Descripción general de Cloud DNS

En esta página, se proporciona una descripción general de las características y capacidades de Cloud DNS. Cloud DNS es un servicio de sistema de nombres de dominio (DNS) global, resiliente y de alto rendimiento que publica sus nombres de dominio en el DNS global de una manera rentable.

DNS es una base de datos distribuida y jerárquica que te permite almacenar direcciones IP y otros datos, y buscarlos por nombre. Cloud DNS te permite publicar tus zonas y registros en el DNS sin la carga de administrar tus propios servidores y software DNS.

En Cloud DNS, se ofrecen zonas públicas y zonas de DNS administradas privadas. Una zona pública es visible para la Internet pública, mientras que una zona privada solo es visible desde una o más redes de nube privada virtual (VPC) que especifiques. Para obtener información detallada sobre las zonas, consulta Descripción general de las zonas del DNS.

Cloud DNS admite permisos de administración de identidades y accesos (IAM) a nivel de proyecto y a nivel de zona del DNS individual. Para obtener información sobre cómo configurar permisos de IAM de recursos individuales, consulta Crea una zona con permisos de IAM específicos.

Para obtener una lista de terminología de DNS general, consulta Descripción general de DNS.

Para obtener una lista de la terminología clave en la que se basa Cloud DNS, consulta Términos clave.

Para comenzar a utilizar Cloud DNS, consulta la Guía de inicio rápido.

Pruébalo tú mismo

Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud DNS en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Prueba Cloud DNS gratis

Consideraciones de VPC compartida

Para usar una zona privada administrada por Cloud DNS, una zona de reenvío de Cloud DNS o una zona de intercambio de tráfico de Cloud DNS con VPC compartida, debes crear la zona en el proyecto host. Luego, agrega una o más redes de VPC compartida a la lista de redes autorizadas para esa zona. De forma alternativa, puedes configurar la zona en un proyecto de servicio con vinculación entre proyectos.

Si deseas obtener más información, consulta Prácticas recomendadas para las zonas privadas de Cloud DNS.

Métodos de reenvío de DNS

En Google Cloud, se ofrece el reenvío de DNS entrante y saliente para zonas privadas. Para configurar el reenvío de DNS, crea una zona de reenvío o una política de servidor de Cloud DNS. Los dos métodos se resumen en la siguiente tabla:

Reenvío de DNS Métodos de Cloud DNS
Entrante

Crea una política de servidor de entrada para permitir que un cliente o servidor DNS local envíe solicitudes de DNS a Cloud DNS. Luego, con el cliente o servidor DNS, se pueden resolver registros de acuerdo con el orden de resolución de nombres de una red de VPC.

Los clientes locales pueden resolver registros en zonas privadas, zonas de reenvío y zonas de intercambio de tráfico en las que se autorizó la red de VPC. Los clientes locales usan Cloud VPN o Cloud Interconnect para conectarse a la red de VPC.

Saliente

Puedes configurar las VM en una red de VPC para hacer lo siguiente:

  • Envía solicitudes de DNS a los servidores de nombres DNS que elijas. Los servidores de nombres pueden estar ubicados en la misma red de VPC, en una red local o en Internet.
  • Resolver registros alojados en servidores de nombres configurados como destinos de reenvío de una zona de reenvío autorizada para su uso mediante tu red de VPC. Para obtener información sobre cómo Google Cloud enruta el tráfico a la dirección IP de un destino de reenvío, consulta Objetivos de reenvío y métodos de enrutamiento.
  • Crea una política de servidor de salida para la red de VPC para enviar todas las solicitudes de DNS a un servidor de nombres alternativo. Cuando usas un servidor de nombres alternativo, en las VM de tu red de VPC ya no se pueden resolver los registros de las zonas privadas de Cloud DNS, las zonas de reenvío, las zonas de intercambio de tráfico o las zonas de DNS internas de Compute Engine. Para obtener más detalles, consulta Orden de resolución de nombres.

Puedes configurar el reenvío entrante y saliente de DNS de forma simultánea para una red de VPC. Con el reenvío bidireccional, se pueden resolver los registros de una red local o una red alojada mediante un proveedor de servicios en la nube diferente con las VM de tu red de VPC. Con este tipo de reenvío, también se permite la resolución de los registros para tus recursos de Google Cloud con los hosts de la red local.

