En este documento, se proporciona información básica para estimar los costos de DNS Armor. También proporciona algunos métodos para optimizar tus costos cuando usas DNS Armor.
Para obtener información general sobre los precios de Cloud DNS, consulta Precios de Cloud DNS.
Puedes encontrar más información sobre los precios de DNS Armor en Precios de la detección avanzada de amenazas.
Estimación de costos
Puedes usar la métrica dns.googleapis.com/query/response_count filtrada para target_type=external y source_type==gce-vm para estimar tus costos.
Optimización de costos
Para reducir los costos de DNS Armor, puedes configurar los siguientes recursos para excluir su tráfico de la inspección de amenazas.
Excluye las APIs y los servicios de Google
De forma predeterminada, las consultas a googleapis.com se recursan a Internet, lo que significa que estas consultas se consideran consultas de external y, por lo tanto, están dentro del alcance para que DNS Armor las procese. Para evitar esta situación, captura este tráfico en una zona privada de Cloud DNS y enrútalo a las direcciones IP virtuales (VIP) internas de Google.
Si lo haces, estas consultas se marcarán como internal y omitirán la inspección de DNS Armor.
Para excluir las llamadas a la API del procesamiento de DNS Armor, configura el acceso privado a Google o Private Service Connect para las APIs de Google. Para obtener más información, consulta Configura el Acceso privado a Google y Información sobre el acceso a las APIs de Google a través de extremos.
Excluye tus propios dominios
DNS Armor trata las consultas de cargas de trabajo internas a dominios públicos como tráfico externo, lo que hace que el detector de amenazas las procese. Para evitar esto, asegúrate de que el dominio de tu empresa se resuelva de forma privada con zonas administradas privadas, zonas de intercambio de tráfico o zonas de reenvío. Mientras Cloud DNS no realice recursión de las consultas a Internet, DNS Armor no las procesará.
Zona administrada privada
Usa esta opción si deseas mantener una copia completa y separada de tus zonas DNS internas en Cloud DNS (a menudo, se conoce como DNS de "cerebro dividido" o "horizonte dividido").
Por ejemplo, si creas una zona privada de Cloud DNS para example.com y la completas con tus registros DNS, puedes adjuntar la zona a tu red de VPC.
Este enfoque significa que, cuando una carga de trabajo consulta api.example.com, Cloud DNS primero verificará la zona privada adjunta, encontrará el registro interno y responderá de inmediato. La consulta nunca sale de la VPC y se etiqueta como internal, lo que ayuda a que la consulta evite el procesamiento de DNS Armor.
Políticas de respuesta de Cloud DNS
Usa esta opción si solo necesitas resolver algunos nombres de host específicos (como api.example.com o db.example.com) en direcciones IP internas, pero quieres que el resto de tu dominio siga resolviéndose de forma pública a través de Internet.
Por ejemplo, puedes crear una regla de política de respuesta para api.example.com que devuelva tu dirección IP interna y adjuntarla a tu VPC. Esto intercepta tus búsquedas de confianza de gran volumen y las responde de forma local. Las consultas de otros dominios (como www.example.com) seguirán resolviéndose de forma pública y se procesarán con DNS Armor.
Zona de reenvío
Usa este método si ejecutas servidores DNS locales (como Active Directory, InfoBlox o BIND) que son autorizados para tus zonas DNS internas y están conectados a Google Cloud con Cloud VPN o Interconexión dedicada.
Por ejemplo, puedes crear una zona de reenvío de Cloud DNS para example.com y configurarla para que apunte directamente a las direcciones IP internas (por lo general, direcciones RFC 1918) de tus servidores DNS locales. Este método envía la búsqueda a través de tu red privada a tus servidores internos. Dado que el destino es una dirección IP privada, la consulta se etiqueta como forwarding-zone y DNS Armor no la procesa.
Para obtener más información, consulta Usa zonas de reenvío para consultar servidores locales.
Servidores DNS personalizados en VMs de Compute Engine
Si ejecutas tus propios servidores DNS (p.ej., BIND, Active Directory, dnsmasq) en VMs deGoogle Cloud , tu uso de DNS Armor dependerá de la topología de enrutamiento que utilices.
- Reenvío de Cloud DNS a tu VM. Las consultas corporativas que se envían a través de una zona de reenvío de Cloud DNS a la dirección IP interna de tu VM de DNS personalizada se considerarán internas y, por lo tanto, DNS Armor no las procesará.
- Cargas de trabajo que consultan directamente tu VM. Si tus cargas de trabajo están configuradas para omitir Cloud DNS y consultar directamente tu VM de DNS personalizada, Cloud DNS no procesa la solicitud inicial, por lo que DNS Armor no procesa las consultas a nivel de la carga de trabajo.
Tu VM reenvía a Cloud DNS. Si enrutas todo el tráfico de DNS de Internet de tu empresa a través de una VM de servidor DNS central, que luego reenvía a Cloud DNS, la plataforma solo ve las consultas que provienen de esa única fuente. La VM hace que los entornos de volumen bajo a medio sean menos costosos porque DNS Armor factura en función de
GREATEST(Workloads, Queries / 150), y este método reduce el valor de referencia de las cargas de trabajo a 1.
Resolución de zonas privadas
Los cargos pueden surgir a partir de consultas a dominios que deberían resolverse de forma interna, pero que se filtran inadvertidamente a Internet y, por lo tanto, se resuelven con el DNS público y se procesan con DNS Armor.
Para optimizar tus costos en este caso, controla la resolución de estos dominios de forma interna en tu VPC. Puedes usar zonas privadas o de reenvío de Cloud DNS para dirigir estas consultas a tus solucionadores internos. Esto ayuda a garantizar que las consultas ya no se marquen como vinculadas a Internet y, por lo tanto, DNS Armor no las inspeccionará.
¿Qué sigue?
- Para obtener más información sobre DNS Armor, consulta Detección avanzada de amenazas