本頁面提供 Cloud DNS 特色與功能的總覽。Cloud DNS 是一種彈性絕佳的高效能通用網域名稱系統 (DNS) 服務,會以符合成本效益的方式,將您的網域名稱發布到全域 DNS。
DNS 是一種階層型分散式資料庫,可用來儲存 IP 位址和其他資料,並按名稱來查詢這些資料。有了 Cloud DNS,您就能在 DNS 中發布區域和記錄,不必自行管理 DNS 伺服器和軟體。
Cloud DNS 提供公開區域和不公開代管 DNS 區域。公開區域會顯示在公開網際網路上,而不公開區域只會顯示在您指定的一或多個虛擬私有雲 (VPC) 網路上。如要進一步瞭解區域,請參閱 DNS 區域總覽。
Cloud DNS 支援專案層級和個別 DNS 區域層級的身分與存取權管理 (IAM) 權限。如要瞭解如何設定個別資源的 IAM 權限,請參閱「建立具備特定 IAM 權限的可用區」。
如需 DNS 常用術語清單,請參閱一般 DNS 總覽。
如需 Cloud DNS 的重要術語清單,請參閱重要術語。
如要開始使用 Cloud DNS,請參閱快速入門導覽課程。
歡迎試用
如果您未曾使用過 Google Cloud,歡迎建立帳戶,親自體驗實際使用 Cloud DNS 的成效。新客戶可以獲得價值 $300 美元的免費抵免額,可用於執行、測試及部署工作負載。
免費試用 Cloud DNS共用 VPC 的注意事項
如要將 Cloud DNS 代管不公開區域、Cloud DNS 轉送區域或 Cloud DNS 對等互連區域與共用虛擬私有雲搭配使用,您必須在主專案中建立區域,然後將一或多個共用虛擬私有雲網路新增至該區域的授權網路清單。或者,您也可以使用跨專案繫結,在服務專案中設定區域。
詳情請參閱「Cloud DNS 私人區域最佳做法」。
DNS 轉送方法
Google Cloud 提供私人區域的傳入和傳出 DNS 轉送。您可以建立轉送可用區或 Cloud DNS 伺服器政策,設定 DNS 轉送。下表彙整了這兩種方法。
| DNS 轉送 | Cloud DNS 方法 |
|---|---|
| 傳入 | 建立傳入伺服器政策,讓地端部署 DNS 用戶端或伺服器將 DNS 要求傳送至 Cloud DNS。DNS 用戶端或伺服器隨後可根據虛擬私有雲網路的名稱解析順序解析記錄。 內部部署用戶端可以解析 VPC 網路已授權的不公開區域、轉送區域和對等互連區域中的記錄。地端用戶端使用 Cloud VPN 或 Cloud Interconnect 連線至 VPC 網路。 |
| 傳出 |
您可以設定虛擬私有雲網路中的 VM,執行下列操作: |
您可以同時為虛擬私有雲網路設定傳入和傳出 DNS 轉送。透過雙向轉送,虛擬私有雲網路中的 VM 可以解析地端部署網路或由其他雲端服務供應商代管的網路中的記錄。這類轉送功能也能讓內部部署網路中的主機解析Google Cloud 資源的記錄。
Cloud DNS 控制層會使用轉送目標選取順序選取轉送目標。如果轉送目標無法連線或回應速度不夠快,有時轉送的輸出查詢可能會導致 SERVFAIL 錯誤。如需疑難排解操作說明,請參閱「Outbound forwarded queries receive SERVFAIL errors」(轉送的出站查詢收到 SERVFAIL 錯誤)。
如要瞭解如何套用伺服器政策,請參閱建立 DNS 伺服器政策。如要瞭解如何建立轉送可用區,請參閱「建立轉送可用區」。
DNSSEC
Cloud DNS 支援代管的 DNSSEC,保護網域免於假冒及快取中毒攻擊。使用驗證解析器 (如 Google 公用 DNS) 時,DNSSEC 會提供網域查詢的強式驗證 (而非加密)。如要進一步瞭解 DNSSEC,請參閱「管理 DNSSEC 設定」。
DNS64 (預覽版)
您可以透過 Cloud DNS DNS64,將僅支援 IPv6 的 Compute Engine 虛擬機器 (VM) 執行個體 (搶先版) 連線至 IPv4 目的地。DNS64 會為每個 IPv4 目的地提供合成的 IPv6 位址。Cloud DNS 會結合已知前置字串 (WKP) 64:ff9b::/96 和目的地 IPv4 位址的 32 位元,建立合成位址。
設定 DNS64 和網路位址轉譯 (NAT64),讓僅支援 IPv6 的 VM 執行個體 (預先發布版) 能與網際網路上的 IPv4 目的地通訊。如要設定 NAT64,請按照「建立 Cloud NAT 閘道」中的操作說明進行。
