Trang này được dịch bởi Cloud Translation API.

Tổng quan về vùng DNS

Cloud DNS hỗ trợ nhiều loại vùngcông khai và riêng tư. Tài liệu này cung cấp thông tin chi tiết về các loại vùng và thời điểm bạn có thể sử dụng một trong hai loại này.

Vùng chuyển tiếp

Vùng chuyển tiếp Cloud DNS cho phép bạn định cấu hình máy chủ định danh mục tiêu cho các vùng riêng tư cụ thể. Sử dụng vùng chuyển tiếp là một cách để triển khai tính năng chuyển tiếp DNS đi từ mạng VPC.

Vùng chuyển tiếp Cloud DNS là một loại vùng riêng tư đặc biệt của Cloud DNS. Thay vì tạo bản ghi trong vùng, bạn chỉ định một nhóm mục tiêu chuyển tiếp. Mỗi mục tiêu chuyển tiếp là một tên miền đủ điều kiện (FQDN) hoặc địa chỉ IP của một máy chủ DNS, nằm trong mạng VPC của bạn hoặc trong một mạng cục bộ được kết nối với mạng VPC của bạn bằng Cloud VPN hoặc Cloud Interconnect.

Mục tiêu chuyển tiếp và phương thức định tuyến

Cloud DNS hỗ trợ 4 loại mục tiêu và cung cấp các phương thức định tuyến tiêu chuẩn hoặc riêng tư để kết nối.

Mục tiêu chuyển tiếp	Mô tả	Hỗ trợ định tuyến tiêu chuẩn	Hỗ trợ định tuyến riêng tư	Nguồn yêu cầu
Loại 1	Địa chỉ IP nội bộ của máy ảo Google Cloud hoặc Trình cân bằng tải mạng chuyển tiếp nội bộ trong cùng một mạng VPC được uỷ quyền sử dụng vùng chuyển tiếp.	Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền.	Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP đích chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền.	`35.199.192.0/19`
Loại 2	Địa chỉ IP của một hệ thống tại chỗ, được kết nối với mạng VPC được uỷ quyền để truy vấn vùng chuyển tiếp, bằng cách sử dụng Cloud VPN hoặc Cloud Interconnect.	Chỉ địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến qua một mạng VPC được uỷ quyền.	Mọi địa chỉ IP nội bộ, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP đích chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến qua mạng VPC được uỷ quyền.	`35.199.192.0/19`
Loại 3	Địa chỉ IP bên ngoài của máy chủ tên DNS mà Internet có thể truy cập hoặc địa chỉ IP bên ngoài của tài nguyên Google Cloud ; ví dụ: địa chỉ IP bên ngoài của máy ảo trong một mạng VPC khác.	Chỉ địa chỉ IP bên ngoài có thể định tuyến qua Internet – lưu lượng truy cập luôn được định tuyến đến Internet hoặc đến địa chỉ IP bên ngoài của một tài nguyên Google Cloud .	Không hỗ trợ định tuyến riêng tư – hãy đảm bảo bạn không chọn định tuyến riêng tư.	Dải nguồn DNS công khai của Google
Loại 4	Tên miền đủ điều kiện của một máy chủ tên mục tiêu phân giải thành địa chỉ IPv4 hoặc IPv6 thông qua thứ tự phân giải mạng VPC.	Tuỳ thuộc vào mạng của mục tiêu chuyển tiếp đã phân giải, lưu lượng truy cập sẽ được định tuyến theo một trong hai cách: Địa chỉ IP RFC 1918 – lưu lượng truy cập luôn được định tuyến thông qua một mạng VPC được uỷ quyền. Địa chỉ IP bên ngoài có thể định tuyến Internet – lưu lượng truy cập luôn được định tuyến đến Internet hoặc đến địa chỉ IP bên ngoài của một tài nguyên Google Cloud .	Tuỳ thuộc vào mạng của mục tiêu chuyển tiếp đã phân giải, lưu lượng truy cập sẽ được định tuyến thông qua bất kỳ địa chỉ IP nội bộ nào, chẳng hạn như địa chỉ riêng tư RFC 1918, địa chỉ IP riêng tư không phải RFC 1918 hoặc địa chỉ IP bên ngoài được sử dụng lại riêng tư, ngoại trừ địa chỉ IP mục tiêu chuyển tiếp bị cấm – lưu lượng truy cập luôn được định tuyến thông qua mạng VPC được uỷ quyền. Nếu máy chủ tên DNS phân giải thành một địa chỉ IP bên ngoài mà Internet hoặc địa chỉ IP bên ngoài có thể truy cập, thì tính năng định tuyến riêng tư sẽ không được hỗ trợ.	35.199.192.0/19 Dải nguồn DNS công khai của Google

