Una política de servidor DNS te permite configurar qué servidores DNS usar cuando se resuelven nombres de dominio para tus recursos de Google Cloud . Puedes usar políticas de servidor DNS para controlar la resolución de DNS dentro de una red de nube privada virtual (VPC) específica. Una política de servidor DNS especifica el reenvío de DNS de entrada, el reenvío de DNS de salida o ambos. Una política de servidor DNS de entrada permite el reenvío de DNS de entrada, mientras que una política de servidor DNS de salida es una forma de implementar el reenvío de DNS de salida.
También puedes configurar DNS64 para permitir que las instancias de VM solo IPv6 se comuniquen con destinos solo IPv4.
Las subredes de VPC solo IPv6 no admiten políticas de servidor DNS de entrada. Sin embargo, puedes configurar políticas de servidor DNS de salida para tus instancias de VM solo IPv6.
Políticas de servidor de entrada
Cada red de VPC proporciona servicios de resolución
de nombres de Cloud DNS a las instancias de máquina virtual (VM) que tienen una interfaz de red (vNIC)
conectada a la red de VPC. Cuando una VM usa su servidor de metadatos
169.254.169.254 como su servidor de nombres, Google Cloud busca
recursos de Cloud DNS según el orden de resolución de nombres
de la red de VPC.
Para que los servicios de resolución de nombres de una red de VPC estén disponibles para las redes locales conectadas a la red de VPC a través de túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o Dispositivos de router, puedes usar una política de servidor de entrada.
Cuando creas una política de servidor de entrada, Cloud DNS crea puntos
de entrada de política de servidor de entrada en la red de VPC a la que
se aplica la política de servidor. Los puntos de entrada de la política de servidor de entrada son direcciones IPv4
internas provenientes del rango de direcciones IPv4 principal de cada subred de la
red de VPC aplicable, excepto las subredes con datos
--purpose específicos, como las subredes solo de proxy para ciertos balanceadores de cargas y
las subredes que usa Cloud NAT para la NAT privada.
Por ejemplo, si tienes una red de VPC que contiene dos subredes en la misma región y una tercera subred en una región diferente, cuando configuras una política de servidor de entrada para la red de VPC, Cloud DNS usa un total de tres direcciones IPv4 como puntos de entrada de la política de servidor de entrada, una por subred.
Si quieres obtener información para crear una política de servidor de entrada para una VPC, consulta Crea una política de servidor de entrada.
Red y región para las consultas de entrada
Para procesar las consultas de DNS que se envían a los puntos de entrada de la política de servidor de entrada, Cloud DNS asocia la consulta con una red de VPC y una región:
La red de VPC asociada a una consulta de DNS es la red de VPC que contiene el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o la interfaz de red del Dispositivo de router que recibe los paquetes para la consulta de DNS.
Google recomienda crear una política de servidor de entrada en la red de VPC que se conecta a tu red local. De esa manera, los puntos de entrada de la política de servidor de entrada se ubican en la misma red de VPC que los túneles de Cloud VPN, los adjuntos de VLAN de Cloud Interconnect o los Dispositivos de router que se conectan a la red local.
Es posible que una red local envíe consultas a los puntos de entrada de la política de servidor de entrada en una red de VPC diferente, por ejemplo, si la red de VPC que contiene los túneles de Cloud VPN, los adjuntos de VLAN de Cloud Interconnect o los Dispositivos de router que se conectan a la red local también está conectada a una red de VPC diferente a través del intercambio de tráfico entre redes de VPC. Sin embargo, no recomendamos usar esta configuración porque la red de VPC asociada para las consultas de DNS no coincide con la red de VPC que contiene los puntos de entrada de la política de servidor de entrada. Esto significa que las consultas de DNS no se resuelven con las zonas privadas de Cloud DNS ni las políticas de respuesta en la red de VPC que contiene la política de servidor de entrada. Para evitar confusiones, te recomendamos que sigas estos pasos de configuración:
- Crea una política de servidor de entrada en la red de VPC que se conecta a la red local con túneles de Cloud VPN, adjuntos de VLAN de Cloud Interconnect o Dispositivos de router.
- Configura los sistemas locales para que envíen consultas de DNS a los puntos de entrada de la política de servidor de entrada que se configuraron en el paso anterior.
