Halaman ini diterjemahkan oleh Cloud Translation API.

Kebijakan server DNS

Kebijakan server DNS memungkinkan Anda mengonfigurasi server DNS yang akan digunakan saat menyelesaikan nama domain untuk Google Cloud resource Anda. Anda dapat menggunakan kebijakan server DNS untuk mengontrol resolusi DNS dalam jaringan Virtual Private Cloud (VPC) tertentu. Kebijakan server DNS menentukan penerusan DNS masuk, penerusan DNS keluar, atau keduanya. Kebijakan server DNS masuk mengizinkan penerusan DNS masuk, sedangkan kebijakan server DNS keluar adalah salah satu cara untuk menerapkan penerusan DNS keluar.

Anda juga dapat mengonfigurasi DNS64 untuk memungkinkan instance VM khusus IPv6 berkomunikasi dengan tujuan khusus IPv4.

Subnet VPC khusus IPv6 tidak mendukung kebijakan server DNS masuk. Namun, Anda dapat mengonfigurasi kebijakan server DNS keluar untuk instance VM khusus IPv6.

Kebijakan server masuk

Setiap jaringan VPC menyediakan layanan resolusi nama Cloud DNS untuk instance mesin virtual (VM) yang memiliki antarmuka jaringan (vNIC) yang terpasang ke jaringan VPC. Saat VM menggunakan server metadatanya 169.254.169.254 sebagai server namanya, Google Cloud penelusuran resource Cloud DNS sesuai dengan urutan penyelesaian nama jaringan VPC.

Untuk membuat layanan resolusi nama jaringan VPC tersedia bagi jaringan lokal yang terhubung ke jaringan VPC menggunakan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Router appliance, Anda dapat menggunakan kebijakan server masuk.

Saat Anda membuat kebijakan server masuk, Cloud DNS akan membuat titik entri kebijakan server masuk di jaringan VPC tempat kebijakan server diterapkan. Titik entri kebijakan server masuk adalah alamat IPv4 internal yang berasal dari rentang alamat IPv4 utama setiap subnet dalam jaringan VPC yang berlaku, kecuali untuk subnet dengan data --purpose tertentu, seperti subnet khusus proxy untuk load balancer tertentu dan subnet yang digunakan oleh Cloud NAT untuk NAT Pribadi.

Misalnya, jika Anda memiliki jaringan VPC yang berisi dua subnet di region yang sama dan subnet ketiga di region yang berbeda, saat Anda mengonfigurasi kebijakan server masuk untuk jaringan VPC, Cloud DNS menggunakan total tiga alamat IPv4 sebagai titik entri kebijakan server masuk, satu per subnet.

Untuk mengetahui informasi tentang cara membuat kebijakan server masuk untuk VPC, lihat Membuat kebijakan server masuk.

Jaringan dan region untuk kueri masuk

Untuk memproses kueri DNS yang dikirim ke titik entri kebijakan server masuk, Cloud DNS mengaitkan kueri dengan jaringan VPC dan region:

Jaringan VPC terkait untuk kueri DNS adalah jaringan VPC yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau antarmuka jaringan perangkat Router yang menerima paket untuk kueri DNS.
- Google merekomendasikan pembuatan kebijakan server masuk di jaringan VPC yang terhubung ke jaringan lokal Anda. Dengan begitu, titik entri kebijakan server masuk berada di jaringan VPC yang sama dengan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau perangkat Router yang terhubung ke jaringan lokal.
- Jaringan lokal dapat mengirim kueri ke titik entri kebijakan server masuk di jaringan VPC lain—misalnya, jika jaringan VPC yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau appliance Router yang terhubung ke jaringan lokal juga terhubung ke jaringan VPC lain menggunakan Peering Jaringan VPC. Namun, sebaiknya jangan gunakan konfigurasi ini karena jaringan VPC terkait untuk kueri DNS tidak cocok dengan jaringan VPC yang berisi titik entri kebijakan server masuk, yang berarti kueri DNS tidak diselesaikan menggunakan zona pribadi dan kebijakan respons Cloud DNS di jaringan VPC yang berisi kebijakan server masuk. Untuk menghindari kebingungan, sebaiknya lakukan langkah-langkah konfigurasi berikut:
  1. Buat kebijakan server masuk di jaringan VPC yang terhubung ke jaringan lokal menggunakan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Router appliance.
  2. Konfigurasi sistem lokal untuk mengirim kueri DNS ke titik entri kebijakan server masuk yang dikonfigurasi pada langkah sebelumnya.
  3. Konfigurasi resource Cloud DNS yang diizinkan untuk jaringan VPC yang terhubung ke jaringan lokal. Gunakan satu atau beberapa metode berikut:
    - Tambahkan jaringan VPC yang terhubung ke jaringan lokal ke daftar jaringan yang diberi otorisasi untuk zona pribadi Cloud DNS yang diberi otorisasi untuk jaringan VPC lainnya: Jika zona pribadi Cloud DNS dan jaringan VPC yang terhubung ke jaringan lokal berada di project yang berbeda dalam organisasi yang sama, gunakan URL jaringan lengkap saat memberi otorisasi pada jaringan. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan binding lintas project.
    - Zona peering Cloud DNS yang diizinkan untuk jaringan VPC yang terhubung ke jaringan lokal: Tetapkan jaringan target zona peering ke jaringan VPC lainnya. Tidak masalah apakah jaringan VPC yang terhubung ke jaringan lokal terhubung ke jaringan VPC target zona peering menggunakan Peering Jaringan VPC karena zona peering Cloud DNS tidak mengandalkan Peering Jaringan VPC untuk konektivitas jaringan.
- Jika jaringan lokal mengirim kueri ke kebijakan server inbound menggunakan Peering Jaringan VPC, jaringan dengan kebijakan server inbound harus berisi VM, lampiran VLAN, atau tunnel Cloud VPN yang berada di region yang sama dengan kueri masuk.
Region terkait untuk kueri DNS selalu merupakan region yang berisi tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau antarmuka jaringan perangkat Router yang menerima paket untuk kueri DNS, bukan region subnet yang berisi titik entri kebijakan server masuk.
- Misalnya, jika paket untuk kueri DNS memasuki jaringan VPC menggunakan tunnel Cloud VPN yang berada di region us-east1 dan dikirim ke titik entri kebijakan server masuk di region us-west1, region terkait untuk kueri DNS adalah us-east1.
- Sebagai praktik terbaik, kirim kueri DNS ke alamat IPv4 titik entri kebijakan server masuk di region yang sama dengan tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau perangkat Router.
- Region terkait untuk kueri DNS penting jika Anda menggunakan kebijakan perutean geolokasi. Untuk mengetahui informasi selengkapnya, lihat Mengelola kebijakan perutean DNS dan pemeriksaan kondisi.

Pengumuman rute titik entri kebijakan server inbound

Karena alamat IP titik entri kebijakan server inbound diambil dari rentang alamat IPv4 utama subnet, Cloud Router akan mengiklankan alamat IP tersebut saat sesi Border Gateway Protocol (BGP) untuk tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Router appliance dikonfigurasi untuk menggunakan mode pemberitahuan default Cloud Router. Anda juga dapat mengonfigurasi sesi BGP untuk memberitahukan alamat IP titik entri kebijakan server masuk jika Anda menggunakan mode pemberitahuan kustom Cloud Router dengan salah satu cara berikut:

Anda mengiklankan rentang alamat IP subnet selain awalan kustom.
Anda menyertakan alamat IP titik entri kebijakan server masuk dalam iklan awalan kustom.

Kebijakan server keluar

Anda dapat mengubah urutan resolusi nama Cloud DNS dari jaringan VPC dengan membuat kebijakan server keluar yang menentukan daftar server nama alternatif. Jika VM menggunakan server metadata 169.254.169.254 sebagai server namanya, dan jika Anda telah menentukan server nama alternatif untuk jaringan VPC, Cloud DNS akan mengirimkan semua kueri ke server nama alternatif kecuali kueri tersebut cocok dengan kebijakan respons cakupan cluster Google Kubernetes Engine atau zona pribadi cakupan cluster GKE.

Jika ada dua atau lebih server nama alternatif dalam kebijakan server keluar, Cloud DNS akan memberi peringkat server nama alternatif dan membuat kueri server tersebut seperti yang dijelaskan pada langkah pertama urutan resolusi nama VPC. Penting: Tinjau urutan penyelesaian jaringan VPC dengan cermat. Penggunaan server nama alternatif menonaktifkan resolusi banyak fitur Cloud DNS, dan juga dapat memengaruhi resolusi kueri DNS publik, bergantung pada konfigurasi server nama alternatif. Untuk mengetahui informasi selengkapnya tentang strategi lain untuk penerusan DNS keluar, lihat Metode penerusan DNS dalam ringkasan Cloud DNS. Untuk mengetahui informasi tentang cara membuat kebijakan server keluar, lihat Membuat kebijakan server keluar.