Bạn có thể chọn một trong hai phương thức định tuyến sau khi thêm mục tiêu chuyển tiếp vào vùng chuyển tiếp:

Định tuyến chuẩn: Định tuyến lưu lượng truy cập thông qua mạng VPC được uỷ quyền hoặc qua Internet dựa trên việc mục tiêu chuyển tiếp có phải là địa chỉ IP RFC 1918 hay không. Nếu mục tiêu chuyển tiếp là địa chỉ IP RFC 1918, thì Cloud DNS sẽ phân loại mục tiêu đó là mục tiêu Loại 1 hoặc Loại 2 và định tuyến các yêu cầu thông qua mạng VPC được uỷ quyền. Nếu mục tiêu không phải là địa chỉ IP RFC 1918, thì Cloud DNS sẽ phân loại mục tiêu đó là Loại 3 và dự kiến mục tiêu đó có thể truy cập Internet.
Định tuyến riêng tư: Luôn định tuyến lưu lượng truy cập thông qua một mạng VPC được uỷ quyền, bất kể địa chỉ IP của đích đến (có tuân theo RFC 1918 hay không). Do đó, chỉ hỗ trợ các mục tiêu Loại 1 và Loại 2.

Nếu bạn sử dụng FQDN cho mục tiêu chuyển tiếp, thì phương thức định tuyến phải khớp với loại mạng của bạn. Khi máy chủ tên miền phân giải thành một địa chỉ IP công khai, bạn phải sử dụng tính năng định tuyến tiêu chuẩn.

Để truy cập vào mục tiêu chuyển tiếp Loại 1 hoặc Loại 2, Cloud DNS sử dụng các tuyến trong mạng VPC được uỷ quyền nơi ứng dụng DNS nằm. Các tuyến này xác định một đường dẫn an toàn đến mục tiêu chuyển tiếp:

Để gửi lưu lượng truy cập đến các mục tiêu Loại 1, Cloud DNS sử dụng các tuyến mạng con được tạo tự động. Để trả lời, mục tiêu Loại 1 sử dụng lộ trình định tuyến đặc biệt cho các phản hồi của Cloud DNS.
Để gửi lưu lượng truy cập đến các mục tiêu Loại 2, Cloud DNS có thể sử dụng các tuyến động tuỳ chỉnh hoặc các tuyến tĩnh tuỳ chỉnh, ngoại trừ các tuyến tĩnh tuỳ chỉnh có thẻ mạng. Để trả lời, các mục tiêu chuyển tiếp Loại 2 sử dụng các tuyến trong mạng cục bộ của bạn.

Để biết thêm hướng dẫn về các yêu cầu về mạng đối với mục tiêu Loại 1 và Loại 2, hãy xem các yêu cầu về mạng của mục tiêu chuyển tiếp.

Để truy cập vào mục tiêu chuyển tiếp Loại 4, trước tiên, Cloud DNS sẽ phân giải tên miền, sau đó sử dụng phương thức định tuyến của mạng nguồn. Ví dụ: nếu subdomain.example.com phân giải thành địa chỉ IP của một hệ thống tại chỗ được kết nối với mạng VPC được uỷ quyền để truy vấn vùng chuyển tiếp thông qua Cloud VPN, thì hệ thống đó sẽ sử dụng các quy tắc định tuyến giống như mục tiêu chuyển tiếp Loại 2.

Khi sử dụng FQDN làm mục tiêu chuyển tiếp, bạn chỉ có thể sử dụng một FQDN. Mục tiêu chuyển tiếp có thể phân giải đến tối đa 50 địa chỉ IP.

Địa chỉ IP đích chuyển tiếp bị cấm

Bạn không thể sử dụng các địa chỉ IP sau đây cho mục tiêu chuyển tiếp của Cloud DNS:

169.254.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
::1/128
::/128
2001:db8::/32
fe80::/10
fec0::/10
ff00::/8

Chuyển tiếp thứ tự lựa chọn mục tiêu

Cloud DNS cho phép bạn định cấu hình danh sách các mục tiêu chuyển tiếp cho một vùng chuyển tiếp.

Khi bạn định cấu hình hai hoặc nhiều mục tiêu chuyển tiếp, Cloud DNS sẽ sử dụng một thuật toán nội bộ để chọn một mục tiêu chuyển tiếp. Thuật toán này xếp hạng từng mục tiêu chuyển tiếp.

Khi bạn sử dụng FQDN làm mục tiêu chuyển tiếp, Cloud DNS sẽ phân giải tên miền thành một tập hợp gồm tối đa 50 địa chỉ IP, sau đó áp dụng cùng một thuật toán cho các địa chỉ IP đó.

