Configurar políticas de servidor DNS

Nesta página, você verá como configurar políticas de servidor DNS e usá-las com redes de nuvem privada virtual (VPC). Antes de usar esta página, consulte a visão geral das políticas do servidor DNS.

Antes de começar

A API Cloud DNS exige que você crie um Google Cloud projeto e depois ative a API Cloud DNS.

Se você estiver criando um aplicativo que usa a API REST, também precisará criar um ID do cliente do OAuth 2.0.

  1. Crie uma Conta do Google se ainda não tiver uma, inscreva-se.
  2. Ative a API do Cloud DNS no Google Cloud console. É possível escolher um projeto atual do Compute Engine ou App Engine, ou criar um projeto novo.
  3. Se você precisar fazer solicitações para a API REST, será necessário criar um ID do OAuth 2.0. Consulte Como configurar o OAuth 2.0.
  4. No projeto, observe as seguintes informações que serão necessárias nas próximas etapas:
    • O ID do cliente (xxxxxx.apps.googleusercontent.com).
    • O ID do projeto que você quer usar. Esse ID está na parte superior da página Visão geral no Google Cloud Console do Cloud. Se preferir, peça ao usuário que forneça o nome do projeto a ser usado no seu app.

Se você ainda não executou a Google Cloud CLI, você deve executar o comando a seguir para especificar o nome do projeto e autenticar com o Google Cloud console:

gcloud auth login

Para escolher um projeto diferente daquele que você escolheu anteriormente, especifique a opção --project na linha de comando.

Criar políticas de servidor DNS

Cada objeto de política de servidor DNS pode definir qualquer uma das seguintes políticas de servidor:

Cada rede VPC não pode fazer referência a mais de uma política de servidor DNS. Se você precisar definir o encaminhamento de entrada e de saída para uma rede VPC, crie uma política que defina uma política de entrada e de saída. Não é possível configurar o DNS64 com uma política de servidor DNS de entrada.

Criar uma política de servidor DNS de entrada

Para criar uma política de servidor DNS de entrada, siga estas instruções. O Cloud DNS cria um conjunto de endereços IP de encaminhamento de entrada dos intervalos de endereços IPv4 principais de sub-redes em cada rede VPC a que a política se aplica. Depois de criar a política, é possível listar os pontos de entrada criados pelo Cloud DNS.

Console

  1. Noconsole, abra a página Políticas de servidor DNS do Cloud DNS. Google Cloud

    Acessar políticas de servidor Cloud DNS Cloud

  2. Clique em Criar política.

  3. No campo Nome, insira o nome da política de servidor DNS de entrada que você quer criar, como inbound-dns-server-policy.

  4. Na seção Encaminhamento de consulta de entrada, selecione Ativado.

  5. Opcionalmente, é possível ativar o DNS64 para permitir a comunicação entre cargas de trabalho somente IPv6 e destinos somente IPv4. Consulte Configurar o DNS64 para mais informações.

  6. Opcionalmente, é possível ativar registros de DNS particulares na seção Registros, mas isso pode aumentar os custos no Cloud Logging.

  7. Na lista Redes, selecione as redes VPC que você quer vincular a essa política de servidor DNS.

    Uma rede só pode ser vinculada a uma única política. Se você não conseguir selecionar uma rede na lista, ela estará sendo usada por outra política. Para saber qual rede está sendo usada por uma política, consulte a coluna Em uso por na página Políticas de servidor DNS.

  8. Clique em Criar.

gcloud

Para criar uma política de servidor DNS de entrada, execute o dns policies create comando:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --enable-inbound-forwarding

Substitua:

  • NAME: um nome para a política.
  • DESCRIPTION: uma descrição da política.
  • VPC_NETWORK_LIST: uma lista delimitada por vírgulas de redes VPC a que a política de servidor DNS precisa ser vinculada.

Terraform 

resource "google_dns_policy" "default" {
  name                      = "example-inbound-policy"
  enable_inbound_forwarding = true

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Criar uma política de servidor DNS de saída

Para especificar uma lista de servidores de nomes alternativos para uma rede VPC, é possível criar uma política de servidor DNS de saída.

Console

  1. Noconsole, abra a página Políticas de servidor DNS do Cloud DNS. Google Cloud

    Acessar políticas de servidor Cloud DNS Cloud

  2. Clique em Criar política.

  3. No campo Nome, insira o nome da política de servidor DNS de saída que você quer criar, como outbound-dns-server-policy.