Jenis, metode perutean, dan alamat server nama alternatif

Cloud DNS mendukung server nama alternatif berikut dan menawarkan metode pemilihan rute standar atau pribadi untuk konektivitas.

Jenis server nama alternatif Dukungan perutean standar Dukungan perutean pribadi Rentang alamat IP sumber kueri

Jenis server nama alternatif	Dukungan perutean standar	Dukungan perutean pribadi	Rentang alamat IP sumber kueri
Server nama Type 1 Alamat IP internal dari Google Cloud VM di jaringan VPC yang sama tempat kebijakan server keluar ditentukan.	Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang sah.	Alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali untuk alamat IP server nama alternatif yang dilarang—traffic selalu dirutekan melalui jaringan VPC yang sah.
Server nama tipe 2 Alamat IP sistem lokal, yang terhubung ke jaringan VPC dengan kebijakan server keluar, menggunakan Cloud VPN atau Cloud Interconnect.	Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang sah.	Alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali untuk alamat IP server nama alternatif yang dilarang—traffic selalu dirutekan melalui jaringan VPC yang sah.
Server nama tipe 3 Alamat IP eksternal server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud —misalnya, alamat IP eksternal VM di jaringan VPC lain.	Hanya alamat IP eksternal yang dapat dirutekan ke internet—traffic selalu dirutekan ke internet atau ke alamat IP eksternal resource Google Cloud .	Perutean pribadi tidak didukung.	Rentang sumber Google Public DNS

Server nama Type 1

Alamat IP internal dari Google Cloud VM di jaringan VPC yang sama tempat kebijakan server keluar ditentukan.

Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang sah.

Alamat IP internal apa pun, seperti alamat pribadi RFC 1918, alamat IP pribadi non-RFC 1918, atau alamat IP eksternal yang digunakan kembali secara pribadi, kecuali untuk alamat IP server nama alternatif yang dilarang—traffic selalu dirutekan melalui jaringan VPC yang sah.

Server nama tipe 2

Alamat IP sistem lokal, yang terhubung ke jaringan VPC dengan kebijakan server keluar, menggunakan Cloud VPN atau Cloud Interconnect.

Hanya alamat IP RFC 1918—traffic selalu dirutekan melalui jaringan VPC yang sah.

Server nama tipe 3

Alamat IP eksternal server nama DNS yang dapat diakses oleh internet atau alamat IP eksternal resource Google Cloud —misalnya, alamat IP eksternal VM di jaringan VPC lain.

Hanya alamat IP eksternal yang dapat dirutekan ke internet—traffic selalu dirutekan ke internet atau ke alamat IP eksternal resource Google Cloud .

Perutean pribadi tidak didukung.

Rentang sumber Google Public DNS

Cloud DNS menawarkan dua metode perutean untuk membuat kueri server nama alternatif:

Pemilihan rute standar. Cloud DNS menentukan jenis server nama alternatif menggunakan alamat IP-nya, lalu menggunakan pemilihan rute pribadi atau publik :
- Jika server nama alternatif adalah alamat IP RFC 1918, Cloud DNS mengklasifikasikan server nama sebagai server nama Type 1 atau Type 2, dan merutekan kueri melalui jaringan VPC yang sah (pemilihan rute pribadi).
- Jika server nama alternatif bukan alamat IP RFC 1918, Cloud DNS mengklasifikasikan server nama sebagai Jenis 3, dan mengharapkan server nama alternatif dapat diakses melalui internet. Cloud DNS merutekan kueri melalui internet (perutean publik).
Perutean pribadi. Cloud DNS memperlakukan server nama alternatif sebagai Jenis 1 atau Jenis 2. Cloud DNS selalu merutekan traffic melalui jaringan VPC yang sah, terlepas dari alamat IP server nama alternatif (RFC 1918 atau tidak).

