Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat zona penerusan

Halaman ini memberikan petunjuk tentang cara membuat zona penerusan. Untuk mengetahui informasi latar belakang yang mendetail, lihat Zona penerusan.

Izin yang diperlukan untuk langkah ini

Untuk menjalankan tugas ini, Anda harus diberi izin berikut atau peran IAM berikut.

Izin

dns.managedZones.create untuk membuat zona terkelola
dns.managedZones.list untuk mencantumkan zona terkelola
dns.managedZones.update untuk memperbarui zona terkelola
dns.managedZones.patch untuk memperbarui zona terkelola

Peran

roles/dns.admin

Sebelum memulai, pastikan Anda memahami hal berikut:

Perbedaan antara perutean standar dan pribadi seperti yang ditunjukkan dalam Target penerusan dan metode perutean
Metode penerusan DNS keluar
Persyaratan jaringan untuk target penerusan
Praktik terbaik untuk zona penerusan Cloud DNS

Untuk membuat zona penerusan pribadi terkelola baru, selesaikan langkah-langkah berikut.

Konsol

Di konsol Google Cloud , buka halaman Create a DNS zone.

Buka Create a DNS zone
Untuk Zone type, pilih Private.
Masukkan Zone name seperti my-new-zone.
Masukkan akhiran DNS name untuk zona pribadi. Semua data di zona memiliki akhiran ini. Contoh, example.private.
Opsional: Tambahkan deskripsi.
Di bagian Opsi, pilih Teruskan kueri ke server lain.
Pilih jaringan yang zona pribadinya harus terlihat.
Untuk menambahkan target penerusan, klik Tambahkan item. Anda dapat menambahkan beberapa alamat IP atau satu nama domain yang sepenuhnya memenuhi syarat (FQDN). Target penerusan harus berupa daftar alamat IP atau FQDN. Anda tidak dapat menggunakan alamat IP dan FQDN dalam zona yang sama.
Untuk menerapkan pemilihan rute pribadi ke target penerusan, di bagian Private forwarding, centang kotak Enable.
Klik Buat.

gcloud

Jalankan perintah dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Ganti kode berikut:

NAME: nama zona Anda
DESCRIPTION: deskripsi zona Anda
DNS_SUFFIX: akhiran DNS untuk zona Anda, seperti example.private
VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma yang diizinkan untuk mengkueri zona
FORWARDING_TARGETS_LIST: daftar alamat IP yang dipisahkan koma atau satu nama domain yang sepenuhnya memenuhi syarat yang menjadi tujuan pengiriman kueri. Nama domain di-resolve ke alamat IP-nya. Alamat IP RFC 1918 yang ditentukan dengan tanda ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloudmenggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan tanda ini harus dapat diakses melalui internet.
PRIVATE_FORWARDING_TARGETS_LIST: daftar alamat IP yang dipisahkan koma atau satu nama domain yang sepenuhnya memenuhi syarat yang menjadi tujuan pengiriman kueri. Nama domain di-resolve ke alamat IP-nya. Alamat IP apa pun yang ditentukan dengan tanda ini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect.

Terraform

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

API

Kirim permintaan POST menggunakan metode managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Ganti kode berikut:

PROJECT_ID: ID project tempat zona terkelola dibuat
NAME: nama zona Anda
DESCRIPTION: deskripsi zona Anda
DNS_NAME: akhiran DNS untuk zona Anda, seperti example.private
VPC_NETWORK_1 dan VPC_NETWORK_2: URL untuk jaringan VPC dalam project yang sama yang dapat mengkueri data dalam zona ini. Anda dapat menambahkan beberapa jaringan VPC seperti yang ditunjukkan. Untuk menentukan URL jaringan VPC, deskripsikan jaringan dengan perintah gcloud berikut, dengan mengganti VPC_NETWORK_NAME dengan nama jaringan:
```
gcloud compute networks describe VPC_NETWORK_NAME 

   --format="get(selfLink)"
```
FORWARDING_TARGET_1 dan FORWARDING_TARGET_2: Alamat IP server nama target penerusan atau satu nama domain yang sepenuhnya memenuhi syarat. Anda dapat menambahkan beberapa alamat IP seperti yang ditunjukkan. Alamat IP RFC 1918 yang ditentukan di sini harus berada di jaringan VPC Anda atau di jaringan lokal yang terhubung ke Google Cloud menggunakan Cloud VPN atau Cloud Interconnect. Alamat IP non-RFC 1918 yang ditentukan dengan flag ini harus dapat diakses melalui internet.

