-forwarding:

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Sustituye NAME por el nombre de la política.

Listar políticas de DNS

Consola

  1. En la Google Cloud consola, abre la página Políticas de servidor de Cloud DNS.

    Ir a las políticas de servidor de Cloud DNS

  2. Se muestra cualquier política de servidor DNS creada en tu proyecto.

gcloud

Para enumerar las políticas de servidor DNS de tu proyecto, ejecuta el comando dns policies list:

gcloud dns policies list

Eliminar una política de DNS

Consola

Para eliminar una política de servidor DNS, no debe estar vinculada a ninguna red. Actualiza tu política para eliminar todas las redes antes de eliminarla.

  1. En la Google Cloud consola, abre la página Políticas de servidor de Cloud DNS.

    Ir a las políticas de servidor DNS de Cloud DNS

  2. Haz clic en Eliminar junto al nombre de la política que quieras eliminar.

gcloud

Para eliminar una política de servidor DNS, ejecuta el comando dns policies delete:

gcloud dns policies delete NAME

Sustituye NAME por el nombre de la política que quieras eliminar.

Siguientes pasos