名称解析顺序

Cloud DNS 按照以下过程响应来自 Compute Engine 虚拟机 (VM) 实例和 Google Kubernetes Engine (GKE) 节点的查询。

对于 GKE 节点以外的 Compute Engine 虚拟机,Cloud DNS 按照 VPC 网络解析顺序来处理收到的查询。每个虚拟机都必须配置为使用元数据服务器 IP 地址 (169.254.169.254) 作为其域名服务器。

对于 GKE 节点:

  1. Cloud DNS 会先尝试使用集群范围响应政策和专用区域匹配查询。

  2. Cloud DNS 按照 VPC 网络解析顺序继续操作。

集群范围响应政策和专用区域

  1. 使用 GKE 集群范围响应政策中规则进行匹配。Cloud DNS 会扫描所有适用的 GKE 集群级响应政策,以查找 DNS 名称属性尽可能与查询匹配的规则。Cloud DNS 使用最长后缀匹配来扫描集群范围响应政策。

    1. 如果 Cloud DNS 找到匹配的响应政策规则,并且该规则传送本地数据,则 Cloud DNS 会返回本地数据作为其响应,以完成域名解析过程。

    2. 如果 Cloud DNS 找到匹配的响应政策规则,并且该规则的行为绕过响应政策,则 Cloud DNS 会继续执行下一步。

    3. 如果 Cloud DNS 找不到匹配的响应政策,或者节点没有适用的集群级响应政策,则 Cloud DNS 会继续执行下一步。

  2. 匹配集群范围专用区域中的记录。Cloud DNS 会扫描所有集群级代管式专用区域,以查找尽可能与查询匹配的记录。Cloud DNS 使用最长后缀匹配来查找集群范围专用区域中的记录。

    1. 如果查询最具体的匹配项是集群范围专用区域的区域名称,则 Cloud DNS 会使用该区域的记录数据来解析请求。

      • 如果该区域包含与查询完全匹配的记录,则 Cloud DNS 会返回该记录的数据。
      • 如果该区域不包含匹配的记录,则 Cloud DNS 会返回 NXDOMAIN

    2. 如果查询最具体的匹配项是集群级转发区域的区域名称,则 Cloud DNS 会将查询转发到转发区域的某个转发目标,以完成域名解析过程。Cloud DNS 会返回以下某个响应。

      • 从转发目标收到的响应。
      • 如果转发目标未响应 Cloud DNS,则为 SERVFAIL 响应。

    3. 如果查询与任何集群范围专用区域都不匹配,则 Cloud DNS 将继续按照 VPC 网络解析顺序操作。

VPC 网络解析顺序

  1. 使用 VPC 网络备用域名服务器进行匹配。如果 VPC 网络具有出站服务器政策,Google Cloud 会将查询转发到该政策中定义的某个备用域名服务器以完成域名解析过程。

    如果出站服务器政策中存在两个或更多个备用域名服务器,Cloud DNS 会使用内部算法对这些备用域名服务器进行排名。从同等排名开始,备用域名服务器的排名会根据成功响应率(包括 NXDOMAIN 响应)的提高以及根据最短的往返时间(最低的响应延迟)而提升。

    Cloud DNS 会按照以下流程向备用域名服务器发送查询并返回响应。

    • 如果出站服务器政策中存在两个或更多个备用域名服务器,Cloud DNS 会先将查询发送到排名最高的备用域名服务器,然后,如果 Cloud DNS 未收到排名最高的备用域名服务器的任何响应,则会将查询发送到排名次高的备用域名服务器。如果 Cloud DNS 未收到排名次高的备用域名服务器的任何响应,则 Cloud DNS 会继续按降序排名查询备用域名服务器,直到备用域名服务器列表中的所有服务器都查询完毕。

    • 如果 Cloud DNS 收到备用域名服务器的响应,则会返回该响应。这些响应包括 NXDOMAIN 响应。

    • 如果 Cloud DNS 未收到出站服务器政策中所有备用域名服务器的响应,则 Cloud DNS 会合成 SERVFAIL 响应。如需排查备用域名服务器连接问题,请参阅备用域名服务器网络要求

