DNS Armor 비용 추정 및 최적화

이 문서에서는 DNS Armor 비용을 산정하는 방법에 관한 기본적인 정보를 제공합니다. 또한 DNS Armor를 사용할 때 비용을 최적화할 수 있는 몇 가지 방법을 제공합니다.

일반적인 Cloud DNS 가격 책정 정보는 Cloud DNS 가격 책정을 참조하세요.

DNS Armor 가격 책정에 대한 자세한 내용은 고급 위협 탐지 가격 책정을 참조하세요.

예상 비용

target_type=externalsource_type==gce-vm으로 필터링된 dns.googleapis.com/query/response_count 측정항목을 사용하여 비용을 산정할 수 있습니다.

비용 최적화

DNS Armor 비용을 줄이려면 다음 리소스가 위협 검사에서 트래픽을 제외하도록 구성하면 됩니다.

Google API 및 서비스 제외

기본적으로 googleapis.com에 대한 쿼리는 인터넷으로 재귀됩니다. 즉, 이러한 쿼리는 external 쿼리로 간주되므로 DNS Armor에서 처리할 범위에 포함됩니다. 이 시나리오를 방지하려면 Cloud DNS 비공개 영역에서 이 트래픽을 캡처하고 Google의 내부 가상 IP 주소 (VIP)로 라우팅합니다. 이렇게 하면 이러한 쿼리가 internal로 표시되고 쿼리가 DNS Armor 검사를 우회합니다.

DNS Armor 처리에서 API 호출을 제외하려면 Google API에 대해 비공개 Google 액세스 또는 Private Service Connect를 구성합니다. 자세한 내용은 비공개 Google 액세스 구성엔드포인트를 통한 Google API 액세스 정보를 참조하세요.

자체 도메인 제외

DNS Armor는 내부 워크로드에서 공개 도메인으로의 쿼리를 외부 트래픽으로 취급하므로 위협 감지기에서 처리합니다. 이를 방지하려면 회사 도메인이 비공개 관리형 영역, 피어링 영역 또는 전달 영역을 사용하여 비공개로 변환되는지 확인합니다. Cloud DNS가 쿼리를 인터넷으로 재귀하지 않는 한 DNS Armor는 쿼리를 처리하지 않습니다.

비공개 관리형 영역

Cloud DNS에서 내부 DNS 영역의 완전하고 별도의 사본을 유지하려는 경우 이 옵션을 사용합니다 (일반적으로 '스플릿 브레인' 또는 '스플릿 호라이즌' DNS라고 함).

예를 들어 example.com의 Cloud DNS 비공개 영역을 만들고 DNS 레코드로 채운 다음 영역을 VPC 네트워크에 연결할 수 있습니다. 이 접근 방식은 워크로드가 api.example.com을 쿼리할 때 Cloud DNS가 먼저 연결된 비공개 영역을 확인하고 내부 레코드를 찾아 즉시 응답한다는 의미입니다. 쿼리는 VPC를 벗어나지 않고 internal로 태그 지정되므로 쿼리가 DNS Armor 처리를 방지하는 데 도움이 됩니다.

Cloud DNS 응답 정책

몇 가지 특정 호스트 이름(예: api.example.com 또는 db.example.com)을 내부 IP 주소로 변환해야 하지만 나머지 도메인은 인터넷을 통해 공개적으로 계속 변환되도록 하려는 경우 이 옵션을 사용합니다.

예를 들어 내부 IP 주소를 반환하는 api.example.com의 응답 정책 규칙을 만들고 VPC에 연결할 수 있습니다. 이렇게 하면 대량의 신뢰할 수 있는 쿼리가 가로채지고 로컬에서 응답됩니다. 다른 도메인(예: www.example.com)의 쿼리는 계속 공개적으로 변환되고 DNS Armor에서 처리됩니다.

전달 영역

내부 DNS 영역에 대해 권한이 있고 Cloud VPN 또는 전용 상호 연결을 사용하여 연결된 온프레미스 DNS 서버 (예: Active Directory, InfoBlox 또는 BIND)를 운영하는 경우 이 메서드를 사용합니다. Google Cloud

예를 들어 Cloud DNS 전달 영역을 만들고 온프레미스 DNS 서버의 내부 IP 주소(일반적으로 RFC 1918 주소)를 직접 가리키도록 구성할 수 있습니다.example.com 이 메서드는 비공개 네트워크를 통해 쿼리를 내부 서버로 전송합니다. 목적지가 비공개 IP 주소이므로 쿼리는 forwarding-zone으로 태그 지정되며 DNS Armor에서 처리되지 않습니다.

자세한 내용은 전달 영역을 사용하여 온프레미스 서버 쿼리를 참조하세요.

Compute Engine VM의 커스텀 DNS 서버

VM에서 자체 DNS 서버 (예: BIND, Active Directory, dnsmasq)를 실행하는 경우 DNS Armor 사용량은 사용하는 라우팅 토폴로지에 따라 달라집니다.Google Cloud

  • VM으로의 Cloud DNS 전달. Cloud DNS 전달 영역을 사용하여 커스텀 DNS VM의 내부 IP 주소로 전송된 회사 쿼리는 내부로 간주되므로 DNS Armor에서 처리되지 않습니다.
  • VM을 직접 쿼리하는 워크로드. 워크로드가 Cloud DNS를 우회하고 커스텀 DNS VM을 직접 쿼리하도록 구성된 경우 Cloud DNS는 초기 요청을 처리하지 않으므로 워크로드 수준에서 DNS Armor에서 쿼리가 처리되지 않습니다.
  • VM이 Cloud DNS로 전달. 모든 회사 인터넷 DNS 트래픽을 중앙 DNS 서버 VM을 통해 라우팅한 다음 Cloud DNS로 전달하는 경우 플랫폼에는 단일 소스에서 발생하는 쿼리만 표시됩니다. VM은 DNS Armor가 GREATEST(Workloads, Queries / 150)를 기준으로 청구하고 이 메서드가 워크로드 기준선을 1로 낮추기 때문에 소규모에서 중간 규모 환경의 비용을 절감합니다.

비공개 영역 변환

내부적으로 변환되어야 하지만 실수로 인터넷으로 유출되어 공개 DNS를 사용하여 변환되고 DNS Armor에서 처리되는 도메인에 대한 쿼리로 인해 요금이 발생할 수 있습니다.

이 경우 비용을 최적화하려면 VPC 내에서 이러한 도메인의 변환을 내부적으로 처리합니다. Cloud DNS 비공개 영역 또는 전달 영역을 사용하여 이러한 쿼리를 내부 리졸버로 전달할 수 있습니다. 이렇게 하면 쿼리가 더 이상 인터넷 연결로 표시되지 않으므로 DNS Armor에서 검사되지 않습니다.

다음 단계