Esta página foi traduzida pela API Cloud Translation.

Vista geral do Cloud DNS

Esta página oferece uma vista geral das funcionalidades e capacidades do Cloud DNS. O Cloud DNS é um serviço de Sistema de Nomes de Domínio (DNS) global, resiliente e de alto desempenho que publica os seus nomes de domínios no DNS global de forma rentável.

O DNS é uma base de dados distribuída hierárquica que lhe permite armazenar endereços IP e outros dados, e procurá-los por nome. O Cloud DNS permite-lhe publicar as suas zonas e registos no DNS sem o encargo de gerir os seus próprios servidores e software DNS.

O Cloud DNS oferece zonas públicas e zonas de DNS geridas privadas. Uma zona pública é visível para a Internet pública, enquanto uma zona privada é visível apenas a partir de uma ou mais redes da nuvem virtual privada (VPC) que especificar. Para ver informações detalhadas sobre as zonas, consulte o artigo Vista geral das zonas DNS.

O Cloud DNS suporta autorizações da gestão de identidade e de acesso (IAM) ao nível do projeto e ao nível da zona DNS individual. Para obter informações sobre como definir autorizações de IAM de recursos individuais, consulte o artigo Crie uma zona com autorizações de IAM específicas.

Para ver uma lista de terminologia geral de DNS, consulte a Vista geral do DNS.

Para ver uma lista da terminologia fundamental na qual o Cloud DNS se baseia, consulte a secção Termos principais.

Para começar a usar o Cloud DNS, consulte o Início rápido.

Experimente

Se está a usar o Google Cloud pela primeira vez, crie uma conta para avaliar o desempenho do Cloud DNS em cenários reais. Os novos clientes também recebem 300 USD em créditos gratuitos para executar, testar e implementar cargas de trabalho.

Experimente o Cloud DNS gratuitamente

Considerações sobre a VPC partilhada

Para usar uma zona privada gerida do Cloud DNS, uma zona de encaminhamento do Cloud DNS ou uma zona de intercâmbio do Cloud DNS com a VPC partilhada, tem de criar a zona no projeto anfitrião e, em seguida, adicionar uma ou mais redes da VPC partilhada à lista de redes autorizadas para essa zona. Em alternativa, pode configurar a zona num projeto de serviço através da associação entre projetos.

Para mais informações, consulte o artigo Práticas recomendadas para zonas privadas do Cloud DNS.

Métodos de encaminhamento de DNS

Google Cloud oferece encaminhamento de DNS de entrada e saída para zonas privadas. Pode configurar o encaminhamento de DNS criando uma zona de encaminhamento ou uma política de servidor do Cloud DNS. Os dois métodos estão resumidos na tabela seguinte.

Encaminhamento de DNS	Métodos de DNS na nuvem
De entrada	Crie uma política de servidor de entrada para permitir que um cliente ou um servidor DNS no local envie pedidos DNS para o Cloud DNS. O cliente ou o servidor DNS pode, em seguida, resolver registos de acordo com a ordem de resolução de nomes de uma rede VPC. Os clientes no local podem resolver registos em zonas privadas, zonas de encaminhamento e zonas de intercâmbio para as quais a rede da VPC foi autorizada. Os clientes no local usam o Cloud VPN ou o Cloud Interconnect para se ligarem à rede VPC.
De saída	Pode configurar VMs numa rede de VPC para fazer o seguinte: Enviar pedidos DNS para servidores de nomes DNS à sua escolha. Os servidores de nomes podem estar localizados na mesma rede VPC, numa rede no local ou na Internet. Resolva registos alojados em servidores de nomes configurados como destinos de encaminhamento de uma zona de encaminhamento autorizada para utilização pela sua rede VPC. Para ver informações sobre como Google Cloud encaminha o tráfego para um destino de encaminhamento, consulte Destinos de encaminhamento e métodos de encaminhamento. Crie uma política de servidor de saída para a rede VPC para enviar todos os pedidos DNS para um servidor de nomes alternativo. Quando usa um servidor de nomes alternativo, as VMs na sua rede VPC deixam de conseguir resolver registos em zonas privadas do Cloud DNS, zonas de encaminhamento, zonas de intercâmbio ou zonas DNS internas do Compute Engine. Para ver detalhes adicionais, consulte o artigo Ordem de resolução de nomes.

Encaminhamento de DNS

Métodos de DNS na nuvem

De entrada

Crie uma política de servidor de entrada para permitir que um cliente ou um servidor DNS no local envie pedidos DNS para o Cloud DNS. O cliente ou o servidor DNS pode, em seguida, resolver registos de acordo com a ordem de resolução de nomes de uma rede VPC.