以下範例說明僅支援 IPv6 的 VM 執行個體 (預先發布版) 如何解析僅支援 IPv4 的目的地名稱。vmipv6
vmipv6VM 執行個體會啟動 DNS 要求,將目的地名稱解析為 IPv6 位址。如果存在
AAAA記錄 (IPv6 位址),Cloud DNS 會傳回 IPv6 位址,而vmipv6VM 執行個體會使用該位址連線至目的地。如果沒有
AAAA記錄,但您已設定 DNS64,Cloud DNS 會搜尋A記錄 (IPv4 位址)。如果 Cloud DNS 找到A記錄,就會在 IPv4 位址加上64:ff9b::/96前置字串,合成AAAA記錄。
舉例來說,如果 IPv4 位址是 32.34.50.60,合成的 IPv6 位址就是 64:ff9b::2022:323c,其中 2022:323c 是 IPv4 位址的十六進位等值。64:ff9b::/96 前置字元定義於 RFC 6052。即使您在內部部署環境中託管 DNS 記錄,只要在 Cloud DNS 中啟用 DNS 轉送,Cloud DNS 就會合成這些 IPv6 位址。
您可以在下列情況使用 DNS64:
- 遵守相關規定,改用 IPv6 位址,而不分配 IPv4 位址。
- 分階段轉換為僅限 IPv6 的位址基礎架構,同時維持現有 IPv4 基礎架構的存取權。
- 為避免重要服務中斷,請在轉換至 IPv6 位址期間,確保仍可存取使用舊版 IPv4 位址的環境。
如要為虛擬私有雲網路設定 DNS64,請按照「設定 DNS64」一文中的操作說明進行。
存取權控管
您可以在Google Cloud 控制台的「IAM 與管理員」頁面中,管理有權變更 DNS 記錄的使用者。如要授權使用者進行變更,他們必須在 Google Cloud 控制台的「權限」部分中,具備 DNS 管理員角色 (roles/dns.admin)。DNS 讀取者角色 (roles/dns.reader) 具備 Cloud DNS 記錄的唯讀存取權。
這些權限也適用於您用來管理 DNS 服務的服務帳戶。
代管區域的存取權控管
具備專案擁有者或編輯者角色 (roles/owner 或 roles/editor) 的使用者,可以在其管理的特定專案中管理或查看代管區域。
具備 DNS 管理員或 DNS 讀取者角色的使用者,可以在有權存取的所有專案中管理或查看代管區域。
專案擁有者、編輯者、DNS 管理員和 DNS 讀取者都能查看套用於當前專案中任何 VPC 網路的不公開區域清單。
每個資源的權限存取權
如要在 DNS 資源 (例如受管理區域) 上設定政策,您必須擁有該資源所屬專案的擁有者存取權。DNS 管理員角色沒有 setIamPolicy 權限。專案擁有者也可以根據特定需求建立自訂 IAM 角色。詳情請參閱「瞭解 IAM 自訂角色」。
效能與時間
為了達到高可用性,Cloud DNS 使用 Anycast 從全球多個位置為您的代管區域提供服務。系統會自動將要求轉送到最近的位置,縮短延遲時間並提高使用者的權威名稱查詢效能。
變更傳播
變更會分成兩部分傳播。首先,您透過 API 或指令列工具傳送的變更必須推送到 Cloud DNS 的權威 DNS 伺服器。第二,DNS 解析器必須在記錄快取到期時納入變更。
您為記錄設定的存留時間 (TTL) 值 (以秒為單位),會控制 DNS 解析器的快取。例如,如果您將 TTL 值設為 86400 (24 小時的秒數),則系統會指示 DNS 解析器將記錄保存在快取中 24 小時。部分 DNS 解析器會忽略 TTL 值,或使用自己的值,這可能會延遲記錄的完整傳播。
如果您計劃進行的變更需要在較短的時間內傳播,請先將 TTL 變更為較小的值,然後再進行變更。新的較小 TTL 值會在解析器快取中的先前 TTL 值過期後套用。這個方法有助於縮短快取時間,並確保能以更快的速度變更新的記錄設定。變更完成後,您可以將 TTL 改回先前的值,以減輕 DNS 解析器的負載。
後續步驟
如要開始使用 Cloud DNS,請參閱快速入門導覽課程:使用 Cloud DNS 設定網域名稱的 DNS 記錄。
如要註冊及設定網域,請參閱「教學課程:使用 Cloud DNS 設定網域」。
如要瞭解 API 用戶端程式庫,請參閱範例和程式庫。
如要尋找使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱「疑難排解」。