Crea una zona de reenvío

En esta página, se proporcionan instrucciones para crear una zona de reenvío. Para obtener información general detallada, consulta Zonas de reenvío.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o los siguientes roles de IAM.

Permisos

dns.managedZones.create para crear una zona administrada
dns.managedZones.list para enumerar zonas administradas
dns.managedZones.update para actualizar una zona administrada
dns.managedZones.patch para actualizar una zona administrada

Roles

roles/dns.admin

Antes de comenzar, asegúrate de comprender lo siguiente:

Diferencias entre el enrutamiento estándar y el privado, como se muestra en Destinos de reenvío y métodos de enrutamiento
Los métodos de reenvío de DNS salientes
Los requisitos de red para destinos de reenvío
Las prácticas recomendadas para las zonas de reenvío de Cloud DNS

Para crear una nueva zona de reenvío privada y administrada, completa los siguientes pasos.

Consola

En la consola Google Cloud , dirígete a la página Crea una zona del DNS.

Ir a Crea una zona del DNS
En Tipo de zona, selecciona Privada.
Ingresa un nombre de zona, como my-new-zone.
Ingresa un sufijo de nombre de DNS para la zona privada. En todos los registros de la zona, se comparte este sufijo. Por ejemplo, example.private.
Opcional: agrega una descripción.
En Opciones, selecciona Reenviar consultas a otro servidor.
Selecciona las redes en las que estará visible la zona privada.
Para agregar un destino de reenvío, haz clic en Agregar elemento. Puedes agregar varias direcciones IP o un solo nombre de dominio completamente calificado (FQDN). El destino de reenvío debe ser una lista de direcciones IP o un FQDN. No puedes usar direcciones IP y un FQDN en la misma zona.
Para forzar el enrutamiento privado al destino de reenvío, en Reenvío privado, selecciona la casilla de verificación Habilitar.
Haz clic en Crear.

gcloud

Ejecuta el comando dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Reemplaza lo siguiente:

NAME: es el nombre para tu zona.
DESCRIPTION: es una descripción para tu zona.
DNS_SUFFIX: es el sufijo DNS para tu zona, como example.private.
VPC_NETWORK_LIST: es una lista delimitada por comas de redes de VPC que están autorizadas a consultar la zona.
FORWARDING_TARGETS_LIST: es una lista delimitada por comas de direcciones IP o un solo nombre de dominio completamente calificado al que se envían las consultas. Los nombres de dominio se resuelven en sus direcciones IP. Las direcciones IP RFC 1918 especificadas con esta marca deben estar ubicadas en tu red de VPC o en una red local conectada a Google Clouda través de Cloud VPN o Cloud Interconnect. Las direcciones IP que no sean RFC 1918 especificadas con esta marca deben ser accesibles a través de Internet.
PRIVATE_FORWARDING_TARGETS_LIST: es una lista delimitada por comas de direcciones IP o un solo nombre de dominio completamente calificado al que se envían las consultas. Los nombres de dominio se resuelven en sus direcciones IP. Cualquier dirección IP especificada con esta marca debe estar ubicada en tu red de VPC o en una red local conectada a Google Cloud con Cloud VPN o Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Envía una solicitud POST a través del método managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Reemplaza lo siguiente:

PROJECT_ID: es el ID del proyecto en el que se crea la zona administrada.
NAME: es el nombre para tu zona.
DESCRIPTION: es una descripción para tu zona.
DNS_NAME: es el sufijo DNS para tu zona, como example.private.
VPC_NETWORK_1 y VPC_NETWORK_2: son URLs de las redes de VPC del mismo proyecto que pueden consultar registros en esta zona. Puedes agregar varias redes de VPC como se indica. A fin de determinar la URL de una red de VPC, describe la red a través del siguiente comando de gcloud y reemplaza VPC_NETWORK_NAME por el nombre de la red:
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 y FORWARDING_TARGET_2: son las direcciones IP de los servidores de nombres del destino de reenvío o un solo nombre de dominio completamente calificado. Puedes agregar varias direcciones IP como se indica. Las direcciones IP RFC 1918 especificadas aquí deben estar ubicadas en tu red de VPC o en una red local conectada a Google Cloud con Cloud VPN o Cloud Interconnect. Las direcciones IP que no sean RFC 1918 especificadas con esta marca deben ser accesibles a través de Internet.