Persyaratan jaringan target penerusan

Saat mengirim permintaan ke target penerusan, Cloud DNS mengirim paket dengan rentang sumber yang tercantum dalam tabel berikut.

Jenis target penerusan Rentang sumber

Jenis target penerusan	Rentang sumber
Target jenis 1 Alamat IP internal dari Google Cloud VM atau Load Balancer Jaringan passthrough internal di jaringan VPC yang sama yang diizinkan untuk menggunakan zona penerusan. Target jenis 2 Alamat IP sistem lokal, yang terhubung ke jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan, menggunakan Cloud VPN atau Cloud Interconnect. Untuk mengetahui informasi selengkapnya tentang alamat IP yang didukung, lihat Target penerusan dan metode perutean.	`35.199.192.0/19` Cloud DNS menggunakan rentang sumber `35.199.192.0/19` untuk semua pelanggan. Rentang ini hanya dapat diakses dari Google Cloud jaringan VPC atau dari jaringan lokal yang terhubung ke jaringan VPC.
Target jenis 3 Alamat IP eksternal dari server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal dari resource Google Cloud ; misalnya, alamat IP eksternal VM di jaringan VPC lain.	Rentang sumber Google Public DNS
Target 4 Nama domain yang sepenuhnya memenuhi syarat dari server nama target yang di-resolve ke alamat IPv4 dan IPv6 melalui urutan resolusi jaringan VPC. Nama domain dapat mengarah ke hingga 50 alamat IP. Alamat IP yang diselesaikan dapat menjadi target Jenis 1-3.	Bergantung pada alamat IP yang diselesaikan, rentang sumber dapat berupa salah satu dari berikut: 35.199.192.0/19 Rentang sumber Google Public DNS

Target jenis 1

Alamat IP internal dari Google Cloud VM atau Load Balancer Jaringan passthrough internal di jaringan VPC yang sama yang diizinkan untuk menggunakan zona penerusan.

Target jenis 2

Alamat IP sistem lokal, yang terhubung ke jaringan VPC yang diberi otorisasi untuk menggunakan zona penerusan, menggunakan Cloud VPN atau Cloud Interconnect.

Untuk mengetahui informasi selengkapnya tentang alamat IP yang didukung, lihat Target penerusan dan metode perutean.

35.199.192.0/19

Cloud DNS menggunakan rentang sumber 35.199.192.0/19 untuk semua pelanggan. Rentang ini hanya dapat diakses dari Google Cloud jaringan VPC atau dari jaringan lokal yang terhubung ke jaringan VPC.

Target jenis 3

Alamat IP eksternal dari server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal dari resource Google Cloud ; misalnya, alamat IP eksternal VM di jaringan VPC lain.

Rentang sumber Google Public DNS

Target 4

Nama domain yang sepenuhnya memenuhi syarat dari server nama target yang di-resolve ke alamat IPv4 dan IPv6 melalui urutan resolusi jaringan VPC. Nama domain dapat mengarah ke hingga 50 alamat IP.

Alamat IP yang diselesaikan dapat menjadi target Jenis 1-3.

