מדיניות שרתי DNS

מדיניות שרתי DNS מאפשרת להגדיר באילו שרתי DNS להשתמש כשמבצעים המרה של שמות דומיין לכתובות IP עבור Google Cloud המשאבים שלכם. אפשר להשתמש במדיניות של שרת DNS כדי לשלוט בפענוח ה-DNS ברשת VPC ספציפית. מדיניות שרת DNS מציינת העברת DNS נכנסת, העברת DNS יוצאת או את שתיהן. מדיניות שרת DNS לדואר נכנס מאפשרת העברה של DNS לדואר נכנס, ומדיניות שרת DNS לדואר יוצא היא אחת הדרכים להטמיע העברה של DNS לדואר יוצא.

אפשר גם להגדיר DNS64 כדי לאפשר למכונות וירטואליות עם IPv6 בלבד לתקשר עם יעדים עם IPv4 בלבד.

רשתות משנה של VPC עם IPv6 בלבד לא תומכות במדיניות שרת DNS נכנסת. עם זאת, אתם יכולים להגדיר מדיניות של שרתי DNS יוצאים עבור מכונות וירטואליות עם IPv6 בלבד.

מדיניות שרת דואר נכנס

כל רשת VPC מספקת שירותי תרגום שמות של Cloud DNS למכונות וירטואליות (VM) שיש להן ממשק רשת (vNIC) שמחובר לרשת ה-VPC. כשמכונה וירטואלית משתמשת בשרת המטא-נתונים שלה 169.254.169.254כשרת השמות שלה Google Cloud ,היא מחפשת משאבי Cloud DNS לפי סדר ההחלטה של שם רשת ה-VPC.

כדי להפוך את שירותי תרגום השם של רשת VPC לזמינים ברשתות מקומיות שמחוברות לרשת ה-VPC באמצעות מנהרות Cloud VPN, צירופים ל-VLAN ב-Cloud Interconnect או נתבים וירטואליים, אתם יכולים להשתמש במדיניות שרתים נכנסת.

כשיוצרים מדיניות שרתים לתעבורה נכנסת, Cloud DNS יוצר נקודות כניסה למדיניות שרתים לתעבורה נכנסת ברשת ה-VPC שאליה מוחלת מדיניות השרתים. נקודות הכניסה למדיניות השרתים הנכנסים הן כתובות IPv4 פנימיות שמקורן בטווח הכתובות הראשי של IPv4 של כל רשת משנה ברשת ה-VPC הרלוונטית, למעט רשתות משנה עם נתוני --purpose ספציפיים, כמו רשתות משנה של פרוקסי בלבד למאזני עומסים מסוימים ורשתות משנה שמשמשות את Cloud NAT ל-NAT פרטי.

לדוגמה, אם יש לכם רשת VPC שמכילה שתי רשתות משנה באותו אזור ורשת משנה שלישית באזור אחר, כשאתם מגדירים מדיניות שרתים להפניית תנועה נכנסת לרשת ה-VPC, ‏ Cloud DNS משתמש בסך הכול בשלוש כתובות IPv4 כנקודות כניסה למדיניות שרתים להפניית תנועה נכנסת, אחת לכל רשת משנה.

מידע על יצירת מדיניות שרת נכנסת ל-VPC זמין במאמר יצירת מדיניות שרת נכנסת.