Để xử lý một yêu cầu, trước tiên, Cloud DNS sẽ thử một truy vấn DNS bằng cách liên hệ với mục tiêu chuyển tiếp có thứ hạng cao nhất. Nếu máy chủ đó không phản hồi, Cloud DNS sẽ lặp lại yêu cầu đến mục tiêu chuyển tiếp có thứ hạng cao nhất tiếp theo. Nếu không có mục tiêu chuyển tiếp nào phản hồi, Cloud DNS sẽ tổng hợp phản hồi SERVFAIL.

Thuật toán xếp hạng là tự động và các yếu tố sau đây sẽ làm tăng thứ hạng của mục tiêu chuyển tiếp:

Số lượng phản hồi DNS thành công do mục tiêu chuyển tiếp xử lý càng cao. Phản hồi DNS thành công bao gồm cả phản hồi NXDOMAIN.
Độ trễ càng thấp (thời gian đi và về) để giao tiếp với mục tiêu chuyển tiếp.

Sử dụng vùng chuyển tiếp

Máy ảo trong mạng VPC có thể sử dụng vùng chuyển tiếp DNS trên đám mây trong các trường hợp sau:

Mạng VPC đã được uỷ quyền sử dụng vùng chuyển tiếp DNS trên đám mây. Để sử dụng vùng chuyển tiếp, bạn có thể uỷ quyền cho nhiều mạng VPC trong cùng một dự án hoặc trên các dự án, miễn là các mạng VPC đó nằm trong cùng một tổ chức.
Hệ điều hành khách của mỗi máy ảo trong mạng VPC sử dụng máy chủ siêu dữ liệu 169.254.169.254 của máy ảo làm máy chủ tên.

Nếu bạn sử dụng FQDN làm máy chủ định danh mục tiêu, hãy xem xét các mục sau:

Bạn chỉ có thể có một mục tiêu chuyển tiếp.
Không hỗ trợ việc phân giải mục tiêu FQDN thông qua một vùng chuyển tiếp khác.
Bạn không thể sử dụng FQDN làm máy chủ định danh thay thế trong chính sách máy chủ.
Một mục tiêu FQDN có thể phân giải thành tối đa 50 địa chỉ IP được liên kết. Mọi địa chỉ đã phân giải trên 50 sẽ bị cắt bớt.

Các vùng chuyển tiếp trùng lặp

Vì các vùng chuyển tiếp của Cloud DNS là một loại vùng riêng do Cloud DNS quản lý, nên bạn có thể tạo nhiều vùng trùng lặp. Các máy ảo được định cấu hình như mô tả trước đó sẽ phân giải một bản ghi theo thứ tự phân giải tên, sử dụng vùng có hậu tố dài nhất. Để biết thêm thông tin, hãy xem phần Các vùng chồng chéo.

Khu vực lưu vào bộ nhớ đệm và chuyển tiếp

Cloud DNS lưu các phản hồi vào bộ nhớ đệm cho các truy vấn được gửi đến các vùng chuyển tiếp của Cloud DNS. Cloud DNS duy trì bộ nhớ đệm của các phản hồi từ các đích chuyển tiếp có thể truy cập trong khoảng thời gian ngắn hơn trong số các khoảng thời gian sau:

60 giây
Thời lượng tồn tại (TTL) của bản ghi

Khi tất cả mục tiêu chuyển tiếp cho một vùng chuyển tiếp không thể truy cập được, DNS trên đám mây sẽ duy trì bộ nhớ đệm của các bản ghi đã yêu cầu trước đó trong vùng đó trong khoảng thời gian TTL của mỗi bản ghi.

Trường hợp nên sử dụng tính năng liên kết ngang

Cloud DNS không thể sử dụng tính năng định tuyến bắc cầu để kết nối với mục tiêu chuyển tiếp. Để minh hoạ một cấu hình không hợp lệ, hãy cân nhắc trường hợp sau:

Bạn đã sử dụng Cloud VPN hoặc Cloud Interconnect để kết nối mạng cục bộ với một mạng VPC có tên là vpc-net-a.
Bạn đã sử dụng tính năng Kết nối ngang hàng mạng VPC để kết nối mạng VPC vpc-net-a với vpc-net-b. Bạn đã định cấu hình vpc-net-a để xuất các tuyến tuỳ chỉnh và vpc-net-b để nhập các tuyến đó.
Bạn đã tạo một vùng chuyển tiếp có các mục tiêu chuyển tiếp nằm trong mạng cục bộ mà vpc-net-a được kết nối. Bạn đã uỷ quyền cho vpc-net-b sử dụng vùng chuyển tiếp đó.

