Orden de resolución de nombres

Cloud DNS usa el siguiente procedimiento para responder las consultas de las instancias de máquina virtual (VM) de Compute Engine y los nodos de Google Kubernetes Engine (GKE).

En el caso de las VMs de Compute Engine que no son nodos de GKE, Cloud DNS sigue el orden de resolución de la red de VPC para procesar las consultas que recibe. Cada VM debe configurarse para usar la dirección IP del servidor de metadatos (169.254.169.254) como su servidor de nombres.

Para nodos de GKE:

  1. Primero, Cloud DNS intenta hacer coincidir una consulta con políticas de respuesta y zonas privadas con permiso de clúster.

  2. Cloud DNS continúa siguiendo el orden de resolución de la red de VPC.

Políticas de respuesta y zonas privadas con permiso de clúster

  1. Coincide con las reglas de las políticas de respuesta con permiso de clúster de GKE. Cloud DNS analiza todas las políticas de respuesta aplicables con permiso de clúster de GKE para encontrar una regla en la que el atributo de nombre de DNS coincida lo más posible con la consulta. Cloud DNS usa la coincidencia de sufijo más largo para analizar las políticas de respuesta con permiso de clúster.

    1. Si Cloud DNS encuentra una regla de política de respuesta coincidente y esta entrega datos locales, Cloud DNS devuelve los datos locales como respuesta y completa el proceso de resolución de nombres.

    2. Si Cloud DNS encuentra una regla de política de respuesta coincidente y el comportamiento de la regla omite la política de respuesta, Cloud DNS continúa con el siguiente paso.

    3. Si Cloud DNS no encuentra una política de respuesta coincidente o si no hay una política de respuesta aplicable con permiso de clúster para el nodo, Cloud DNS continúa con el siguiente paso.

  2. Coincide registros en zonas privadas con permiso de clúster Cloud DNS analiza todas las zonas privadas administradas con permiso de clúster para encontrar un registro que coincida lo más posible con la consulta. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros en zonas privadas con permiso de clúster.

    1. Si la coincidencia más específica para la consulta es el nombre de la zona de una zona privada con permiso de clúster, Cloud DNS usa los datos de registro de esa zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS devuelve los datos de ese registro.
      • Si la zona no contiene un registro coincidente, Cloud DNS devuelve NXDOMAIN.

    2. Si la coincidencia más específica para la consulta es el nombre de la zona de una zona de reenvío con permiso de clúster, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona para completar el proceso de resolución de nombres. Cloud DNS devuelve una de las siguientes respuestas.

      • La respuesta recibida del destino de reenvío
      • Una respuesta SERVFAIL, si el destino de reenvío no responde a Cloud DNS

    3. Si la consulta no coincide con ninguna zona privada con permiso de clúster, Cloud DNS continúa con el orden de resolución de la red de VPC.

Orden de resolución de la red de VPC

  1. Coincide con el servidor de nombres alternativo de la red de VPC. Si la red de VPC tiene una política de servidor de salida, Google Cloud reenvía la consulta a uno de los servidores de nombres alternativos definidos en esa política para completar el proceso de resolución de nombres.

    Si existen dos o más servidores de nombres alternativos en la política de servidor de salida, Cloud DNS los clasifica con un algoritmo interno. Comenzando con rangos iguales, los servidores de nombres alternativos aumentan su rango en función de tasas más altas de respuestas exitosas (incluidas las respuestas NXDOMAIN) y del tiempo de ida y vuelta más corto (la latencia de respuesta más baja).

    Cloud DNS envía consultas a servidores de nombres alternativos y devuelve respuestas con el siguiente proceso.

    • Si hay dos o más servidores de nombres alternativos en la política de servidor de salida, Cloud DNS primero envía la consulta al servidor de nombres alternativo con la clasificación más alta y, luego, al siguiente servidor de nombres alternativo con la clasificación más alta si Cloud DNS no recibe ninguna respuesta del servidor de nombres alternativo con la clasificación más alta. Si Cloud DNS no recibe ninguna respuesta del siguiente servidor de nombres alternativo en la clasificación, Cloud DNS sigue consultando los servidores de nombres alternativos en orden descendente hasta que se agota la lista de servidores de nombres alternativos.

    • Si Cloud DNS recibe una respuesta de un servidor de nombres alternativo, la devuelve. Las respuestas incluyen las respuestas NXDOMAIN.

    • Si Cloud DNS no recibe una respuesta de todos los servidores de nombres alternativos en la política de servidor de salida, Cloud DNS sintetiza una respuesta SERVFAIL. Para solucionar problemas de conectividad del servidor de nombres alternativo, consulta Requisitos de red del servidor de nombres alternativo.

    Si la red de VPC no tiene una política de servidor de salida, Cloud DNS continúa con el siguiente paso.

