יצירת תחום העברה

בדף הזה מוסבר איך ליצור אזור העברה. מידע רקע מפורט זמין במאמר בנושא אזורי העברה.

לפני שמתחילים, חשוב לוודא שהבנתם את הנקודות הבאות:

כדי ליצור אזור חדש לניתוב פרטי מנוהל, מבצעים את השלבים הבאים.

המסוף

  1. במסוף Google Cloud , עוברים לדף יצירת תחום DNS.

    מעבר אל יצירת תחום DNS

  2. בשדה Zone type (סוג האזור), בוחרים באפשרות Private (פרטי).

  3. מזינים שם אזור, למשל my-new-zone.

  4. מזינים סיומת של שם DNS לאזור הפרטי. כל הרשומות באזור חולקות את הסיומת הזו. לדוגמה, example.private.

  5. אופציונלי: מוסיפים תיאור.

  6. בקטע אפשרויות, בוחרים באפשרות העברת שאילתות לשרת אחר.

  7. בוחרים את הרשתות שבהן האזור הפרטי צריך להיות גלוי.

  8. כדי להוסיף יעד להעברה, לוחצים על הוספת פריט. אפשר להוסיף כמה כתובות IP או שם דומיין מוגדר במלואו (FQDN) אחד. יעד ההעברה צריך להיות רשימה של כתובות IP או שם דומיין מלא (FQDN). אי אפשר להשתמש גם בכתובות IP וגם ב-FQDN באותו אזור.

  9. כדי לאלץ ניתוב פרטי ליעד ההעברה, מסמנים את תיבת הסימון הפעלה בקטע העברה פרטית.

  10. לוחצים על יצירה.

gcloud

מריצים את הפקודה dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: שם לאזור
  • DESCRIPTION: תיאור של האזור
  • DNS_SUFFIX: סיומת ה-DNS של האזור, למשל example.private
  • VPC_NETWORK_LIST: רשימה מופרדת בפסיקים של רשתות VPC שמורשות לשלוח שאילתות לאזור
  • FORWARDING_TARGETS_LIST: רשימה מופרדת בפסיקים של כתובות IP או שם דומיין שמוגדר במלואו, שאליו נשלחות השאילתות. שמות הדומיינים מפוענחים לכתובות ה-IP שלהם. כתובות ה-IP שמוגדרות באמצעות הדגל הזה צריכות להיות ממוקמות ברשת ה-VPC או ברשת מקומית שמחוברת אל Google Cloudבאמצעות Cloud VPN או Cloud Interconnect. כתובות IP שאינן RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות נגישות לאינטרנט.
  • PRIVATE_FORWARDING_TARGETS_LIST: רשימה מופרדת בפסיקים של כתובות IP או שם דומיין מוגדר במלואו יחיד שאליו נשלחות השאילתות. שמות הדומיינים מפוענחים לכתובות ה-IP שלהם. כל כתובת IP שמצוינת באמצעות הדגל הזה חייבת להיות ממוקמת ברשת ה-VPC או ברשת מקומית שמחוברת ל- Google Cloud באמצעות Cloud VPN או Cloud Interconnect.

Terraform 

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

שולחים בקשת POST באמצעות השיטה managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שבו נוצר האזור המנוהל
  • NAME: שם לאזור
  • DESCRIPTION: תיאור של האזור
  • DNS_NAME: סיומת ה-DNS של האזור, למשל example.private
  • VPC_NETWORK_1 ו-VPC_NETWORK_2: כתובות URL של רשתות VPC באותו פרויקט שיכולות לשלוח שאילתות לרשומות באזור הזה. אפשר להוסיף כמה רשתות VPC, כמו שמוסבר. כדי לקבוע את כתובת ה-URL של רשת VPC, מריצים את הפקודה הבאה gcloud כדי לתאר את הרשת, ומחליפים את VPC_NETWORK_NAME בשם הרשת: 
    gcloud compute networks describe VPC_NETWORK_NAME 
    