Quá trình phân giải bản ghi trong một vùng do các mục tiêu chuyển tiếp phân phát sẽ không thành công trong trường hợp này, mặc dù có kết nối từ vpc-net-b đến mạng cục bộ của bạn. Để minh hoạ lỗi này, hãy thực hiện các kiểm thử sau từ một máy ảo trong vpc-net-b:

Truy vấn máy chủ siêu dữ liệu của máy ảo 169.254.169.254 để biết bản ghi được xác định trong vùng chuyển tiếp. Truy vấn này không thành công (như dự kiến) vì Cloud DNS không hỗ trợ định tuyến bắc cầu đến các mục tiêu chuyển tiếp. Để sử dụng vùng chuyển tiếp, bạn phải định cấu hình máy ảo để sử dụng máy chủ siêu dữ liệu của máy ảo đó.
Truy vấn trực tiếp mục tiêu chuyển tiếp cho chính bản ghi đó. Mặc dù Cloud DNS không sử dụng đường dẫn này, nhưng truy vấn này cho thấy rằng khả năng kết nối bắc cầu đã thành công.

Bạn có thể sử dụng vùng liên kết của Cloud DNS để khắc phục tình huống không hợp lệ này:

Tạo một vùng liên kết Cloud DNS được uỷ quyền cho vpc-net-b nhằm nhắm đến vpc-net-a.
Tạo một vùng chuyển tiếp được uỷ quyền cho vpc-net-a có mục tiêu chuyển tiếp là máy chủ tên cục bộ.

Bạn có thể thực hiện các bước này theo thứ tự bất kỳ. Sau khi hoàn tất các bước này, các phiên bản Compute Engine trong cả vpc-net-a và vpc-net-b đều có thể truy vấn các mục tiêu chuyển tiếp tại chỗ.

Để biết thông tin về cách tạo vùng chuyển tiếp, hãy xem bài viết Tạo vùng chuyển tiếp.

Khu vực kết nối ngang hàng

Vùng kết nối ngang hàng là một vùng riêng tư của Cloud DNS cho phép bạn gửi yêu cầu DNS giữa các vùng Cloud DNS trong các mạng VPC khác nhau. Ví dụ: nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS) có thể cấp cho khách hàng quyền truy cập vào các bản ghi DNS được quản lý của họ trong Cloud DNS.

Để cung cấp tính năng liên kết DNS, bạn phải tạo một vùng liên kết riêng của Cloud DNS và định cấu hình vùng đó để thực hiện tra cứu DNS trong mạng VPC có sẵn các bản ghi cho không gian tên của vùng đó. Mạng VPC nơi vùng liên kết DNS thực hiện tra cứu được gọi là mạng nhà sản xuất DNS.

Vùng liên kết chỉ hiển thị cho các mạng VPC được chọn trong quá trình định cấu hình vùng. Mạng VPC được uỷ quyền sử dụng vùng liên kết được gọi là mạng người dùng DNS.

Sau khi các tài nguyên Google Cloud trong mạng người dùng DNS được uỷ quyền, các tài nguyên này có thể thực hiện tra cứu các bản ghi trong không gian tên của vùng ngang hàng như thể các tài nguyên đó nằm trong mạng nhà sản xuất DNS. Các lượt tra cứu bản ghi trong không gian tên của vùng ngang hàng tuân theo thứ tự phân giải tên của mạng nhà sản xuất DNS.

Do đó,tài nguyên Google Cloud trong mạng người dùng DNS có thể tra cứu các bản ghi trong không gian tên của vùng từ các nguồn sau đây có trong mạng nhà sản xuất DNS:

Các vùng riêng tư do Cloud DNS quản lý được mạng nhà sản xuất DNS uỷ quyền sử dụng.
Các vùng chuyển tiếp do Cloud DNS quản lý được mạng nhà sản xuất DNS uỷ quyền sử dụng.
Tên DNS nội bộ của Compute Engine trong mạng nhà sản xuất DNS.
Một máy chủ định danh thay thế, nếu bạn đã định cấu hình chính sách máy chủ gửi đi trong mạng của nhà sản xuất DNS.

Với tính năng liên kết DNS, bạn có thể thiết lập một mạng (mạng người dùng DNS) chuyển tiếp các yêu cầu DNS đến một mạng khác (mạng nhà cung cấp DNS), sau đó mạng này sẽ thực hiện tra cứu DNS.