הרשת והאזור של שאילתות נכנסות

כדי לעבד שאילתות DNS שנשלחות לנקודות כניסה של מדיניות שרתים נכנסים, שירות Cloud DNS משייך את השאילתה לרשת VPC ולאזור:

רשת ה-VPC שמשויכת לשאילתת DNS היא רשת ה-VPC שמכילה את מנהרת Cloud VPN, את צירוף ה-VLAN של Cloud Interconnect או את ממשק הרשת של נתב וירטואלי שמקבל את החבילות של שאילתת ה-DNS.
- ‫Google ממליצה ליצור מדיניות שרת לתעבורת נתונים נכנסת ברשת ה-VPC שמקושרת לרשת המקומית. כך, נקודות הכניסה של מדיניות השרתים הנכנסים ממוקמות באותה רשת VPC כמו מנהרות Cloud VPN, צירופי VLAN של Cloud Interconnect או נתבים וירטואליים שמחוברים לרשת המקומית.
- רשת מקומית יכולה לשלוח שאילתות לנקודות כניסה של מדיניות שרתים נכנסים ברשת VPC אחרת. לדוגמה, אם רשת ה-VPC שמכילה את מנהרות Cloud VPN, את צירופים ל-VLAN ב-Cloud Interconnect או את נתבים וירטואליים שמחוברים לרשת המקומית, מחוברת גם לרשת VPC אחרת באמצעות קישור בין רשתות שכנות (peering). עם זאת, לא מומלץ להשתמש בהגדרה הזו כי רשת ה-VPC המשויכת לשאילתות DNS לא תואמת לרשת ה-VPC שמכילה את נקודות הכניסה של מדיניות השרתים הנכנסים. המשמעות היא ששאילתות DNS לא נפתרות באמצעות אזורים פרטיים של Cloud DNS ומדיניות תגובות ברשת ה-VPC שמכילה את מדיניות השרתים הנכנסים. כדי למנוע בלבול, מומלץ לבצע את שלבי ההגדרה הבאים במקום זאת:
  1. יוצרים מדיניות שרתים לתעבורה נכנסת ברשת ה-VPC שמחוברת לרשת המקומית באמצעות מנהרות Cloud VPN, צירופים ל-VLAN ב-Cloud Interconnect או נתבים וירטואליים.
  2. מגדירים את המערכות המקומיות לשליחת שאילתות DNS לנקודות הכניסה של מדיניות השרת הנכנס שהוגדרו בשלב הקודם.
  3. מגדירים משאבי Cloud DNS שמורשים לרשת ה-VPC שמחוברת לרשת המקומית. אפשר להשתמש באחת או יותר מהשיטות הבאות:
    - מוסיפים לרשימת הרשתות המורשות את רשת ה-VPC שמחוברת לרשת המקומית, עבור האזורים הפרטיים של Cloud DNS שמורשים לרשת ה-VPC השנייה: אם אזור פרטי של Cloud DNS ורשת ה-VPC שמחוברת לרשת המקומית נמצאים בפרויקטים שונים באותו ארגון, צריך להשתמש בכתובת ה-URL המלאה של הרשת כשמאשרים את הרשת. מידע נוסף זמין במאמר בנושא הגדרת שילוב בין פרויקטים.
    - אזורי קישוריות של Cloud DNS שקיבלו הרשאה מרשת ה-VPC שמחוברת לרשת המקומית: מגדירים את רשת היעד של אזור הקישור לרשת ה-VPC השנייה. לא משנה אם רשת ה-VPC שמקושרת לרשת המקומית מקושרת לרשת ה-VPC היעד של אזור ה-peering באמצעות קישור בין רשתות VPC שכנות, כי אזורי ה-peering של Cloud DNS לא מסתמכים על קישור בין רשתות VPC שכנות לקישוריות רשת.
- אם רשת מקומית שולחת שאילתות למדיניות שרת נכנסת באמצעות קישור בין רשתות שכנות (peering) של רשת VPC, הרשת עם מדיניות השרת הנכנסת צריכה להכיל VM, צירוף ל-VLAN או מנהרת Cloud VPN שנמצאים באותו אזור כמו השאילתות הנכנסות.
האזור המשויך לשאילתת DNS הוא תמיד האזור שמכיל את מנהרת Cloud VPN, את צירוף ה-VLAN של Cloud Interconnect או את ממשק הרשת של נתב וירטואלי שמקבל את החבילות של שאילתת ה-DNS, ולא האזור של רשת המשנה שמכילה את נקודת הכניסה של מדיניות השרת הנכנס.
- לדוגמה, אם חבילות של שאילתת DNS נכנסות לרשת VPC באמצעות מנהרת Cloud VPN שממוקמת באזור us-east1 ונשלחות לנקודת כניסה של מדיניות שרתים נכנסת באזור us-west1, האזור המשויך לשאילתת ה-DNS הוא us-east1.
- ההמלצה היא לשלוח שאילתות DNS לכתובת IPv4 של נקודת כניסה למדיניות שרתים נכנסים באותו אזור כמו מנהרת Cloud VPN, צירוף ל-VLAN ב-Cloud Interconnect או נתב וירטואלי.
- האזור המשויך לשאילתת DNS חשוב אם משתמשים במדיניות ניתוב לפי מיקום גיאוגרפי. מידע נוסף זמין במאמר ניהול מדיניות ניתוב DNS ובדיקות תקינות.

