Crea una zona di forwarding

Questa pagina fornisce istruzioni su come creare una zona di forwarding. Per informazioni di base dettagliate, consulta Zone di forwarding.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

dns.managedZones.create per creare una zona gestita
dns.managedZones.list per elencare le zone gestite
dns.managedZones.update per aggiornare una zona gestita
dns.managedZones.patch per aggiornare una zona gestita

Ruoli

roles/dns.admin

Prima di iniziare, verifica di aver compreso quanto segue:

Le differenze tra routing standard e privato, mostrate in Destinazioni di forwarding e metodi di routing
I metodi di forwarding DNS in uscita
I requisiti di rete per i target di forwarding
Le best practice per le zone di forwarding di Cloud DNS

Per creare una nuova zona di forwarding privata gestita, completa i seguenti passaggi.

Console

Nella console Google Cloud , vai alla pagina Crea una zona DNS.

Vai a Crea una zona DNS
Per Tipo di zona, seleziona Privata.
Inserisci un Nome zona, ad esempio my-new-zone.
Inserisci un suffisso per il nome DNS della zona privata. Tutti i record nella zona condividono questo suffisso. Ad esempio, example.private.
(Facoltativo) Aggiungi una descrizione.
Nella sezione Opzioni, seleziona Inoltra le query a un altro server.
Seleziona le reti a cui deve essere visibile la zona privata.
Per aggiungere un target di forwarding, fai clic su Aggiungi elemento. Puoi aggiungere più indirizzi IP o un singolo nome di dominio completo (FQDN). Il target di forwarding deve essere un elenco di indirizzi IP o un FQDN. Non puoi utilizzare sia indirizzi IP che un FQDN nella stessa zona.
Per forzare il routing privato al target di forwarding, seleziona la casella di controllo Abilita in Forwarding privato.
Fai clic su Crea.

gcloud

Esegui il comando dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Sostituisci quanto segue:

NAME: un nome per la zona.
DESCRIPTION: una descrizione per la zona.
DNS_SUFFIX: il suffisso DNS per la zona, ad esempio example.private.
VPC_NETWORK_LIST: un elenco delimitato da virgole di reti VPC autorizzate a eseguire query sulla zona.
FORWARDING_TARGETS_LIST: un elenco delimitato da virgole di indirizzi IP o un singolo nome di dominio completo a cui vengono inviate le query. I nomi di dominio vengono risolti nei relativi indirizzi IP. Gli indirizzi IP RFC 1918 specificati con questo flag devono trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloudtramite Cloud VPN o Cloud Interconnect. Gli indirizzi IP non RFC 1918 specificati con questo flag devono essere accessibili da internet.
PRIVATE_FORWARDING_TARGETS_LIST: un elenco delimitato da virgole di indirizzi IP o un singolo nome di dominio completo a cui vengono inviate le query. I nomi di dominio vengono risolti nei relativi indirizzi IP. Qualsiasi indirizzo IP specificato con questo flag deve trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloud tramite Cloud VPN o Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Invia una richiesta POST utilizzando il metodo managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui viene creata la zona gestita.
NAME: un nome per la zona.
DESCRIPTION: una descrizione per la zona.
DNS_NAME: il suffisso DNS per la zona, ad esempio example.private.
VPC_NETWORK_1 e VPC_NETWORK_2: URL per le reti VPC nello stesso progetto in grado di eseguire query sui record in questa zona. Puoi aggiungere più reti VPC come indicato. Per determinare l'URL di una rete VPC, descrivi la rete con il seguente comando gcloud, sostituendo VPC_NETWORK_NAME con il nome della rete:
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 e FORWARDING_TARGET_2: indirizzi IP dei server dei nomi target di forwarding o un singolo nome di dominio completo. Puoi aggiungere più indirizzi IP come indicato. Gli indirizzi IP RFC 1918 specificati qui devono trovarsi nella rete VPC o in una rete on-premise connessa a Google Cloud tramite Cloud VPN o Cloud Interconnect. Gli indirizzi IP non RFC 1918 specificati con questo flag devono essere accessibili da internet.