  4. Na seção Encaminhamento de consulta de entrada, selecione Desativado.

  5. Opcionalmente, é possível ativar registros de DNS particulares na seção Registros, mas isso pode aumentar os custos no Cloud Logging.

  6. Na seção Servidores DNS alternativos (opcional) , clique em Adicionar item e insira o endereço IP dos servidores DNS de saída no campo Endereço IP.

    • Marque a caixa de seleção Encaminhamento particular se quiser forçar o roteamento particular para servidores DNS de saída.

  7. Na lista Redes, selecione as redes VPC que você quer vincular a essa política de servidor DNS.

  8. Clique em Criar.

gcloud

Para criar uma política de servidor DNS de saída, execute o dns policies create comando:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST"

Substitua:

  • NAME: um nome para a política.
  • DESCRIPTION: uma descrição da política.
  • VPC_NETWORK_LIST: uma lista de redes VPC delimitada por vírgulas que consultam os servidores de nomes alternativos.
  • ALTERNATIVE_NAMESERVER_LIST: uma lista delimitada por vírgulas de endereços IP que podem ser usados como servidores de nomes alternativos.
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: uma lista delimitada por vírgulas de endereços IP que podem ser usados como servidores de nomes alternativos, acessados usando o roteamento particular.

Terraform 

resource "google_dns_policy" "default" {
  name = "example-outbound-policy"

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Criar uma política de servidor DNS para encaminhamento de entrada e saída

Console

  1. Noconsole, abra a página Políticas de servidor DNS do Cloud DNS. Google Cloud

    Acessar políticas de servidor Cloud DNS Cloud

  2. Clique em Criar política.

  3. No campo Nome, insira o nome da política de servidor DNS de entrada que você quer criar, como inbound-outbound-dns-server-policy.

  4. Na seção Encaminhamento de consulta de entrada, selecione Ativado.

  5. Opcionalmente, é possível ativar registros de DNS particulares na seção Registros, mas isso pode aumentar os custos no Cloud Logging.

  6. Na seção Servidores DNS alternativos (opcional) , clique em Adicionar item e insira o endereço IP dos servidores DNS de saída no campo Endereço IP.

    • Selecione Encaminhamento particular se quiser forçar o roteamento particular para servidores DNS de saída.

  7. Na lista Redes, selecione as redes VPC que você quer vincular a essa política de servidor DNS.

  8. Clique em Criar.

gcloud

Para criar uma política de servidor DNS para encaminhamento de entrada e saída, execute o comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST" \
    --enable-inbound-forwarding

Substitua:

  • NAME: um nome para a política.
  • DESCRIPTION: uma descrição da política.
  • VPC_NETWORK_LIST: uma lista de redes VPC delimitada por vírgulas em que os endereços de encaminhamento de entrada precisam ser criados e consultar os servidores de nomes alternativos.
  • ALTERNATIVE_NAMESERVER_LIST: uma lista delimitada por vírgulas de endereços IP que podem ser usados como servidores de nomes alternativos.
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: uma lista delimitada por vírgulas de endereços IP que podem ser usados como servidores de nomes alternativos, acessados usando o roteamento particular.

Terraform 

resource "google_dns_policy" "example_policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network_1.id
  }
  networks {
    network_url = google_compute_network.network_2.id
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Listar pontos de entrada do encaminhador de entrada

Quando uma política de servidor DNS de entrada se aplica a uma rede VPC, o Cloud DNS cria um conjunto de endereços IP internos regionais que servem como destinos para onde seus sistemas locais ou resolvedores de nomes podem enviar consultas DNS. Esses endereços servem como pontos de entrada para a resolução de nome da sua rede VPC.

Google Cloud As regras de firewall não se aplicam aos endereços internos regionais que agem como pontos de entrada para encaminhadores de entrada. O Cloud DNS aceita tráfego TCP e UDP na porta 53 automaticamente.

Cada encaminhador de entrada aceita e recebe consultas de túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs) na mesma região do endereço IP interno regional. As instâncias de VM podem acessar o encaminhador de entrada usando qualquer um dos endereços IP internos na mesma rede VPC. Para isso, a interface de rede precisa ter um endereço IP externo ou uma sub-rede da placa de rede (NIC, na sigla em inglês) precisa ter o Acesso privado do Google ativado.