פרסום של מסלול נקודת הכניסה למדיניות של שרת דואר נכנס

מכיוון שכתובות ה-IP של נקודות הכניסה של מדיניות השרתים לתעבורה נכנסת נלקחות מטווח כתובות ה-IPv4 הראשי של רשתות המשנה, Cloud Router מפרסמים את כתובות ה-IP האלה כשסשן Border Gateway Protocol ‏ (BGP) של מנהרת Cloud VPN, של צירוף ל-VLAN של Cloud Interconnect או של נתב וירטואלי מוגדר לשימוש במצב ברירת המחדל של פרסום ב-Cloud Router. אם משתמשים במצב פרסום בהתאמה אישית של Cloud Router, אפשר גם להגדיר סשן BGP כדי לפרסם כתובות IP של נקודות כניסה למדיניות שרתים עבור תעבורה נכנסת, באחת מהדרכים הבאות:

אתם מפרסמים טווחי כתובות IP של רשת משנה בנוסף לקידומות המותאמות אישית.
אתם כוללים את כתובות ה-IP של נקודות הכניסה למדיניות השרתים הנכנסים בפרסומים של הקידומת המותאמת אישית.

מדיניות לשרתים יוצאים

אפשר לשנות את סדר פתרון השמות של Cloud DNS ברשת VPC על ידי יצירת מדיניות שרתים יוצאת שמציינת רשימה של שרתי שמות חלופיים. כשמכונה וירטואלית משתמשת בשרת המטא-נתונים שלה 169.254.169.254 כשרת השמות שלה, וכשציינתם שרתי שמות חלופיים לרשת VPC, ‏ Cloud DNS שולח את כל השאילתות לשרתי השמות החלופיים אלא אם השאילתות תואמות למדיניות תגובה בהיקף אשכול Google Kubernetes Engine או לאזור פרטי בהיקף אשכול GKE.

אם קיימים שני שרתי שמות חלופיים או יותר במדיניות של שרת יוצא, Cloud DNS מדרג את שרתי השמות החלופיים ושולח אליהם שאילתות כפי שמתואר בשלב הראשון של סדר פתרון השמות ב-VPC. חשוב: צריך לעיין בקפידה בסדר הפעולות של רשת ה-VPC. השימוש בשרתי שמות חלופיים משבית את הרזולוציה של הרבה תכונות של Cloud DNS, ויכול גם להשפיע על הרזולוציה של שאילתות DNS ציבוריות, בהתאם להגדרה של שרתי השמות החלופיים. מידע נוסף על אסטרטגיות אחרות להעברת DNS יוצא זמין במאמר שיטות להעברת DNS בסקירה הכללית על Cloud DNS. מידע על יצירת מדיניות לשרתים יוצאים זמין במאמר יצירת מדיניות לשרתים יוצאים.

סוגים חלופיים של שרתי שמות, שיטות ניתוב וכתובות

‫Cloud DNS תומך בשרתי השמות החלופיים הבאים ומציע שיטות ניתוב רגילות או פרטיות לקישוריות.