    如果 VPC 网络没有出站服务器政策,则 Cloud DNS 会继续执行下一步。

  2. 使用 VPC 网络范围响应政策中的规则进行匹配。Cloud DNS 会扫描所有适用的 VPC 网络响应政策,以查找 DNS 名称属性尽可能与查询匹配的规则。Cloud DNS 使用最长后缀匹配来扫描 VPC 网络范围响应政策。

    1. 如果 Cloud DNS 找到匹配的响应政策规则,并且该规则传送本地数据,则 Cloud DNS 会返回本地数据作为其响应,以完成域名解析过程。

    2. 如果 Cloud DNS 找到匹配的响应政策规则,并且该规则的行为绕过响应政策,则 Cloud DNS 会继续执行下一步。

    3. 如果 Cloud DNS 找不到匹配的响应政策,或者虚拟机或节点没有适用的 VPC 网络范围响应政策,则 Cloud DNS 会继续执行下一步。

  3. 匹配 VPC 网络范围托管专用区域中的记录。Cloud DNS 会扫描所有针对 VPC 网络授权的托管专用区域,以查找尽可能与查询匹配的记录。Cloud DNS 使用最长后缀匹配来查找记录。

    1. 如果查询最具体的匹配项是 VPC 网络范围专用区域的区域名称,则 Cloud DNS 会使用该区域的记录数据来解析请求。

      • 如果该区域包含与查询完全匹配的记录,则 Cloud DNS 会返回该记录的数据。
      • 如果该区域不包含匹配的记录,则 Cloud DNS 会返回 NXDOMAIN

    2. 如果查询最具体的匹配项是 VPC 网络范围转发区域的区域名称,则 Cloud DNS 会将查询转发到转发区域的某个转发目标,以完成域名解析过程。Cloud DNS 会返回以下某个响应。

      • 从转发目标收到的响应。
      • 如果转发目标未响应 Cloud DNS,则为 SERVFAIL 响应。

    3. 如果查询最具体的匹配项是 VPC 网络范围对等互连区域的名称,则 Cloud DNS 会停止当前域名解析过程,并从对等互连区域的目标 VPC 网络角度开始新的域名解析过程。

    如果查询与专用区域、转发区域或对等互连区域不匹配,则 Cloud DNS 会继续执行下一步。

  4. 匹配 Compute Engine 内部区域中的记录。Cloud DNS 会扫描所有适用的 Compute Engine 内部 DNS 区域,以查找尽可能与查询匹配的记录。Cloud DNS 使用最长后缀匹配来查找记录。

    1. 如果查询最具体的匹配项是 Compute Engine 内部 DNS 名称,则 Cloud DNS 会返回虚拟机网络接口的内部 IP 地址或其反向查找指针作为其响应,以完成域名解析过程。

  5. 使用公共 DNS 查询匹配记录: Google Cloud 按照起始授权机构 (SOA) 记录来查询公开提供的区域,包括 Cloud DNS 公开区域。Cloud DNS 会返回以下响应之一。

    • 从权威域名服务器收到的响应。
    • 如果记录不存在,则为 NXDOMAIN 响应。

示例

假设您有两个 VPC 网络(vpc-avpc-b)、GKE 集群 cluster-a 以及以下范围限定的资源:

  1. vpc-a 有权查询以下专用地区。请注意每个条目中的尾随点:

    • static.example.com.
    • 10.internal.

  2. peer.com. 是可以查询 VPC 域名解析顺序 vpc-b 的对等互连区域。

  3. vpc-a 与任何出站服务器或响应政策无关联。

  4. cluster-a 有权查询名为 example.com 的专用地区。cluster-a 与任何出站服务器或响应政策也无关联。

  5. cluster-a 中的虚拟机可以查询:

    • example.com和儿童(包括 static.example.com)由由授权给 cluster-a 名为 example.com 的专用地区响应。
    • 10.internal 位于 vpc-a 上。
    • 通过使用对等互连地区的 peer.com

  6. 不在 cluster-a 中的虚拟机可以查询:

    • static.example.com 和子节点,由授权给 vpc-a 名为 static.example.com 的专用地区响应。对 example.com 的查询会返回互联网响应。
    • 10.internal 位于 vpc-a 上。
    • 通过使用对等互连地区的 peer.com

后续步骤