Panoramica di Cloud DNS

Questa pagina fornisce una panoramica delle caratteristiche e delle funzionalità di Cloud DNS. Cloud DNS è un Domain Name System globale, resiliente e ad alte prestazioni (DNS) che pubblica i tuoi nomi di dominio nel DNS globale in un conveniente.

Il DNS è un database gerarchico distribuito che consente di archiviare indirizzi IP altri dati e cercarli per nome. Cloud DNS ti consente di pubblicare e i record DNS in DNS senza l'onere di gestire i server DNS. e il software.

Cloud DNS supporta le autorizzazioni IAM (Identity and Access Management) in a livello di progetto e di singola zona DNS. Per informazioni su come Impostare le singole autorizzazioni IAM per le risorse. Consulta Creare una zona con IAM specifici autorizzazioni.

Per un elenco della terminologia DNS generale, consulta Panoramica generale del DNS.

Per un elenco della terminologia chiave su cui si basa Cloud DNS, consulta Termini chiave.

Per iniziare a utilizzare Cloud DNS, consulta Guida rapida.

Provalo

Se non hai mai utilizzato Google Cloud, crea un account per valutare in che modo Cloud DNS si comporta diversi scenari. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Cloud DNS gratuitamente

Considerazioni sul VPC condiviso

Per utilizzare una zona privata gestita di Cloud DNS, il forwarding Cloud DNS o zona di peering Cloud DNS con VPC condiviso, devi crea la zona nel progetto host e aggiungerne uno. o più reti VPC condiviso all'elenco delle reti autorizzate per quella zona. In alternativa, puoi configurare la zona in un progetto di servizio utilizzando associazione tra progetti.

Per ulteriori informazioni, vedi Best practice per le zone private di Cloud DNS.

Metodi di forwarding DNS

Google Cloud offre il forwarding DNS in entrata e in uscita per le zone private. Puoi configurare l'inoltro DNS creando una zona di inoltro o un Criterio del server Cloud DNS. I due metodi sono riassunti seguente.

Forwarding DNS Metodi di Cloud DNS
In entrata

Crea un criterio del server in entrata per consentire a un client o server DNS on-premise di inviare richieste DNS a in Cloud DNS. Il client o il server DNS può quindi risolvere i record in base all'ordine di risoluzione dei nomi della rete VPC.

I client on-premise possono risolvere record in zone private, inoltrando zone e zone di peering per le quali la rete VPC è autorizzati. I client on-premise utilizzano Cloud VPN o Cloud Interconnect per la connessione alla rete VPC.
In uscita

Puoi configurare le VM in una rete VPC per fare quanto segue:

  • Invia richieste DNS ai server dei nomi DNS di tua scelta. Il nome possono trovarsi nella stessa rete VPC, in un una rete on-premise o su internet.
  • Risolvi i record ospitati su server dei nomi configurati come inoltro i target di una zona di inoltro autorizzata per l'utilizzo da parte tua rete VPC. Per informazioni su come Google Cloud instrada il traffico all'indirizzo IP di una destinazione di inoltro, vedi Destinazioni di forwarding e i metodi di calcolo del percorso.
  • Crea un criterio del server in uscita per la rete VPC per inviare tutte le richieste DNS a un server dei nomi alternativo. Se utilizzi un un server dei nomi alternativo, le VM nella tua rete VPC non sono è più in grado di risolvere record nelle zone private di Cloud DNS, zone di forwarding, zone di peering o DNS interno di Compute Engine diverse. Per ulteriori dettagli, vedi Ordine di risoluzione dei nomi.

Puoi configurare contemporaneamente l'inoltro DNS in entrata e in uscita per un rete VPC. Il forwarding bidirezionale consente alle VM nel tuo Record di risoluzione della rete VPC in una rete on-premise o in una rete ospitata da un altro cloud provider. Questo tipo di inoltro consente agli host nella rete on-premise di risolvere i record dell'accesso a specifiche risorse Google Cloud.

