Esta página fornece uma visão geral dos recursos e funcionalidades do Cloud DNS. O Cloud DNS é um serviço global de Sistema de Nomes de Domínio (DNS) de alto desempenho e resiliência que publica seus nomes de domínio no DNS global de forma econômica .
O DNS é um banco de dados hierárquico distribuído que permite armazenar endereços IP e outros dados e procurá-los por nome. O Cloud DNS permite que você publique suas zonas e registros no DNS sem o trabalho de gerenciar seus próprios servidores DNS e software.
O Cloud DNS oferece zonas públicas e zonas DNS privadas gerenciadas. Uma zona pública é visível para a internet pública, enquanto uma zona privada é visível apenas para uma ou mais redes de Nuvem Privada Virtual (VPC) especificadas por você. Para obter informações detalhadas sobre zonas, consulte a Visão geral das zonas DNS .
O Cloud DNS oferece suporte a permissões de Gerenciamento de Identidade e Acesso (IAM) no nível do projeto e em cada zona DNS. Para obter informações sobre como definir permissões de IAM para recursos individuais, consulte Criar uma zona com permissões de IAM específicas .
Para obter uma lista de terminologia geral de DNS, consulte Visão geral do DNS geral .
Para obter uma lista da terminologia principal na qual o Cloud DNS é criado, consulte Termos principais .
Para começar a usar o Cloud DNS, consulte o Início rápido .
Experimente você mesmo
Se você é novo no Google Cloud, crie uma conta para avaliar o desempenho do Cloud DNS em cenários reais. Novos clientes também ganham US$ 300 em créditos gratuitos para executar, testar e implantar cargas de trabalho.
Experimente o Cloud DNS gratuitamenteConsiderações sobre VPC compartilhada
Para usar uma zona privada gerenciada pelo Cloud DNS, uma zona de encaminhamento do Cloud DNS ou uma zona de peering do Cloud DNS com VPC compartilhada, você precisa criar a zona no projeto host e adicionar uma ou mais redes de VPC compartilhada à lista de redes autorizadas para essa zona. Como alternativa, você pode configurar a zona em um projeto de serviço usando a vinculação entre projetos .
Para obter mais informações, consulte Práticas recomendadas para zonas privadas do Cloud DNS .
Métodos de encaminhamento de DNS
Google Cloud oferece encaminhamento de DNS de entrada e saída para zonas privadas. Você pode configurar o encaminhamento de DNS criando uma zona de encaminhamento ou uma política de servidor DNS na nuvem. Os dois métodos estão resumidos na tabela a seguir.
| Encaminhamento de DNS | Métodos de DNS em nuvem |
|---|---|
| Entrada | Crie uma política de servidor de entrada para permitir que um cliente ou servidor DNS local envie solicitações DNS ao Cloud DNS. O cliente ou servidor DNS poderá então resolver registros de acordo com a ordem de resolução de nomes de uma rede VPC. Clientes locais podem resolver registros em zonas privadas, zonas de encaminhamento e zonas de peering para as quais a rede VPC foi autorizada. Clientes locais usam o Cloud VPN ou o Cloud Interconnect para se conectar à rede VPC. |
| Saída | Você pode configurar VMs em uma rede VPC para fazer o seguinte:
|
Você pode configurar simultaneamente o encaminhamento de DNS de entrada e saída para uma rede VPC. O encaminhamento bidirecional permite que as VMs na sua rede VPC resolvam registros em uma rede local ou em uma rede hospedada por um provedor de nuvem diferente. Esse tipo de encaminhamento também permite que hosts na rede local resolvam registros para a sua rede.Google Cloud recursos.
O plano de controle do Cloud DNS usa a ordem de seleção de destino de encaminhamento para selecionar um destino de encaminhamento. Consultas encaminhadas de saída podem, às vezes, resultar em erros SERVFAIL se os destinos de encaminhamento não estiverem acessíveis ou se não responderem com rapidez suficiente. Para obter instruções de solução de problemas, consulte Consultas encaminhadas de saída recebem erros SERVFAIL .
Para obter informações sobre como aplicar políticas de servidor, consulte Criar políticas de servidor DNS . Para saber como criar uma zona de encaminhamento, consulte Criar uma zona de encaminhamento .