   --format="get(selfLink)"
  • FORWARDING_TARGET_1 ו-FORWARDING_TARGET_2: כתובות ה-IP של שרתי השמות של יעד ההעברה או שם דומיין שמוגדר במלואו. אפשר להוסיף כמה כתובות IP שרוצים, כמו שמצוין. כתובות ה-IP מסוג RFC 1918 שצוינו כאן צריכות להיות ממוקמות ברשת ה-VPC או ברשת מקומית שמחוברת ל- Google Cloud באמצעות Cloud VPN או Cloud Interconnect. כתובות IP שאינן RFC 1918 שצוינו באמצעות הדגל הזה חייבות להיות נגישות לאינטרנט.

דרישות לגבי רשתות יעד להעברת נתונים

כש-Cloud DNS שולח בקשות ליעדי העברה, הוא שולח חבילות עם טווחי המקור שמופיעים בטבלה הבאה.

סוג היעד להעברה טווחים של מקורות

יעד מסוג 1

כתובת IP פנימית של Google Cloud מכונה וירטואלית או של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי באותה רשת VPC שמורשית להשתמש באזור ההעברה.

סוג 2 של יעד

כתובת IP של מערכת מקומית שמחוברת לרשת ה-VPC שאושרה לשימוש באזור ההעברה, באמצעות Cloud VPN או Cloud Interconnect.

למידע נוסף על כתובות IP נתמכות, אפשר לעיין במאמר יעדי העברה ושיטות ניתוב.

35.199.192.0/19

ב-Cloud DNS נעשה שימוש בטווח המקור 35.199.192.0/19 לכל הלקוחות. אפשר לגשת לטווח הזה רק מרשת Google Cloud VPC או מרשת מקומית שמחוברת לרשת VPC.

יעד מסוג 3

כתובת IP חיצונית של שרת שמות DNS שאפשר לגשת אליו באינטרנט או כתובת IP חיצונית של משאב Google Cloud . לדוגמה, כתובת IP חיצונית של מכונה וירטואלית ברשת VPC אחרת.

 טווחים של מקורות Google Public DNS

יעד מסוג 4

שם דומיין שמוגדר במלואו של שרת שמות יעד שמבצע המרה לכתובות IPv4 ו-IPv6 באמצעות סדר ההמרה של רשת ה-VPC. שם הדומיין יכול להפוך לעד 50 כתובות IP.

כתובות ה-IP שפוענחו יכולות להיות סוגי יעד 1-3.

בהתאם לכתובות ה-IP שנפתרו, טווחי המקור יכולים להיות אחד מהבאים:

יעדים מסוג 1 ויעדים מסוג 2

כדי לגשת ליעד מסוג 1 או מסוג 2, צריך להגדיר את ההגדרות הבאות ב-Cloud DNS. הדרישות האלה זהות בין אם היעד הוא כתובת IP מסוג RFC 1918 ואתם משתמשים בניתוב רגיל, ובין אם אתם בוחרים בניתוב פרטי:

  • הגדרת חומת אש עבור 35.199.192.0/19

    למטרות יעד מסוג 1, יוצרים כלל חומת אש שמאפשר תעבורת נתונים נכנסת ביציאות TCP ו-UDP‏ 53, שרלוונטי למטרות ההעברה בכל רשת VPC מורשית. עבור יעדים מסוג 2, צריך להגדיר חומת אש בין רשתות ברשת מקומית וציוד דומה כדי לאפשר יציאת TCP ו-UDP 53.

  • ניתוב ליעד ההעברה

    עבור יעדים מסוג 1, ‏ Cloud DNS משתמש בנתיב תת-רשת כדי לגשת ליעד ברשת ה-VPC שמורשית להשתמש באזור ההעברה. כדי לגשת ליעד ההעברה, ‏Cloud DNS משתמש במסלולים דינמיים מותאמים אישית או במסלולים סטטיים מותאמים אישית, למעט מסלולים סטטיים מתויגים, עבור יעדי שמות מסוג 2.

