DNS-Einträge

Diese Seite bietet eine Übersicht über Einträge und listet die von Cloud DNS unterstützten DNS-Eintragstypen auf, einschließlich des benutzerdefinierten Cloud DNS-Eintragstyps ALIAS.

Ein Eintrag ist eine Zuordnung zwischen einer DNS-Ressource und einem Domainnamen. Jeder einzelne DNS-Eintrag hat einen Typ (Name und Nummer), eine Ablaufzeit (Gültigkeitsdauer TTL) und typspezifische Daten.

Informationen zum Erstellen und Verwalten von Ressourcendatensätzen finden Sie unter Einträge hinzufügen, aktualisieren und löschen.

Aliaseinträge

Ein ALIAS-Eintrag ist ein benutzerdefinierter Cloud DNS-Eintragstyp, der sich wie ein CNAME-Eintrag verhält, aber nur am Zonen-Apex verwendet werden kann und nur auf Adresseintragsabfragen (A oder AAAA) reagiert. Der ALIAS-Eintragstyp ordnet einen Alias-Domainnamen einem kanonischen Namen zu und verwendet den kanonischen Namen, um die Antwort zu ermitteln. Dieser Eintragstyp ist nützlich, wenn Sie CNAME-Verhalten am Apex benötigen. Sie können keinen CNAME-Eintrag am Apex platzieren, da er nicht neben anderen Eintragstypen existieren kann, auch nicht neben dem SOA-Eintrag, der am Zonen-Apex erforderlich ist.

ALIAS-Einträge sind spezifisch für Cloud DNS und werden niemals für einen externen Client, der Cloud DNS-Zonen abfragt, offengelegt. Für einen Client wird ein ALIAS-Eintrag in der DNS-Antwort als Standard-A- oder AAAA-Eintrag angezeigt. ALIAS-Einträge sind nicht mit DNSSEC kompatibel. Sie können DNSSEC daher nicht für eine Zone mit ALIAS-Einträgen aktivieren.

ALIAS-Einträge können wie alle anderen Einträge verwaltet werden. Informationen zum Verwalten von Einträgen finden Sie unter Einträge verwalten.

Prozess der Abfrageauflösung

ALIAS-Einträge sind nur für öffentliche Cloud DNS-Zonen verfügbar.

Bei CNAME-Einträgen ist der Resolver für die Auflösung des kanonischen Namens verantwortlich. Bei ALIAS-Einträgen löst der Cloud DNS-Nameserver den kanonischen Namen auf und generiert synthetische A- oder AAAA-Einträge, die an den Resolver zurückgegeben werden. Die synthetisierten A‑ oder AAAA-Einträge haben den Namen des ALIAS-Eintrags mit den IP-Adressen, die beim Auflösen des Ziels des ALIAS-Eintrags ermittelt wurden. Die Cloud DNS-Nameserver verwenden die verfügbaren rekursiven Resolver von Google, um Alias-Einträge aufzulösen.

Wenn das Aliasziel in einen Ressourceneintragssatz (RRSet) mit mehreren Adressen aufgelöst wird, gibt Cloud DNS alle Einträge zurück, randomisiert aber ihre Reihenfolge, bevor der synthetische Adresseintrag zurückgegeben wird. Dieser Vorgang ähnelt der Art und Weise, wie Cloud DNS Antworten von seinen Nameservern behandelt.

Bei der Auflösung des ALIAS-Eintragsziels werden nur Adresseinträge synthetisiert. Bei Abfragen nach ALIAS-Einträgen werden keine zwischengeschalteten CNAME-Einträge zurückgegeben, die bei der Auflösung des Ziels des Alias-Eintrags gefunden werden. CNAME-Einträge, die durch CNAME-Chasing vor dem Erreichen des ALIAS-Eintrags gefunden werden, werden unverändert zurückgegeben. Wenn die ALIAS-Zielauflösung fehlschlägt, d. h. einen anderen Antwortcode als NOERROR zurückgibt, gibt der Cloud DNS-Nameserver eine SERVFAIL-Antwort an seinen Client zurück. Wenn die Auflösung zu einer NODATA-Antwort führt, also einer NOERROR-Antwort ohne Adresseinträge, gibt der Cloud DNS-Nameserver eine NODATA-Antwort zurück.