Alamat IP server nama alternatif yang dilarang

Anda tidak dapat menggunakan alamat IP berikut untuk server nama alternatif Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Persyaratan jaringan server nama alternatif

Persyaratan jaringan untuk server nama alternatif bervariasi berdasarkan jenis server nama alternatif. Untuk menentukan jenis server nama alternatif, lihat Jenis server nama alternatif, metode perutean, dan alamat. Kemudian, lihat salah satu bagian berikut untuk mengetahui persyaratan jaringan.

Persyaratan jaringan untuk server nama alternatif Tipe 1

Cloud DNS mengirim paket yang sumbernya berasal dari rentang alamat IP ke alamat IP server nama alternatif Type 1.Google Cloud merutekan paket untuk kueri menggunakan rute subnet lokal di jaringan VPC. Pastikan Anda belum membuat rute berbasis kebijakan yang tujuannya mencakup alamat IP server nama alternatif Tipe 1.

Untuk mengizinkan paket masuk di VM server nama alternatif, Anda harus membuat aturan firewall VPC izinkan traffic masuk atau aturan dalam kebijakan firewall dengan karakteristik berikut:

Target: harus menyertakan VM server nama alternatif
Sumber:
Protokol: TCP dan UDP
Port: 53

Cloud DNS mewajibkan setiap server nama alternatif mengirim paket respons kembali ke alamat IP Cloud DNS di dari tempat kueri berasal. Sumber untuk paket respons harus cocok dengan alamat IP server nama alternatif yang menjadi tujuan Cloud DNS mengirim kueri asli. Cloud DNS mengabaikan respons jika berasal dari sumber alamat IP yang tidak terduga—misalnya, alamat IP server nama lain yang mungkin meneruskan kueri ke server nama alternatif.

Saat mengirimkan paket respons ke , server nama alternatif Jenis 1 menggunakan jalur perutean khusus.

Persyaratan jaringan untuk server nama alternatif Tipe 2

Cloud DNS mengirim paket yang sumbernya berasal dari rentang alamat IP ke server nama alternatif Jenis 2. Cloud DNS mengandalkan jenis rute berikut dalam jaringan VPC tempat kebijakan server keluar diterapkan:

Rute statis kecuali rute statis yang hanya berlaku untuk VM berdasarkan tag jaringan
Rute dinamis

Untuk mengizinkan paket masuk di server nama alternatif Jenis 2, pastikan Anda mengonfigurasi aturan firewall izinkan masuk yang berlaku untuk server nama alternatif dan peralatan jaringan lokal yang relevan dengan fitur firewall. Konfigurasi firewall yang efektif harus mengizinkan protokol TCP dan UDP dengan port tujuan 53 dan sumber .

Jaringan lokal Anda harus memiliki rute untuk tujuan yang next hop-nya adalah tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Cloud Router yang berada di jaringan dan region VPC yang sama dengan tempat Cloud DNS mengirimkan kueri. Selama hop berikutnya memenuhi persyaratan jaringan dan region tersebut, Google Cloud tidak memerlukan jalur kembali simetris. Respons dari server nama alternatif Type 2 tidak dapat dirutekan menggunakan next hop berikut:

Next hop di internet
Next hop di jaringan VPC yang berbeda dengan jaringan VPC tempat kueri berasal
Next hop di jaringan VPC yang sama, tetapi di region yang berbeda dengan region tempat kueri berasal

Untuk mengonfigurasi rute di jaringan lokal, gunakan mode pemberitahuan kustom Cloud Router dan sertakan sebagai awalan kustom dalam sesi BGP dari tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau Cloud Router yang relevan yang menghubungkan jaringan VPC Anda ke jaringan lokal yang berisi server nama alternatif Jenis 2. Atau, Anda dapat mengonfigurasi rute statis yang setara di jaringan lokal Anda.

Persyaratan jaringan untuk server nama alternatif Tipe 3

Cloud DNS mengirimkan paket yang sumbernya cocok dengan rentang sumber DNS Publik Google ke server nama alternatif Jenis 3. Cloud DNS menggunakan perutean publik— Cloud DNS tidak mengandalkan rute apa pun dalam jaringan VPC yang menerapkan kebijakan server keluar.

Untuk mengizinkan paket masuk di server nama alternatif Jenis 3, pastikan konfigurasi firewall efektif yang berlaku untuk server nama alternatif mengizinkan paket dari rentang sumber DNS Publik Google.

Langkah berikutnya

Untuk mengonfigurasi dan menerapkan kebijakan server DNS, lihat Menerapkan kebijakan server DNS.