DNSSEC
O Cloud DNS oferece suporte a DNSSEC gerenciado, protegendo seus domínios contra ataques de spoofing e envenenamento de cache. Ao usar um resolvedor de validação como o Google Public DNS , o DNSSEC fornece autenticação forte (mas não criptografia) de pesquisas de domínio. Para obter mais informações sobre DNSSEC, consulte Gerenciando a configuração de DNSSEC .
DNS64 ( visualização )
Você pode conectar suas instâncias de máquina virtual (VM) do Compute Engine somente IPv6 ( Visualização ) a destinos IPv4 usando o DNS64 do Cloud DNS. O DNS64 fornece um endereço IPv6 sintetizado para cada destino IPv4. O Cloud DNS cria um endereço sintetizado combinando o prefixo conhecido (WKP) 64:ff9b::/96 com os 32 bits do endereço IPv4 de destino.
Configure o DNS64 e a tradução de endereços de rede com NAT público (NAT64) para permitir que suas instâncias de VM somente IPv6 ( Visualização ) se comuniquem com destinos IPv4 na internet. Para configurar o NAT64, siga as instruções em Criar um gateway NAT na nuvem .
O exemplo a seguir mostra como uma instância de VM somente IPv6 ( Visualização ) chamada vmipv6 resolve o nome de um destino somente IPv4.
A instância da VM
vmipv6inicia uma solicitação de DNS para resolver o nome de destino para um endereço IPv6.Se existir um registro
AAAA(endereço IPv6), o Cloud DNS retornará o endereço IPv6, e a instância da VMvmipv6o usará para se conectar ao destino.Se não houver nenhum registro
AAAA, mas você tiver configurado o DNS64, o Cloud DNS procurará um registroA(endereço IPv4). Se o Cloud DNS encontrar um registroA, ele sintetizará um registroAAAAprefixando o endereço IPv4 com64:ff9b::/96.
Por exemplo, se o endereço IPv4 for 32.34.50.60 , o endereço IPv6 sintetizado resultante será 64:ff9b::2022:323c , onde 2022:323c é o equivalente hexadecimal do endereço IPv4. O prefixo 64:ff9b::/96 é definido na RFC 6052. O Cloud DNS sintetiza esses endereços IPv6 mesmo quando você hospeda os registros DNS no local, desde que você habilite o encaminhamento de DNS no Cloud DNS.
Você pode usar DNS64 nos seguintes cenários:
- Cumpra os mandatos que exigem uma mudança para endereços IPv6 sem alocar endereços IPv4.
- Transição para infraestrutura de endereço somente IPv6 em etapas, mantendo o acesso à infraestrutura IPv4 existente.
- Evite interrupções em serviços críticos garantindo acesso contínuo a ambientes com endereços IPv4 legados durante sua transição para endereços IPv6.
Para configurar o DNS64 para uma rede VPC, siga as instruções em Configurar DNS64 .
Controle de acesso
Você pode gerenciar os usuários que têm permissão para fazer alterações em seus registros DNS na página IAM e Admin noGoogle Cloud console . Para que os usuários sejam autorizados a fazer alterações, eles devem ter a função de Administrador DNS ( roles/dns.admin ) na seção Permissões do Google Cloud console. A função Leitor de DNS ( roles/dns.reader ) concede acesso somente leitura aos registros do Cloud DNS.
Essas permissões também se aplicam a contas de serviço que você pode usar para gerenciar seus serviços de DNS.
Para visualizar as permissões atribuídas a essas funções, consulte Funções .
Controle de acesso para zonas gerenciadas
Usuários com a função de Proprietário do projeto ou função de Editor ( roles/owner ou roles/editor ) podem gerenciar ou visualizar as zonas gerenciadas no projeto específico que estão gerenciando.
Usuários com a função de Administrador de DNS ou Leitor de DNS podem gerenciar ou visualizar as zonas gerenciadas em todos os projetos aos quais têm acesso.
Proprietários de projeto, editores, administradores de DNS e leitores de DNS podem visualizar a lista de zonas privadas aplicadas a qualquer rede VPC no projeto atual.
Acesso por permissão de recurso
Para configurar uma política em um recurso DNS, como uma zona gerenciada, você precisa ter acesso de Proprietário ao projeto que possui esse recurso. A função de Administrador de DNS não tem a permissão setIamPolicy . Como proprietário do projeto, você também pode criar funções personalizadas do IAM para suas necessidades específicas. Para obter informações detalhadas, consulte "Noções básicas sobre funções personalizadas do IAM" .