Console

Confira a lista de pontos de entrada do encaminhador de entrada de uma política:

  1. Noconsole, abra a página Políticas de servidor DNS do Cloud DNS. Google Cloud

    Acessar políticas de servidor Cloud DNS Cloud

  2. Clique no nome da política.

  3. Na página Detalhes da política, clique na guia Em uso por.

Cada rede vinculada à política lista os endereços IP de encaminhamento de consulta de entrada.

gcloud

Para listar o conjunto de endereços IP internos regionais que servem como pontos de entrada para todas as políticas de encaminhamento de entrada, execute o compute addresses list comando:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Atualizar políticas de DNS

Nas seções a seguir, você encontra informações sobre como alterar redes VPC e ativar ou desativar o encaminhamento de entrada.

Alterar redes VPC

A lista a seguir descreve o que acontece quando você altera a lista de redes VPC às quais uma política de DNS é aplicada:

  • Se a política especificar uma política de entrada, os pontos de entrada para encaminhadores de entrada serão criados em redes VPC conforme necessário.

  • Se a política especificar uma política de saída, o pedido de resolução de nome de cada rede VPC será atualizado para incluir os servidores de nomes alternativos especificados.

Console

  1. Noconsole, abra a página Políticas de servidor DNS do Cloud DNS. Google Cloud

    Acessar políticas de servidor Cloud DNS Cloud

  2. Clique no nome da política que você quer mudar.

  3. Clique em Editar política.

  4. Na lista Redes, marque ou desmarque as caixas de seleção ao lado das redes VPC.

  5. Clique em Salvar.

gcloud

Para modificar a lista de redes às quais uma política de servidor DNS se aplica, execute o comando dns policies update:

gcloud dns policies update NAME \
    --networks="VPC_NETWORK_LIST"

Substitua:

  • NAME: um nome para a política.
  • VPC_NETWORK_LIST: uma lista delimitada por vírgulas de redes VPC às quais a política se aplica. A lista de redes VPC especificadas substitui a lista anterior.

Ativar ou desativar o encaminhamento de entrada

É possível ativar o encaminhamento de entrada para uma política de servidor DNS que defina apenas uma política de saída (servidor de nomes alternativo). Também é possível desativar o encaminhamento de entrada para uma política de DNS atual.

Console

Ativar o encaminhamento de entrada para uma política de servidor DNS:

  1. Noconsole, abra a página Políticas de servidor DNS do Cloud DNS. Google Cloud

    Acessar políticas de servidor Cloud DNS Cloud

  2. Clique no nome da política que você quer mudar.

  3. Clique em Editar política.

  4. Na seção Encaminhamento de consulta de entrada, selecione Ativado.

  5. Clique em Salvar.

Desativar o encaminhamento de entrada para uma política de servidor DNS:

  1. Abra a página Políticas de servidor DNS do Cloud.
  2. Clique no nome da política que você quer mudar.
  3. Clique em Editar política.
  4. Na seção Encaminhamento de consulta de entrada, selecione Desativado.
  5. Clique em Salvar.

gcloud

Para ativar o encaminhamento de entrada para uma política de servidor DNS, execute o dns policies update comando:

gcloud dns policies update NAME \
    --enable-inbound-forwarding

Para desativar o encaminhamento de entrada de uma política de servidor DNS, especifique a flag --no-enable-inbound-forwarding:

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Substitua NAME pelo nome da política.

Listar políticas de DNS

Console

  1. Noconsole, abra a página Políticas de servidor DNS do Cloud DNS. Google Cloud

    Acessar políticas de servidor Cloud DNS Cloud

  2. Todas as políticas de servidor DNS criadas no seu projeto são listadas.

gcloud

Para listar as políticas do servidor DNS no seu projeto, execute o comando dns policies list:

gcloud dns policies list

Excluir uma política de DNS

Console

Para excluir uma política de servidor DNS, ela não pode estar vinculada a nenhuma rede. Atualize a política para remover todas as redes antes de excluí-la.

  1. Noconsole, abra a página Políticas de servidor DNS do Cloud DNS. Google Cloud

    Acessar políticas de servidor Cloud DNS Cloud

  2. Clique em Excluir pelo nome da política que você quer excluir.

gcloud

Para excluir uma política de servidor DNS, execute o dns policies delete comando:

gcloud dns policies delete NAME

Substitua NAME pelo nome da política a ser excluída.

A seguir