Il piano di controllo di Cloud DNS utilizza la selezione della destinazione di inoltro ordini per selezionare una destinazione di forwarding. Inoltro in uscita query a volte potrebbero generare errori SERVFAIL se le destinazioni di inoltro non sono raggiungibili o se non rispondono abbastanza rapidamente. Per la risoluzione dei problemi istruzioni, consulta Le query inoltrate in uscita ricevono SERVFAIL errori.

Per informazioni su come applicare i criteri del server, consulta l'articolo sulla creazione di un DNS criteri del server. Per scoprire come creare un zona di inoltro, consulta Creare una zona di inoltro zona di destinazione.

DNSSEC

Cloud DNS supporta le DNSSEC gestite, proteggendo i tuoi domini di spoofing e di poisoning della cache. Quando utilizzi un resolver di convalida come Google Public DNS, DNSSEC fornisce l'autenticazione avanzata (ma non la crittografia) delle ricerche di dominio. Per maggiori informazioni informazioni su DNSSEC, consulta Gestire la configurazione DNSSEC.

Controllo degli accessi

Puoi gestire gli utenti autorizzati ad apportare modifiche ai tuoi record DNS in IAM e Amministrazione nel console Google Cloud. Per essere autorizzati ad apportare modifiche, gli utenti devono disporre del Ruolo di amministratore DNS (roles/dns.admin) in Autorizzazioni della console Google Cloud. Ruolo Lettore DNS (roles/dns.reader) Concede l'accesso di sola lettura ai record Cloud DNS.

Queste autorizzazioni si applicano anche agli account di servizio che potresti utilizzare per gestire dai servizi DNS.

Per visualizzare le autorizzazioni assegnate a questi ruoli, consulta Ruoli.

Controllo dell'accesso per le zone gestite

Utenti con il ruolo Proprietario o Editor del progetto (roles/owner o roles/editor) possono gestire o visualizzare le zone gestite in progetto che gestisce.

Gli utenti con il ruolo Amministratore DNS o Lettore DNS possono gestire o visualizzare in tutte le zone gestite di tutti i progetti a cui ha accesso.

I proprietari del progetto, gli editor, gli amministratori DNS e i lettori DNS possono visualizzare l'elenco di zone private applicate a qualsiasi rete VPC nel progetto attuale.

Accesso alle autorizzazioni per risorsa

Per configurare un criterio su una risorsa DNS come una zona gestita, devi avere Accesso come proprietario al progetto proprietario della risorsa. L'amministratore DNS non dispone dell'autorizzazione setIamPolicy. Come proprietario del progetto, puoi creare ruoli IAM personalizzati per le tue esigenze specifiche. Per per informazioni dettagliate, consulta Informazioni sulla configurazione IAM ruoli.

Prestazioni e tempistiche

Cloud DNS utilizza anycast di gestire zone gestite da più località in tutto il mondo ad alta disponibilità la disponibilità del servizio. Le richieste vengono indirizzate automaticamente alla sede più vicina, riducendo la latenza e migliorando le prestazioni di ricerca autorevole del nome utenti.

Propagazione delle modifiche

Le modifiche vengono propagate in due parti. Innanzitutto, la modifica che invii dell'API o dello strumento a riga di comando deve essere eseguito a server DNS autorevoli. In secondo luogo, i resolver DNS devono rilevare questa modifica la cache dei record scade.

Il valore della durata (TTL) impostato per i tuoi record e che è stato specificato in secondi, controlla la cache del resolver DNS. Ad esempio, se imposti un TTL 86400 (il numero di secondi in 24 ore), i resolver DNS vengono richiede di memorizzare i record nella cache per 24 ore. Alcuni resolver DNS ignorano TTL o utilizzare valori propri, che possono ritardare la propagazione completa record.

Se stai pianificando un passaggio ai servizi che richiede un periodo limitato, potresti voler modificare il TTL impostando un valore più breve prima di la modifica: il nuovo valore TTL più breve viene applicato dopo la scadenza del valore TTL precedente nella cache del resolver. Questo approccio può aiutare a ridurre la finestra di memorizzazione nella cache e assicurare alle nuove impostazioni di registrazione. Dopo la modifica, puoi modificare al valore TTL precedente per ridurre il carico sui resolver DNS.

Passaggi successivi