Beim Auflösen von ALIAS-Eintragszielen verwendet Cloud DNS kein vom Client bereitgestelltes EDNS Client Subnet.

Parameter für die Gültigkeitsdauer (TTL) und das Caching

Der TTL-Wert, der mit einem synthetisierten Adresseintrag zurückgegeben wird, ist der kleinste der konfigurierten TTL-Werte des ALIAS-Eintrags und der TTL-Werte, die beim Auflösen des ALIAS-Ziels gefunden werden. Bei dieser Methode kann die zurückgegebene TTL kleiner als die konfigurierte TTL des ALIAS-Eintrags sein, aber niemals größer.

Das folgende Beispiel zeigt, wie die TTL für die synthetisierten Adresseinträge bestimmt wird.

Angenommen, die folgenden Einträge sind in einer von Cloud DNS verwalteten Zone konfiguriert:

example.com.    3600    SOA      ns.com.  admin.example.com. (...)
                86400   NS       ns.com.
                6000    ALIAS    test-cname.example.com.
test-cname      3000    CNAME    address.example.com.
address         5000    A        1.2.3.4

Eine Abfrage dieser Zone für den A-Eintrag unter example.com gibt eine Antwort ähnlich der folgenden zurück:

QUESTION SECTION
example.com.                  A

ANSWER SECTION
example.com.        3000      A      1.2.3.4

Die TTLs, die während der Auflösung auftreten, sind 6.000 (für den ALIAS-Eintrag), 3.000 (für den CNAME-Eintrag) und 5.000 (für den A-Eintrag). Von diesen TTLs ist 3.000 die kleinste. Sie wird daher im synthetisierten Adresseintrag zurückgegeben.

In diesem Beispiel werden alle Datensätze in derselben Zone angezeigt. Die TTL-Logik ist jedoch für Auflösungen, die durch verschiedene Zonen springen, identisch.

Authoritative-Answer-Bit

Das Authoritative-Answer-Bit in der DNS-Antwort basiert auf dem ersten Namen in der Kette (dem ursprünglichen qname), unabhängig davon, ob die mit diesem Namen verknüpften Daten auf dem Server gefunden oder über die Auflösung eines ALIAS-Eintrags abgerufen wurden.

Fehlerbehandlung

Zum Auflösen von ALIAS-Einträgen verwendet Cloud DNS autoritative Nameserver von Drittanbietern, um DNS-Delegierungen zu ermitteln und extern gehostete DNS-Daten abzurufen. Wenn Cloud DNS ein ALIAS-Eintragsziel nicht auflösen kann (die ALIAS-Zielauflösung führt zu einem fehlerhaften RCODE-Wert, z. B. NXDOMAIN oder REFUSED), wird eine SERVFAIL-Antwort zurückgegeben. Wenn das ALIAS-Ziel beispielsweise nicht vorhanden ist oder die autoritativen Server nicht erreichbar sind, gibt Cloud DNS SERVFAIL zurück.

Da SERVFAIL nur begrenzte Informationen zum Fehler enthält, wird beim Cloud DNS-Logging der spezifische RCODE-Wert erfasst, der bei der Auflösung des ALIAS-Eintrags aufgetreten ist. So können Sie Fehler besser beheben. Informationen zur Verwendung von Cloud DNS-Logging finden Sie unter Logging und Monitoring verwenden.

Wenn die Auflösung eines ALIAS-Ziels zu einer NODATA-Antwort führt (eine leere Antwort mit einem NOERROR RCODE), gibt Cloud DNS NODATA zurück. ALIAS-Einträge entsprechen sowohl A- als auch AAAA-Abfragen, das ALIAS-Ziel kann jedoch nur einen Eintragstyp enthalten. Das ist ein erwartetes Verhalten und führt nicht zu einer Antwort mit dem Fehlerwert RCODE.

