Tạo vùng chuyển tiếp

Trang này hướng dẫn cách tạo vùng chuyển tiếp. Để biết thông tin chi tiết về chế độ nền, hãy xem phần Vùng chuyển tiếp.

Trước khi bắt đầu, hãy đảm bảo bạn hiểu rõ những điều sau:

Để tạo một vùng chuyển tiếp riêng được quản lý mới, hãy hoàn tất các bước sau.

Bảng điều khiển

  1. Trong Google Cloud console, hãy chuyển đến trang Tạo vùng DNS.

    Chuyển đến phần Tạo vùng DNS

  2. Đối với Loại vùng, hãy chọn Riêng tư.

  3. Nhập Tên vùng, chẳng hạn như my-new-zone.

  4. Nhập hậu tố tên DNS cho vùng riêng tư. Tất cả bản ghi trong vùng đều có hậu tố này. Ví dụ: example.private.

  5. Không bắt buộc: Thêm nội dung mô tả.

  6. Trong phần Tuỳ chọn, hãy chọn Chuyển tiếp truy vấn đến một máy chủ khác.

  7. Chọn những mạng mà bạn muốn hiển thị vùng riêng tư.

  8. Để thêm mục tiêu chuyển tiếp, hãy nhấp vào Thêm mục. Bạn có thể thêm nhiều địa chỉ IP hoặc một tên miền đủ điều kiện (FQDN). Mục tiêu chuyển tiếp phải là danh sách địa chỉ IP hoặc FQDN. Bạn không thể sử dụng cả địa chỉ IP và FQDN trong cùng một vùng.

  9. Để buộc định tuyến riêng tư đến mục tiêu chuyển tiếp, trong phần Chuyển tiếp riêng tư, hãy chọn hộp đánh dấu Bật.

  10. Nhấp vào Tạo.

gcloud

Chạy lệnh dns managed-zones create:

gcloud dns managed-zones create NAME \
    --description=DESCRIPTION \
    --dns-name=DNS_SUFFIX \
    --networks=VPC_NETWORK_LIST \
    --forwarding-targets=FORWARDING_TARGETS_LIST \
    --private-forwarding-targets=PRIVATE_FORWARDING_TARGETS_LIST \
    --visibility=private

Thay thế nội dung sau:

  • NAME: tên cho vùng của bạn
  • DESCRIPTION: nội dung mô tả cho vùng của bạn
  • DNS_SUFFIX: hậu tố DNS cho vùng của bạn, chẳng hạn như example.private
  • VPC_NETWORK_LIST: danh sách được phân tách bằng dấu phẩy gồm các mạng VPC được uỷ quyền để truy vấn vùng
  • FORWARDING_TARGETS_LIST: danh sách địa chỉ IP được phân tách bằng dấu phẩy hoặc một tên miền đủ điều kiện duy nhất mà các truy vấn được gửi đến. Tên miền được phân giải thành địa chỉ IP của chúng. Địa chỉ IP RFC 1918 được chỉ định bằng cờ này phải nằm trong mạng VPC hoặc trong mạng cục bộ được kết nối với Google Cloudbằng Cloud VPN hoặc Cloud Interconnect. Địa chỉ IP không phải RFC 1918 được chỉ định bằng cờ này phải có thể truy cập Internet.
  • PRIVATE_FORWARDING_TARGETS_LIST: danh sách địa chỉ IP được phân tách bằng dấu phẩy hoặc một tên miền đủ điều kiện duy nhất mà các truy vấn được gửi đến. Tên miền được phân giải thành địa chỉ IP của chúng. Mọi địa chỉ IP được chỉ định bằng cờ này phải nằm trong mạng VPC của bạn hoặc trong một mạng tại chỗ được kết nối với Google Cloud bằng cách sử dụng Cloud VPN hoặc Cloud Interconnect.

Terraform 

resource "google_dns_managed_zone" "private_zone" {
  name        = "private-zone"
  dns_name    = "private.example.com."
  description = "Example private DNS zone"
  labels = {
    foo = "bar"
  }

  visibility = "private"

  private_visibility_config {
    networks {
      network_url = google_compute_network.network_1.id
    }
    networks {
      network_url = google_compute_network.network_2.id
    }
  }

  forwarding_config {
    target_name_servers {
      ipv4_address = "172.16.1.10"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Giao diện lập trình ứng dụng (API)

Gửi yêu cầu POST bằng phương thức managedZones.create:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones
{

    "name": "NAME",
    "description": "DESCRIPTION",
    "dnsName": "DNS_NAME",
    "visibility": "private"
    "privateVisibilityConfig": {
        "kind": "dns#managedZonePrivateVisibilityConfig",
        "networks": [{
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_1
            },
            {
                "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
                "networkUrl": VPC_NETWORK_2
            },
            ....
        ]
    },
    "forwardingConfig": {
        "kind": "dns#managedZoneForwardingConfig",
        "targetNameServers": [{
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_1
            },
            {
                "kind": "dns#managedZoneForwardingConfigNameServerTarget",
                "ipv4Address": FORWARDING_TARGET_2
            },
            ....
        ]
    },
}