Các điểm chính và giới hạn về liên kết ngang DNS

Hãy lưu ý những điều sau khi định cấu hình tính năng liên kết DNS:

Kết nối ngang hàng DNS là mối quan hệ một chiều. Cấu hình này cho phép tài nguyên Google Cloud trong mạng người dùng DNS tra cứu các bản ghi trong không gian tên của vùng ngang hàng như thể tài nguyên Google Cloud nằm trong mạng nhà sản xuất DNS.
Mạng của nhà sản xuất và người dùng DNS phải là mạng VPC.
Mặc dù mạng của nhà sản xuất và người dùng DNS thường thuộc cùng một tổ chức, nhưng tính năng liên kết DNS giữa các tổ chức cũng được hỗ trợ.
Kết nối ngang hàng DNS và Kết nối ngang hàng mạng VPC là hai dịch vụ khác nhau. Tính năng Kết nối ngang hàng mạng VPC không tự động chia sẻ thông tin DNS. Bạn có thể sử dụng tính năng Kết nối ngang hàng DNS với tính năng Kết nối ngang hàng mạng VPC, nhưng không bắt buộc phải sử dụng tính năng Kết nối ngang hàng mạng VPC để kết nối ngang hàng DNS.
Hệ thống hỗ trợ kết nối ngang hàng DNS bắc cầu, nhưng chỉ thông qua một bước bắc cầu. Nói cách khác, không được có nhiều hơn 3 mạng VPC (với mạng ở giữa là bước chuyển đổi bắc cầu). Ví dụ: bạn có thể tạo một vùng peering trong vpc-net-a nhắm đến vpc-net-b, sau đó tạo một vùng peering trong vpc-net-b nhắm đến vpc-net-c.
Nếu bạn đang sử dụng tính năng liên kết DNS để nhắm đến một vùng chuyển tiếp trong khi tính năng định tuyến động toàn cầu bị tắt trên mạng VPC của nhà sản xuất, thì mạng VPC đích có vùng chuyển tiếp phải chứa một máy ảo, một tệp đính kèm VLAN hoặc một đường hầm Cloud VPN nằm trong cùng khu vực với máy ảo nguồn sử dụng vùng liên kết DNS. Để biết thông tin chi tiết về giới hạn này, hãy xem phần Chuyển tiếp truy vấn từ máy ảo trong mạng VPC của người dùng đến mạng VPC của nhà sản xuất không hoạt động.

Để biết hướng dẫn về cách tạo vùng peering, hãy xem bài viết Tạo vùng peering.

Vùng tra cứu ngược được quản lý

Vùng tra cứu ngược được quản lý là một vùng riêng tư có thuộc tính đặc biệt hướng dẫn Cloud DNS thực hiện tra cứu PTR dựa trên dữ liệu DNS của Compute Engine.

Bản ghi PTR cho địa chỉ RFC 1918 trong vùng riêng tư

Để thực hiện tra cứu ngược bằng bản ghi PTR tuỳ chỉnh cho địa chỉ RFC 1918, bạn phải tạo một vùng riêng tư Cloud DNS ít nhất cũng cụ thể như một trong các vùng mẫu sau. Đây là kết quả của việc so khớp hậu tố dài nhất được mô tả trong phần Thứ tự phân giải tên.

Sau đây là một số ví dụ về vùng:

10.in-addr.arpa.
168.192.in-addr.arpa.
16.172.in-addr.arpa., 17.172.in-addr.arpa., ... thông qua 31.172.in-addr.arpa.

Nếu bạn tạo một vùng riêng tư Cloud DNS cho địa chỉ RFC 1918, thì các bản ghi PTR tuỳ chỉnh mà bạn tạo cho máy ảo trong vùng đó sẽ bị ghi đè bởi các bản ghi PTR mà DNS nội bộ tạo tự động. Lý do là các bản ghi PTR DNS nội bộ được tạo trong danh sách trước đó của các vùng cụ thể hơn.

Ví dụ: giả sử bạn tạo một vùng riêng tư được quản lý cho in-addr.arpa. bằng bản ghi PTR sau đây cho một máy ảo có địa chỉ IP là 10.1.1.1:

1.1.1.10.in-addr.arpa. -> test.example.domain

Trong ví dụ này, bản ghi PTR trong vùng riêng tư Cloud DNS của bạn cho in-addr.arpa. sẽ bị bỏ qua. Mọi truy vấn PTR cho 1.1.1.10.in-addr.arpa. đều được trả lời bằng vùng DNS nội bộ 10.in-addr.arpa. cụ thể hơn.

Để ghi đè các bản ghi PTR DNS nội bộ được tạo tự động cho máy ảo, hãy đảm bảo rằng bạn tạo các bản ghi PTR tuỳ chỉnh trong một vùng riêng tư ít nhất cũng cụ thể như một trong các vùng được trình bày trong phần này. Ví dụ: nếu bạn tạo bản ghi PTR sau đây trong một vùng riêng tư cho 10.in-addr.arpa., thì bản ghi của bạn sẽ ghi đè bản ghi được tạo tự động: 1.1.1.10.in-addr.arpa. -> test.example.domain.