  • נתיב חזרה אל 35.199.192.0/19 דרך אותה רשת VPC

    יעדים מסוג 1 Google Cloud משתמשים בנתיב ניתוב מיוחד עבור היעד 35.199.192.0/19. במטרות מסוג 2, ברשת המקומית צריך להיות נתיב ליעד 35.199.192.0/19, שהניתוב הבא שלו הוא באותה רשת VPC שממנה הגיעה הבקשה, דרך מנהרת Cloud VPN או צירוף ל-VLAN ל-Cloud Interconnect. מידע על עמידה בדרישה הזו זמין במאמר בנושא אסטרטגיות של נתיבי חזרה ליעדים מסוג 2.

  • תגובה ישירה מהיעד

    ב-Cloud DNS, יעד ההעברה שמקבל חבילות חייב להיות זה ששולח תשובות ל-35.199.192.0/19. אם יעד ההעברה שולח את הבקשה לשרת שמות אחר, ושרת השמות האחר הזה מגיב ל-35.199.192.0/19, מערכת Cloud DNS מתעלמת מהתגובה. מטעמי אבטחה, Google Cloud מצפה שכתובת המקור של תשובת ה-DNS של כל שרת שמות יעד תהיה זהה לכתובת ה-IP של יעד ההעברה.

שיטות לחישוב מסלול חזרה ליעדים מסוג 2

‫Cloud DNS לא יכול לשלוח תשובות מיעדי העברה מסוג 2 דרך האינטרנט או דרך רשת VPC אחרת. התשובות חייבות לחזור לאותה רשת VPC, אבל הן יכולות להשתמש בכל מנהרת Cloud VPN או בכל צירוף ל-VLAN באותה רשת.

  • למנהרות Cloud VPN שמשתמשות בניתוב סטטי, צריך ליצור באופן ידני מסלול ברשת המקומית שהיעד שלו הוא 35.199.192.0/19 והקפיצה הבאה שלו היא מנהרת Cloud VPN. במנהרות Cloud VPN שמשתמשות בניתוח נתיבים מבוסס-מדיניות, צריך להגדיר את בורר התנועה המקומית של Cloud VPN ואת בורר התנועה המרוחקת של שער ה-VPN המקומי כך שיכללו את 35.199.192.0/19.
  • במנהרות Cloud VPN שמשתמשות בניתוב דינמי או ב-Cloud Interconnect, צריך להגדיר פרסום של מסלול מותאם אישית עבור 35.199.192.0/19 בסשן BGP של Cloud Router שמנהל את המנהרה או את צירוף ה-VLAN.

יעדים מסוג 3

כש-Cloud DNS משתמש בניתוב רגיל כדי לגשת לכתובת IP חיצונית, הוא מצפה שיעד ההעברה יהיה מערכת באינטרנט, שזמינה לגישה ציבורית, או כתובת IP חיצונית של משאב Google Cloud .

לדוגמה, יעד מסוג 3 כולל את כתובת ה-IP החיצונית של מכונה וירטואלית ברשת VPC אחרת.

אין תמיכה בניתוב פרטי ליעדים מסוג 3.

יעדים מסוג 4

יעד מסוג 4 קודם כול פותר את כתובות ה-IP של היעד. אחר כך אפשר לפתור את יעד ההעברה שהוגדר לכתובות IP, עד 50 כתובות, כולל כתובות IPv4 ו-IPv6. בהתאם לרשת של יעד ההעברה שנפתר, ליעד מסוג 4 יש את אותן דרישות רשת כמו ליעד מסוג 1, 2 או 3.

לדרישות נוספות לגבי שימוש בשם דומיין מלא כיעד להעברה, אפשר לעיין במאמר שימוש באזורי העברה.

המאמרים הבאים