Requisiti di rete dei target di forwarding

Quando Cloud DNS invia richieste ai target di forwarding, invia pacchetti con gli intervalli di origine elencati nella tabella seguente.

Tipo di target di forwarding Intervalli di origine

Tipo di target di forwarding	Intervalli di origine
Target Tipo 1 Un indirizzo IP interno di una VM Google Cloud o di un bilanciatore del carico di rete passthrough interno nella stessa rete VPC autorizzata a utilizzare la zona di forwarding. Target Tipo 2 Un indirizzo IP di un sistema on-premise, connesso alla rete VPC autorizzata a utilizzare la zona di forwarding tramite Cloud VPN o Cloud Interconnect. Per saperne di più sugli indirizzi IP supportati, consulta Target di forwarding e metodi di routing.	`35.199.192.0/19` Cloud DNS utilizza l'intervallo di origine `35.199.192.0/19` per tutti i clienti. Questo intervallo è accessibile solo da una rete VPC Google Cloud o da una rete on-premise connessa a una rete VPC.
Target Tipo 3 Un indirizzo IP esterno di un server dei nomi DNS accessibile da internet o l'indirizzo IP esterno di una risorsa Google Cloud , ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC.	Intervalli di origine di Google Public DNS
Target Tipo 4 Un nome di dominio completo di un server dei nomi target che viene risolto in indirizzi IPv4 e IPv6 tramite l'ordine di risoluzione della rete VPC. Il nome di dominio può essere risolto in un massimo di 50 indirizzi IP. Gli indirizzi IP risolti possono essere target Tipo 1-3.	A seconda degli indirizzi IP risolti, gli intervalli di origine possono essere uno dei seguenti: 35.199.192.0/19 Intervalli di origine di Google Public DNS

Target Tipo 1

Un indirizzo IP interno di una VM Google Cloud o di un bilanciatore del carico di rete passthrough interno nella stessa rete VPC autorizzata a utilizzare la zona di forwarding.

Target Tipo 2

Un indirizzo IP di un sistema on-premise, connesso alla rete VPC autorizzata a utilizzare la zona di forwarding tramite Cloud VPN o Cloud Interconnect.

Per saperne di più sugli indirizzi IP supportati, consulta Target di forwarding e metodi di routing.

35.199.192.0/19

Cloud DNS utilizza l'intervallo di origine 35.199.192.0/19 per tutti i clienti. Questo intervallo è accessibile solo da una rete VPC Google Cloud o da una rete on-premise connessa a una rete VPC.

Target Tipo 3

Un indirizzo IP esterno di un server dei nomi DNS accessibile da internet o l'indirizzo IP esterno di una risorsa Google Cloud , ad esempio l'indirizzo IP esterno di una VM in un'altra rete VPC.

Intervalli di origine di Google Public DNS

Target Tipo 4

Un nome di dominio completo di un server dei nomi target che viene risolto in indirizzi IPv4 e IPv6 tramite l'ordine di risoluzione della rete VPC. Il nome di dominio può essere risolto in un massimo di 50 indirizzi IP.

Gli indirizzi IP risolti possono essere target Tipo 1-3.