Einträge importieren und exportieren

Sie können Einträge in eine BIND-Zonendatei oder eine YAML-Datei importieren und aus einer solchen Datei exportieren.

ALIAS-Einträge werden in BIND-Dateien nicht unterstützt, da der ALIAS-Eintragstyp kein Standard-DNS-Eintragstyp ist. Cloud DNS erkennt diese Einträge, andere BIND-kompatible DNS-Software jedoch möglicherweise nicht.

ALIAS-Einträge werden in YAML-Dateien exportiert, die spezifisch für Cloud DNS sind, und zwar im folgenden Format:

kind: dns#resourceRecordSet
name: DNS Name
rrdatas: RR Data
ttl: TTL
type: ALIAS

Cloud DNS kann ALIAS-Einträge aus einer YAML-Datei im vorherigen Format importieren.

Sicherheit und Datenschutz

Die öffentlichen Cloud DNS-Nameserver lösen das ALIAS-Ziel in Ihrem Namen auf. Sie müssen jedoch dafür sorgen, dass Sie das ALIAS-Ziel richtig konfiguriert haben. Ein falsches ALIAS-Ziel kann dazu führen, dass Ihre öffentlichen Einträge nicht wie gewünscht funktionieren oder unerwünschte IP-Adressen zurückgeben.

Verwaltete Zonen überwachen

Cloud DNS bietet Logging für alle Abfragen an verwaltete Zonen über Cloud Logging. Im DNS-Abfragelog ist das optionale Feld alias_query_response_code verfügbar, um Informationen zum Status der ALIAS-Namensauflösung aufzuzeichnen, da diese Informationen nicht in der DNS-Antwort enthalten sind.

Weitere Informationen finden Sie unter Logs aufrufen.

Der alias_query_response_code wird nur festgelegt, wenn die Abfrage mithilfe eines ALIAS-Eintrags aufgelöst wird. Der Wert NoError bedeutet, dass der ALIAS-Eintrag erfolgreich aufgelöst wurde. Jeder andere Wert stellt den Fehler dar. Ein SERVFAIL-Wert kann eines der folgenden Probleme darstellen:

  • Nicht erreichbarer Ziel-Nameserver
  • Zeitüberschreitung bei der Zielauflösung, bevor eine Antwort gefunden wurde
  • DNSSEC-Validierung fehlgeschlagen

Das Feld qtype in den Logeinträgen hat keine ALIAS-Option. Wenn eine A- oder AAAA-Abfrage mit einem ALIAS-Eintrag beantwortet wird, bleibt das Feld qtype als A oder AAAA erhalten.

Unterstützte DNS-Eintragstypen

Cloud DNS unterstützt die folgenden Eintragstypen.

Platzhalter-DNS-Einträge

Platzhalter-DNS-Einträge werden für alle Eintragstypen, mit Ausnahme von NS-Einträgen, unterstützt.

Für Eintragstyp Eingabetaste
A

Die numerische IP-Adresse des Hosts im IPv4-Dezimalformat mit einem Punkt als Trennzeichen. Der Eintragstyp A ordnet einem Domainnamen eine IPv4-Adresse zu und bestimmt, wohin die Anfragen für den Domainnamen weitergeleitet werden, z. B. 192.0.2.91.

AAAA

Die numerische IP-Adresse des Hosts im IPv6-Hexadezimalformat. Der Eintragstyp AAAA (Quad A) ordnet einem Domainnamen eine IPv6-Adresse zu und bestimmt, wohin die Anfragen für den Domainnamen weitergeleitet werden. Beispiel: 2001:db8::8bd:1002.

ALIAS (Vorabversion)

Alias-Eintrag (Vorschau), der einen Alias-Domainnamen dem kanonischen Namen am Zonen-Apex zuordnet. Ein Alias-Eintrag wird auch als ANAME-Eintrag oder CNAME-Flattening bezeichnet.