Configura los recursos de Cloud DNS autorizados para la red de VPC que se conecta a la red local. Usa uno o varios de los siguientes métodos:
- Agrega la red de VPC que se conecta a la red local a la lista de redes autorizadas para las zonas privadas de Cloud DNS que están autorizadas para la otra red de VPC: si una zona privada de Cloud DNS y la red de VPC que se conecta a la red local se encuentran en proyectos diferentes de la misma organización, usa la URL completa de la red cuando autorices la red. Para obtener más información, consulta Configura la vinculación entre proyectos.
- Zonas de intercambio de tráfico de Cloud DNS autorizadas para la red de VPC que se conecta a la red local: establece la red de destino de la zona de intercambio de tráfico en la otra red de VPC. No importa si la red de VPC que se conecta a la red local está conectada a la de destino de la zona de intercambio de tráfico a través del intercambio de tráfico entre redes de VPC, ya que las de Cloud DNS no dependen del intercambio de tráfico entre redes de VPC para la conectividad de red.
Si una red local envía consultas a una política de servidor de entrada a través del intercambio de tráfico entre redes de VPC, la red con la política de servidor de entrada debe contener una VM, un adjunto de VLAN o un túnel de Cloud VPN ubicado en la misma región que las consultas de entrada.
La región asociada a una consulta de DNS siempre es la región que contiene el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o la interfaz de red del Dispositivo de router que recibe los paquetes para la consulta de DNS, no la región de la subred que contiene el punto de entrada de la política de servidor de entrada.
- Por ejemplo, si los paquetes de una consulta de DNS ingresan a una red
de VPC a través de un túnel de Cloud VPN ubicado en la región
us-east1y se envían a un punto de entrada de la política de servidor de entrada en la regiónus-west1, la región asociada para la consulta de DNS esus-east1. - Como práctica recomendada, envía consultas de DNS a la dirección IPv4 de un punto de entrada de la política de servidor de entrada en la misma región que el túnel de Cloud VPN, el adjunto de VLAN de Cloud Interconnect o el Dispositivo de router.
- La región asociada a una consulta de DNS es importante si usas políticas de enrutamiento de ubicación geográfica. Para obtener más información, consulta Administra las políticas de enrutamiento de DNS y las verificaciones de estado.
- Por ejemplo, si los paquetes de una consulta de DNS ingresan a una red
de VPC a través de un túnel de Cloud VPN ubicado en la región
Anuncio de ruta del punto de entrada de la política de servidor entrante
Dado que las direcciones IP de los puntos de entrada de la política de servidor de entrada se toman de los rangos de direcciones IPv4 principales de las subredes, los Cloud Routers anuncian esas direcciones IP cuando la sesión del protocolo de puerta de enlace de frontera (BGP) para un túnel de Cloud VPN, un adjunto de VLAN de Cloud Interconnect o un Dispositivo de router se configura para usar el modo de anuncio predeterminado de Cloud Router. También puedes configurar una sesión de BGP para anunciar las direcciones IP del punto de entrada de la política de servidor de entrada si usas el modo de anuncio personalizado de Cloud Router de una de las siguientes maneras:
- Anuncias rangos de direcciones IP de subredes, además de tus prefijos personalizados.
- Incluyes direcciones IP de puntos de entrada de la política de servidor de entrada en tus anuncios de prefijo personalizados.
Políticas de servidor de salida
Puedes modificar el orden de resolución de nombres de Cloud DNS de una
red de VPC creando una política de servidor de salida que
especifique una lista de servidores de nombres alternativos. Cuando una VM usa su servidor de
metadatos 169.254.169.254 como su servidor de nombres y especificaste
servidores de nombres alternativos para una red de VPC, Cloud DNS
envía todas las consultas a los servidores de nombres alternativos, a menos que las consultas
coincidan con una política de respuesta o zona privada con permiso de clúster de
Google Kubernetes Engine.