Desempenho e tempo
O Cloud DNS utiliza anycast para atender suas zonas gerenciadas de vários locais ao redor do mundo, garantindo alta disponibilidade. As solicitações são roteadas automaticamente para o local mais próximo, reduzindo a latência e melhorando o desempenho da pesquisa de nomes autoritativos para seus usuários.
Propagação de mudanças
As alterações são propagadas em duas partes. Primeiro, a alteração enviada pela API ou pela ferramenta de linha de comando deve ser enviada aos servidores DNS autorizados do Cloud DNS. Segundo, os resolvedores de DNS devem detectar essa alteração quando o cache dos registros expirar.
O valor de tempo de vida (TTL) definido para seus registros, especificado em segundos, controla o cache do resolvedor de DNS. Por exemplo, se você definir um valor de TTL de 86400 (o número de segundos em 24 horas), os resolvedores de DNS serão instruídos a armazenar os registros em cache por 24 horas. Alguns resolvedores de DNS ignoram o valor de TTL ou usam seus próprios valores, o que pode atrasar a propagação completa dos registros.
Se você estiver planejando uma alteração nos serviços que exija uma janela estreita, convém alterar o TTL para um valor menor antes de fazer a alteração — o novo valor de TTL menor é aplicado após o valor de TTL anterior expirar no cache do resolvedor. Essa abordagem pode ajudar a reduzir a janela de cache e garantir uma alteração mais rápida nas novas configurações de registro. Após a alteração, você pode alterar o valor de volta para o TTL anterior para reduzir a carga nos resolvedores de DNS.
O que vem a seguir
Para começar a usar o Cloud DNS, consulte Início rápido: configurar registros DNS para um nome de domínio com o Cloud DNS .
Para registrar e configurar seu domínio, consulte o Tutorial: Configurar um domínio usando o Cloud DNS .
Para saber mais sobre bibliotecas de clientes de API, consulte Exemplos e bibliotecas .
Para encontrar soluções para problemas comuns que você pode encontrar ao usar o Cloud DNS, consulte Solução de problemas .
Esta página fornece uma visão geral dos recursos e funcionalidades do Cloud DNS. O Cloud DNS é um serviço global de Sistema de Nomes de Domínio (DNS) de alto desempenho e resiliência que publica seus nomes de domínio no DNS global de forma econômica .
O DNS é um banco de dados hierárquico distribuído que permite armazenar endereços IP e outros dados e procurá-los por nome. O Cloud DNS permite que você publique suas zonas e registros no DNS sem o trabalho de gerenciar seus próprios servidores DNS e software.
O Cloud DNS oferece zonas públicas e zonas DNS privadas gerenciadas. Uma zona pública é visível para a internet pública, enquanto uma zona privada é visível apenas para uma ou mais redes de Nuvem Privada Virtual (VPC) especificadas por você. Para obter informações detalhadas sobre zonas, consulte a Visão geral das zonas DNS .
O Cloud DNS oferece suporte a permissões de Gerenciamento de Identidade e Acesso (IAM) no nível do projeto e em cada zona DNS. Para obter informações sobre como definir permissões de IAM para recursos individuais, consulte Criar uma zona com permissões de IAM específicas .
Para obter uma lista de terminologia geral de DNS, consulte Visão geral do DNS geral .
Para obter uma lista da terminologia principal na qual o Cloud DNS é criado, consulte Termos principais .
Para começar a usar o Cloud DNS, consulte o Início rápido .
Experimente você mesmo
Se você é novo no Google Cloud, crie uma conta para avaliar o desempenho do Cloud DNS em cenários reais. Novos clientes também ganham US$ 300 em créditos gratuitos para executar, testar e implantar cargas de trabalho.
Experimente o Cloud DNS gratuitamenteConsiderações sobre VPC compartilhada
Para usar uma zona privada gerenciada pelo Cloud DNS, uma zona de encaminhamento do Cloud DNS ou uma zona de peering do Cloud DNS com VPC compartilhada, você precisa criar a zona no projeto host e adicionar uma ou mais redes de VPC compartilhada à lista de redes autorizadas para essa zona. Como alternativa, você pode configurar a zona em um projeto de serviço usando a vinculação entre projetos .