Sie können Alias-Einträge mit der gcloud CLI oder der Cloud DNS API konfigurieren. Sie können Alias-Einträge nicht über die Google Cloud Console konfigurieren.

Ein Alias-Eintrag wird auch als ANAME-Eintrag oder CNAME-Flattening bezeichnet.

CAA

Die Zertifizierungsstellen, die berechtigt sind, Zertifikate für diese Domain auszustellen, z. B. ca.example.net.

Erstellen Sie einen CAA-Eintragstyp, um sicherzustellen, dass nicht autorisierte Zertifizierungsstellen keine Zertifikate für Ihre Domain ausstellen.

CNAME

Der DNS-Alias für einen A-Eintrag – zum Beispiel ist ftp.example.com ein DNS-Alias für www.example.com. In diesem Beispiel ist ftp.example.com ein Dienst, der auf demselben Server wie www.example.com vorhanden ist. Links, die auf ftp.example.com verweisen, erhalten den A-Eintrag von www.example.com.

Sie können auch den Eintragstyp CNAME verwenden, um auf einen völlig anderen Domainnamen zu verweisen. Beispiel: altostrat.com ist ein DNS-Alias für www.example.com.

Manchmal antwortet ein Nameserver mit dem CNAME-Eintrag und dem A-Eintrag, auf den der CNAME-Wert verweist. Dieses Verhalten wird als CNAME-Chasing bezeichnet.

Sollten beim Erstellen eines CNAME-Eintrags Probleme auftreten, lesen Sie den Abschnitt In privater Zone definierter CNAME-Eintrag funktioniert nicht .

DNSKEY

Der öffentliche DNSSEC-Schlüssel, den die Resolver zur Überprüfung der Authentizität von Einträgen mithilfe von ZSK- und KSK-Schlüsseln verwenden.

Beispiel: 7200 IN DNSKEY 256 3 8 AwEAAarQO0FTE/l6LEKFlZllJIwXuLGd3q5d8S8NH+ntOeIMN81A5wAI.

In diesem Beispiel ist 7200 die TTL, 256 ist die dezimale Darstellung von DNSKEY Flags, 3 ist der Protokollindikator für DNSSEC und 8 der für den Schlüssel verwendete kryptografische RSA/SHA-256-Algorithmus.

Sie können diesen Eintragstyp nur in einer öffentlichen und DNSSEC-aktivierten Zone hinzufügen, die sich im Status Transfer befindet. Weitere Informationen finden Sie unter DNSSEC-Konfiguration verwalten.

DS

Der Fingerabdruck für DNSSEC-Schlüssel für eine sichere, delegierte Zone.

Beispiel: 7200 IN DS 31523 5 1 c8761ba5defc26ac7b78e076d7c47fa9f86b9fba. In diesem Beispiel ist 7200 die TTL, 31523 das Schlüsselwort, 5 der Algorithmus und 1 der Digest-Typ.

Sie können diesen Eintragstyp nur in einer öffentlichen Zone hinzufügen. Bei diesem Eintragstyp wird DNSSEC für eine delegierte Zone nur dann aktiviert, wenn Sie DNSSEC für diese Zone freischalten und aktivieren. DNSSEC ist für Zonen nicht standardmäßig aktiviert.

HTTPS

HTTPS-Dienstbindungseintrag, durch den ein Ursprung mehrere alternative Endpunkte mit jeweils zugehörigen Parametern angeben kann. Durch diesen Eintrag wird auch HTTP zu HTTPS weitergeleitet.

Beispiel: 1 . alpn=h2, h3, wobei 1 die Dienstpriorität (SvcPriority) ist, die 0 für Aliasse und 1-65535 für Dienstbeschreibungen ist, . der TargetName ist (".", falls mit dem Namen des Inhabers identisch) und alpn=h2, h3 die Dienstparameter (SvcParams) sind, die aus Schlüssel/Wert-Paaren bestehen, die den Zielendpunkt beschreiben, getrennt durch Leerzeichen.