סוג שרת שמות חלופי הניתוב הרגיל תומך ב תמיכה בניתוב פרטי טווח כתובות של מקור השאילתה

סוג שרת שמות חלופי	הניתוב הרגיל תומך ב	תמיכה בניתוב פרטי	טווח כתובות של מקור השאילתה
שרת שמות מסוג 1 כתובת IP פנימית של מכונה וירטואלית Google Cloud באותה רשת VPC שבה מוגדרת מדיניות השרת היוצא.	רק כתובות IP מסוג RFC 1918 – התנועה תמיד מנותבת דרך רשת VPC מורשית.	כל כתובת IP פנימית, כמו כתובת פרטית מסוג RFC 1918, כתובת IP פרטית שאינה מסוג RFC 1918 או כתובת IP חיצונית שנעשה בה שימוש חוזר באופן פרטי, למעט כתובת IP של שרת שמות חלופי שאסור להשתמש בו – תעבורת הנתונים תמיד מנותבת דרך רשת VPC מורשית.	`35.199.192.0/19`
שרת שמות מסוג 2 כתובת IP של מערכת מקומית שמחוברת לרשת ה-VPC עם מדיניות השרת היוצא, באמצעות Cloud VPN או Cloud Interconnect.	רק כתובות IP מסוג RFC 1918 – התנועה תמיד מנותבת דרך רשת VPC מורשית.	כל כתובת IP פנימית, כמו כתובת פרטית מסוג RFC 1918, כתובות IP פרטיות שאינן מסוג RFC 1918 או כתובת IP חיצונית שנעשה בה שימוש חוזר באופן פרטי, למעט כתובת IP אסורה של שרת שמות חלופי – התעבורה תמיד מנותבת דרך רשת VPC מורשית.	`35.199.192.0/19`
שרת שמות מסוג 3 כתובת IP חיצונית של שרת שמות דומיין (DNS) שאפשר לגשת אליו באינטרנט או כתובת IP חיצונית של Google Cloud משאב – לדוגמה, כתובת IP חיצונית של מכונה וירטואלית ברשת VPC אחרת.	רק כתובות IP חיצוניות שניתנות לניתוב באינטרנט – תעבורת הנתונים תמיד מנותבת לאינטרנט או לכתובת ה-IP החיצונית של משאב Google Cloud .	אין תמיכה בניתוב פרטי.	טווחים של מקורות Google Public DNS

שרת שמות מסוג 1

כתובת IP פנימית של מכונה וירטואלית Google Cloud באותה רשת VPC שבה מוגדרת מדיניות השרת היוצא.

רק כתובות IP מסוג RFC 1918 – התנועה תמיד מנותבת דרך רשת VPC מורשית.

כל כתובת IP פנימית, כמו כתובת פרטית מסוג RFC 1918, כתובת IP פרטית שאינה מסוג RFC 1918 או כתובת IP חיצונית שנעשה בה שימוש חוזר באופן פרטי, למעט כתובת IP של שרת שמות חלופי שאסור להשתמש בו – תעבורת הנתונים תמיד מנותבת דרך רשת VPC מורשית.

35.199.192.0/19

שרת שמות מסוג 2

כתובת IP של מערכת מקומית שמחוברת לרשת ה-VPC עם מדיניות השרת היוצא, באמצעות Cloud VPN או Cloud Interconnect.

רק כתובות IP מסוג RFC 1918 – התנועה תמיד מנותבת דרך רשת VPC מורשית.

כל כתובת IP פנימית, כמו כתובת פרטית מסוג RFC 1918, כתובות IP פרטיות שאינן מסוג RFC 1918 או כתובת IP חיצונית שנעשה בה שימוש חוזר באופן פרטי, למעט כתובת IP אסורה של שרת שמות חלופי – התעבורה תמיד מנותבת דרך רשת VPC מורשית.