Thay thế nội dung sau:

  • PROJECT_ID: mã nhận dạng của dự án nơi tạo vùng được quản lý
  • NAME: tên cho vùng của bạn
  • DESCRIPTION: nội dung mô tả cho vùng của bạn
  • DNS_NAME: hậu tố DNS cho vùng của bạn, chẳng hạn như example.private
  • VPC_NETWORK_1VPC_NETWORK_2: URL cho các mạng VPC trong cùng một dự án có thể truy vấn các bản ghi trong vùng này. Bạn có thể thêm nhiều mạng VPC như được chỉ định. Để xác định URL cho mạng VPC, hãy mô tả mạng bằng lệnh gcloud sau, thay thế VPC_NETWORK_NAME bằng tên của mạng: 
    gcloud compute networks describe VPC_NETWORK_NAME 
    
   --format="get(selfLink)"
  • FORWARDING_TARGET_1FORWARDING_TARGET_2: Địa chỉ IP của máy chủ định danh đích chuyển tiếp hoặc một tên miền đủ điều kiện. Bạn có thể thêm nhiều địa chỉ IP như được chỉ định. Các địa chỉ IP RFC 1918 được chỉ định tại đây phải nằm trong mạng VPC của bạn hoặc trong một mạng cục bộ được kết nối với Google Cloud bằng cách sử dụng Cloud VPN hoặc Cloud Interconnect. Địa chỉ IP không phải RFC 1918 được chỉ định bằng cờ này phải có thể truy cập Internet.

Yêu cầu về mạng đích chuyển tiếp

Khi gửi yêu cầu đến các mục tiêu chuyển tiếp, Cloud DNS sẽ gửi các gói có các dải ô nguồn được liệt kê trong bảng sau.

Loại mục tiêu chuyển tiếp Dải ô nguồn

Mục tiêu loại 1

Địa chỉ IP nội bộ của máy ảo Google Cloud hoặc Trình cân bằng tải mạng chuyển tiếp nội bộ trong cùng một mạng VPC được uỷ quyền sử dụng vùng chuyển tiếp.

Mục tiêu loại 2

Địa chỉ IP của một hệ thống tại chỗ, được kết nối với mạng VPC được uỷ quyền sử dụng vùng chuyển tiếp, bằng cách sử dụng Cloud VPN hoặc Cloud Interconnect.

Để biết thêm thông tin về những địa chỉ IP được hỗ trợ, hãy xem bài viết Mục tiêu chuyển tiếp và phương thức định tuyến.

35.199.192.0/19

Cloud DNS sử dụng dải ô nguồn 35.199.192.0/19 cho tất cả khách hàng. Bạn chỉ có thể truy cập vào dải ô này từ mạng VPC Google Cloud hoặc từ mạng cục bộ được kết nối với mạng VPC.

Mục tiêu loại 3

Địa chỉ IP bên ngoài của một máy chủ tên DNS có thể truy cập được trên Internet hoặc địa chỉ IP bên ngoài của một tài nguyên Google Cloud ; ví dụ: địa chỉ IP bên ngoài của một máy ảo trong một mạng VPC khác.

 Dải nguồn DNS công khai của Google

Mục tiêu loại 4

Tên miền đủ điều kiện của máy chủ tên mục tiêu phân giải thành địa chỉ IPv4 hoặc IPv6 thông qua thứ tự phân giải mạng VPC. Tên miền có thể phân giải thành tối đa 50 địa chỉ IP.

Địa chỉ IP được phân giải có thể là Mục tiêu loại 1-3.

Tuỳ thuộc vào địa chỉ IP đã phân giải, dải ô nguồn có thể là một trong những dải sau:

Mục tiêu Loại 1 và Loại 2

Cloud DNS yêu cầu những điều sau để truy cập vào mục tiêu Loại 1 hoặc Loại 2. Các yêu cầu này giống nhau cho dù mục tiêu là địa chỉ IP theo tiêu chuẩn RFC 1918 và bạn đang sử dụng tính năng định tuyến chuẩn hay bạn chọn định tuyến riêng tư:

  • Cấu hình tường lửa cho 35.199.192.0/19

    Đối với mục tiêu Loại 1, hãy tạo một quy tắc tường lửa cho phép truy cập vào lưu lượng truy cập 53 của cổng TCP và UDP, áp dụng cho các mục tiêu chuyển tiếp trong mỗi mạng VPC được uỷ quyền. Đối với mục tiêu Loại 2, hãy định cấu hình tường lửa mạng tại chỗ và các thiết bị tương tự để cho phép cổng TCP và UDP 53.