Bergantung pada alamat IP yang diselesaikan, rentang sumber dapat berupa salah satu dari berikut:

35.199.192.0/19
Rentang sumber Google Public DNS

Target Jenis 1 dan Jenis 2

Cloud DNS memerlukan hal berikut untuk mengakses target Jenis 1 atau Jenis 2. Persyaratan ini sama, baik targetnya adalah alamat IP RFC 1918 dan Anda menggunakan perutean standar, maupun jika Anda memilih perutean pribadi:

Konfigurasi firewall untuk 35.199.192.0/19

Untuk target Jenis 1, buat aturan firewall izinkan masuk untuk traffic port TCP dan UDP 53, yang berlaku untuk target penerusan Anda di setiap jaringan VPC yang diizinkan. Untuk target Jenis 2, konfigurasi firewall jaringan lokal dan peralatan serupa untuk mengizinkan port TCP dan UDP 53.
Merutekan ke target penerusan

Untuk target Jenis 1, Cloud DNS menggunakan rute subnet untuk mengakses target di jaringan VPC yang diizinkan untuk menggunakan zona penerusan. Untuk target nama jenis 2, Cloud DNS menggunakan rute dinamis kustom atau statis kustom, kecuali untuk rute statis yang diberi tag, untuk mengakses target penerusan.
Rute kembali ke 35.199.192.0/19 melalui jaringan VPC yang sama

Untuk target Jenis 1, Google Cloud menggunakan jalur perutean khusus untuk tujuan 35.199.192.0/19. Untuk target Jenis 2, jaringan lokal Anda harus memiliki rute untuk tujuan 35.199.192.0/19, yang next hop-nya berada di jaringan VPC yang sama dengan tempat permintaan berasal, melalui tunnel Cloud VPN atau lampiran VLAN untuk Cloud Interconnect. Untuk mengetahui informasi tentang cara memenuhi persyaratan ini, lihat strategi rute kembali untuk target Jenis 2.
Respons langsung dari target

Cloud DNS mewajibkan agar target penerusan yang menerima paket menjadi target yang mengirimkan balasan ke 35.199.192.0/19. Jika target penerusan Anda mengirim permintaan ke server nama lain, dan server nama lain tersebut merespons 35.199.192.0/19, Cloud DNS akan mengabaikan respons tersebut. Untuk alasan keamanan, Google Cloud mengharapkan alamat sumber setiap respons DNS server nama target agar cocok dengan alamat IP target penerusan.

Strategi rute kembali untuk target Jenis 2

Cloud DNS tidak dapat mengirim respons dari target penerusan Type 2 melalui internet atau melalui jaringan VPC yang berbeda. Respons harus kembali ke jaringan VPC yang sama, meskipun dapat menggunakan tunnel Cloud VPN atau lampiran VLAN apa pun di jaringan yang sama.

Untuk tunnel Cloud VPN yang menggunakan perutean statis, buat rute secara manual di jaringan lokal Anda yang tujuannya adalah 35.199.192.0/19 dan next hop-nya adalah tunnel Cloud VPN. Untuk tunnel Cloud VPN yang menggunakan perutean berbasis kebijakan, konfigurasi pemilih traffic lokal Cloud VPN dan pemilih traffic jarak jauh gateway VPN lokal agar menyertakan 35.199.192.0/19.
Untuk tunnel Cloud VPN yang menggunakan perutean dinamis atau untuk Cloud Interconnect, konfigurasi pemberitahuan rute kustom untuk 35.199.192.0/19 pada sesi BGP Cloud Router yang mengelola tunnel atau lampiran VLAN.

Target jenis 3

Saat Cloud DNS menggunakan perutean standar untuk mengakses alamat IP eksternal, Cloud DNS mengharapkan target penerusan berupa sistem di internet, dapat diakses secara publik, atau alamat IP eksternal resource Google Cloud .

Misalnya, target Jenis 3 mencakup alamat IP eksternal VM di jaringan VPC yang berbeda.

Perutean pribadi ke target Type 3 tidak didukung.

Target jenis 4

Target Type 4 terlebih dahulu menyelesaikan alamat IP target. Target penerusan yang telah diselesaikan kemudian dapat diselesaikan hingga 50 alamat IP, yang mencakup alamat IPv4 dan IPv6. Bergantung pada jaringan target penerusan yang di-resolve, target Jenis 4 memiliki persyaratan jaringan yang sama dengan target Jenis 1, 2, atau 3.

Untuk persyaratan tambahan tentang penggunaan FQDN sebagai target penerusan, lihat Menggunakan zona penerusan.

Langkah berikutnya

Untuk menggunakan zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.