Para obter mais informações, consulte Práticas recomendadas para zonas privadas do Cloud DNS .
Métodos de encaminhamento de DNS
Google Cloud oferece encaminhamento de DNS de entrada e saída para zonas privadas. Você pode configurar o encaminhamento de DNS criando uma zona de encaminhamento ou uma política de servidor DNS na nuvem. Os dois métodos estão resumidos na tabela a seguir.
| Encaminhamento de DNS | Métodos de DNS em nuvem |
|---|---|
| Entrada | Crie uma política de servidor de entrada para permitir que um cliente ou servidor DNS local envie solicitações DNS ao Cloud DNS. O cliente ou servidor DNS poderá então resolver registros de acordo com a ordem de resolução de nomes de uma rede VPC. Clientes locais podem resolver registros em zonas privadas, zonas de encaminhamento e zonas de peering para as quais a rede VPC foi autorizada. Clientes locais usam o Cloud VPN ou o Cloud Interconnect para se conectar à rede VPC. |
| Saída | Você pode configurar VMs em uma rede VPC para fazer o seguinte:
|
Você pode configurar simultaneamente o encaminhamento de DNS de entrada e saída para uma rede VPC. O encaminhamento bidirecional permite que as VMs na sua rede VPC resolvam registros em uma rede local ou em uma rede hospedada por um provedor de nuvem diferente. Esse tipo de encaminhamento também permite que hosts na rede local resolvam registros para a sua rede.Google Cloud recursos.
O plano de controle do Cloud DNS usa a ordem de seleção de destino de encaminhamento para selecionar um destino de encaminhamento. Consultas encaminhadas de saída podem, às vezes, resultar em erros SERVFAIL se os destinos de encaminhamento não estiverem acessíveis ou se não responderem com rapidez suficiente. Para obter instruções de solução de problemas, consulte Consultas encaminhadas de saída recebem erros SERVFAIL .
Para obter informações sobre como aplicar políticas de servidor, consulte Criar políticas de servidor DNS . Para saber como criar uma zona de encaminhamento, consulte Criar uma zona de encaminhamento .
DNSSEC
O Cloud DNS oferece suporte a DNSSEC gerenciado, protegendo seus domínios contra ataques de spoofing e envenenamento de cache. Ao usar um resolvedor de validação como o Google Public DNS , o DNSSEC fornece autenticação forte (mas não criptografia) de pesquisas de domínio. Para obter mais informações sobre DNSSEC, consulte Gerenciando a configuração de DNSSEC .
DNS64 ( visualização )
Você pode conectar suas instâncias de máquina virtual (VM) do Compute Engine somente IPv6 ( Visualização ) a destinos IPv4 usando o DNS64 do Cloud DNS. O DNS64 fornece um endereço IPv6 sintetizado para cada destino IPv4. O Cloud DNS cria um endereço sintetizado combinando o prefixo conhecido (WKP) 64:ff9b::/96 com os 32 bits do endereço IPv4 de destino.
Configure o DNS64 e a tradução de endereços de rede com NAT público (NAT64) para permitir que suas instâncias de VM somente IPv6 ( Visualização ) se comuniquem com destinos IPv4 na internet. Para configurar o NAT64, siga as instruções em Criar um gateway NAT na nuvem .
O exemplo a seguir mostra como uma instância de VM somente IPv6 ( Visualização ) chamada vmipv6 resolve o nome de um destino somente IPv4.
A instância da VM
vmipv6inicia uma solicitação de DNS para resolver o nome de destino para um endereço IPv6.Se existir um registro
AAAA(endereço IPv6), o Cloud DNS retornará o endereço IPv6, e a instância da VMvmipv6o usará para se conectar ao destino.Se não houver nenhum registro
AAAA, mas você tiver configurado o DNS64, o Cloud DNS procurará um registroA(endereço IPv4). Se o Cloud DNS encontrar um registroA, ele sintetizará um registroAAAAprefixando o endereço IPv4 com64:ff9b::/96.
Por exemplo, se o endereço IPv4 for 32.34.50.60 , o endereço IPv6 sintetizado resultante será 64:ff9b::2022:323c , onde 2022:323c é o equivalente hexadecimal do endereço IPv4. O prefixo 64:ff9b::/96 é definido na RFC 6052. O Cloud DNS sintetiza esses endereços IPv6 mesmo quando você hospeda os registros DNS no local, desde que você habilite o encaminhamento de DNS no Cloud DNS.
