Configura le policy dei server DNS

Questa pagina descrive come configurare le policy dei server DNS e utilizzarle con le reti virtual private cloud (VPC). Prima di utilizzare questa pagina, consulta la panoramica delle policy dei server DNS.

Prima di iniziare

L'API Cloud DNS richiede la creazione di un progetto Google Cloud e l'abilitazione dell'API Cloud DNS.

Se stai creando un'applicazione che utilizza l'API REST, devi creare anche un ID client OAuth 2.0.

  1. Se non ne hai già uno, registrati per creare un Account Google.
  2. Abilita l'API Cloud DNS nella console Google Cloud . Puoi scegliere un progetto Compute Engine o App Engine esistente oppure crearne uno nuovo.
  3. Se devi effettuare richieste all'API REST, devi creare un ID OAuth 2.0. Consulta come configurare OAuth 2.0.
  4. Nel progetto, prendi nota delle informazioni seguenti che dovrai inserire nei passaggi successivi:
    • L'ID client (xxxxxx.apps.googleusercontent.com).
    • L'ID progetto che vuoi utilizzare. Puoi trovare l'ID nella parte superiore della pagina Panoramica della console Google Cloud . Puoi anche chiedere all'utente di fornire il nome del progetto che vuole utilizzare nella tua app.

Se non hai mai eseguito Google Cloud CLI, devi eseguire il comando seguente per specificare il nome del progetto e autenticarti con la console Google Cloud :

 gcloud auth login

Per scegliere un progetto diverso da quello selezionato in precedenza, specifica l'opzione --project nella riga di comando.

Crea policy dei server DNS

Ogni oggetto policy dei server DNS può definire una qualsiasi delle policy dei server seguenti:

Ogni rete VPC può fare riferimento a una sola policy dei server DNS. Se devi definire il forwarding sia in entrata sia in uscita per una rete VPC, crea una policy che definisca sia una policy in entrata sia una in uscita. Non puoi configurare DNS64 con una policy dei server DNS in entrata.

Crea una policy dei server DNS in entrata

Per creare una policy dei server DNS in entrata, segui queste istruzioni. Cloud DNS crea un set di indirizzi IP dell'agente di inoltro in entrata dagli intervalli di indirizzi IPv4 principali delle subnet in ciascuna rete VPC a cui si applica la policy. Dopo aver creato la policy, puoi elencare gli entry point creati da Cloud DNS.

Console

  1. Nella console Google Cloud , apri la pagina delle policy dei server Cloud DNS.

    Vai alle policy dei server Cloud DNS

  2. Fai clic su Crea policy.

  3. Nel campo Nome, inserisci il nome della policy dei server DNS in entrata che vuoi creare, ad esempio inbound-dns-server-policy.

  4. Nella sezione Forwarding query in entrata, seleziona On.

  5. Se vuoi, puoi abilitare DNS64 per consentire la comunicazione tra i workload solo IPv6 e le destinazioni solo IPv4. Per saperne di più, consulta Configura DNS64.

  6. Puoi facoltativamente abilitare i log DNS privati nella sezione Log, ma ciò può far aumentare i costi in Cloud Logging.

  7. Nell'elenco Reti, seleziona le reti VPC che vuoi associare a questa policy dei server DNS.

    Una rete può essere associata a una sola policy. Se non riesci a selezionare una rete dall'elenco, significa che è utilizzata da un'altra policy. Per vedere quale rete viene utilizzata da una policy, visualizza la colonna Utilizzata da nella pagina Policy server DNS.

  8. Fai clic su Crea.

gcloud

Per creare una policy dei server DNS in entrata, esegui il comando dns policies create:

 gcloud dns policies create NAME \     --description="DESCRIPTION" \     --networks="VPC_NETWORK_LIST" \     --enable-inbound-forwarding

Sostituisci quanto segue:

  • NAME: un nome per la policy
  • DESCRIPTION: una descrizione della policy
  • VPC_NETWORK_LIST: un elenco delimitato da virgole di reti VPC a cui deve essere associata la policy dei server DNS

Terraform 

resource "google_dns_policy" "default" {   name                      = "example-inbound-policy"   enable_inbound_forwarding = true    networks {     network_url = google_compute_network.default.id   } }  resource "google_compute_network" "default" {   name                    = "network"   auto_create_subnetworks = false }

Crea una policy dei server DNS in uscita

Per specificare un elenco di server dei nomi alternativi per una rete VPC, puoi creare una policy dei server DNS in uscita.

Console

  1. Nella console Google Cloud , apri la pagina delle policy dei server Cloud DNS.

    Vai alle policy dei server Cloud DNS

  2. Fai clic su Crea policy.

  3. Nel campo Nome, inserisci il nome della policy dei server DNS in uscita che vuoi creare, ad esempio outbound-dns-server-policy.

  4. Nella sezione Forwarding query in entrata, seleziona Off.

  5. Puoi facoltativamente abilitare i log DNS privati nella sezione Log, ma ciò può far aumentare i costi in Cloud Logging.

  6. Nella sezione Server DNS alternativi (facoltativo), fai clic su Aggiungi elemento e inserisci l'indirizzo IP dei server DNS in uscita nel campo Indirizzi IP.

