Mengonfigurasi kebijakan server DNS

Halaman ini menjelaskan cara mengonfigurasi kebijakan server DNS dan menggunakannya dengan jaringan Virtual Private Cloud (VPC). Sebelum menggunakan halaman ini, tinjau ringkasan kebijakan server DNS.

Sebelum memulai

Cloud DNS API mengharuskan Anda membuat project dan mengaktifkan Cloud DNS API. Google Cloud

Jika Anda membuat aplikasi yang menggunakan REST API, Anda juga harus membuat client ID OAuth 2.0.

  1. Daftar untuk membuat Akun Google jika Anda belum memilikinya.
  2. Aktifkan Cloud DNS API di Google Cloud konsol. Anda dapat memilih project Compute Engine atau App Engine yang sudah ada, atau Anda dapat membuat project baru.
  3. Jika perlu membuat permintaan ke REST API, Anda harus membuat ID OAuth 2.0. Lihat Menyiapkan OAuth 2.0.
  4. Dalam project, catat informasi berikut yang perlu Anda masukkan di langkah-langkah selanjutnya:
    • ID klien (xxxxxx.apps.googleusercontent.com).
    • Project ID yang ingin Anda gunakan. Anda dapat menemukan ID di bagian atas halaman Ringkasan di konsol Google Cloud . Anda juga dapat meminta pengguna untuk memberikan nama project yang ingin mereka gunakan di aplikasi Anda.

Jika belum pernah menjalankan Google Cloud CLI sebelumnya, Anda harus menjalankan perintah berikut untuk menentukan nama project dan melakukan autentikasi dengan konsol Google Cloud :

gcloud auth login

Untuk memilih project yang berbeda dari project yang telah Anda pilih sebelumnya, tentukan opsi --project di command line.

Membuat kebijakan server DNS

Setiap objek kebijakan server DNS dapat menentukan salah satu kebijakan server berikut:

Setiap jaringan VPC hanya dapat mereferensikan satu kebijakan server DNS. Jika Anda perlu menentukan penerusan masuk dan keluar untuk jaringan VPC, buat satu kebijakan yang menentukan kebijakan masuk dan keluar. Anda tidak dapat mengonfigurasi DNS64 (Pratinjau) dengan kebijakan server DNS masuk.

Membuat kebijakan server DNS masuk

Untuk membuat kebijakan server DNS masuk, ikuti petunjuk berikut. Cloud DNS membuat serangkaian alamat IP forwarder inbound dari rentang alamat IPv4 utama subnet di setiap jaringan VPC tempat kebijakan diterapkan. Setelah membuat kebijakan, Anda dapat mencantumkan titik entri yang dibuat Cloud DNS.

gcloud

Untuk membuat kebijakan server DNS masuk, jalankan perintah dns policies create:

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --enable-inbound-forwarding

Ganti kode berikut:

  • NAME: nama untuk kebijakan
  • DESCRIPTION: deskripsi untuk kebijakan
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma tempat alamat penerusan masuk harus dibuat

Terraform 

resource "google_dns_policy" "default" {
  name                      = "example-inbound-policy"
  enable_inbound_forwarding = true

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Membuat kebijakan server DNS keluar

Untuk menentukan daftar server nama alternatif untuk jaringan VPC, Anda dapat membuat kebijakan server DNS keluar.

gcloud

Untuk membuat kebijakan server DNS keluar, jalankan perintah dns policies create:

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \
    --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST

Ganti kode berikut:

  • NAME: nama untuk kebijakan
  • DESCRIPTION: deskripsi untuk kebijakan
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma yang mengkueri server nama alternatif
  • ALTERNATIVE_NAMESERVER_LIST: daftar alamat IP yang dibatasi koma yang dapat Anda gunakan sebagai server nama alternatif; perutean pribadi hanya digunakan untuk server nama alternatif yang memiliki alamat RFC 1918
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: daftar alamat IP yang dipisahkan koma yang dapat Anda gunakan sebagai server nama alternatif, yang diakses menggunakan perutean pribadi

Terraform 

resource "google_dns_policy" "default" {
  name = "example-outbound-policy"

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Membuat kebijakan server DNS untuk penerusan masuk dan keluar

gcloud

Untuk membuat kebijakan server DNS untuk penerusan masuk dan keluar, jalankan perintah dns policies create:

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \
    --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST \
    --enable-inbound-forwarding

Ganti kode berikut:

