谷歌把35.199.192.0/19藏了7年，企业防火墙集体破防

全球企业每年在DNS架构上烧掉的钱，够买3艘航母。但有个IP段让工程师集体失眠——35.199.192.0/19，谷歌Cloud DNS的"幽灵地址"，企业防火墙见一个拦一个。

这不是配置错误，是设计层面的死结。一位刚踩完坑的架构师在GitHub吐槽：「我们花了两周排查，最后发现是谷歌自己埋的雷。」

那个删不掉的神秘路由

事情要从2024年说起。某跨国企业把核心业务迁上谷歌云，IT总监的要求很简单：本地Infoblox DNS必须继续做老大，云上的记录也得它说了算。

团队选了Cloud DNS的转发区（Forwarding Zone），把查询指向本地数据中心。测试当天，防火墙日志炸了——源地址35.199.192.0/19的请求被批量丢弃。

这个地址段的诡异之处在于：它看起来是公网IP，实际上只在谷歌云内部有意义。更离谱的是，每个VPC都有一条"隐形路由"指向它，控制台里看不见，API删不掉，VPC对等连接（VPC Peering）和Network Connectivity Center（网络连接中心，NCC）都不交换这条路由。

企业安全团队的反应高度一致：陌生公网段？封。等工程师查明真相申请放行，变更流程走两周，项目已经黄了一半。

谷歌文档里轻描淡写提了一句「某些防火墙可能需要放行」，但没解释为什么这个地址会出现在本不该出现的场景里。

DNS查询的"跨VPC死亡陷阱"

问题的根源比防火墙规则更深。Cloud DNS转发区有两种路由模式：标准模式走公网，私有模式走VPC内部网络。企业当然选私有模式——谁想把内网DNS查询暴露到互联网？

但私有模式有个致命副作用：查询源地址强制变成35.199.192.0/19。这个设计本意是让目标DNS服务器能正确回包，却在混合云场景里制造了连锁灾难。

假设你有两个VPC：App VPC跑业务，Infra VPC放DNS服务器。App VPC的Cloud DNS想把查询转发给Infra VPC的DNS VM。

查询包从App VPC出发，源地址35.199.192.0/19，目标地址是Infra VPC的DNS VM。NCC把路由交换得很好，包能到。但响应包返程时，Infra VPC的隐形路由生效了——35.199.192.0/19被认为在本地，根本不回App VPC。

查询消失在黑洞里。超时。重试。再超时。

工程师抓包看到请求出去了，响应没回来，第一反应是防火墙又抽风。折腾三天才发现，是谷歌自己的路由逻辑在搞事。

Network Connectivity Center的"最后一公里"悖论

NCC被谷歌定位为混合云网络的中枢，支持SD-WAN、专线、VPN多种接入方式。它的核心能力是在不同VPC和本地网络之间交换路由，让资源互通。

但在DNS这个特定场景，NCC有个盲区：它交换的是子网路由，不是那条特殊的35.199.192.0/19。这意味着即使你把所有VPC都挂到NCC上，Cloud DNS的跨VPC转发依然会掉进黑洞。

那位架构师的解决方案堪称暴力美学：在Infra VPC里部署一台BIND虚拟机，假装成IPAM（IP地址管理）平台的网格成员。App VPC不直接转发给这台VM，而是通过DNS对等（DNS Peering）把查询"嫁接"到Infra VPC的DNS上下文。

关键区别在于：DNS Peering不走数据平面，只在元数据层面把查询目标切换到另一个VPC的Cloud DNS实例。响应路径完全由Infra VPC自己处理，绕开了跨VPC路由的死亡陷阱。

整个架构用了三个VPC：App VPC跑业务负载，Infra VPC托管DNS桥接，SD-WAN VPC对接本地网络。NCC负责让App VPC知道怎么到达本地子网，但DNS查询的闭环完全在Infra VPC内完成。

企业IPAM的"权威执念"

为什么非要折腾这么复杂的拓扑？直接让Cloud DNS管所有记录不行吗？

不行。金融、医疗、制造业的合规部门有个执念：IPAM平台必须是唯一权威源。Infoblox、EfficientIP、BlueCat这些系统不只是DNS服务器，它们关联着IP分配、设备发现、安全策略，是网络治理的中枢神经。

让Cloud DNS自建权威区，等于在企业架构里制造"影子DNS"，审计的时候解释不清。更现实的问题是：云上的VM IP地址要同步回IPAM，变更记录要留痕，这些都不是Cloud DNS的强项。

所以方案必须满足：本地IPAM继续当老大，云上查询能找它，响应能回来，防火墙不报警。

那位架构师的设计里，Cloud DNS只扮演"智能接线员"角色。四个托管区（Managed Zone）分工明确：两个Peering Zone负责把gcp.example.com和corp.example.com的查询导向Infra VPC，两个Forwarding Zone在Infra VPC内部完成到BIND VM的最后一跳。