  2. Coincide con las reglas de las políticas de respuesta con permiso de red de VPC. Cloud DNS analiza todas las políticas de respuesta de la red de VPC aplicables para encontrar una regla en la que el atributo de nombre de DNS coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia del sufijo más largo para analizar las políticas de respuesta con permiso de red de VPC.

    1. Si Cloud DNS encuentra una regla de política de respuesta coincidente y esta entrega datos locales, Cloud DNS devuelve los datos locales como respuesta y completa el proceso de resolución de nombres.

    2. Si Cloud DNS encuentra una regla de política de respuesta coincidente y el comportamiento de la regla omite la política de respuesta, Cloud DNS continúa con el siguiente paso.

    3. Si Cloud DNS no encuentra una política de respuesta coincidente o si no hay una política de respuesta aplicable con permiso de red de VPC para la VM o el nodo, Cloud DNS continúa con el siguiente paso.

  3. Coincide los registros en las zonas privadas administradas con permiso de red de VPC. Cloud DNS analiza todas las zonas privadas administradas y autorizadas para la red de VPC en busca de un registro que coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros.

    1. Si la coincidencia más específica para la consulta es el nombre de la zona de una zona privada con permiso de red de VPC, Cloud DNS usa los datos de registro de esa zona para resolver la solicitud.

      • Si la zona contiene un registro que coincide exactamente con la consulta, Cloud DNS devuelve los datos del registro.
      • Si la zona no contiene un registro coincidente, Cloud DNS devuelve NXDOMAIN.

    2. Si la coincidencia más específica para la consulta es el nombre de una zona de reenvío con permiso de red de VPC, Cloud DNS reenvía la consulta a uno de los destinos de reenvío de la zona para completar el proceso de resolución de nombres. Cloud DNS devuelve una de las siguientes respuestas.

      • La respuesta recibida del destino de reenvío
      • Una respuesta SERVFAIL, si el destino de reenvío no responde a Cloud DNS

    3. Si la coincidencia más específica para la búsqueda es el nombre de una zona de intercambio de tráfico con permiso de red de VPC, Cloud DNS detiene el proceso de resolución de nombres actual y comienza uno nuevo desde la perspectiva de la red de VPC de destino de la zona de intercambio de tráfico.

    Si la consulta no coincide con una zona privada, una de reenvío o una de intercambio de tráfico, Cloud DNS continúa con el siguiente paso.

  4. Coincide con los registros en las zonas internas de Compute Engine. Cloud DNS analiza todas las zonas del DNS interno de Compute Engine aplicables para encontrar un registro que coincida con la mayor parte posible de la consulta. Cloud DNS usa la coincidencia de sufijo más largo para encontrar registros.

    1. Si la coincidencia más específica para la consulta es un nombre de DNS interno de Compute Engine, Cloud DNS devuelve la dirección IP interna de la interfaz de red de la VM o su puntero de búsqueda inversa como respuesta, lo que completa el proceso de resolución de nombres.

  5. Coincide con el registro usando una consulta de DNS pública. Google Cloud Sigue el registro de inicio de autoridad (SOA) para consultar las zonas disponibles públicamente de, incluidas las zonas públicas de Cloud DNS de. Cloud DNS devuelve una de las siguientes respuestas.

    • La respuesta recibida de un servidor de nombres autorizado
    • Una respuesta NXDOMAIN si el registro no existe

Ejemplo

Supongamos que tienes dos redes de VPC, vpc-a y vpc-b, y un clúster de GKE, cluster-a, junto con los siguientes recursos con permiso:

  1. vpc-a está autorizado para consultar las siguientes zonas privadas. Ten en cuenta el punto final en cada entrada:

    • static.example.com.
    • 10.internal.

  2. peer.com. es una zona de intercambio de tráfico que puede consultar el orden de resolución de nombres de VPC de vpc-b.

  3. vpc-a no está asociado con ningún servidor de salida ni política de respuesta.

  4. cluster-a está autorizado para consultar una zona privada llamada example.com. cluster-a tampoco está asociado con ningún servidor de salida ni política de respuesta.

  5. Una VM en cluster-a puede consultar:

    • example.com y sus elementos secundarios (incluido static.example.com), que reciben respuesta de la zona privada llamada example.com, están autorizados para cluster-a
    • 10.internal en vpc-a
    • peer.com con la zona de intercambio de tráfico

  6. Una VM que no está en cluster-a puede consultar lo siguiente:

    • static.example.com y los elementos secundarios, que reciben respuesta de la zona privada llamada static.example.com, están autorizados para vpc-a Las consultas para example.com muestran respuestas de Internet
    • 10.internal en vpc-a
    • peer.com con la zona de intercambio de tráfico

¿Qué sigue?