تغییرات اخیر

در اینجا اطلاعیه‌ها، نسخه‌ها و تغییرات جدید لیارا فهرست می‌شوند.

۰۲۵ ۳۲۰۹۸۰۰۰

آنچه در این مقاله می‌خوانید

آشنایی با ویژگی‌ها و امکانات کامل Cloud DNS


۲ خرداد ۱۴۰۴

هنگامی‌ که کاربری آدرس یک وب‌سایت را وارد می‌کند، وظیفه‌ی تبدیل نام دامنه به آدرس IP بر عهده‌ی سیستم DNS است. هرگونه تأخیر یا اختلال در این فرآیند می‌تواند تجربه‌ی کاربر را به‌طور مستقیم تحت تأثیر قرار دهد. Cloud DNS، سرویس مدیریت DNS گوگل بر پایه زیرساخت ابری، با هدف ارائه‌ی عملکردی سریع، پایدار و قابل اطمینان طراحی شده است. این سرویس امکان مدیریت رکوردهای DNS را بدون نیاز به نگهداری سرورهای اختصاصی فراهم می‌کند و قابلیت استفاده در پروژه‌های عمومی و شبکه‌های خصوصی را نیز دارد.

در ادامه خواهید خواند:

  • Cloud DNS چیست؟
  • ملاحظات VPC مشترک
  • روش‌های انتقال DNS
  • افزایش امنیت DNS با استفاده از DNSSEC
  • DNS64 چیست؟
  • مدیریت دسترسی و کنترل کاربران در Cloud DNS
  • عملکرد و زمان‌بندی پاسخ‌ها در Cloud DNS
  • جمع بندی
Cloud DNS

Cloud DNS چیست؟

Cloud DNS یک سرویس مدیریت DNS (سامانه نام دامنه) مبتنی بر فضای ابری است که توسط گوگل ارائه می‌شود. این سرویس به شما امکان می‌دهد تا بدون نیاز به راه‌اندازی و نگهداری سرورهای DNS اختصاصی، دامنه‌ها و رکوردهای DNS خود را به‌صورت پایدار، امن و با سرعت بالا مدیریت و منتشر کنید.

با استفاده از Cloud DNS می‌توانید رکوردهای مربوط به دامنه خود را در قالب زون‌های عمومی برای دسترسی به اینترنت یا خصوصی مخصوص شبکه‌های VPC تعریف کنید. این سرویس از زیرساخت جهانی گوگل بهره می‌برد، به همین دلیل پاسخ‌دهی به درخواست‌ها در نقاط مختلف جهان با کمترین تاخیر و بیشترین دسترسی‌پذیری انجام می‌شود.

به بیان ساده، Cloud DNS راهکاری حرفه‌ای برای سازمان‌ها، توسعه‌دهندگان و کسب‌وکارهایی است که نیاز به یک سامانه‌ی نام دامنه سریع، مقیاس‌پذیر و قابل اعتماد دارند.

با سرویس DNS لیارا، مدیریت دامنه‌های خود را با سرعت، امنیت و سادگی انجام دهید.
✅ رکوردهای متنوع و قابل تنظیم✅ زیرساخت ابری با پایداری بالا✅ پاسخ‌دهی سریع به درخواست‌های DNS
راه‌اندازی رایگان سرویس DNS

ملاحظات VPC مشترک

برای استفاده از زون خصوصی مدیریت‌شده Cloud DNS، زون فورواردینگ Cloud DNS یا زون peering Cloud DNS در کنار Shared VPC، لازم است که زون مورد نظر را در پروژه‌ی میزبان (host project) ایجاد کنید و سپس یک یا چند شبکه Shared VPC را به فهرست شبکه‌های مجاز (authorized networks) برای آن زون اضافه نمایید.

در حالت جایگزین، می‌توانید زون را در یک پروژه‌ی سرویس (service project) ایجاد کرده و از اتصال بین پروژه‌ای (cross-project binding) برای دسترسی به آن استفاده کنید.