所有转发都显式指定forwarding_path = "private"，确保不走公网。BIND VM再向上游的企业IPAM发起递归查询，拿到结果后原路返回。

35.199.192.0/19的"薛定谔公网"属性

这个地址段的身份焦虑，折射出云计算的一个深层矛盾：什么是"内部"？什么是"外部"？

在AWS，类似的功能用不同的地址实现。Azure有自己的方案。谷歌选择了一个历史上属于IANA预留空间的范围，但没向企业防火墙厂商充分同步这个信息。

结果是一个经典的安全/可用性冲突：严格遵循安全最佳实践（屏蔽未知公网段）的防火墙，恰好破坏了云原生DNS的设计假设。

谷歌的文档在2024年更新了几次，增加了对35.199.192.0/19的解释，但"非可移除路由"这个设计决策没有动摇。工程师社区里有人提议用私有DNS解析器（Private DNS Resolver）作为替代方案，但那是另一个价格档位的产品。

那位架构师在复盘文档里写了一句：「理解Cloud DNS的转发路径，比配置它花的时间多十倍。」

查询流程的最终形态是这样的：App VM发起dig请求，命中App VPC的Peering Zone，查询被元数据重定向到Infra VPC的Cloud DNS实例；Infra VPC的Forwarding Zone把查询发给BIND VM，源地址35.199.192.0/19；BIND VM向企业IPAM递归，拿到10.0.2.10的A记录；响应沿原路返回，因为全程没离开Infra VPC的上下文，隐形路由恰好生效。

一个查询经历了三次DNS上下文切换，两次VPC边界穿越（逻辑上），最终靠"不穿越"的设计才成功。

SD-WAN设备的"双面间谍"角色

架构里的SD-WAN VM是个有趣的存在。它同时属于两个网络：通过VPC Network Interface（网络接口）接入谷歌云，通过外部网络接口对接本地MPLS或互联网专线。

NCC把它注册为Router Appliance Spoke（路由器设备分支），自动交换路由。App VPC因此学会了到达本地子网的路径，不需要手动配置静态路由。

但DNS流量不走SD-WAN VM。这是刻意的设计——如果把DNS查询也塞进SD-WAN隧道，源地址问题会更复杂，而且增加了单点故障风险。

SD-WAN VM只负责"东西向"的网络连通，DNS是"南北向"的控制平面，物理隔离。

这种分层在架构图上看起来干净，运维的时候却容易让人困惑：为什么网络通了，DNS还是超时？因为NCC解决的是IP可达性，不是DNS上下文的一致性。

从BIND VM到生产就绪的gap

那位架构师的方案用了BIND作为概念验证，但企业落地时通常会换成IPAM厂商提供的官方网格成员镜像。Infoblox有vNIOS，EfficientIP有SOLIDserver，BlueCat有类似产品。

这些镜像的核心价值不是功能，是合规——厂商认证、安全补丁、支持合同。用BIND POC可以，上生产得换。

另一个隐藏成本是HA设计。BIND VM单点部署是架构师的简化，真实环境需要至少两台，跨可用区分布，加上健康检查和自动故障转移。Cloud DNS的Peering Zone本身是高可用的，但背后的转发目标不能掉链子。

防火墙规则的管理也是持久战。35.199.192.0/19要放行，BIND VM的IP要放行，SD-WAN VM的接口要放行，任何一次安全策略收紧都可能误伤。

那位架构师建议：把DNS相关的防火墙规则单独成册，变更评审时必须有人懂这个地址段的特殊含义。

查询路径的调试工具也值得 investment。dig +trace能看到递归过程，但看不到VPC边界的元数据切换。谷歌云的Packet Mirroring（包镜像）可以抓包，但35.199.192.0/19的源地址在镜像流量里可能显示异常，因为那是内部实现细节。

最可靠的验证方法是端到端测试：在App VPC放一台VM，持续dig一个只有IPAM知道的内部域名，监控成功率和延迟。

Cloud DNS的产品边界

整个方案绕了一大圈，本质上是在填补Cloud DNS的产品缺口：它不提供原生的、跨VPC的私有DNS转发能力。

Peering Zone是个精巧的补丁，但它要求目标VPC必须有对应的托管区配置，不能直接把查询扔给任意IP。Forwarding Zone能指向任意IP，但受限于35.199.192.0/19的路由陷阱。

两者的组合实现了功能，但增加了架构复杂度。对比AWS Route 53的Resolver Endpoint，或者Azure Private DNS的虚拟网络链接，Cloud DNS的混合云故事确实更难讲。

谷歌的回应方向是Private DNS Resolver，一个托管的出站解析器，可以部署在VPC内部，避免35.199.192.0/19的问题。但价格、功能成熟度、与企业IPAM的集成度，都是待验证的变量。

那位架构师在文档结尾列了三个备选方案：继续维护BIND桥接、评估Private DNS Resolver、或者激进一点，把部分权威区迁移到Cloud DNS，降低对IPAM的依赖。

每个选项都有代价，没有银弹。

这个案例的启示或许是：云计算的"托管服务"承诺，在混合云场景里需要打折扣。当企业有强合规要求、复杂网络拓扑、遗留系统绑定的时候，云厂商的抽象层会露出接缝，需要工程师用创造性的脏活填补。

35.199.192.0/19就是那个接缝的标记。它不会消失，只会被更多人踩到。

那位架构师最后更新文档是在2024年12月，附了一张查询流程的ASCII艺术图，和一句备注：「如果谷歌哪天改了这条隐形路由的行为，整个方案会瞬间崩溃。但目前看来，他们动不了——太多存量依赖了。」

你的DNS架构里，有没有类似的"幽灵地址"在潜伏？