    • Seleziona la casella di controllo Forwarding privato se vuoi forzare il routing privato ai server DNS in uscita.

  7. Nell'elenco Reti, seleziona le reti VPC che vuoi associare a questa policy dei server DNS.

  8. Fai clic su Crea.

gcloud

Per creare una policy dei server DNS in uscita, esegui il comando dns policies create:

 gcloud dns policies create NAME \     --description="DESCRIPTION" \     --networks="VPC_NETWORK_LIST" \     --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \     --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST"

Sostituisci quanto segue:

  • NAME: un nome per la policy
  • DESCRIPTION: una descrizione della policy
  • VPC_NETWORK_LIST: un elenco delimitato da virgole di reti VPC che eseguono query sui server dei nomi alternativi
  • ALTERNATIVE_NAMESERVER_LIST: un elenco separato da virgole di indirizzi IP che puoi utilizzare come server dei nomi alternativi
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: un elenco separato da virgole di indirizzi IP che puoi utilizzare come server dei nomi alternativi, a cui puoi accedere utilizzando il routing privato

Terraform 

resource "google_dns_policy" "default" {   name = "example-outbound-policy"    alternative_name_server_config {     target_name_servers {       ipv4_address    = "172.16.1.10"       forwarding_path = "private"     }     target_name_servers {       ipv4_address = "172.16.1.20"     }   }    networks {     network_url = google_compute_network.default.id   } }  resource "google_compute_network" "default" {   name                    = "network"   auto_create_subnetworks = false }

Crea una policy dei server DNS per il forwarding in entrata e in uscita

Console

  1. Nella console Google Cloud , apri la pagina delle policy dei server Cloud DNS.

    Vai alle policy dei server Cloud DNS

  2. Fai clic su Crea policy.

  3. Nel campo Nome, inserisci il nome della policy dei server DNS in entrata che vuoi creare, ad esempio inbound-outbound-dns-server-policy.

  4. Nella sezione Forwarding query in entrata, seleziona On.

  5. Puoi facoltativamente abilitare i log DNS privati nella sezione Log, ma ciò può far aumentare i costi in Cloud Logging.

  6. Nella sezione Server DNS alternativi (facoltativo), fai clic su Aggiungi elemento e inserisci l'indirizzo IP dei server DNS in uscita nel campo Indirizzi IP.

    • Seleziona Forwarding privato se vuoi forzare il routing privato ai server DNS in uscita.

  7. Nell'elenco Reti, seleziona le reti VPC che vuoi associare a questa policy dei server DNS.

  8. Fai clic su Crea.

gcloud

Per creare una policy dei server DNS per il forwarding in entrata e in uscita, esegui il comando dns policies create:

 gcloud dns policies create NAME \     --description="DESCRIPTION" \     --networks="VPC_NETWORK_LIST" \     --alternative-name-servers="ALTERNATIVE_NAMESERVER_LIST" \     --private-alternative-name-servers="PRIVATE_ALTERNATIVE_NAMESERVER_LIST" \     --enable-inbound-forwarding

Sostituisci quanto segue:

  • NAME: un nome per la policy
  • DESCRIPTION: una descrizione della policy
  • VPC_NETWORK_LIST: un elenco delimitato da virgole di reti VPC dove devono essere creati gli indirizzi di forwarding in entrata e che devono eseguire query sui server dei nomi alternativi
  • ALTERNATIVE_NAMESERVER_LIST: un elenco separato da virgole di indirizzi IP che puoi utilizzare come server dei nomi alternativi
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: un elenco separato da virgole di indirizzi IP che puoi utilizzare come server dei nomi alternativi, a cui puoi accedere utilizzando il routing privato

Terraform 

resource "google_dns_policy" "example_policy" {   name                      = "example-policy"   enable_inbound_forwarding = true    enable_logging = true    alternative_name_server_config {     target_name_servers {       ipv4_address    = "172.16.1.10"       forwarding_path = "private"     }     target_name_servers {       ipv4_address = "172.16.1.20"     }   }    networks {     network_url = google_compute_network.network_1.id   }   networks {     network_url = google_compute_network.network_2.id   } }  resource "google_compute_network" "network_1" {   name                    = "network-1"   auto_create_subnetworks = false }  resource "google_compute_network" "network_2" {   name                    = "network-2"   auto_create_subnetworks = false }

Elenca gli entry point dell'agente di inoltro in entrata

Quando una policy dei server DNS in entrata viene applicata a una rete VPC, Cloud DNS crea un insieme di indirizzi IP interni regionali che fungono da destinazioni a cui i tuoi sistemi on-premise o resolver dei nomi possono inviare query DNS. Questi indirizzi fungono da entry point per l'ordine di risoluzione dei nomi della tua rete VPC.

Le regole firewall diGoogle Cloud non si applicano agli indirizzi interni regionali che fungono da entry point per gli agenti di inoltro in entrata. Cloud DNS accetta automaticamente il traffico TCP e UDP sulla porta 53.