Os clientes no local podem resolver registos em zonas privadas, zonas de encaminhamento e zonas de intercâmbio para as quais a rede da VPC foi autorizada. Os clientes no local usam o Cloud VPN ou o Cloud Interconnect para se ligarem à rede VPC.

De saída

Pode configurar VMs numa rede de VPC para fazer o seguinte:

Enviar pedidos DNS para servidores de nomes DNS à sua escolha. Os servidores de nomes podem estar localizados na mesma rede VPC, numa rede no local ou na Internet.
Resolva registos alojados em servidores de nomes configurados como destinos de encaminhamento de uma zona de encaminhamento autorizada para utilização pela sua rede VPC. Para ver informações sobre como Google Cloud encaminha o tráfego para um destino de encaminhamento, consulte Destinos de encaminhamento e métodos de encaminhamento.
Crie uma política de servidor de saída para a rede VPC para enviar todos os pedidos DNS para um servidor de nomes alternativo. Quando usa um servidor de nomes alternativo, as VMs na sua rede VPC deixam de conseguir resolver registos em zonas privadas do Cloud DNS, zonas de encaminhamento, zonas de intercâmbio ou zonas DNS internas do Compute Engine. Para ver detalhes adicionais, consulte o artigo Ordem de resolução de nomes.

Pode configurar simultaneamente o encaminhamento DNS de entrada e saída para uma rede VPC. O encaminhamento bidirecional permite que as VMs na sua rede VPC resolvam registos numa rede no local ou numa rede alojada por um fornecedor de nuvem diferente. Este tipo de encaminhamento também permite que os anfitriões na rede no local resolvam registos para os seusGoogle Cloud recursos.

O plano de controlo do Cloud DNS usa a ordem de seleção do destino de encaminhamento para selecionar um destino de encaminhamento. Por vezes, as consultas encaminhadas de saída podem resultar em erros SERVFAIL se os destinos de encaminhamento não forem alcançáveis ou não responderem com rapidez suficiente. Para instruções de resolução de problemas, consulte o artigo As consultas encaminhadas de saída recebem erros SERVFAIL.

Para ver informações sobre como aplicar políticas de servidor, consulte o artigo Crie políticas de servidor DNS. Para saber como criar uma zona de encaminhamento, consulte o artigo Crie uma zona de encaminhamento.

DNSSEC

O Cloud DNS suporta DNSSEC geridas, protegendo os seus domínios contra ataques de spoofing e envenenamento da cache. Quando usa um resolvedor de validação como o DNS público da Google, as DNSSEC oferecem uma autenticação forte (mas não encriptação) das pesquisas de domínios. Para mais informações sobre as DNSSEC, consulte o artigo Gerir a configuração das DNSSEC.

DNS64 (pré-visualização)

Pode ligar as suas instâncias de máquinas virtuais (VMs) do Compute Engine apenas com IPv6 (pré-visualização) a destinos IPv4 através do DNS64 do Cloud DNS. O DNS64 fornece um endereço IPv6 sintetizado para cada destino IPv4. O Cloud DNS cria um endereço sintetizado através da combinação do prefixo conhecido (WKP) 64:ff9b::/96 com os 32 bits do endereço IPv4 de destino.

Configure o DNS64 e a tradução de endereços de rede com a NAT pública (NAT64) para permitir que as suas instâncias de VM apenas IPv6 (pré-visualização) comuniquem com destinos IPv4 na Internet. Para configurar o NAT64, siga as instruções em Crie um gateway de NAT da Cloud.

O exemplo seguinte mostra como uma instância de VM apenas IPv6 (pré-visualização) denominada vmipv6 resolve o nome de um destino apenas IPv4.

A instância de VM vmipv6 inicia um pedido DNS para resolver o nome do destino para um endereço IPv6.
Se existir um registo AAAA (endereço IPv6), o Cloud DNS devolve o endereço IPv6 e a instância de VM vmipv6 usa-o para se ligar ao destino.
Se não existir nenhum registo AAAA, mas tiver configurado o DNS64, o Cloud DNS procura um registo A (endereço IPv4). Se o Cloud DNS encontrar um registo A, sintetiza um registo AAAA prefixando o endereço IPv4 com 64:ff9b::/96.

O DNS64 traduz um endereço IPv4 num endereço IPv6 sintetizado. — O DNS64 traduz um endereço IPv4 num endereço IPv6 sintetizado (clique para aumentar).