35.199.192.0/19

שרת שמות מסוג 3

כתובת IP חיצונית של שרת שמות דומיין (DNS) שאפשר לגשת אליו באינטרנט או כתובת IP חיצונית של Google Cloud משאב – לדוגמה, כתובת IP חיצונית של מכונה וירטואלית ברשת VPC אחרת.

רק כתובות IP חיצוניות שניתנות לניתוב באינטרנט – תעבורת הנתונים תמיד מנותבת לאינטרנט או לכתובת ה-IP החיצונית של משאב Google Cloud .

אין תמיכה בניתוב פרטי.

טווחים של מקורות Google Public DNS

‫Cloud DNS מציע שתי שיטות ניתוב לשאילתות של שרתי שמות חלופיים:

ניתוב רגיל. ‫Cloud DNS קובע את הסוג של שרת השמות החלופי באמצעות כתובת ה-IP שלו, ואז משתמש בניתוב פרטי או ציבורי :
- אם שרת השמות החלופי הוא כתובת IP של RFC 1918, ‏ Cloud DNS מסווג את שרת השמות כשרת שמות מסוג 1 או מסוג 2, ומנתב את השאילתות דרך רשת VPC מורשית (ניתוב פרטי).
- אם שרת השמות החלופי לא מוגדר ככתובת IP מסוג RFC 1918,‏ Cloud DNS מסווג את שרת השמות כסוג 3, ומצפה ששרת השמות החלופי יהיה נגיש לאינטרנט. ‫Cloud DNS מנתב שאילתות באינטרנט (ניתוב ציבורי).
ניתוב פרטי. ב-Cloud DNS, שרת השמות החלופי הוא סוג 1 או סוג 2. ‫Cloud DNS תמיד מנתב תעבורה דרך רשת VPC מורשית, ללא קשר לכתובת ה-IP של שרת השמות החלופי (RFC 1918 או לא).

כתובות IP חלופיות של שרתי שמות שאסור להשתמש בהן

אי אפשר להשתמש בכתובות ה-IP הבאות לשרתי שמות חלופיים של Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

דרישות רשת לשרת שמות חלופי

הדרישות של הרשת לשרתי שמות חלופיים משתנות בהתאם לסוג של שרת השמות החלופי. כדי לקבוע את הסוג של שרת שמות חלופי, אפשר לעיין במאמר סוגים, שיטות ניתוב וכתובות של שרתי שמות חלופיים. אחר כך, מעיינים באחד מהסעיפים הבאים כדי לראות את דרישות הרשת.

דרישות הרשת לשרתי שמות חלופיים מסוג 1

‫Cloud DNS שולח מנות שהמקור שלהן הוא מטווח כתובות ה-IP של 35.199.192.0/19 לכתובת ה-IP של שרת השמות החלופי מסוג 1. ‫Google Cloud מנות של שאילתות מנותבות באמצעות נתיבי רשת משנה מקומיים ברשת ה-VPC. מוודאים שלא יצרתם נתיבים מבוססי-מדיניות שהיעדים שלהם כוללים כתובות IP של שרתי שמות חלופיים מסוג 1.

כדי לאפשר חבילות נכנסות במכונות וירטואליות של שרת שמות חלופי, צריך ליצור כללי חומת אש ב-VPC או כללים במדיניות חומת אש עם המאפיינים הבאים:

יעדים: חייבים לכלול את מכונות ה-VM של שרתי השמות החלופיים
מקורות: 35.199.192.0/19
פרוטוקולים: TCP ו-UDP
יציאה: 53

ב-Cloud DNS, כל שרת שמות חלופי צריך לשלוח חזרה מנות תגובה לכתובת ה-IP של Cloud DNS ב-35.199.192.0/19 שממנה הגיעה השאילתה. מקורות חבילות התגובה חייבים להיות זהים לכתובת ה-IP של שרת השמות החלופי שאליו Cloud DNS שולח את השאילתה המקורית. ‫Cloud DNS מתעלם מתגובות שמגיעות ממקור לא צפוי של כתובת IP – לדוגמה, כתובת ה-IP של שרת שמות אחר ששרת שמות חלופי עשוי להעביר אליו שאילתה.

