Reihenfolge der Namensauflösung

Cloud DNS verwendet das folgende Verfahren, um Abfragen von Compute Engine-VM-Instanzen und Google Kubernetes Engine (GKE)-Knoten zu beantworten.

Für Compute Engine-VMs, die keine GKE-Knoten sind, folgt Cloud DNS der Reihenfolge der VPC-Netzwerkauflösung, um empfangene Abfragen zu verarbeiten. Jede VM muss so konfiguriert sein, dass sie die IP-Adresse des Metadatenservers (169.254.169.254) als Nameserver verwendet.

GKE-Knoten:

1. Cloud DNS versucht zuerst, eine Abfrage mit clusterbezogenen Antwortrichtlinien und privaten Zonen abzugleichen.

2. Cloud DNS folgt danach der Auflösungsreihenfolge für VPC-Netzwerke.

Clusterbezogene Antwortrichtlinien und private Zonen

1. Abgleich mit Regeln in clusterbezogenen GKE-Antwortrichtlinien: Cloud DNS durchsucht alle anwendbaren clusterbezogenen GKE-Antwortrichtlinien nach einer Regel, bei der das Attribut „DNS-Name“ möglichst genau mit der Abfrage übereinstimmt. Cloud DNS sucht in den clusterbezogenem Antwortrichtlinien nach dem längsten übereinstimmenden Suffix.

   1. Wenn Cloud DNS eine passende Antwortrichtlinienregel findet und die Regel lokale Daten bereitstellt, gibt Cloud DNS die lokalen Daten als Antwort zurück und schließt den Prozess der Namensauflösung ab.

   2. Wenn Cloud DNS eine passende Antwortrichtlinienregel findet und das Verhalten der Regel die Antwortrichtlinie umgeht, fährt Cloud DNS mit dem nächsten Schritt fort.

   3. Wenn Cloud DNS keine passende Antwortrichtlinie findet oder wenn für den Knoten keine anwendbare clusterbezogene Antwortrichtlinie für den Knoten vorhanden ist, fährt Cloud DNS mit dem nächsten Schritt fort.

2. Abgleich von Einträgen in clusterbezogenen privaten Zonen: Cloud DNS durchsucht alle verwalteten, clusterbezogenen privaten Zonen nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS sucht in den Einträgen in clusterbezogenen privaten Zonen nach dem längsten gemeinsamen Suffix.

   1. Wenn die spezifischste Übereinstimmung für die Anfrage der Zonenname einer clusterbezogenen privaten Zone ist, verwendet Cloud DNS die Eintragsdaten dieser Zone, um die Anfrage aufzulösen.

      • Wenn die Zone einen Eintrag enthält, der genau mit der Abfrage übereinstimmt, gibt Cloud DNS die Daten dieses Eintrags zurück.
      • Wenn die Zone keinen übereinstimmenden Eintrag enthält, gibt Cloud DNS NXDOMAIN zurück.

   2. Wenn die spezifischste Übereinstimmung für die Anfrage der Zonenname einer clusterbezogenen Weiterleitungszone ist, leitet Cloud DNS die Abfrage an eines der Weiterleitungsziele der Weiterleitungszone weiter, um die Namensauflösung abzuschließen. Cloud DNS gibt eine der folgenden Antworten zurück:

      • Die vom Weiterleitungsziel empfangene Antwort.
      • Eine SERVFAIL-Antwort, wenn das Weiterleitungsziel keine Antwort an Cloud DNS sendet.

   3. Wenn die Anfrage keiner clusterbezogenen privaten Zone entspricht, fährt Cloud DNS mit der Reihenfolge der VPC-Netzwerkauflösung fort.

Reihenfolge der VPC-Netzwerkauflösung

1. Abgleich mit alternativem Nameserver des VPC-Netzwerks: Wenn das VPC-Netzwerk eine Serverrichtlinie für ausgehenden Traffic hat, leitetGoogle Cloud die Abfrage an einen der alternativen Nameserver weiter, die in dieser Richtlinie definiert sind, um die Namensauflösung abzuschließen.