  • NAME: nama untuk kebijakan
  • DESCRIPTION: deskripsi untuk kebijakan
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma tempat alamat penerusan masuk harus dibuat dan yang harus mengkueri server nama alternatif
  • ALTERNATIVE_NAMESERVER_LIST: daftar alamat IP yang dipisahkan koma yang dapat Anda gunakan sebagai server nama alternatif. Perutean pribadi hanya digunakan untuk server nama alternatif yang memiliki alamat RFC 1918.
  • PRIVATE_ALTERNATIVE_NAMESERVER_LIST: daftar alamat IP yang dipisahkan koma yang dapat Anda gunakan sebagai server nama alternatif, yang diakses menggunakan perutean pribadi.

Terraform 

resource "google_dns_policy" "example_policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network_1.id
  }
  networks {
    network_url = google_compute_network.network_2.id
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Mencantumkan titik entri penerusan masuk

Saat kebijakan server DNS masuk berlaku untuk jaringan VPC, Cloud DNS membuat serangkaian alamat IP internal regional yang berfungsi sebagai tujuan tempat sistem atau resolver nama lokal Anda dapat mengirim kueri DNS. Alamat ini berfungsi sebagai titik entri ke urutan resolusi nama jaringan VPC Anda.

Google Cloud Aturan firewall tidak berlaku untuk alamat internal regional yang berfungsi sebagai titik entri untuk penerus masuk. Cloud DNS menerima traffic TCP dan UDP di port 53 secara otomatis.

Setiap penerusan inbound menerima dan menerima kueri dari tunnel Cloud VPN atau lampiran Cloud Interconnect (VLAN) di region yang sama dengan alamat IP internal regional. Instance VM dapat mengakses penerus inbound melalui alamat IP internal mana pun di jaringan VPC yang sama. Untuk mengakses penerusan masuk, antarmuka jaringan harus memiliki alamat IP eksternal atau subnet NIC harus mengaktifkan Akses Google Pribadi.

gcloud

Untuk mencantumkan kumpulan alamat IP internal regional yang berfungsi sebagai titik entri untuk penerusan masuk, jalankan perintah compute addresses list:

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Memperbarui kebijakan DNS

Bagian berikut memberikan informasi tentang mengubah jaringan VPC dan mengaktifkan atau menonaktifkan penerusan inbound.

Mengubah jaringan VPC

Daftar berikut menjelaskan apa yang terjadi saat Anda mengubah daftar jaringan VPC yang menjadi cakupan kebijakan DNS:

  • Jika kebijakan menentukan kebijakan masuk, titik entri untuk forwarder masuk dibuat di jaringan VPC sesuai kebutuhan.

  • Jika kebijakan menentukan kebijakan keluar, urutan resolusi nama setiap jaringan VPC diperbarui untuk menyertakan server nama alternatif yang ditentukan.

gcloud

Untuk mengubah daftar jaringan tempat kebijakan server DNS diterapkan, jalankan perintah dns policies update:

gcloud dns policies update NAME \
    --networks=VPC_NETWORK_LIST

Ganti kode berikut:

  • NAME: nama untuk kebijakan
  • VPC_NETWORK_LIST: daftar jaringan VPC yang dipisahkan koma yang menjadi cakupan kebijakan; daftar jaringan VPC yang Anda tentukan akan menggantikan daftar sebelumnya

Mengaktifkan atau menonaktifkan penerusan masuk

Anda dapat mengaktifkan penerusan masuk untuk kebijakan server DNS yang hanya menentukan kebijakan keluar (server nama alternatif). Anda juga dapat menonaktifkan penerusan inbound untuk kebijakan DNS yang ada.

gcloud

Untuk mengaktifkan penerusan masuk untuk kebijakan server DNS, jalankan perintah dns policies update:

gcloud dns policies update NAME \
    --enable-inbound-forwarding

Untuk menonaktifkan penerusan masuk untuk kebijakan server DNS, jalankan perintah dns policies update:

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Ganti NAME dengan nama kebijakan.

Mencantumkan kebijakan DNS

gcloud

Untuk mencantumkan kebijakan server DNS di project Anda, jalankan perintah dns policies list:

gcloud dns policies list

Menghapus kebijakan DNS

gcloud

Untuk menghapus kebijakan server DNS, jalankan perintah dns policies delete:

gcloud dns policies delete NAME

Ganti NAME dengan nama kebijakan yang akan dihapus.

Langkah berikutnya

  • Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
  • Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.