Requisitos de red de los destinos de reenvío

Cuando se envían solicitudes a los destinos de reenvío con Cloud DNS, los paquetes se envían con los rangos de origen que se muestran en la siguiente tabla:

Tipo de destino de reenvío Rangos de origen

Tipo de destino de reenvío	Rangos de origen
Destino de tipo 1 Una dirección IP interna de una VM de Google Cloud o un balanceador de cargas de red de transferencia interno en la misma red de VPC autorizada para usar la zona de reenvío. Destino de tipo 2 Una dirección IP de un sistema local, conectada a la red de VPC autorizada para consultar la zona de reenvío a través de Cloud VPN o Cloud Interconnect. Para obtener más información sobre las direcciones IP admitidas, consulta Destinos de reenvío y métodos de enrutamiento.	`35.199.192.0/19` En Cloud DNS se usa el rango de origen `35.199.192.0/19` para todos los clientes. A este rango solo se puede acceder desde una red de VPC de Google Cloud o desde una red local conectada a una red de VPC.
Destino de tipo 3 Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud , por ejemplo, la dirección IP externa de una VM en otra red de VPC.	Rangos de origen de DNS público de Google
Destino de tipo 4 Un nombre de dominio completamente calificado de un servidor de nombres de destino que se resuelve en direcciones IPv4 y direcciones IPv6 a través del pedido de resolución de la red de VPC. El nombre de dominio se puede resolver en hasta 50 direcciones IP. Las direcciones IP resueltas pueden ser de los tipos 1 a 3.	Según las direcciones IP resueltas, los rangos de origen pueden ser uno de los siguientes: 35.199.192.0/19 Rangos de origen de DNS público de Google

Destino de tipo 1

Una dirección IP interna de una VM de Google Cloud o un balanceador de cargas de red de transferencia interno en la misma red de VPC autorizada para usar la zona de reenvío.

Destino de tipo 2

Una dirección IP de un sistema local, conectada a la red de VPC autorizada para consultar la zona de reenvío a través de Cloud VPN o Cloud Interconnect.

Para obtener más información sobre las direcciones IP admitidas, consulta Destinos de reenvío y métodos de enrutamiento.

35.199.192.0/19

En Cloud DNS se usa el rango de origen 35.199.192.0/19 para todos los clientes. A este rango solo se puede acceder desde una red de VPC de Google Cloud o desde una red local conectada a una red de VPC.

Destino de tipo 3

Es una dirección IP externa de un servidor de nombres de DNS accesible a Internet o la dirección IP externa de un recurso de Google Cloud , por ejemplo, la dirección IP externa de una VM en otra red de VPC.

Rangos de origen de DNS público de Google

Destino de tipo 4

Un nombre de dominio completamente calificado de un servidor de nombres de destino que se resuelve en direcciones IPv4 y direcciones IPv6 a través del pedido de resolución de la red de VPC. El nombre de dominio se puede resolver en hasta 50 direcciones IP.

Las direcciones IP resueltas pueden ser de los tipos 1 a 3.