Nếu chỉ cần ghi đè một phần của một khối mạng, bạn có thể tạo các vùng riêng của Cloud DNS đảo ngược cụ thể hơn. Ví dụ: bạn có thể sử dụng vùng riêng tư cho 5.10.in-addr.arpa. để lưu trữ các bản ghi PTR ghi đè mọi bản ghi PTR DNS nội bộ được tạo tự động cho các máy ảo có địa chỉ IP trong dải địa chỉ 10.5.0.0/16.

Để biết hướng dẫn về cách tạo vùng tra cứu ngược được quản lý, hãy xem bài viết Tạo vùng tra cứu ngược được quản lý.

Vùng trùng lặp

Hai vùng chéo nhau khi tên miền gốc của một vùng giống hệt hoặc là miền con của tên miền gốc của vùng kia. Ví dụ:

Một vùng cho gcp.example.com và một vùng khác cho gcp.example.com trùng lặp vì tên miền giống hệt nhau.
Vùng cho dev.gcp.example.com và vùng cho gcp.example.com trùng lặp vì dev.gcp.example.com là miền con của gcp.example.com.

Quy tắc đối với các vùng trùng lặp

Cloud DNS thực thi các quy tắc sau đây đối với các vùng trùng lặp: * Không được phép trùng lặp các vùng công khai trên cùng một máy chủ tên Cloud DNS. Khi bạn tạo các vùng trùng lặp, Cloud DNS sẽ cố gắng đặt các vùng đó trên các máy chủ định danh khác nhau. Nếu không thể, Cloud DNS sẽ không tạo được vùng trùng lặp.

Vùng riêng tư có thể trùng lặp với bất kỳ vùng công khai nào.
Các vùng riêng tư trong phạm vi của các mạng VPC khác nhau có thể chồng chéo với nhau. Ví dụ: mỗi mạng VPC có thể có một máy ảo cơ sở dữ liệu có tên database.gcp.example.com trong một vùng gcp.example.com. Các truy vấn cho database.gcp.example.com sẽ nhận được các câu trả lời khác nhau theo bản ghi vùng được xác định trong vùng được uỷ quyền cho từng mạng VPC.
Hai vùng riêng tư được uỷ quyền để truy cập từ cùng một mạng VPC không được có nguồn gốc giống nhau, trừ phi một vùng là miền con của vùng còn lại. Máy chủ siêu dữ liệu sử dụng kiểu so khớp hậu tố dài nhất để xác định nguồn gốc cần truy vấn cho các bản ghi trong một vùng nhất định.

Ví dụ về cách phân giải truy vấn

Google Cloud phân giải các vùng Cloud DNS như mô tả trong phần Thứ tự phân giải tên. Khi xác định vùng để truy vấn cho một bản ghi nhất định, Cloud DNS sẽ cố gắng tìm một vùng khớp với nhiều bản ghi được yêu cầu nhất có thể (khớp hậu tố dài nhất).

Trừ phi bạn đã chỉ định một máy chủ tên thay thế trong chính sách máy chủ gửi, Google Cloud trước tiên sẽ tìm một bản ghi trong vùng riêng tư (hoặc vùng chuyển tiếp hoặc vùng liên kết) được uỷ quyền cho mạng VPC của bạn trước khi tìm bản ghi trong vùng công khai. Các ví dụ sau đây minh hoạ thứ tự mà máy chủ siêu dữ liệu sử dụng khi truy vấn bản ghi DNS. Đối với mỗi ví dụ sau, giả sử bạn đã tạo hai vùng riêng tư, gcp.example.com và dev.gcp.example.com, đồng thời uỷ quyền truy cập vào các vùng đó từ cùng một mạng VPC. Google Cloud xử lý các truy vấn DNS từ máy ảo trong mạng VPC theo cách sau:

Máy chủ siêu dữ liệu sử dụng máy chủ tên công khai để phân giải bản ghi cho myapp.example.com. (lưu ý dấu chấm ở cuối) vì không có vùng riêng tư nào cho example.com được uỷ quyền cho mạng VPC. Sử dụng dig từ máy ảo Compute Engine để truy vấn máy chủ tên mặc định của máy ảo:
```
dig myapp.example.com.
```
Để biết thông tin chi tiết, hãy xem phần Truy vấn tên DNS bằng máy chủ siêu dữ liệu.
Máy chủ siêu dữ liệu phân giải bản ghi myapp.gcp.example.com bằng cách sử dụng vùng riêng tư được uỷ quyền gcp.example.com vì gcp.example.com là hậu tố phổ biến dài nhất giữa tên bản ghi được yêu cầu và các vùng riêng tư được uỷ quyền hiện có. NXDOMAIN được trả về nếu không có bản ghi nào cho myapp.gcp.example.com được xác định trong vùng riêng tư gcp.example.com, ngay cả khi có bản ghi cho myapp.gcp.example.com được xác định trong vùng công khai.
Tương tự, các truy vấn cho myapp.dev.gcp.example.com được phân giải theo bản ghi trong vùng riêng tư được uỷ quyền dev.gcp.example.com. NXDOMAIN được trả về nếu không có bản ghi nào cho myapp.dev.gcp.example.com trong vùng dev.gcp.example.com, ngay cả khi có bản ghi cho myapp.dev.gcp.example.com trong một vùng riêng tư hoặc công khai khác.
Các truy vấn cho myapp.prod.gcp.example.com được phân giải theo các bản ghi trong vùng riêng tư gcp.example.com vì gcp.example.com là hậu tố phổ biến dài nhất giữa bản ghi DNS được yêu cầu và các vùng riêng tư hiện có.