A seconda degli indirizzi IP risolti, gli intervalli di origine possono essere uno dei seguenti:

35.199.192.0/19
Intervalli di origine di Google Public DNS

Target Tipo 1 e Tipo 2

Cloud DNS richiede quanto segue per accedere a un target Tipo 1 o Tipo 2. Questi requisiti sono gli stessi indipendentemente dal fatto che il target sia un indirizzo IP RFC 1918 e che tu utilizzi il routing standard o scelga il routing privato:

Configurazione del firewall per 35.199.192.0/19

Per i target Tipo 1, crea una regola firewall di autorizzazione in entrata per il traffico TCP e UDP sulla porta 53, applicabile ai target di forwarding in ogni rete VPC autorizzata. Per i target Tipo 2, configura un firewall di rete on-premise e apparecchiature analoghe per consentire il traffico TCP e UDP sulla porta 53.
Route verso il target di forwarding

Per i target Tipo 1, Cloud DNS utilizza una route di subnet per accedere al target nella rete VPC autorizzata a utilizzare la zona di forwarding. Per i target Tipo 2, Cloud DNS utilizza route dinamiche personalizzate o route statiche personalizzate, ad eccezione delle route statiche con tag, per accedere al target di forwarding.
Route di ritorno a 35.199.192.0/19 tramite la stessa rete VPC

Per i target Tipo 1, Google Cloud utilizza un percorso di routing speciale per la destinazione 35.199.192.0/19. Per i target Tipo 2, la tua rete on-premise deve avere una route per la destinazione 35.199.192.0/19, il cui hop successivo si trova nella stessa rete VPC da cui ha avuto origine la richiesta, tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. Per informazioni su come soddisfare questo requisito, consulta Strategie per la route di ritorno per i target Tipo 2.
Risposta diretta dal target

Cloud DNS richiede che sia il target di forwarding che riceve i pacchetti a inviare le risposte a 35.199.192.0/19. Se il target di forwarding invia la richiesta a un server dei nomi diverso e questo altro server dei nomi risponde a 35.199.192.0/19, Cloud DNS ignora la risposta. Per motivi di sicurezza, Google Cloud si aspetta che l'indirizzo di origine della risposta DNS di ogni server dei nomi target corrisponda all'indirizzo IP del target di forwarding.

Strategie per la route di ritorno per i target Tipo 2

Cloud DNS non può inviare risposte dai target di forwarding Tipo 2 su internet o tramite una rete VPC diversa. Le risposte devono tornare alla stessa rete VPC, anche se possono utilizzare qualsiasi tunnel Cloud VPN o collegamento VLAN nella stessa rete.

Per i tunnel Cloud VPN che utilizzano il routing statico, crea manualmente una route nella tua rete on-premise con 35.199.192.0/19 come destinazione e il tunnel Cloud VPN come hop successivo. Per i tunnel Cloud VPN che utilizzano il routing basato su policy, configura il selettore di traffico locale di Cloud VPN e il selettore di traffico remoto del gateway VPN on-premise in modo da includere 35.199.192.0/19.
Per i tunnel Cloud VPN che utilizzano il routing dinamico o per Cloud Interconnect, configura un annuncio di route personalizzata per 35.199.192.0/19 nella sessione BGP del router Cloud che gestisce il tunnel o il collegamento VLAN.

Target Tipo 3

Quando Cloud DNS utilizza il routing standard per accedere a un indirizzo IP esterno, si aspetta che il target di forwarding sia un sistema su internet, accessibile pubblicamente, o un indirizzo IP esterno di una risorsa Google Cloud .

Ad esempio, un target Tipo 3 include l'indirizzo IP esterno di una VM in una rete VPC diversa.

Il routing privato ai target Tipo 3 non è supportato.

Target Tipo 4

Un target Tipo 4 risolve innanzitutto gli indirizzi IP del target. Il target di forwarding così risolto può essere quindi risolto in un massimo di 50 indirizzi IP, sia indirizzi IPv4 che IPv6. A seconda della rete del target di forwarding risolto, il target Tipo 4 ha gli stessi requisiti di rete di un target Tipo 1, 2 o 3.

Per ulteriori requisiti per l'utilizzo di un FQDN come target di forwarding, consulta Utilizza le zone di forwarding.

Passaggi successivi

Per lavorare con le zone gestite, consulta Crea, modifica ed elimina zone.
Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.
Per una panoramica di Cloud DNS, consulta la pagina Panoramica di Cloud DNS.