Configurar políticas de servidor DNS

Nesta página, descrevemos como configurar políticas de servidor DNS e usá-las com redes de nuvem privada virtual (VPC). Antes de usar esta página, consulte a visão geral das políticas do servidor DNS.

Antes de começar

A API Cloud DNS exige que você crie um Google Cloud projeto e ative a API Cloud DNS.

Se você estiver criando um aplicativo que usa a API REST, também precisará criar um ID do cliente do OAuth 2.0.

  1. Crie uma Conta do Google se ainda não tiver uma.
  2. Ative a API Cloud DNS no Google Cloud console. É possível escolher um projeto atual do Compute Engine ou App Engine, ou criar um projeto novo.
  3. Se você precisar fazer solicitações para a API REST, crie um ID do OAuth 2.0. Consulte Como configurar o OAuth 2.0.
  4. No projeto, observe as seguintes informações que serão necessárias nas próximas etapas:
    • O ID do cliente (xxxxxx.apps.googleusercontent.com).
    • O ID do projeto que você quer usar. Esse ID está na parte superior da página Visão geral no console do Google Cloud . Se preferir, peça ao usuário que forneça o nome do projeto a ser usado no seu app.

Se você ainda não executou a Google Cloud CLI, execute o comando a seguir para especificar o nome do projeto e autenticar com o console Google Cloud :

gcloud auth login

Para escolher um projeto diferente daquele que você escolheu anteriormente, especifique a opção --project na linha de comando.

Criar políticas de servidor DNS

Cada objeto de política de servidor DNS pode definir qualquer uma das seguintes políticas de servidor:

Cada rede VPC não pode fazer referência a mais de uma política de servidor DNS. Se você precisar definir o encaminhamento de entrada e de saída para uma rede VPC, crie uma política que defina uma política de entrada e de saída. Não é possível configurar o DNS64 com uma política de servidor DNS de entrada.

Criar uma política de servidor DNS de entrada

Para criar uma política de servidor DNS de entrada, siga estas instruções. O Cloud DNS cria um conjunto de endereços IP de encaminhamento de entrada dos intervalos de endereços IPv4 principais das sub-redes em cada rede VPC a que a política se aplica. Depois de criar a política, é possível listar os pontos de entrada criados pelo Cloud DNS.

Console

  1. No console do Google Cloud , abra a página Políticas do servidor do Cloud DNS.

    Acessar as políticas de servidor do Cloud DNS

  2. Clique em Criar política.

  3. No campo Nome, insira o nome da política de servidor DNS de entrada que você quer criar, como inbound-dns-server-policy.

  4. Na seção Encaminhamento de consulta de entrada, selecione Ativado.

  5. Você pode ativar o DNS64 para permitir a comunicação entre cargas de trabalho somente IPv6 e destinos somente IPv4. Consulte Configurar DNS64 para mais informações.

  6. Você pode ativar os registros DNS particulares na seção Registros, mas isso pode aumentar seus custos no Cloud Logging.

  7. Na lista Redes, selecione as redes VPC que você quer vincular a essa política de servidor DNS.

    Uma rede só pode ser vinculada a uma política. Se você não conseguir selecionar uma rede na lista, ela está sendo usada por outra política. Para saber qual rede está sendo usada por uma política, consulte a coluna Em uso por na página Políticas de servidor DNS.

  8. Clique em Criar.

gcloud

Para criar uma política de servidor DNS de entrada, execute o comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --enable-inbound-forwarding

Substitua:

  • NAME: um nome para a política.
  • DESCRIPTION: uma descrição da política.
  • VPC_NETWORK_LIST: uma lista delimitada por vírgulas de redes VPC a que a política de servidor DNS precisa ser vinculada.

Terraform 

resource "google_dns_policy" "default" {
  name                      = "example-inbound-policy"
  enable_inbound_forwarding = true

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Criar uma política de servidor DNS de saída

Para especificar uma lista de servidores de nomes alternativos para uma rede VPC, crie uma política de servidor DNS de saída.

Console

  1. No console do Google Cloud , abra a página Políticas do servidor do Cloud DNS.

    Acessar as políticas de servidor do Cloud DNS

  2. Clique em Criar política.

  3. No campo Nome, insira o nome da política de servidor DNS de saída que você quer criar, como outbound-dns-server-policy.