En el plano de control de Cloud DNS, se usa el orden de selección de destino de reenvío para seleccionar un destino de reenvío. Las consultas de reenvío de salida a veces pueden generar errores SERVFAIL si no se puede acceder a los destinos de reenvío o si no responden lo suficientemente rápido. Para obtener instrucciones sobre la solución de problemas, consulta Las consultas de reenvío de salida reciben errores SERVFAIL.

Si deseas obtener información para aplicar las políticas de servidor, consulta Crea políticas de servidor DNS. Si deseas obtener más información para crear una zona de reenvío, consulta Crea una zona de reenvío.

DNSSEC

Cloud DNS admite DNSSEC administradas, que protegen tus dominios contra la falsificación de identidad y los ataques de envenenamiento de caché. Cuando usas un agente de resolución de validación como DNS público de Google, DNSSEC proporciona una autenticación sólida (pero no la encriptación) de las búsquedas de dominio. Para obtener más información sobre DNSSEC, consulta Administra la configuración de DNSSEC.

Control de acceso

Puedes administrar los usuarios que tienen permitido realizar cambios en tus registros DNS. en la sección IAM y Administrador en el Consola de Google Cloud. Para que los usuarios estén autorizados a realizar cambios, deben tener el rol de administrador de DNS (roles/dns.admin) en la sección Permisos de la consola de Google Cloud. El rol de lector de DNS (roles/dns.reader) otorga acceso de solo lectura a los registros de Cloud DNS.

Estos permisos también se aplican a las cuentas de servicios que puedes usar para administrar tus servicios del DNS.

Para ver los permisos asignados a estos roles, consulta Roles.

Control de acceso para zonas administradas

Los usuarios que poseen las funciones propietario o editor de proyecto (roles/owner o roles/editor) pueden administrar o ver las zonas administradas en el proyecto específico que están administrando.

Los usuarios con el rol Administrador de DNS o Lector de DNS pueden administrar o ver las en todos los proyectos a los que tienen acceso.

Los propietarios de proyectos, los editores, los administradores del DNS y los lectores de DNS pueden ver la lista de zonas privadas aplicadas a cualquier red de VPC en el proyecto actual.

Acceso a permisos por recurso

Para configurar una política en un recurso de DNS, como una zona administrada, debes tener acceso de propietario al proyecto al que pertenece ese recurso. El rol de administrador de DNS no tiene el permiso setIamPolicy. Como propietario de un proyecto, también puedes crear roles de IAM personalizados para tus necesidades específicas. Para información detallada, consulta Explicación de los roles roles.

Rendimiento y tiempos

Cloud DNS usa Anycast a fin de entregar tus zonas administradas desde diferentes ubicaciones en todo el mundo para una alta disponibilidad. Las solicitudes se enrutan automáticamente a la ubicación más cercana, lo que reduce la latencia y mejora el rendimiento de las búsquedas de nombres autorizadas para tus usuarios.

Propagación de cambios

Los cambios se propagan en dos partes. En primer lugar, el cambio que envías a través de la API o la herramienta de línea de comandos se debe enviar a los servidores de nombres autorizados de Cloud DNS. Segundo, los agentes de resolución del DNS deben recoger este cambio cuando su caché de registros vence.

El valor de tiempo de actividad (TTL) que estableces para tus registros, que se especifica en segundos, controla la caché del agente de resolución del DNS. Por ejemplo, si configuras un valor de TTL de 86,400 (la cantidad de segundos en 24 horas), los agentes de resolución del DNS reciben la instrucción de almacenar en caché los registros de 24 horas. Algunos agentes de resolución del DNS ignoran el valor de TTL o usan sus propios valores, lo que puede demorar la propagación total de los registros.

Si estás planeando el cambio a los servicios que requieren un período más corto, es posible que desees cambiar el TTL por un valor menor antes de hacer el cambio. El nuevo valor de TTL más corto se aplica después de que venza el valor de TTL anterior en la caché del solucionador. Este enfoque puede ayudar a reducir el período de almacenamiento en caché y garantizar un cambio más rápido en tu nueva configuración de registro. Después del cambio, puedes volver a cambiar el valor por el valor de TTL anterior a fin de reducir la carga en los agentes de resolución del DNS.

¿Qué sigue?