Der HTTPS-Eintragstyp basiert auf dem allgemeineren SVCB-Eintragstyp und verwendet dasselbe Werteformat.

IPSECKEY

IPsec-Tunnel-Gateway-Daten und öffentliche Schlüssel für IPsec-fähige Clients, die eine opportunistische Verschlüsselung ermöglichen.

Beispiel: 10 1 2 192.0.2.1 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt==, wobei 10 die Priorität ist (niedrigere Werte haben eine höhere Priorität), 1 der Gateway-Typ, 2 der Algorithmus-Typ und 192.0.2.1 das Gateway.

Weitere Informationen finden Sie unter RFC 4025.

MX

Eine Vorzugsnummer und der DNS-Name eines Mail-Exchange-Servers, der E-Mails im Namen Ihrer Domain empfängt.

Beispiel: 1 mail.example.com., wobei 1 die Präferenznummer ist.

SMTP-Server bevorzugen Server mit niedrigeren Präferenznummern. 0 ist die niedrigste Präferenznummer, die Sie eingeben können.

Der MX-Eintrag, den Sie eingeben, muss mit einem Punkt (.) enden.

Sie können mehrere Einträge mit unterschiedlichen Prioritäten erstellen, um Backup-Mailserver zu konfigurieren, oder dieselbe Priorität verwenden, um die Last auf mehrere Mailserver zu verteilen.

Wenn Sie Ihre E‑Mails beispielsweise an Ihr Google Workspace-Konto weiterleiten möchten, geben Sie Folgendes ein: 1 SMTP.GOOGLE.COM.

NAPTR

Die zum Zuordnen von Uniform Resource Names (URN) von DDDS-Anwendungen (Dynamic Delegation Discovery System) verwendeten NAP-Regeln (Naming Authority Pointer). Der Eintragstyp NAPTR wird von DDDS-Anwendungen verwendet, um einen Wert zu konvertieren oder durch einen anderen zu ersetzen, um einen URN zu finden.

Im Beispiel ist 100 10 "u" "sip+E2U" "!^.*$!sip:information@example.com!i ." 100 die Reihenfolge, in der die NAPTR-Datensätze verarbeitet werden müssen, 10 die Priorität, die die Verarbeitungsreihenfolge angibt, wenn Datensätze gleiche Order-Werte haben, "u" ein Flag, das Aspekte des Umschreibens und der Interpretation der Felder im Datensatz steuert, ""sip+E2U die Dienste und "!^.*$!sip:information@example.com!i" der reguläre Ausdruck (RegEx), der einen Substitutionsausdruck enthält, der auf den ursprünglichen String angewendet wird, der vom Client gehalten wird, um die nächste Domain-Suche zu erstellen. . ist der Ersatz, also der nächste Domainname, der abgefragt werden soll, abhängig von den potenziellen Werten im Feld „flags“.

Weitere Informationen finden Sie unter RFC 3403.

NS

Der DNS-Name des autoritativen Nameservers, der DNS-Dienste für Ihre Domain oder Subdomain bereitstellt. Ihre NS-Einträge müssen mit den Nameservern für Ihre Zone übereinstimmen, z. B. ns-1.example.com.

PTR

Der Voll qualifizierter Domainname (FQDN) oder der kanonische Name der Domain, die einer IP-Adresse zugeordnet wird, z. B. server-1.example.com.

Der Eintragstyp PTR wird in der Regel für Reverse-Lookups verwendet.

SOA

Start-of-Authority-Eintrag, mit dem autoritative Informationen über eine DNS-Zone angegeben werden. Ein SOA-Eintrag wird für Sie erstellt, wenn Sie Ihre verwaltete Zone erstellen. Sie können diesen Eintrag nach Bedarf anpassen. Zum Beispiel haben Sie die Möglichkeit, die Seriennummer in eine beliebige Zahl zu ändern, mit der eine datumsbasierte Versionsverwaltung unterstützt wird.