   Wenn in der Serverrichtlinie für ausgehenden Traffic zwei oder mehr alternative Nameserver vorhanden sind, werden sie von Cloud DNS mithilfe eines internen Algorithmus eingestuft. Alternative Nameserver beginnen mit dem gleichen Rang und steigen bei höheren Raten erfolgreicher Antworten (einschließlich NXDOMAIN-Antworten) und kürzeren Umlaufzeiten (der niedrigsten Antwortlatenz) im Rang auf.

   Cloud DNS sendet Abfragen an alternative Nameserver und gibt Antworten zurück. Dabei wird folgender Prozess verwendet.

   • Wenn in der Serverrichtlinie für ausgehenden Traffic zwei oder mehr alternative Nameserver vorhanden sind, sendet Cloud DNS die Abfrage zuerst an den alternativen Nameserver mit dem höchsten Rang und dann an den alternativen Nameserver mit dem zweithöchsten Rang, wenn Cloud DNS keine Antwort vom alternativen Nameserver mit dem höchsten Rang empfängt. Wenn Cloud DNS keine Antwort vom nächstrangigen alternativen Nameserver empfängt, werden weiter alternative Nameserver in absteigender Reihenfolge abgefragt, bis die Liste der alternativen Nameserver erschöpft ist.

   • Wenn Cloud DNS eine Antwort von einem alternativen Nameserver empfängt, wird diese Antwort zurückgegeben. Die Antworten enthalten NXDOMAIN-Antworten.

   • Wenn Cloud DNS von allen alternativen Nameservern in der Richtlinie für ausgehende Server keine Antwort empfängt, synthetisiert Cloud DNS eine SERVFAIL-Antwort. Informationen zur Fehlerbehebung bei Verbindungen zu alternativen Nameservern finden Sie unter Netzwerkanforderungen an alternative Nameserver.

   Wenn das VPC-Netzwerk keine Serverrichtlinie für ausgehenden Traffic hat, fährt Cloud DNS mit dem nächsten Schritt fort.

2. Abgleich mit Regeln in Antwortrichtlinien mit VPC-Netzwerkbezug: Cloud DNS durchsucht alle anwendbaren Antwortrichtlinien für VPC-Netzwerke nach einer Regel, bei der das DNS-Namensattribut so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS sucht in den Antwortrichtlinien mit VPC-Netzwerkbezug nach dem längsten gemeinsamen Suffix.

   1. Wenn Cloud DNS eine passende Antwortrichtlinienregel findet und die Regel lokale Daten bereitstellt, gibt Cloud DNS die lokalen Daten als Antwort zurück und schließt den Prozess der Namensauflösung ab.

   2. Wenn Cloud DNS eine passende Antwortrichtlinienregel findet und das Verhalten der Regel die Antwortrichtlinie umgeht, fährt Cloud DNS mit dem nächsten Schritt fort.

   3. Wenn Cloud DNS keine passende Antwortrichtlinie findet oder keine anwendbare Antwortrichtlinie mit VPC-Netzwerkbezug für die VM oder den Knoten vorhanden ist, fährt Cloud DNS mit dem nächsten Schritt fort.

3. Abgleich von Einträgen in verwalteten privaten Zonen mit VPC-Netzwerkbezug: Cloud DNS durchsucht alle verwalteten privaten Zonen, die für das VPC-Netzwerk autorisiert sind, nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS sucht nach dem längsten übereinstimmenden Suffix in den Einträgen.

   1. Wenn die spezifischste Übereinstimmung für die Abfrage der Zonenname einer privaten Zone mit VPC-Netzwerkbezug ist, verwendet Cloud DNS die Eintragsdaten dieser Zone, um die Anfrage aufzulösen.

      • Wenn die Zone einen Eintrag enthält, der genau mit der Abfrage übereinstimmt, gibt Cloud DNS die Daten des Eintrags zurück.
      • Wenn die Zone keinen übereinstimmenden Eintrag enthält, gibt Cloud DNS NXDOMAIN zurück.