כששרת שמות חלופי מסוג 1 שולח מנות תגובה אל 35.199.192.0/19, הוא משתמש בנתיב ניתוב מיוחד.

דרישות רשת לשרתי שמות חלופיים מסוג 2

‫Cloud DNS שולח חבילות שהמקור שלהן הוא טווח כתובות ה-IP‏ 35.199.192.0/19 לשרתי שמות חלופיים מסוג 2. ‫Cloud DNS מסתמך על סוגי המסלולים הבאים בתוך רשת ה-VPC שאליה חל כלל המדיניות של השרת היוצא:

מסלולים סטטיים למעט מסלולים סטטיים שרלוונטיים רק למכונות וירטואליות לפי תג רשת
מסלולים דינמיים

כדי לאפשר חבילות נכנסות בשרתי שמות חלופיים מסוג 2, צריך לוודא שהגדרתם כללי חומת אש לכניסה שרלוונטיים לשרתי השמות החלופיים ולציוד רשת רלוונטי באתר עם תכונות של חומת אש. הגדרת חומת האש שבתוקף צריכה לאפשר את הפרוטוקולים TCP ו-UDP עם יציאת היעד 53 ומקורות 35.199.192.0/19.

ברשת המקומית צריכים להיות נתיבים ליעד 35.199.192.0/19 שהקפיצות הבאות שלו הן מנהרות Cloud VPN, קבצים מצורפים של Cloud Interconnect VLAN או נתבי Cloud שנמצאים באותה רשת VPC ואותו אזור שמהם נשלחת השאילתה של Cloud DNS. כל עוד הנתבים הבאים עומדים בדרישות האלה של הרשת והאזור,לא נדרש נתיב חזרה סימטרי. Google Cloud אי אפשר לנתב תשובות משרתים של שמות חלופיים מסוג Type 2 באמצעות אף אחת מהקפיצות הבאות:

הצעדים הבאים באינטרנט
הניתוב הבא ברשת VPC ששונה מרשת ה-VPC שממנה הגיעו השאילתות
הקפיצות הבאות באותה רשת VPC, אבל באזור שונה מהאזור שממנו הגיעו השאילתות

כדי להגדיר את המסלולים 35.199.192.0/19 ברשת המקומית, משתמשים במצב ההודעה המותאמת אישית של Cloud Router וכוללים את 35.199.192.0/19 כקידומת מותאמת אישית בסשנים של BGP במנהרות הרלוונטיות של Cloud VPN, בחיבורי ה-VLAN של Cloud Interconnect או בנתבי Cloud שמחברים את רשת ה-VPC לרשת המקומית שמכילה את שרת השמות החלופי מסוג 2. אפשרות נוספת היא להגדיר מסלולים סטטיים מקבילים ברשת המקומית.

דרישות הרשת לשרתי שמות חלופיים מסוג 3

‫Cloud DNS שולח חבילות שהמקורות שלהן תואמים לטווח המקורות של Google Public DNS לשרתי שמות חלופיים מסוג 3. ‫Cloud DNS משתמש בניתוב ציבורי – הוא לא מסתמך על מסלולים בתוך רשת ה-VPC שאליה חלה מדיניות השרת היוצא.

כדי לאפשר חבילות נכנסות בשרתי שמות חלופיים מסוג 3, צריך לוודא שהגדרת חומת האש הרלוונטית לשרת השמות החלופי מאפשרת חבילות מטווחים של Google Public DNS.

המאמרים הבאים

הוראות להגדרת מדיניות שרתי DNS והחלתה מפורטות במאמר החלת מדיניות שרתי DNS.