Tipos, métodos de enrutamiento y direcciones de servidores de nombres alternativos
Cloud DNS admite los siguientes servidores de nombres alternativos y ofrece métodos de enrutamiento estándar o privados para la conectividad.
| Tipo de servidor de nombres alternativo | Compatible con el enrutamiento estándar | Compatible con el enrutamiento privado | Rango de direcciones de origen de la consulta |
|---|---|---|---|
Servidor de nombres de tipo 1 Es una dirección IP interna de una VM de Google Cloud en la misma red de VPC en la que se define la política de servidor de salida. |
Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada. | Cualquier dirección IP interna, como una dirección privada RFC 1918, una dirección IP privada que no sea RFC 1918 o una externa reutilizada de forma privada, excepto una dirección IP de servidor de nombres alternativo prohibida: el tráfico siempre se enruta a través de una red de VPC autorizada. | 35.199.192.0/19 |
Servidor de nombres de tipo 2 Una dirección IP de un sistema local, conectada a la red de VPC con la política de servidor de salida a través de Cloud VPN o Cloud Interconnect. |
Solo direcciones IP RFC 1918: el tráfico siempre se enruta a través de una red de VPC autorizada. | Cualquier dirección IP interna, como una dirección privada RFC 1918, una dirección IP privada que no sea RFC 1918 o una externa reutilizada de forma privada, excepto una dirección IP de servidor de nombres alternativo prohibida: el tráfico siempre se enruta a través de una red de VPC autorizada. | 35.199.192.0/19 |
Servidor de nombres de tipo 3 Una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud , por ejemplo, la dirección IP externa de una VM en otra red de VPC. |
Solo direcciones IP externas enrutables a Internet: el tráfico siempre se enruta a Internet o a la dirección IP externa de un recurso de Google Cloud . | No se admite el enrutamiento privado. | Rangos de origen de DNS público de Google |
Cloud DNS ofrece dos métodos de enrutamiento para consultar servidores de nombres alternativos:
Enrutamiento estándar. Cloud DNS determina el tipo de servidor de nombres alternativo con su dirección IP y, luego, usa el enrutamiento , ya sea privado o público:
- Si el servidor de nombres alternativo es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como un servidor de nombres de tipo 1 o tipo 2, y enruta las consultas a través de una red de VPC autorizada (enrutamiento privado).
- Si el servidor de nombres alternativo no es una dirección IP RFC 1918, Cloud DNS clasifica el servidor de nombres como de tipo 3 y espera que el servidor de nombres alternativos sea accesible a través de Internet. Cloud DNS enruta las consultas a través de Internet (enrutamiento público).
Enrutamiento privado. Cloud DNS trata el servidor de nombres alternativo como de tipo 1 o tipo 2. Cloud DNS siempre enruta el tráfico a través de una red de VPC autorizada, independientemente de la dirección IP (RFC 1918 o no) del servidor de nombres alternativo.
Direcciones IP de servidores de nombres alternativos prohibidas
No puedes usar las siguientes direcciones IP para los servidores de nombres alternativos de Cloud DNS:
169.254.0.0/16192.0.0.0/24192.0.2.0/24192.88.99.0/24198.51.100.0/24203.0.113.0/24224.0.0.0/4240.0.0.0/4::1/128::/1282001:db8::/32fe80::/10fec0::/10ff00::/8
Requisitos de red del servidor de nombres alternativo
Los requisitos de red para los servidores de nombres alternativos varían según el tipo de servidor de nombres alternativo. Para determinar el tipo de un servidor de nombres alternativo, consulta Tipos, métodos de enrutamiento y direcciones de servidores de nombres alternativos. Luego, consulta una de las siguientes secciones para conocer los requisitos de red.
Requisitos de red para servidores de nombres alternativos de tipo 1
Cloud DNS envía paquetes cuyas fuentes provienen del rango de direcciones
IP 35.199.192.0/19 a la dirección IP del servidor de nombres alternativo de tipo 1.
Google Cloud enruta paquetes para las consultas con rutas de subred locales en
la red de VPC. Asegúrate de no haber creado ninguna ruta basada en
políticas cuyos destinos incluyan
direcciones IP de servidores de nombres alternativos de tipo 1.
