Este documento fornece algumas informações básicas sobre como estimar os custos do DNS Armor. Ele também oferece alguns métodos para otimizar seus custos ao usar o DNS Armor.
Para informações gerais sobre os preços do Cloud DNS, consulte Preços do Cloud DNS.
Mais informações sobre os preços do DNS Armor podem ser encontradas em Preços da detecção avançada de ameaças.
Estimativa de custo
Você pode usar a métrica dns.googleapis.com/query/response_count filtrada para target_type=external e source_type==gce-vm para estimar seus custos.
Otimização de custos
Para reduzir os custos do DNS Armor, você pode configurar os seguintes recursos para excluir o tráfego deles da inspeção de ameaças.
Como excluir APIs e serviços do Google
Por padrão, as consultas para googleapis.com são recursivas na Internet, o que significa que essas consultas são consideradas external e, portanto, estão no escopo para serem processadas pelo DNS Armor. Para evitar esse cenário, capture esse
tráfego em uma zona particular do Cloud DNS e encaminhe-o para
os endereços IP virtuais (VIPs) internos do Google.
Ao fazer isso, essas consultas são marcadas como internal e ignoram a inspeção do DNS Armor.
Para excluir as chamadas de API do processamento do DNS Armor, configure o Acesso privado do Google ou o Private Service Connect para APIs do Google. Para mais informações, consulte Configurar o Acesso privado do Google e Sobre o acesso às APIs do Google por endpoints.
Como excluir seus próprios domínios
O DNS Armor trata consultas de cargas de trabalho internas para domínios públicos como tráfego externo, o que resulta no processamento pelo detector de ameaças. Para evitar isso, verifique se o domínio da sua empresa é resolvido de forma particular usando zonas gerenciadas particulares, zonas de peering ou zonas de encaminhamento. Enquanto o Cloud DNS não fizer a recursão das consultas para a Internet, o DNS Armor não vai processá-las.
Zona gerenciada particular
Use essa opção se quiser manter uma cópia completa e separada das suas zonas DNS internas no Cloud DNS (geralmente chamada de DNS "split-brain" ou "split-horizon").
Por exemplo, se você criar uma zona particular do Cloud DNS para example.com e preenchê-la com seus registros DNS, poderá anexar a zona à sua rede VPC.
Essa abordagem significa que, quando uma carga de trabalho consulta api.example.com, o Cloud DNS verifica primeiro a zona particular anexada, encontra o registro interno e responde imediatamente. A consulta nunca sai da VPC e é marcada como internal, o que ajuda a evitar o processamento do DNS Armor.
Políticas de resposta do Cloud DNS
Use essa opção se precisar resolver apenas alguns nomes de host específicos (como api.example.com ou db.example.com) para endereços IP internos, mas quiser que o restante do seu domínio continue sendo resolvido publicamente pela Internet.
Por exemplo, você pode criar uma regra de política de resposta para api.example.com que retorne seu endereço IP interno e anexe-o à sua VPC. Isso intercepta suas consultas confiáveis de alto volume e responde a elas localmente. As consultas de outros domínios (como www.example.com) ainda serão resolvidas publicamente e processadas pelo DNS Armor.
Zona de encaminhamento
Use esse método se você operar servidores DNS locais (como Active Directory, InfoBlox ou BIND) que sejam autoritativos para suas zonas DNS internas e estejam conectados a Google Cloud nós usando Cloud VPN ou o Interconexão dedicada.
Por exemplo, você pode criar uma zona de encaminhamento do Cloud DNS para example.com
e configurá-la para apontar diretamente para os endereços IP internos
(normalmente endereços RFC 1918)
dos seus servidores DNS locais. Esse método envia a consulta pela sua rede particular para os servidores internos. Como o destino é um endereço IP particular, a consulta é marcada como forwarding-zone e não está sujeita ao processamento pelo DNS Armor.
Para mais informações, consulte Usar zonas de encaminhamento para consultar servidores no local.
Servidores DNS personalizados em VMs do Compute Engine
Se você executar seus próprios servidores DNS (por exemplo, BIND, Active Directory, dnsmasq) em Google Cloud VMs, o uso do DNS Armor vai depender da topologia de roteamento usada.
- Encaminhamento do Cloud DNS para sua VM. As consultas corporativas enviadas usando uma zona de encaminhamento do Cloud DNS para o endereço IP interno da VM DNS personalizada serão consideradas internas e, portanto, não serão processadas pelo DNS Armor.
- Cargas de trabalho que consultam diretamente sua VM. Se as cargas de trabalho estiverem configuradas para ignorar o Cloud DNS e consultar diretamente a VM DNS personalizada, o Cloud DNS não vai processar a solicitação inicial. Assim, as consultas não serão processadas pelo DNS Armor no nível da carga de trabalho.
Sua VM encaminha para o Cloud DNS. Se você rotear todo o tráfego DNS da Internet da sua empresa por uma VM de servidor DNS central, que encaminha para o Cloud DNS, a plataforma vai ver apenas as consultas provenientes dessa única origem. A VM torna os ambientes de volume baixo a médio menos caros porque o DNS Armor cobra com base em
GREATEST(Workloads, Queries / 150), e esse método reduz a linha de base de cargas de trabalho para 1.
Resolução de zonas particulares
As cobranças podem surgir de consultas a domínios que precisam ser resolvidos internamente, mas são vazados inadvertidamente para a Internet e, portanto, são resolvidos usando o DNS público e processados pelo DNS Armor.
Para otimizar seus custos nessa instância, processe a resolução desses domínios internamente na sua VPC. Você pode usar zonas particulares ou de encaminhamento do Cloud DNS para direcionar essas consultas aos seus resolvedores internos. Isso ajuda a garantir que as consultas não sejam mais marcadas como vinculadas à Internet e, portanto, não serão inspecionadas pelo DNS Armor.
A seguir
- Para mais informações sobre o DNS Armor, consulte Detecção avançada de ameaças