استفاده از Shared VPC باعث می‌شود چندین پروژه بتوانند از یک شبکه مشترک بهره‌مند شوند. در چنین شرایطی، پیکربندی صحیح مجوزها و محل ایجاد زون‌های DNS اهمیت زیادی دارد تا از تداخل در سرویس‌دهی یا بروز خطا در resolve رکوردها جلوگیری شود.
همچنین، استفاده از cross-project binding در شرایطی که نیاز به انعطاف‌پذیری بیشتر یا تفکیک نقش‌ها بین تیم‌ها باشد، می‌تواند گزینه‌ای مناسب برای ساختارهای بزرگ‌تر سازمانی باشد.
DNS چیست؟
DNS

روش‌های انتقال DNS

Google Cloud امکان فورواردینگ DNS ورودی و خروجی را برای زون‌های خصوصی فراهم می‌کند. شما می‌توانید با ایجاد یک زون فورواردینگ یا یک «سیاست سرور DNS» در Cloud DNS، فورواردینگ DNS را پیکربندی کنید. این دو روش در جدول زیر خلاصه شده‌اند:

فورواردینگ DNSروش‌های Cloud DNS
ورودیایجاد یک سیاست سرور ورودی (inbound server policy) برای فعال‌سازی ارسال درخواست‌های DNS از سوی کلاینت یا سرور داخلی (on-premises) به Cloud DNS. در این حالت، کلاینت یا سرور DNS می‌تواند رکوردها را طبق ترتیب نام‌گذاری شبکه VPC موردنظر، resolve کند.

کلاینت‌های داخلی می‌توانند رکوردهای موجود در زون‌های خصوصی، زون‌های فورواردینگ و زون‌های peering را (در صورتی که شبکه VPC به آن‌ها مجاز شده باشد) resolve کنند. این کلاینت‌ها از طریق Cloud VPN یا Cloud Interconnect به شبکه VPC متصل می‌شوند.
خروجیشما می‌توانید ماشین‌های مجازی (VM) در شبکه VPC را به‌گونه‌ای پیکربندی کنید که:

– درخواست‌های DNS را به سرورهای نام (name servers) دلخواه ارسال کنند. این سرورها می‌توانند در همان شبکه VPC، در یک شبکه داخلی (on-premises) یا در اینترنت قرار داشته باشند.
– رکوردهایی را resolve کنند که روی سرورهای نامی قرار دارند که به‌عنوان هدف فورواردینگ (forwarding target) برای یک زون فورواردینگ، که برای استفاده در شبکه VPC مجاز شده، تعریف شده‌اند.

– ایجاد یک سیاست سرور خروجی (outbound server policy) برای ارسال تمام درخواست‌های DNS شبکه VPC به یک سرور نام جایگزین. در این حالت، ماشین‌های مجازی در شبکه VPC دیگر نمی‌توانند رکوردهای موجود در زون‌های خصوصی Cloud DNS، زون‌های فورواردینگ، زون‌های peering یا زون‌های داخلی Compute Engine را resolve کنند.

شما می‌توانید فورواردینگ DNS ورودی و خروجی را به‌صورت هم‌زمان برای یک شبکه VPC پیکربندی کنید. این فورواردینگ دوطرفه (bi-directional) به ماشین‌های مجازی در شبکه VPC امکان می‌دهد تا رکوردهای موجود در یک شبکه داخلی یا یک شبکه میزبان‌شده توسط ارائه‌دهنده‌ی دیگر را resolve کنند. این نوع فورواردینگ همچنین به میزبان‌های داخل شبکه داخلی امکان می‌دهد تا رکوردهای منابع شما در Google Cloud را resolve کنند.
نکته: Cloud DNS از فورواردینگ DNS برای زون‌های عمومی پشتیبانی نمی‌کند. زون‌های عمومی Cloud DNS باید authoritative باشند.

کنترل پلین (control plane) در Cloud DNS از ترتیب انتخاب forwarding target برای انتخاب هدف فورواردینگ استفاده می‌کند. درخواست‌های فوروارد شده‌ی خروجی ممکن است گاهی با خطای SERVFAIL مواجه شوند، اگر هدف‌های فورواردینگ در دسترس نباشند یا پاسخ‌دهی کافی نداشته باشند.

مقایسه DNS و سرور اختصاصی: چه تفاوت‌هایی دارند؟
مقایسه DNS و سرور اختصاصی

افزایش امنیت DNS با استفاده از DNSSEC

DNSSEC (Domain Name System Security Extensions) یک ویژگی امنیتی است که به Cloud DNS اضافه شده است تا دامنه‌ها را در برابر حملات جعل پاسخ (Spoofing) و آلودگی کش (Cache Poisoning) محافظت کند. با استفاده از DNSSEC، زمانی که از resolverهای معتبر مانند Google Public DNS استفاده می‌کنید، احراز هویت قوی برای درخواست‌های DNS انجام می‌شود (اما توجه داشته باشید که DNSSEC فقط احراز هویت انجام می‌دهد، نه رمزنگاری).