Ví dụ về DNS phân tách theo chiều ngang

Bạn có thể sử dụng kết hợp các vùng công khai và riêng tư trong cấu hình DNS phân tách theo chiều ngang. Vùng riêng tư cho phép bạn xác định nhiều phản hồi cho một truy vấn cho cùng một bản ghi khi truy vấn bắt nguồn từ một máy ảo trong mạng VPC được uỷ quyền. DNS phân tách theo chiều ngang rất hữu ích bất cứ khi nào bạn cần cung cấp các bản ghi khác nhau cho cùng một truy vấn DNS, tuỳ thuộc vào mạng VPC ban đầu.

Hãy xem ví dụ sau về phân chia theo chiều ngang:

Bạn đã tạo một vùng công khai, gcp.example.com, và đã định cấu hình trình đăng ký của vùng đó để sử dụng máy chủ định danh Cloud DNS.
Bạn đã tạo một vùng riêng tư, gcp.example.com, và bạn đã uỷ quyền cho mạng VPC truy cập vào vùng này.

Trong vùng riêng tư, bạn đã tạo một bản ghi như trong bảng sau.

Ghi	Nhập liệu	TTL (giây)	Dữ liệu
myrecord1.gcp.example.com	A	5	10.128.1.35

Trong vùng công khai, bạn đã tạo hai bản ghi.

Ghi	Nhập liệu	TTL (giây)	Dữ liệu
myrecord1.gcp.example.com	A	5	104.198.6.142
myrecord2.gcp.example.com	A	50	104.198.7.145

Các truy vấn sau được phân giải như mô tả:

Truy vấn myrecord1.gcp.example.com từ máy ảo trong mạng VPC sẽ trả về 10.128.1.35.
Truy vấn myrecord1.gcp.example.com trên Internet trả về 104.198.6.142.
Truy vấn myrecord2.gcp.example.com từ máy ảo trong mạng VPC sẽ trả về lỗi NXDOMAIN vì không có bản ghi nào cho myrecord2.gcp.example.com trong vùng riêng tư gcp.example.com.
Truy vấn myrecord2.gcp.example.com trên Internet trả về 104.198.7.145.

Liên kết nhiều dự án

Tính năng liên kết giữa các dự án cho phép bạn giữ quyền sở hữu không gian tên DNS của dự án dịch vụ độc lập với quyền sở hữu không gian tên DNS của toàn bộ mạng VPC.

Cấu hình VPC dùng chung thông thường có các dự án dịch vụ sở hữu ứng dụng hoặc dịch vụ máy ảo (VM), trong khi dự án lưu trữ sở hữu mạng VPC và cơ sở hạ tầng mạng. Thông thường, một không gian tên DNS được tạo từ không gian tên của mạng VPC để khớp với tài nguyên của dự án dịch vụ. Đối với cách thiết lập như vậy, bạn có thể dễ dàng uỷ quyền việc quản trị không gian tên DNS của từng dự án dịch vụ cho quản trị viên của từng dự án dịch vụ (thường là các bộ phận hoặc doanh nghiệp khác nhau). Tính năng liên kết giữa các dự án cho phép bạn tách quyền sở hữu không gian tên DNS của dự án dịch vụ với quyền sở hữu không gian tên DNS của toàn bộ mạng VPC.

Hình sau đây cho thấy một chế độ thiết lập VPC dùng chung thông thường với tính năng liên kết DNS.

Cấu hình VPC dùng chung có tính năng kết nối ngang hàng DNS. — Cấu hình VPC dùng chung có tính năng liên kết DNS (nhấp để phóng to)

Hình sau đây cho thấy cách thiết lập bằng tính năng liên kết giữa các dự án. Cloud DNS cho phép mỗi dự án dịch vụ tạo và sở hữu các vùng DNS của riêng dự án, nhưng vẫn liên kết với mạng dùng chung mà dự án lưu trữ sở hữu. Điều này giúp tăng tính tự chủ và xác định ranh giới quyền chính xác hơn cho việc quản trị vùng DNS.

