このドキュメントでは、DNS Armor の費用の見積もりに関する基本的な情報を提供します。また、DNS Armor を使用する際の費用を最適化する方法についても説明します。
Cloud DNS の料金に関する一般的な情報については、Cloud DNS の料金をご覧ください。
DNS Armor の料金の詳細については、 高度な脅威検出の料金をご覧ください。
費用の見積もり
費用を見積もるには、target_type=external と source_type==gce-vm でフィルタされた dns.googleapis.com/query/response_count 指標を使用します。
費用の最適化
DNS Armor の費用を削減するには、次のリソースを構成して、トラフィックを脅威検査から除外します。
Google API とサービスを除外する
デフォルトでは、googleapis.com へのクエリはインターネットに再帰されます。つまり、これらのクエリは external クエリと見なされるため、DNS Armor で処理されます。このシナリオを回避するには、Cloud DNS 限定公開ゾーンでこの
トラフィックをキャプチャし、
Google の内部仮想 IP アドレス(VIP)にルーティングします。
これにより、これらのクエリは internal としてマークされ、DNS Armor の検査をバイパスします。
API 呼び出しを DNS Armor の処理から除外するには、Google API 用の限定公開 Google アクセスまたは Private Service Connect を構成します。 詳細については、限定公開 Google アクセスを構成する とエンドポイントを介した Google API へのアクセスについてをご覧ください。
独自のドメインを除外する
DNS Armor は、内部ワークロードからパブリック ドメインへのクエリを外部トラフィックとして扱い、脅威検出機能によって処理します。これを回避するには、限定公開マネージド ゾーン、ピアリング ゾーン、転送ゾーンを使用して、会社のドメインが非公開で解決されるようにします。Cloud DNS がクエリをインターネットに再帰しない限り、DNS Armor はクエリを処理しません。
限定公開マネージド ゾーン
Cloud DNS で内部 DNS ゾーンの完全なコピーを保持する場合は、このオプションを使用します(「スプリットブレイン」または「スプリットホライズン」DNS と呼ばれることもあります)。
たとえば、example.com の Cloud DNS 限定公開ゾーンを作成し、DNS レコードを入力したら、そのゾーンを VPC ネットワークに接続できます。
このアプローチでは、ワークロードが api.example.com をクエリすると、Cloud DNS は接続された限定公開ゾーンを最初にチェックし、内部レコードを見つけてすぐに回答します。クエリは VPC から離れることはなく、internal としてタグ付けされるため、DNS Armor の処理を回避できます。
Cloud DNS レスポンス ポリシー
特定のホスト名(api.example.com や db.example.com など)を内部 IP アドレスに解決するだけで、ドメインの残りの部分をインターネット経由で公開的に解決し続ける場合は、このオプションを使用します。
たとえば、内部 IP アドレスを返す api.example.com のレスポンス ポリシー ルールを作成して、VPC に接続できます。これにより、大量の信頼できるクエリがインターセプトされ、ローカルで回答されます。他のドメイン(www.example.com など)からのクエリは引き続き公開的に解決され、DNS Armor によって処理されます。
転送ゾーン
内部 DNS ゾーンの権限を持ち、Cloud VPN または Dedicated Interconnect を使用して Google Cloud に接続されているオンプレミス DNS サーバー(Active Directory、 InfoBlox、BIND など)を運用している場合は、この方法を使用します。
たとえば、example.com
の Cloud DNS 転送ゾーンを作成し、オンプレミス DNS サーバーの内部 IP アドレス
(通常は RFC 1918 アドレス)
を直接指すように構成できます。この方法では、クエリがプライベート ネットワークを介して内部サーバーに送信されます。宛先はプライベート IP アドレスであるため、クエリは forwarding-zone としてタグ付けされ、DNS Armor による処理の対象にはなりません。
詳細については、 転送ゾーンを使用してオンプレミス サーバーにクエリを送信するをご覧ください。
Compute Engine VM 上のカスタム DNS サーバー
VM で独自の DNS サーバー(BIND、Active Directory、dnsmasq など)を Google Cloud VM で実行する場合、DNS Armor の使用量は 使用するルーティング トポロジによって異なります。
- VM への Cloud DNS 転送。Cloud DNS 転送ゾーンを使用してカスタム DNS VM の内部 IP アドレスに送信された企業クエリは内部と見なされるため、DNS Armor によって処理されません。
- ワークロードが VM に直接クエリを実行する。ワークロードが Cloud DNS をバイパスしてカスタム DNS VM に直接クエリを実行するように構成されている場合、Cloud DNS は最初のリクエストを処理しないため、クエリはワークロード レベルで DNS Armor によって処理されません。
VM が Cloud DNS に転送する。すべての企業のインターネット DNS トラフィックを中央 DNS サーバー VM を介してルーティングし、その VM が Cloud DNS に転送する場合、プラットフォームにはその単一のソースからのクエリのみが表示されます。VM は、DNS Armor が
GREATEST(Workloads, Queries / 150)に基づいて課金し、この方法で Workloads のベースラインが 1 に下がるため、小規模から中規模の環境の費用を削減できます。
限定公開ゾーンの解決
内部で解決されるべきドメインへのクエリが誤ってインターネットに漏洩し、パブリック DNS を使用して解決され、DNS Armor によって処理されると、料金が発生する可能性があります。
このインスタンスで費用を最適化するには、これらのドメインの解決を VPC 内で内部的に処理します。Cloud DNS 限定公開ゾーンまたは転送ゾーンを使用して、これらのクエリを内部リゾルバに転送できます。これにより、クエリがインターネット宛先としてマークされなくなり、DNS Armor によって検査されなくなります。
次のステップ
- DNS Armor の詳細については、高度な脅威検出をご覧ください。