اگر شما هم نگران امنیت دامنه‌های خود در فضای آنلاین هستید، استفاده از DNSSEC می‌تواند یک لایه امنیتی اضافی برای جلوگیری از حملات علیه نام دامنه‌های شما ایجاد کند.

برای اطلاعات بیشتر در مورد نحوه تنظیمات DNSSEC، می‌توانید به مستندات پیکربندی DNSSEC در گوگل کلود مراجعه کنید.

آشنایی مفاهیم پروتکل های شبکه و رابط ها
مفاهیم پروتکل ها

DNS64 چیست؟

اگر شما یک ماشین مجازی فقط IPv6 دارید و می‌خواهید این ماشین‌ها بتوانند به مقاصد IPv4 متصل شوند، DNS64 می‌تواند به شما کمک کند. با استفاده از این ویژگی، Cloud DNS یک آدرس IPv6 ساختگی برای هر مقصد IPv4 ایجاد می‌کند.

این ویژگی برای زمانی مناسب است که شما در حال انتقال به زیرساخت‌های IPv6 هستید اما نیاز دارید همچنان به سرویس‌ها و منابع مبتنی بر IPv4 دسترسی داشته باشید.

مثال:
فرض کنید که یک ماشین مجازی با آدرس IPv6 دارید و می‌خواهید به یک سرور که فقط آدرس IPv4 دارد، متصل شوید. در این صورت، اگر رکورد AAAA (آدرس IPv6) برای مقصد وجود نداشته باشد، Cloud DNS به‌طور خودکار آدرس IPv4 مقصد را به یک آدرس IPv6 تبدیل می‌کند و به شما این امکان را می‌دهد که همچنان از خدمات IPv4 در دنیای IPv6 استفاده کنید.

این تکنولوژی برای مواردی که لازم است به تدریج به IPv6 مهاجرت کنید و همچنان به سیستم‌های قدیمی که از IPv4 استفاده می‌کنند، دسترسی داشته باشید، بسیار مفید است.

چرا از DNS64 استفاده کنیم؟

شما می‌توانید از DNS64 در موارد زیر بهره‌برداری کنید.

  • انتقال به IPv6 بدون نیاز به تخصیص آدرس‌های IPv4.
  • مهاجرت تدریجی به IPv6 و حفظ دسترسی به زیرساخت‌های IPv4 فعلی.
  • اطمینان از دسترسی بدون مشکل به سرویس‌ها در حین گذار از IPv4 به IPv6.

اگر شما هم در حال انتقال به IPv6 هستید یا به‌دنبال راهی برای استفاده از IPv6 در کنار IPv4 هستید، DNS64 می‌تواند یک راه‌حل مناسب برای شما باشد.

نکات مهم:

  • برای پیکربندی DNS64 در یک شبکه VPC، به مستندات مربوطه در گوگل کلود مراجعه کنید.
  • DNS64 با استفاده از پیشوند شناخته‌شده‌ی 64:ff9b::/96 آدرس‌های IPv6 را برای مقصدهای IPv4 ایجاد می‌کند.
DNS اختصاصی چیست؟ کلیدی برای افزایش سرعت و امنیت سایت
DNS اختصاصی

مدیریت دسترسی و کنترل کاربران در Cloud DNS

شما می‌توانید کاربرانی که مجاز به ایجاد تغییرات در رکوردهای DNS شما هستند را از طریق صفحه IAM & Admin در کنسول Google Cloud مدیریت کنید. برای اینکه یک کاربر مجاز به انجام تغییرات شود، باید نقش DNS Administrator (roles/dns.admin) را در بخش Permissions کنسول Google Cloud داشته باشد. نقش DNS Reader (roles/dns.reader) دسترسی فقط برای خواندن رکوردهای Cloud DNS را به کاربر می‌دهد.

این مجوزها همچنین برای حساب‌های سرویس که ممکن است برای مدیریت خدمات DNS استفاده کنید، اعمال می‌شود.

برای مشاهده مجوزهای اختصاص داده شده به این نقش‌ها، به بخش Roles مراجعه کنید.

کنترل دسترسی برای مناطق مدیریت‌شده

کاربرانی که نقش Owner یا Editor پروژه (roles/owner یا roles/editor) را دارند، می‌توانند مناطق مدیریت‌شده را در پروژه خاصی که مدیریت می‌کنند، مشاهده یا مدیریت کنند.

کاربرانی که نقش DNS Administrator یا DNS Reader را دارند، می‌توانند مناطق مدیریت‌شده را در تمامی پروژه‌هایی که به آن‌ها دسترسی دارند، مشاهده یا مدیریت کنند.