  4. Na seção Encaminhamento de consulta de entrada, selecione Desativado.

  5. Você pode ativar os registros DNS particulares na seção Registros, mas isso pode aumentar os custos no Cloud Logging.

  6. Na seção Servidores DNS alternativos (opcional), clique em Adicionar item e insira o endereço IP dos seus servidores DNS de saída no campo Endereço IP.

    • Marque a caixa de seleção Encaminhamento privado se quiser forçar o roteamento privado para servidores DNS de saída.

  7. Na lista Redes, selecione as redes VPC que você quer vincular a essa política de servidor DNS.

  8. Clique em Criar.

gcloud

Para criar uma política de servidor DNS de saída, execute o comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST"

Substitua:

  • NAME: um nome para a política.
  • DESCRIPTION: uma descrição da política.
  • VPC_NETWORK_LIST: uma lista de redes VPC delimitada por vírgulas que consultam os servidores de nomes alternativos.
  • ALTERNATIVE_NAMESERVER_LIST: uma lista delimitada por vírgulas de endereços IP que podem ser usados como servidores de nomes alternativos.
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: uma lista delimitada por vírgulas de endereços IP que podem ser usados como servidores de nomes alternativos, acessados usando o roteamento particular.

Terraform 

resource "google_dns_policy" "default" {
  name = "example-outbound-policy"

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Criar uma política de servidor DNS para encaminhamento de entrada e saída

Console

  1. No console do Google Cloud , abra a página Políticas do servidor do Cloud DNS.

    Acessar as políticas de servidor do Cloud DNS

  2. Clique em Criar política.

  3. No campo Nome, insira o nome da política de servidor DNS de entrada que você quer criar, como inbound-outbound-dns-server-policy.

  4. Na seção Encaminhamento de consulta de entrada, selecione Ativado.

  5. Você pode ativar os registros DNS particulares na seção Registros, mas isso pode aumentar os custos no Cloud Logging.

  6. Na seção Servidores DNS alternativos (opcional), clique em Adicionar item e insira o endereço IP dos seus servidores DNS de saída no campo Endereço IP.

    • Selecione Encaminhamento particular se quiser forçar o roteamento particular para servidores DNS de saída.

  7. Na lista Redes, selecione as redes VPC que você quer vincular a essa política de servidor DNS.

  8. Clique em Criar.

gcloud

Para criar uma política de servidor DNS para encaminhamento de entrada e saída, execute o comando dns policies create:

gcloud dns policies create NAME \
    --description="DESCRIPTION" \
    --networks="VPC_NETWORK_LIST" \
    --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \
    --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST" \
    --enable-inbound-forwarding

Substitua:

  • NAME: um nome para a política.
  • DESCRIPTION: uma descrição da política.
  • VPC_NETWORK_LIST: uma lista de redes VPC delimitada por vírgulas em que os endereços de encaminhamento de entrada precisam ser criados e consultar os servidores de nomes alternativos.
  • ALTERNATIVE_NAMESERVER_LIST: uma lista delimitada por vírgulas de endereços IP que podem ser usados como servidores de nomes alternativos.
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: uma lista delimitada por vírgulas de endereços IP que podem ser usados como servidores de nomes alternativos, acessados usando o roteamento particular.

Terraform 

resource "google_dns_policy" "example_policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network_1.id
  }
  networks {
    network_url = google_compute_network.network_2.id
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Listar pontos de entrada do encaminhador de entrada

Quando uma política de servidor DNS de entrada se aplica a uma rede VPC, o Cloud DNS cria um conjunto de endereços IP internos regionais que servem como destinos para onde seus sistemas locais ou resolvedores de nomes podem enviar consultas DNS. Esses endereços servem como pontos de entrada para o pedido de resolução de nome da sua rede VPC.

As regras de firewall doGoogle Cloud não se aplicam aos endereços internos regionais que atuam como pontos de entrada para encaminhadores de entrada. O Cloud DNS aceita tráfego TCP e UDP na porta 53 automaticamente.

Cada encaminhador de entrada aceita e recebe consultas de túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs) na mesma região do endereço IP interno regional. As instâncias de VM podem acessar o encaminhador de entrada usando qualquer um dos endereços IP internos na mesma rede VPC. Para isso, a interface de rede precisa ter um endereço IP externo ou uma sub-rede da placa de rede (NIC, na sigla em inglês) precisa ter o Acesso privado do Google ativado.