  • Chuyển đến đích chuyển tiếp

    Đối với mục tiêu Loại 1, Cloud DNS sử dụng tuyến mạng con để truy cập vào mục tiêu trong mạng VPC được uỷ quyền sử dụng vùng chuyển tiếp. Đối với mục tiêu tên Loại 2, Cloud DNS sử dụng các tuyến động tuỳ chỉnh hoặc các tuyến tĩnh tuỳ chỉnh, ngoại trừ các tuyến tĩnh được gắn thẻ, để truy cập vào mục tiêu chuyển tiếp.

  • Trả về tuyến đến 35.199.192.0/19 thông qua cùng một mạng VPC

    Đối với mục tiêu Loại 1, Google Cloud sử dụng đường dẫn định tuyến đặc biệt cho đích đến 35.199.192.0/19. Đối với mục tiêu Loại 2, mạng cục bộ của bạn phải có một tuyến cho đích đến 35.199.192.0/19, trong đó bước tiếp theo nằm trong cùng một mạng VPC nơi yêu cầu bắt nguồn, thông qua đường hầm Cloud VPN hoặc tệp đính kèm VLAN cho Cloud Interconnect. Để biết thông tin về cách đáp ứng yêu cầu này, hãy xem phần chiến lược tuyến đường trả về cho mục tiêu Loại 2.

  • Phản hồi trực tiếp từ mục tiêu

    Cloud DNS yêu cầu mục tiêu chuyển tiếp nhận gói phải là mục tiêu gửi phản hồi đến 35.199.192.0/19. Nếu mục tiêu chuyển tiếp của bạn gửi yêu cầu đến một máy chủ định danh khác và máy chủ định danh khác đó phản hồi 35.199.192.0/19, thì Cloud DNS sẽ bỏ qua phản hồi đó. Vì lý do bảo mật, Google Cloud dự kiến địa chỉ nguồn của mỗi phản hồi DNS của máy chủ tên mục tiêu sẽ khớp với địa chỉ IP của mục tiêu chuyển tiếp.

Chiến lược định tuyến trả về cho mục tiêu Loại 2

Cloud DNS không thể gửi phản hồi từ các mục tiêu chuyển tiếp Loại 2 qua Internet hoặc thông qua một mạng VPC khác. Phản hồi phải quay lại cùng một mạng VPC, mặc dù chúng có thể sử dụng bất kỳ đường hầm Cloud VPN hoặc tệp đính kèm VLAN nào trong cùng một mạng đó.

  • Đối với các đường hầm VPN trên đám mây sử dụng tính năng định tuyến tĩnh, hãy tạo một tuyến trong mạng cục bộ theo cách thủ công, trong đó đích đến là 35.199.192.0/19 và bước tiếp theo là đường hầm VPN trên đám mây. Đối với các đường hầm VPN trên đám mây sử dụng tính năng định tuyến dựa trên chính sách, hãy định cấu hình bộ chọn lưu lượng truy cập cục bộ của VPN trên đám mây và bộ chọn lưu lượng truy cập từ xa của cổng VPN tại chỗ để bao gồm 35.199.192.0/19.
  • Đối với các đường hầm Cloud VPN sử dụng tính năng định tuyến động hoặc đối với tính năng Kết nối liên kết đám mây, hãy định cấu hình thông báo tuyến tuỳ chỉnh cho 35.199.192.0/19 trên phiên BGP của Trình định tuyến đám mây để quản lý đường hầm hoặc tệp đính kèm VLAN.

Mục tiêu loại 3

Khi sử dụng tính năng định tuyến chuẩn để truy cập vào một địa chỉ IP bên ngoài, Cloud DNS sẽ yêu cầu mục tiêu chuyển tiếp là một hệ thống trên Internet, có thể truy cập công khai hoặc một địa chỉ IP bên ngoài của tài nguyên Google Cloud .

Ví dụ: mục tiêu Loại 3 bao gồm địa chỉ IP bên ngoài của máy ảo trong một mạng VPC khác.

Không hỗ trợ định tuyến riêng tư đến các mục tiêu Loại 3.

Mục tiêu loại 4

Trước tiên, mục tiêu Loại 4 sẽ phân giải địa chỉ IP của mục tiêu. Sau đó, bạn có thể phân giải mục tiêu chuyển tiếp đã phân giải thành tối đa 50 địa chỉ IP có thể là IPv4 hoặc IPv6. Tuỳ thuộc vào mạng của mục tiêu chuyển tiếp đã phân giải, mục tiêu Loại 4 có các yêu cầu về mạng giống như mục tiêu Loại 1, 2 hoặc 3.

Để biết thêm các yêu cầu về việc sử dụng FQDN làm mục tiêu chuyển tiếp, hãy xem phần Sử dụng vùng chuyển tiếp.

Bước tiếp theo