مالکان پروژه، ویرایشگران، مدیران DNS و خوانندگان DNS می‌توانند فهرست مناطق خصوصی اعمال شده به هر شبکه VPC در پروژه جاری را مشاهده کنند.

دسترسی به مجوزها بر اساس منابع

برای تنظیم سیاستی برای یک منبع DNS مانند یک منطقه مدیریت‌شده، باید دسترسی Owner به پروژه‌ای که آن منبع در آن قرار دارد، داشته باشید. نقش DNS Administrator دسترسی به مجوز setIamPolicy را ندارد. به‌عنوان مالک پروژه، شما همچنین می‌توانید نقش‌های IAM سفارشی برای نیازهای خاص خود ایجاد کنید.

عملکرد و زمان‌بندی پاسخ‌ها در Cloud DNS

Cloud DNS از فناوری Anycast برای سرویس‌دهی به مناطق مدیریت‌شده خود از مکان‌های مختلف در سراسر جهان استفاده می‌کند تا در دسترس‌پذیری بالایی داشته باشد. درخواست‌ها به طور خودکار به نزدیک‌ترین موقعیت مسیریابی می‌شوند، که این موضوع تأخیر را کاهش می‌دهد و عملکرد جستجوی نام معتبر را برای کاربران شما بهبود می‌بخشد.

مدیریت دسترسی در Cloud DNS

انتشار تغییرات

انتشار تغییرات در دو مرحله انجام می‌شود. ابتدا، تغییری که شما از طریق API یا ابزار خط فرمان ارسال می‌کنید، باید به سرورهای Cloud DNS ارسال شود. سپس، DNS resolverها باید این تغییرات را زمانی که کش آن‌ها منقضی می‌شود، دریافت کنند.

مقدار TTL (زمان زندگی) که برای رکوردهای خود تنظیم می‌کنید، کنترل می‌کند که کش DNS resolver برای چه مدت داده‌ها را ذخیره کند. به‌طور مثال، اگر مقدار TTL را برابر با 86400 ثانیه (که معادل 24 ساعت است) تنظیم کنید، به DNS resolverها دستور داده می‌شود که رکوردها را به مدت 24 ساعت کش کنند. برخی از DNS resolverها مقدار TTL را نادیده می‌گیرند یا از مقادیر خود استفاده می‌کنند، که می‌تواند انتشار کامل رکوردها را به تأخیر بیندازد.

اگر تغییرات شما نیاز به یک بازه زمانی محدود دارند، ممکن است بخواهید قبل از ایجاد تغییرات، TTL را به یک مقدار کوتاه‌تر تغییر دهید—مقدار TTL کوتاه‌تر پس از انقضای TTL قبلی در کش resolver اعمال خواهد شد. این روش می‌تواند به کاهش زمان کش کمک کرده و تغییرات سریع‌تر را برای تنظیمات رکوردهای جدید شما به‌وجود آورد. پس از انجام تغییر، می‌توانید مقدار TTL را به مقدار قبلی بازگردانید تا بار کمتری بر روی DNS resolverها وارد شود.

مشکلات رایج DNS و راهکارهای موثر برای رفع و جلوگیری از آن‌ها
مشکلات رایج DNS

جمع بندی

Cloud DNS سرویس قدرتمند و مقیاس‌پذیری است که به شما امکان می‌دهد رکوردهای DNS خود را به‌راحتی مدیریت کنید و از عملکرد بهینه و امنیت بالایی بهره‌مند شوید. این سرویس با استفاده از فناوری Anycast، درخواست‌ها را به نزدیک‌ترین سرور مسیریابی کرده و بهبود عملکرد و کاهش تأخیر را برای کاربران فراهم می‌آورد.

انتشار تغییرات در Cloud DNS در دو مرحله انجام می‌شود: ابتدا تغییرات به سرورهای Cloud DNS ارسال شده و سپس در کش DNS resolverها اعمال می‌شود. برای بهبود فرآیند انتشار تغییرات، می‌توانید مقدار TTL را تغییر داده و زمان‌بندی به‌روزرسانی‌ها را بهتر کنترل کنید.

در نهایت، Cloud DNS ابزارهای مناسبی برای کنترل دسترسی و مدیریت کاربران، همچنین پشتیبانی از امنیت بالای DNSSEC فراهم می‌کند، تا از حملات تقلب و مسموم‌سازی کش جلوگیری شود. این سرویس به شما کمک می‌کند تا به‌طور مؤثر و کارآمد زیرساخت‌های DNS خود را مدیریت کنید و تجربه کاربری بهتری را ارائه دهید.

به اشتراک بگذارید