Console

Para conferir a lista de pontos de entrada do encaminhador de entrada de uma política:

  1. No console do Google Cloud , abra a página Políticas do servidor do Cloud DNS.

    Acessar as políticas de servidor do Cloud DNS

  2. Clique no nome da política.

  3. Na página Detalhes da política, clique na guia Em uso por.

Cada rede vinculada à política lista os endereços IP de encaminhamento de consultas de entrada.

gcloud

Para listar o conjunto de endereços IP internos regionais que servem como pontos de entrada para todas as políticas de encaminhamento de entrada, execute o comando compute addresses list:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Atualizar políticas de DNS

Nas seções a seguir, você encontra informações sobre como alterar redes VPC e ativar ou desativar o encaminhamento de entrada.

Alterar redes VPC

A lista a seguir descreve o que acontece quando você altera a lista de redes VPC às quais uma política de DNS é aplicada:

  • Se a política especificar uma política de entrada, os pontos de entrada para encaminhadores de entrada serão criados em redes VPC conforme necessário.

  • Se a política especificar uma política de saída, o pedido de resolução de nome de cada rede VPC será atualizado para incluir os servidores de nomes alternativos especificados.

Console

  1. No console do Google Cloud , abra a página Políticas do servidor do Cloud DNS.

    Acessar as políticas de servidor do Cloud DNS

  2. Clique no nome da política que você quer mudar.

  3. Clique em Editar política.

  4. Na lista Redes, marque ou desmarque as caixas de seleção ao lado das redes VPC.

  5. Clique em Salvar.

gcloud

Para modificar a lista de redes às quais uma política de servidor DNS se aplica, execute o comando dns policies update:

gcloud dns policies update NAME \
    --networks="VPC_NETWORK_LIST"

Substitua:

  • NAME: um nome para a política.
  • VPC_NETWORK_LIST: uma lista delimitada por vírgulas de redes VPC às quais a política se aplica. A lista de redes VPC especificadas substitui a lista anterior.

Ativar ou desativar o encaminhamento de entrada

É possível ativar o encaminhamento de entrada para uma política de servidor DNS que defina apenas uma política de saída (servidor de nomes alternativo). Também é possível desativar o encaminhamento de entrada para uma política de DNS atual.

Console

Ative o encaminhamento de entrada para uma política de servidor DNS:

  1. No console do Google Cloud , abra a página Políticas do servidor do Cloud DNS.

    Acessar as políticas de servidor do Cloud DNS

  2. Clique no nome da política que você quer mudar.

  3. Clique em Editar política.

  4. Na seção Encaminhamento de consulta de entrada, selecione Ativado.

  5. Clique em Salvar.

Desative o encaminhamento de entrada para uma política de servidor DNS:

  1. Abra a página Políticas de servidor do Cloud DNS.
  2. Clique no nome da política que você quer mudar.
  3. Clique em Editar política.
  4. Na seção Encaminhamento de consulta de entrada, selecione Desativado.
  5. Clique em Salvar.

gcloud

Para ativar o encaminhamento de entrada para uma política de servidor DNS, execute o comando dns policies update:

gcloud dns policies update NAME \
    --enable-inbound-forwarding

Para desativar o encaminhamento de entrada de uma política de servidor DNS, especifique a flag --no-enable-inbound-forwarding:

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Substitua NAME pelo nome da política.

Listar políticas de DNS

Console

  1. No console do Google Cloud , abra a página Políticas do servidor do Cloud DNS.

    Acessar as políticas de servidor do Cloud DNS

  2. Todas as políticas de servidor DNS criadas no projeto são listadas.

gcloud

Para listar as políticas do servidor DNS no seu projeto, execute o comando dns policies list:

gcloud dns policies list

Excluir uma política de DNS

Console

Para excluir uma política de servidor DNS, ela não pode estar vinculada a nenhuma rede. Atualize sua política para remover todas as redes antes de excluir a política.

  1. No console do Google Cloud , abra a página Políticas do servidor do Cloud DNS.

    Acessar as políticas de servidor do Cloud DNS

  2. Clique em Excluir ao lado do nome da política que você quer excluir.

gcloud

Para excluir uma política de servidor DNS, execute o comando dns policies delete:

gcloud dns policies delete NAME

Substitua NAME pelo nome da política a ser excluída.

A seguir