建立對接區域

這個頁面說明如何建立對接區域。如需詳細背景資訊，請參閱「對接區域」。

您必須以身分與存取權管理 (IAM) 成員的身分登入 Google Cloud 控制台，並在包含供應商虛擬私有雲網路的專案中具有 DNS 對接角色 (roles/dns.peer)。

這項工作需要的權限

如要執行這項任務，必須獲得下列權限「或」下列 IAM 角色。

權限

在包含供應商網路的專案中，需要下列權限：

dns.networks.targetWithPeeringZone：用於建立對接區域

如要在專案中建立新區域，需要下列權限：

dns.managedZones.create：用於建立代管區域

角色

roles/dns.admin：在包含供應商網路的專案和要建立新區域的專案中都必須具備此角色
roles/dns.peer：在包含供應商虛擬私有雲網路的專案中須具備此角色

如要建立新的代管私人對接區域，以便使用一個虛擬私有雲網路 (用戶網路) 查詢另一個虛擬私有雲網路 (供應商網路) 的虛擬私有雲名稱解析順序，請按照下列步驟操作。

控制台

前往 Google Cloud 控制台的「Create a DNS zone」(建立 DNS 區域) 頁面。

前往建立 DNS 區域
在「Zone type」(區域類型) 中，選取「Private」(私人)。
輸入區域名稱，例如 my-new-zone。
輸入私人區域的「DNS name」(DNS 名稱) 尾碼，例如 example.private。該區域中的所有記錄都會使用這個尾碼。
選用：新增說明。
在「Options」(選項) 下方，選取「DNS peering」(DNS 對接)。
選取必須顯示私人區域的網路。
在「Peer project」(對接專案) 中，選取對接專案。
在「Peer network」(對接網路) 中，選取對接網路。
點選「Create」(建立)。

gcloud

在包含用戶虛擬私有雲網路的專案中，識別或建立服務帳戶。
在包含供應商虛擬私有雲網路的專案中，將 DNS 對接角色授予服務帳戶 (上一個步驟)。
```
gcloud projects add-iam-policy-binding PRODUCER_PROJECT_ID \
   --member=SERVICE_ACCOUNT \
   --role=roles/dns.peer
```
更改下列內容：
- PRODUCER_PROJECT_ID：包含供應商虛擬私有雲網路的專案 ID
- SERVICE_ACCOUNT：在包含用戶虛擬私有雲網路專案中，識別或建立的服務帳戶 (步驟 1)
在包含用戶虛擬私有雲網路的專案中，將 DNS 管理員角色授予服務帳戶，然後執行 dns managed-zones create 指令來建立新的代管私人對接區域：
```
gcloud dns managed-zones create NAME \
  --description=DESCRIPTION \
  --dns-name=DNS_SUFFIX \
  --networks=CONSUMER_VPC_NETWORK \
  --account=SERVICE_ACCOUNT \
  --target-network=PRODUCER_VPC_NETWORK \
  --target-project=PRODUCER_PROJECT_ID \
  --visibility=private
```
更改下列內容：
- NAME：區域名稱
- DESCRIPTION：區域說明
- DNS_SUFFIX：區域的 DNS 尾碼，例如 example.com
- CONSUMER_VPC_NETWORK：用戶虛擬私有雲網路的名稱
- SERVICE_ACCOUNT：在步驟 1 中識別的服務帳戶，包含在用戶虛擬私有雲網路專案中
  注意：如未新增包含用戶虛擬私有雲網路專案中的服務帳戶，則 gcloud CLI 會採用目前有效的 IAM 成員資格，如 gcloud auth list 所示。
- PRODUCER_VPC_NETWORK：供應商虛擬私有雲網路的名稱
- PRODUCER_PROJECT_ID：包含供應商虛擬私有雲網路的專案 ID

Terraform

resource "random_id" "zone_suffix" {
  byte_length = 8
}

resource "google_dns_managed_zone" "peering_zone" {
  name        = "peering-zone-${random_id.zone_suffix.hex}"
  dns_name    = "peering.example.com."
  description = "Example private DNS peering zone"

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_source.id
    }
  }

  peering_config {
    target_network {
      network_url = google_compute_network.network_target.id
    }
  }
}

resource "google_compute_network" "network_source" {
  name                    = "network-source"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_target" {
  name                    = "network-target"
  auto_create_subnetworks = false
}

後續步驟

如要使用代管區域，請參閱「建立、修改及刪除區域」一文。
如要瞭解使用 Cloud DNS 時可能遇到的常見問題解決方案，請參閱這篇文章。
如要查看 Cloud DNS 總覽，請參閱這篇文章。