Cấu hình thiết lập có liên kết giữa các dự án. — Cấu hình thiết lập có liên kết nhiều dự án (nhấp để phóng to)

Liên kết nhiều dự án cung cấp những lợi ích sau:

Người dùng và quản trị viên dự án dịch vụ có thể tạo và quản lý các vùng DNS của riêng họ.
Bạn không cần tạo mạng VPC giữ chỗ.
Quản trị viên dự án lưu trữ không phải quản lý dự án dịch vụ.
Các vai trò IAM vẫn áp dụng ở cấp dự án.
Tất cả các vùng DNS đều được liên kết trực tiếp với mạng VPC dùng chung.
Bạn có thể sử dụng tính năng phân giải DNS bất kỳ đến bất kỳ. Mọi máy ảo trong mạng VPC dùng chung đều có thể phân giải các vùng được liên kết.
Không có giới hạn về số bước chuyển đổi bắc cầu. Bạn có thể quản lý thiết kế này theo kiểu hình tròn và nan hoa.

Để biết hướng dẫn về cách tạo một vùng có bật tính năng liên kết giữa các dự án, hãy xem phần Tạo vùng liên kết giữa các dự án.

Vùng Cloud DNS theo khu vực

Cloud DNS theo vùng cho phép bạn tạo các vùng DNS riêng tư chỉ thuộc phạm vi của một vùng Google Cloud . Các vùng DNS trên đám mây sẽ được tạo cho GKE khi bạn chọn một phạm vi cụm.

Dịch vụ Cloud DNS mặc định có bản chất toàn cầu và tên DNS sẽ xuất hiện trên toàn cầu trong mạng VPC của bạn. Cấu hình này khiến dịch vụ của bạn bị gián đoạn trên toàn cầu. Cloud DNS theo vùng là một dịch vụ Cloud DNS riêng tư mới tồn tại trong mỗi Google Cloud vùng. Miền gặp sự cố nằm trong vùng Google Cloud đó. Các vùng riêng tư của Cloud DNS theo khu vực sẽ không bị ảnh hưởng khi xảy ra sự cố toàn cầu. Mọi sự cố ngừng hoạt động theo Google Cloud khu vực chỉ ảnh hưởng đến Google Cloud khu vực cụ thể đó và các khu vực Cloud DNS trong Google Cloud khu vực đó. Xin lưu ý rằng mọi tài nguyên được tạo trong dịch vụ theo vùng chỉ hiển thị với vùng Google Cloudđó.

Để tìm hiểu cách định cấu hình vùng theo phạm vi cụm Cloud DNS theo vùng, hãy xem nội dung Định cấu hình vùng theo phạm vi cụm GKE theo vùng.

Hỗ trợ Cloud DNS theo vùng

Bảng sau đây liệt kê các tài nguyên và tính năng của Cloud DNS được các dịch vụ Cloud DNS theo vùng hỗ trợ.

Tài nguyên hoặc tính năng	Có trên Cloud DNS toàn cầu	Có trên Cloud DNS theo vùng
Vùng công cộng được quản lý
Vùng riêng được quản lý (trong phạm vi mạng hoặc VPC)
Vùng riêng được quản lý (trong phạm vi GKE)
Vùng chuyển tiếp¹
Khu vực kết nối ngang hàng
Vùng tra cứu ngược được quản lý
Tạo thay đổi hoặc quản lý bản ghi²
Khu vực Danh bạ dịch vụ
Chính sách
Chính sách phản hồi (trong phạm vi mạng)
Chính sách phản hồi (trong phạm vi cụm GKE)
Quy tắc chính sách về phản hồi

¹Cloud DNS theo vùng chỉ hỗ trợ các vùng chuyển tiếp trong phạm vi của một cụm GKE.

²Trình điều khiển GKE sẽ ghi đè mọi thay đổi đối với các bản ghi khi khởi động lại.

Thanh toán cho các vùng Cloud DNS theo khu vực

Cách tính phí cho các chính sách phản hồi và vùng Cloud DNS theo khu vực cũng giống như các chính sách tương ứng trên toàn cầu.

Bước tiếp theo

Để làm việc với các vùng được quản lý, hãy xem phần Tạo, sửa đổi và xoá vùng.
Để tìm giải pháp cho các vấn đề thường gặp mà bạn có thể gặp phải khi sử dụng Cloud DNS, hãy xem phần Khắc phục sự cố.
Để biết thông tin tổng quan về Cloud DNS, hãy xem bài viết Tổng quan về Cloud DNS.