Por exemplo, se o endereço IPv4 for 32.34.50.60, o endereço IPv6 sintetizado resultante é 64:ff9b::2022:323c, em que 2022:323c é o equivalente hexadecimal do endereço IPv4. O prefixo 64:ff9b::/96 está definido na RFC 6052. O Cloud DNS sintetiza estes endereços IPv6 mesmo quando aloja os registos de DNS no local, desde que ative o encaminhamento de DNS no Cloud DNS.

Pode usar o DNS64 nos seguintes cenários:

Aderir aos mandatos que exigem uma mudança para endereços IPv6 sem atribuir endereços IPv4.
Faça a transição para a infraestrutura de endereços apenas IPv6 em fases, mantendo o acesso à infraestrutura IPv4 existente.
Evite interrupções nos serviços críticos garantindo o acesso contínuo a ambientes com endereços IPv4 antigos durante a transição para endereços IPv6.

Para configurar o DNS64 para uma rede VPC, siga as instruções em Configurar o DNS64.

Controlo de acesso

Pode gerir os utilizadores autorizados a fazer alterações aos seus registos DNS na página IAM e administração naGoogle Cloud consola. Para que os utilizadores sejam autorizados a fazer alterações, têm de ter a função de administrador de DNS (roles/dns.admin) na secção Autorizações da consola Google Cloud . A função Leitor de DNS (roles/dns.reader) concede acesso só de leitura aos registos do Cloud DNS.

Estas autorizações também se aplicam a contas de serviço que possa usar para gerir os seus serviços de DNS.

Para ver as autorizações atribuídas a estas funções, consulte Funções.

Controlo de acesso para zonas geridas

Os utilizadores com a função Proprietário ou Editor do projeto (roles/owner ou roles/editor) podem gerir ou ver as zonas geridas no projeto específico que estão a gerir.

Os utilizadores com a função de administrador de DNS ou leitor de DNS podem gerir ou ver as zonas geridas em todos os projetos aos quais têm acesso.

Os proprietários, os editores, os administradores de DNS e os leitores de DNS do projeto podem ver a lista de zonas privadas aplicadas a qualquer rede VPC no projeto atual.

Acesso por autorização de recurso

Para configurar uma política num recurso de DNS, como uma zona gerida, tem de ter acesso de proprietário ao projeto que detém esse recurso. A função de administrador de DNS não tem a autorização setIamPolicy. Enquanto proprietário do projeto, também pode criar funções do IAM personalizadas para as suas necessidades específicas. Para ver informações detalhadas, consulte o artigo Compreender as funções personalizadas do IAM.

Desempenho e sincronização

O Cloud DNS usa o anycast para publicar as suas zonas geridas a partir de várias localizações em todo o mundo para uma elevada disponibilidade. Os pedidos são encaminhados automaticamente para a localização mais próxima, o que reduz a latência e melhora o desempenho da pesquisa de nomes autoritativos para os seus utilizadores.

Propagação de alterações

As alterações são propagadas em duas partes. Primeiro, a alteração que envia através da API ou da ferramenta de linha de comandos tem de ser enviada para os servidores DNS autorizados do Cloud DNS. Em segundo lugar, os resolvedores de DNS têm de detetar esta alteração quando a respetiva cache dos registos expirar.

O valor de tempo de vida (TTL) que define para os seus registos, especificado em segundos, controla a cache do resolvedor de DNS. Por exemplo, se definir um valor de TTL de 86 400 (o número de segundos em 24 horas), os resolvedores de DNS recebem instruções para armazenar em cache os registos durante 24 horas. Alguns resolvedores de DNS ignoram o valor de TTL ou usam os seus próprios valores, o que pode atrasar a propagação completa dos registos.

Se estiver a planear uma alteração aos serviços que requer uma janela restrita, é recomendável alterar o TTL para um valor mais curto antes de fazer a alteração. O novo valor de TTL mais curto é aplicado após a expiração do valor de TTL anterior na cache do resolvedor. Esta abordagem pode ajudar a reduzir o período de colocação em cache e garantir uma alteração mais rápida às novas definições de registo. Após a alteração, pode alterar o valor de volta para o valor de TTL anterior para reduzir a carga nos resolvedores de DNS.

O que se segue?

Para começar a usar o Cloud DNS, consulte o artigo Início rápido: configure registos de DNS para um nome de domínio com o Cloud DNS.
Para registar e configurar o seu domínio, consulte o Tutorial: configure um domínio através do Cloud DNS.
Para saber mais sobre as bibliotecas cliente da API, consulte o artigo Exemplos e bibliotecas.
Para encontrar soluções para problemas comuns que pode encontrar ao usar o Cloud DNS, consulte a secção Resolução de problemas.