Según las direcciones IP resueltas, los rangos de origen pueden ser uno de los siguientes:

35.199.192.0/19
Rangos de origen de DNS público de Google

Destinos de tipos 1 y 2

Cloud DNS requiere lo siguiente para acceder a un destino de tipo 1 o tipo 2. Estos requisitos son los mismos si el destino es una dirección IP RFC 1918 y usas el enrutamiento estándar o si eliges el enrutamiento privado:

Configuración de firewall de 35.199.192.0/19

En los destinos de tipo 1, crea una regla de firewall de entrada que permita el tráfico de TCP y UDP en el puerto 53, aplicable a los destinos de reenvío de cada red de VPC autorizada. En los destinos de tipo 2, configura el firewall de la red local y el resto del equipo correspondiente para permitir el tráfico de TCP y UDP en el puerto 53.
Ruta al destino de reenvío

En el caso de los destinos de tipo 1, Cloud DNS usa una ruta de subred para acceder al destino en la red de VPC autorizada a fin de usar la zona de reenvío. En los destinos de tipo 2, Cloud DNS usa rutas estáticas o dinámicas personalizadas, excepto las rutas estáticas etiquetadas, para acceder al destino de reenvío.
Muestra la ruta a 35.199.192.0/19 a través de la misma red de VPC

En los destinos de tipo 1, Google Cloud usa una ruta de enrutamiento especial para el destino35.199.192.0/19. Para los destinos de tipo 2, tu red local debe contar con una ruta hacia el destino 35.199.192.0/19, cuyo próximo salto se encuentre en la misma red de VPC desde la que se originó la solicitud, ya sea a través de un túnel Cloud VPN o de un enlace adjunto de VLAN de Cloud Interconnect. Si deseas obtener información sobre cómo cumplir con este requisito, consulta las estrategias para la ruta de retorno de los destinos de tipo 2.
Respuesta directa desde el destino

Cloud DNS requiere que el destino de reenvío que recibe paquetes sea el que envía respuestas a 35.199.192.0/19. Si desde tu servidor de nombres se envía la solicitud a un servidor de nombres diferente y con ese otro servidor de nombres se responde a 35.199.192.0/19, en Cloud DNS se ignora la respuesta. Por motivos de seguridad, Google Cloud espera que la dirección de origen de la respuesta de DNS de cada servidor de nombres de destino coincida con la dirección IP del destino de reenvío.

Devuelve estrategias de ruta para destinos de tipo 2

Cloud DNS no puede enviar respuestas desde destinos de reenvío de tipo 2 a través de Internet o a través de una red de VPC diferente. Las respuestas deben volver a la misma red de VPC, aunque pueden usar cualquier túnel de Cloud VPN o un adjunto de VLAN en esa misma red.

En los túneles de Cloud VPN en los que se usa enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino sea 35.199.192.0/19 y cuyo próximo salto sea el túnel de Cloud VPN. En los túneles de Cloud VPN en los que se usa enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir 35.199.192.0/19.
En los túneles de Cloud VPN que usan enrutamiento dinámico o en Cloud Interconnect, configura un anuncio de ruta personalizado para 35.199.192.0/19 en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.

Destinos de tipo 3

Cuando Cloud DNS usa el enrutamiento estándar para acceder a una dirección IP externa, se espera que el destino de reenvío sea un sistema en Internet de acceso público o una dirección IP externa de un recurso de Google Cloud .

Por ejemplo, un destino de tipo 3 incluye la dirección IP externa de una VM en una red de VPC diferente.

No se admite el enrutamiento privado a destinos de tipo 3.

Destinos de tipo 4

Un destino de tipo 4 primero resuelve las direcciones IP del objetivo. Luego, el destino de reenvío resuelto se puede resolver en hasta 50 direcciones IP, que incluyen direcciones IPv4 y direcciones IPv6. Según la red del destino de reenvío resuelto, el destino de tipo 4 tiene los mismos requisitos de red que un destino de tipo 1, 2 o 3.

Para conocer los requisitos adicionales sobre el uso de un FQDN como destino de reenvío, consulta Usa zonas de reenvío.

¿Qué sigue?

Para trabajar con zonas administradas, consulta Crea, modifica y borra zonas.
Para encontrar soluciones a problemas habituales que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.