Você pode usar DNS64 nos seguintes cenários:
- Cumpra os mandatos que exigem uma mudança para endereços IPv6 sem alocar endereços IPv4.
- Transição para infraestrutura de endereço somente IPv6 em etapas, mantendo o acesso à infraestrutura IPv4 existente.
- Evite interrupções em serviços críticos garantindo acesso contínuo a ambientes com endereços IPv4 legados durante sua transição para endereços IPv6.
Para configurar o DNS64 para uma rede VPC, siga as instruções em Configurar DNS64 .
Controle de acesso
Você pode gerenciar os usuários que têm permissão para fazer alterações em seus registros DNS na página IAM e Admin noGoogle Cloud console . Para que os usuários sejam autorizados a fazer alterações, eles devem ter a função de Administrador DNS ( roles/dns.admin ) na seção Permissões do Google Cloud console. A função Leitor de DNS ( roles/dns.reader ) concede acesso somente leitura aos registros do Cloud DNS.
Essas permissões também se aplicam a contas de serviço que você pode usar para gerenciar seus serviços de DNS.
Para visualizar as permissões atribuídas a essas funções, consulte Funções .
Controle de acesso para zonas gerenciadas
Usuários com a função de Proprietário do projeto ou função de Editor ( roles/owner ou roles/editor ) podem gerenciar ou visualizar as zonas gerenciadas no projeto específico que estão gerenciando.
Usuários com a função de Administrador de DNS ou Leitor de DNS podem gerenciar ou visualizar as zonas gerenciadas em todos os projetos aos quais têm acesso.
Proprietários de projeto, editores, administradores de DNS e leitores de DNS podem visualizar a lista de zonas privadas aplicadas a qualquer rede VPC no projeto atual.
Acesso por permissão de recurso
Para configurar uma política em um recurso DNS, como uma zona gerenciada, você precisa ter acesso de Proprietário ao projeto que possui esse recurso. A função de Administrador de DNS não tem a permissão setIamPolicy . Como proprietário do projeto, você também pode criar funções personalizadas do IAM para suas necessidades específicas. Para obter informações detalhadas, consulte "Noções básicas sobre funções personalizadas do IAM" .
Desempenho e tempo
O Cloud DNS utiliza anycast para atender suas zonas gerenciadas de vários locais ao redor do mundo, garantindo alta disponibilidade. As solicitações são roteadas automaticamente para o local mais próximo, reduzindo a latência e melhorando o desempenho da pesquisa de nomes autoritativos para seus usuários.
Propagação de mudanças
As alterações são propagadas em duas partes. Primeiro, a alteração enviada pela API ou pela ferramenta de linha de comando deve ser enviada aos servidores DNS autorizados do Cloud DNS. Segundo, os resolvedores de DNS devem detectar essa alteração quando o cache dos registros expirar.
O valor de tempo de vida (TTL) definido para seus registros, especificado em segundos, controla o cache do resolvedor de DNS. Por exemplo, se você definir um valor de TTL de 86400 (o número de segundos em 24 horas), os resolvedores de DNS serão instruídos a armazenar os registros em cache por 24 horas. Alguns resolvedores de DNS ignoram o valor de TTL ou usam seus próprios valores, o que pode atrasar a propagação completa dos registros.
Se você estiver planejando uma alteração nos serviços que exija uma janela estreita, convém alterar o TTL para um valor menor antes de fazer a alteração — o novo valor de TTL menor é aplicado após o valor de TTL anterior expirar no cache do resolvedor. Essa abordagem pode ajudar a reduzir a janela de cache e garantir uma alteração mais rápida nas novas configurações de registro. Após a alteração, você pode alterar o valor de volta para o TTL anterior para reduzir a carga nos resolvedores de DNS.
O que vem a seguir
Para começar a usar o Cloud DNS, consulte Início rápido: configurar registros DNS para um nome de domínio com o Cloud DNS .
Para registrar e configurar seu domínio, consulte o Tutorial: Configurar um domínio usando o Cloud DNS .
Para saber mais sobre bibliotecas de clientes de API, consulte Exemplos e bibliotecas .
Para encontrar soluções para problemas comuns que você pode encontrar ao usar o Cloud DNS, consulte Solução de problemas .