Ogni agente di inoltro in entrata accetta e riceve query dai tunnel Cloud VPN o dai collegamenti Cloud Interconnect (VLAN) nella stessa regione dell'indirizzo IP interno regionale. Le istanze VM possono accedere all'agente di inoltro in entrata tramite uno qualsiasi degli indirizzi IP interni nella stessa rete VPC. Per accedere al forwarding in entrata, l'interfaccia di rete deve avere un indirizzo IP esterno oppure una subnet della NIC deve avere l'accesso privato Google abilitato.

Console

Visualizza l'elenco degli entry point dell'agente di inoltro in entrata per una policy:

  1. Nella console Google Cloud , apri la pagina delle policy dei server Cloud DNS.

    Vai alle policy dei server Cloud DNS

  2. Fai clic sul nome della policy.

  3. Nella pagina Dettagli policy, fai clic sulla scheda Utilizzata da.

Ogni rete associata alla policy elenca gli indirizzi IP di forwarding delle query in entrata.

gcloud

Per elencare l'insieme di indirizzi IP interni regionali che fungono da entry point per tutte le policy di forwarding in entrata, esegui il comando compute addresses list:

 gcloud compute addresses list \     --filter='purpose = "DNS_RESOLVER"' \     --format='csv(address, region, subnetwork)'

Aggiorna le policy DNS

Le sezioni seguenti forniscono informazioni sulla modifica delle reti VPC e sull'attivazione o disattivazione del forwarding in entrata.

Modifica le reti VPC

L'elenco seguente descrive cosa succede quando modifichi l'elenco delle reti VPC a cui si applica una policy DNS:

  • Se la policy specifica una policy in entrata, gli entry point per gli agenti di inoltro in entrata vengono creati nelle reti VPC in base alle necessità.

  • Se la policy specifica una policy in uscita, l'ordine di risoluzione dei nomi di ogni rete VPC viene aggiornato in modo da includere i server dei nomi alternativi specificati.

Console

  1. Nella console Google Cloud , apri la pagina delle policy dei server Cloud DNS.

    Vai alle policy dei server Cloud DNS

  2. Fai clic sul nome della policy da modificare.

  3. Fai clic su Modifica policy.

  4. Nell'elenco Reti, seleziona o deseleziona le caselle di controllo accanto alle reti VPC.

  5. Fai clic su Salva.

gcloud

Per modificare l'elenco delle reti a cui si applica una policy dei server DNS, esegui il comando dns policies update:

 gcloud dns policies update NAME \     --networks="VPC_NETWORK_LIST"

Sostituisci quanto segue:

  • NAME: un nome per la policy
  • VPC_NETWORK_LIST: un elenco delimitato da virgole di reti VPC a cui si applica la policy; l'elenco di reti VPC specificate sostituisce l'elenco precedente

Abilita o disabilita il forwarding in entrata

Puoi abilitare il forwarding in entrata per una policy dei server DNS che definisce solo una policy in uscita (server dei nomi alternativo). Puoi anche disabilitare il forwarding in entrata per una policy DNS esistente.

Console

Abilita il forwarding in entrata per una policy dei server DNS:

  1. Nella console Google Cloud , apri la pagina delle policy dei server Cloud DNS.

    Vai alle policy dei server Cloud DNS

  2. Fai clic sul nome della policy da modificare.

  3. Fai clic su Modifica policy.

  4. Nella sezione Forwarding query in entrata, seleziona On.

  5. Fai clic su Salva.

Disabilita il forwarding in entrata per una policy dei server DNS:

  1. Apri la pagina delle policy dei server Cloud DNS.
  2. Fai clic sul nome della policy da modificare.
  3. Fai clic su Modifica policy.
  4. Nella sezione Forwarding query in entrata, seleziona Off.
  5. Fai clic su Salva.

gcloud

Per abilitare il forwarding in entrata per una policy dei server DNS, esegui il comando dns policies update:

 gcloud dns policies update NAME \     --enable-inbound-forwarding

Per disabilitare il forwarding in entrata per una policy dei server DNS, specifica il flag --no-enable-inbound-forwarding:

 gcloud dns policies update NAME \     --no-enable-inbound-forwarding

Sostituisci NAME con il nome della policy.

Elenca le policy DNS

Console

  1. Nella console Google Cloud , apri la pagina delle policy dei server Cloud DNS.

    Vai alle policy dei server Cloud DNS

  2. Vengono visualizzate tutte le policy dei server DNS create nel progetto.

gcloud

Per elencare le policy dei server DNS nel tuo progetto, esegui il comando dns policies list:

 gcloud dns policies list

Elimina una policy DNS

Console

Per eliminare una policy dei server DNS, non deve essere associata ad alcuna rete. Aggiorna la policy per rimuovere tutte le reti prima di eliminarla.

  1. Nella console Google Cloud , apri la pagina delle policy dei server Cloud DNS.

    Vai alle policy dei server Cloud DNS

  2. Fai clic su Elimina accanto al nome della policy che vuoi eliminare.

gcloud

Per eliminare una policy dei server DNS, esegui il comando dns policies delete:

 gcloud dns policies delete NAME

Sostituisci NAME con il nome della policy da eliminare.

Passaggi successivi