Questo documento fornisce alcune informazioni di base sulla stima dei costi di DNS Armor. Fornisce inoltre alcuni metodi per ottimizzare i costi quando utilizzi DNS Armor.
Per informazioni generali sui prezzi di Cloud DNS, consulta Prezzi di Cloud DNS.
Per saperne di più sui prezzi di DNS Armor, consulta Prezzi del rilevamento avanzato delle minacce.
Stima dei costi
Puoi utilizzare la metrica dns.googleapis.com/query/response_count filtrata in base a target_type=external e source_type==gce-vm per stimare i costi.
Ottimizzazione dei costi
Per ridurre i costi di DNS Armor, puoi configurare le seguenti risorse in modo da escludere il loro traffico dall'ispezione delle minacce.
Esclusione di API e servizi Google
Per impostazione predefinita, le query a googleapis.com vengono eseguite in modo ricorsivo su internet, il che significa che queste query sono considerate query external e pertanto rientrano nell'ambito di elaborazione di DNS Armor. Per evitare questo scenario, acquisisci questo traffico in una zona privata Cloud DNS e indirizzalo agli indirizzi IP virtuali (VIP) interni di Google.
In questo modo, queste query vengono contrassegnate come internal e bypasseranno l'ispezione di DNS Armor.
Per escludere le chiamate API dall'elaborazione di DNS Armor, configura l'accesso privato Google o Private Service Connect per le API di Google. Per saperne di più, consulta Configurare l'accesso privato Google e Informazioni sull'accesso alle API di Google tramite endpoint.
Esclusione dei tuoi domini
DNS Armor considera le query dai workload interni ai domini pubblici come traffico esterno, il che comporta l'elaborazione da parte del rilevatore di minacce. Per evitare questo problema, assicurati che il dominio della tua azienda venga risolto privatamente utilizzando zone gestite private, zone di peering o zone di forwarding. Finché Cloud DNS non esegue la ricorsione delle query su internet, DNS Armor non le elabora.
Zona gestita privata
Utilizza questa opzione se vuoi mantenere una copia completa e separata delle tue zone DNS interne in Cloud DNS (spesso indicato come DNS "split-brain" o "split-horizon").
Ad esempio, se crei una zona privata Cloud DNS per example.com e la popoli con i tuoi record DNS, puoi collegare la zona alla tua rete VPC.
Questo approccio significa che quando un workload esegue una query su api.example.com, Cloud DNS
controlla prima la zona privata collegata, trova il record interno e
risponde immediatamente. La query non esce mai dal VPC ed è taggata come internal,
il che aiuta la query a evitare l'elaborazione di DNS Armor.
Policy di risposta di Cloud DNS
Utilizza questa opzione se devi risolvere solo alcuni nomi host specifici
(ad esempio api.example.com o db.example.com) in indirizzi IP interni, ma
vuoi che il resto del tuo dominio continui a essere risolto pubblicamente su internet.
Ad esempio, puoi creare una regola di policy di risposta per api.example.com che restituisce il tuo indirizzo IP interno e collegarlo al tuo VPC. Intercetta le query attendibili
ad alto volume e risponde localmente. Le query di altri domini
(come www.example.com) verranno comunque risolte pubblicamente ed elaborate da
DNS Armor.
Zona di inoltro
Utilizza questo metodo se utilizzi server DNS on-premise (come Active Directory, InfoBlox o BIND) autorevoli per le tue zone DNS interne e connessi a Google Cloud utilizzando Cloud VPN o Dedicated Interconnect.
Ad esempio, puoi creare una zona di forwarding Cloud DNS per example.com e configurarla in modo che punti direttamente agli indirizzi IP interni (in genere indirizzi RFC 1918) dei tuoi server DNS on-premise. Questo metodo invia la query attraverso la tua
rete privata ai tuoi server interni. Poiché la destinazione è un indirizzo IP privato, la query viene taggata come forwarding-zone e non è soggetta all'elaborazione da parte di DNS Armor.
Per saperne di più, consulta Utilizza le zone di forwarding per fare query sui server on-premise.
Server DNS personalizzati sulle VM Compute Engine
Se esegui i tuoi server DNS (ad es. BIND, Active Directory, dnsmasq) sulle VMGoogle Cloud , l'utilizzo di DNS Armor dipende dalla topologia di routing che utilizzi.
- Cloud DNS inoltra alla tua VM. Le query aziendali inviate utilizzando una zona di forwarding Cloud DNS all'indirizzo IP interno della tua VM DNS personalizzata verranno considerate interne e pertanto non verranno elaborate da DNS Armor.
- Carichi di lavoro che eseguono query direttamente sulla VM. Se i tuoi workload sono configurati per bypassare Cloud DNS ed eseguire query direttamente sulla tua VM DNS personalizzata, Cloud DNS non elabora la richiesta iniziale, quindi le query non vengono elaborate da DNS Armor a livello di workload.
La tua VM inoltra a Cloud DNS. Se indirizzi tutto il traffico DNS internet della tua azienda tramite una VM server DNS centrale, che poi inoltra a Cloud DNS, la piattaforma vede solo le query provenienti da questa singola origine. La VM rende gli ambienti con volumi da bassi a medi meno costosi perché DNS Armor fattura in base a
GREATEST(Workloads, Queries / 150)e questo metodo riduce la baseline dei carichi di lavoro a 1.
Risoluzione delle zone private
Gli addebiti possono derivare da query a domini che devono essere risolti internamente, ma vengono inavvertitamente divulgati su internet e quindi vengono risolti utilizzando il DNS pubblico ed elaborati da DNS Armor.
Per ottimizzare i costi in questa istanza, gestisci la risoluzione per questi domini internamente al VPC. Puoi utilizzare le zone private di Cloud DNS o le zone di forwarding per indirizzare queste query ai tuoi resolver interni. In questo modo le query non vengono più contrassegnate come destinate a internet e quindi non vengono ispezionate da DNS Armor.
Passaggi successivi
- Per saperne di più su DNS Armor, consulta Rilevamento avanzato delle minacce.