Para permitir paquetes de entrada en las VMs de servidores de nombres alternativos, debes crear reglas de firewall de VPC de permiso de entrada o reglas en políticas de firewall con las siguientes características:
- Destinos: Deben incluir las VMs del servidor de nombres alternativo
- Fuentes:
35.199.192.0/19 - Protocolos:
TCPyUDP - Puerto:
53
Cloud DNS requiere que cada servidor de nombres alternativo envíe paquetes de respuesta
a la dirección IP de Cloud DNS en 35.199.192.0/19 desde
la que se originó la consulta. Las fuentes de los paquetes de respuesta deben coincidir con la dirección
IP del servidor de nombres alternativo al que Cloud DNS envía la
consulta original. Cloud DNS ignora las respuestas si provienen de una
dirección IP de origen inesperada, por ejemplo, la dirección IP de otro servidor de
nombres al que un servidor de nombres alternativo podría reenviar una consulta.
Cuando un servidor de nombres alternativo de tipo 1 envía paquetes de respuesta a
35.199.192.0/19, usa una ruta de enrutamiento especial.
Requisitos de red para servidores de nombres alternativos de tipo 2
Cloud DNS envía paquetes cuyas fuentes provienen del rango de direcciones
IP de 35.199.192.0/19 a servidores de nombres alternativos de tipo 2. Cloud DNS se basa en
los siguientes tipos de rutas dentro de la red de VPC a la que
se aplica la política de servidor de salida:
- Rutas estáticas excepto las rutas estáticas que solo se aplican a las VMs por etiqueta de red
- Rutas dinámicas
Para permitir paquetes de entrada en los servidores de nombres alternativos de tipo 2, asegúrate de
configurar reglas de firewall de entrada permitida que sean aplicables a los
servidores de nombres alternativos y a cualquier equipo de red local pertinente con
funciones de firewall. La configuración de firewall efectiva debe permitir los protocolos TCP
y UDP con el puerto de destino 53 y las fuentes 35.199.192.0/19.
Cloud DNS requiere que cada servidor de nombres alternativo envíe paquetes de respuesta
a la dirección IP de Cloud DNS en 35.199.192.0/19 desde
la que se originó la consulta. Las fuentes de los paquetes de respuesta deben coincidir con la dirección
IP del servidor de nombres alternativo al que Cloud DNS envía la
consulta original. Cloud DNS ignora las respuestas si provienen de una
dirección IP de origen inesperada, por ejemplo, la dirección IP de otro servidor de
nombres al que un servidor de nombres alternativo podría reenviar una consulta.
Tu red local debe tener rutas para el destino 35.199.192.0/19
cuyos próximos saltos sean túneles de Cloud VPN, adjuntos de
VLAN de Cloud Interconnect o Cloud Routers ubicados en la misma red de
VPC y región desde las que Cloud DNS envía la consulta. Siempre y cuando los
próximos saltos cumplan con esos requisitos de red y región, Google Cloud no
requiere una ruta de retorno simétrica. Las respuestas de los servidores de nombres alternativos
de tipo 2 no se pueden enrutar con ninguno de los siguientes saltos:
- Próximos saltos en Internet
- Próximos saltos en una red de VPC diferente de la red de VPC en la que se originaron las consultas
- Próximos saltos en la misma red de VPC, pero en una región diferente de la región en la que se originaron las consultas
Para configurar las rutas 35.199.192.0/19 en tu red local, usa el
modo de anuncio
personalizado
de Cloud Router y, luego, incluye 35.199.192.0/19 como un prefijo personalizado en las sesiones de BGP de los
túneles de Cloud VPN, los adjuntos de VLAN
de Cloud Interconnect o los Cloud Routers pertinentes que conectan tu red de
VPC a la red local que contiene el servidor de nombres alternativo de
tipo 2. Como alternativa, puedes configurar rutas estáticas equivalentes en tu
red local.
Requisitos de red para servidores de nombres alternativos de tipo 3
Cloud DNS envía paquetes cuyas fuentes coinciden con los rangos de origen de DNS público de Google a los servidores de nombres alternativos de tipo 3. Cloud DNS usa el enrutamiento público, por lo que no depende de ninguna ruta dentro de la red de VPC a la que se aplica la política de servidor de salida.
Para permitir paquetes de entrada en servidores de nombres alternativos de tipo 3, asegúrate de que la configuración de firewall efectiva que se aplica al servidor de nombres alternativo permita paquetes de los rangos de origen de DNS público de Google.
¿Qué sigue?
- Para configurar y aplicar políticas de servidor DNS, consulta Aplica políticas de servidor DNS.