   2. Wenn die spezifischste Übereinstimmung für die Abfrage der Zonenname einer Weiterleitungszone mit VPC-Netzwerkbezug ist, leitet Cloud DNS die Abfrage an eines der Weiterleitungsziele der Weiterleitungszone weiter, um die Namensauflösung abzuschließen. Cloud DNS gibt eine der folgenden Antworten zurück:

      • Die vom Weiterleitungsziel empfangene Antwort.
      • Eine SERVFAIL-Antwort, wenn das Weiterleitungsziel keine Antwort an Cloud DNS sendet.

   3. Wenn die spezifischste Übereinstimmung für die Abfrage der Name einer Peering-Zone mit VPC-Netzwerkbezug ist, beendet Cloud DNS den aktuellen Namensauflösungsprozess und beginnt einen neuen aus der Perspektive des Ziel-VPC-Netzwerks der Peering-Zone.

   Wenn die Abfrage mit keiner privaten Zone, Weiterleitungszone oder Peering-Zone übereinstimmt, fährt Cloud DNS mit dem nächsten Schritt fort.

4. Abgleich von Einträgen in internen Compute Engine-Zonen: Cloud DNS durchsucht alle anwendbaren internen DNS-Zonen von Compute Engine nach einem Eintrag, der so weit wie möglich mit der Abfrage übereinstimmt. Cloud DNS sucht nach dem längsten übereinstimmenden Suffix in den Einträgen.

   1. Wenn die spezifischste Übereinstimmung für die Abfrage ein interner DNS-Name von Compute Engine ist, gibt Cloud DNS die interne IP-Adresse der Netzwerkschnittstelle der VM oder den zugehörigen Reverse-Lookup-Pointer als Antwort zurück und schließt damit die Namensauflösung ab.

5. Abgleich von Einträgen über öffentliche DNS-Abfragen: Google Cloud folgt dem SOA-Eintrag (Start of Authority), um öffentlich verfügbare Zonen abzufragen, einschließlich öffentlicher Cloud DNS-Zonen. Cloud DNS gibt eine der folgenden Antworten zurück:

   • Die Antwort, die von einem autoritativen Nameserver empfangen wurde.
   • Eine NXDOMAIN-Antwort, wenn der Datensatz nicht vorhanden ist.

Beispiel

Angenommen, Sie haben die beiden VPC-Netzwerke vpc-a und vpc-b sowie den GKE-Cluster cluster-a und die folgenden bereichsbezogenen Ressourcen:

1. vpc-a ist berechtigt, die folgenden privaten Zonen abzufragen. Beachten Sie den abschließenden Punkt in jedem Eintrag:

   • static.example.com.
   • 10.internal.

2. peer.com. ist eine Peering-Zone, die die Reihenfolge der VPC-Namensauflösung von vpc-b abfragen kann.

3. vpc-a ist nicht mit Servern oder Antwortrichtlinien für ausgehenden Traffic verknüpft.

4. cluster-a ist berechtigt, eine private Zone mit dem Namen example.com abzufragen. cluster-a ist auch nicht mit Servern oder Antwortrichtlinien für ausgehenden Traffic verknüpft.

5. Eine VM in cluster-a kann Folgendes abfragen:

   • example.com und untergeordnete Elemente (einschließlich static.example.com), beantwortet von der privaten Zone example.com, die für cluster-a autorisiert ist.
   • 10.internal in vpc-a.
   • peer.com über die Peering-Zone.

6. Eine VM, die nicht in cluster-a enthalten ist, kann Folgendes abfragen:

   • static.example.com und untergeordnete Elemente, beantwortet von der privaten Zone static.example.com, die für vpc-a autorisiert ist. Abfragen von example.com geben Internetantworten zurück.
   • 10.internal in vpc-a.
   • peer.com über die Peering-Zone.

Nächste Schritte

• Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie im Artikel zur Fehlerbehebung.
• Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.
• Informationen zum Konfigurieren von Antwortrichtlinien finden Sie unter Antwortrichtlinien und -regeln verwalten.