Beispiel: ns-cloud-c1.googledomains.com. cloud-dns-hostmaster.google.com 1 21600 3600 259200 300 Dabei ist ns-cloud-c1.googledomains.com. der MNAME, cloud-dns-hostmaster.google.com der RNAME, 1 die SERIAL, 21600 die REFRESH, 3600 die RETRY, 259200 die EXPIRE und 300 die MINIMUM.

Weitere Informationen finden Sie unter RFC 1035.

SPF

Der SPF-Eintragstyp ist veraltet. Verwenden Sie stattdessen TXT-Einträge, die mit v=spf1 beginnen. Moderne E-Mail-Anwendungen nutzen keine SPF-Eintragstypen.

SRV

Die Daten, die den Standort (den Hostnamen und die Portnummer) der Server für einen bestimmten Dienst angeben.

Beispiel: 0 1 587 mail.example.com, wobei 0 die Priorität des Zielhosts, 1 das Gewicht und 587 die Portnummer ist.

Weitere Informationen finden Sie unter RFC 2782.

SSHFP

SSH-Fingerabdruck für SSH-Clients zur Überprüfung der öffentlichen Schlüssel von SSH-Servern.

Beispiel: 2 1 123456789abcdef67890123456789abcdef67890, wobei 2 die Nummer des SSH-Serveralgorithmus, 1 die Nummer des Fingerabdrucktyps und 123456789abcdef67890123456789abcdef67890 der Fingerabdruck ist.

SVCB

Dienstbindungseintrag, durch den ein logischer Dienst mehrere alternative Endpunkte mit jeweils zugehörigen Parametern angeben kann.

Beispiel: 0 alias-target.example.com, wobei 0 die Dienstpriorität (SvcPriority) ist, die 0 für Aliasse und 1-65535 für Dienstbeschreibungen ist.

Informationen zu HTTPS-Ursprüngen finden Sie im Abschnitt zum HTTPS-Eintragstyp.

TLSA

Die Daten der TLSA-Zertifikatverknüpfung von "DNS-based Authentication of Named Entities" (DANE).

Ein TLSA enthält Informationen zum Prüfen von X.509-Zertifikaten (z. B. von HTTPS verwendete Zertifikate), ohne dass eine Zertifizierungsstelle aus einer vorkonfigurierten Gruppe von Zertifizierungsstellen die Zertifikate signieren muss.

Beispiel: 1 1 2 92003ba34942dc74152e2f2c408d29ec. In diesem Beispiel ist das erste 1 der Protokollindikator für DNSSEC, das zweite 1 der öffentliche Schlüssel und 2 der kryptografische RSA/SHA-256-Algorithmus, der für den Schlüssel verwendet wird.

Verwenden Sie diesen Eintragstyp nur, wenn Sie DNSSEC für die Zone aktiviert haben.

TXT

Texteintrag, der beliebigen Text enthalten und außerdem für die Definition von maschinenlesbaren Daten verwendet werden kann, z. B. von Sicherheitsdaten oder Informationen zur Verhinderung von Datenmissbrauch.

Ein TXT-Eintrag kann einen oder mehrere Textstrings enthalten. Die maximale Länge jedes Textstrings beträgt 255 Zeichen. Wenn Ihre Eintragsdaten mehr als 255 Byte haben, teilen Sie den Eintrag in 255-Byte-Strings auf und schließen Sie jeden String in Anführungszeichen ein, z. B. "String one 255 bytes" "String two 255 bytes".

Mehrere Strings werden durch Mail-Agents und andere Software-Agents verkettet.

Setzen Sie jeden String in Anführungszeichen, z. B. "Hello world" "Bye world".

Jeder TXT-Eintrag ist auf 1.000 Zeichen beschränkt. Wenn Sie dieses Limit erhöhen möchten, wenden Sie sich an denGoogle Cloud -Support.

Nächste Schritte