Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usar registros do Cloud DNS para monitorar taxas de falha de DNS

É possível ativar os registros de consultas DNS do Cloud DNS no projeto do Compute Engine e usá-los para monitorar e comparar as taxas de falha de DNS interno antes e depois da migração para o DNS interno zonal. As entradas de registro gravam a resolução de DNS bem-sucedida e quando o DNS interno não consegue resolver um determinado nome de domínio.

Visão geral

Para usar os registros de consultas do Cloud DNS para monitorar as taxas de falha de DNS interno, siga estas etapas:

Receba o nome da rede de nuvem privada virtual (VPC) da VPC que contém as VMs a serem monitoradas.
Usando os nomes de rede VPC, execute um comando da Google Cloud CLI para ativar a geração de registros de consultas DNS.
Execute consultas na Análise de registros para visualizar e investigar taxas de sucesso e falha.

Informações de preços para a geração de registros de consultas DNS do Cloud DNS

Ao ativar a geração de registros de consultas do Cloud DNS, uma quantidade significativa de registros é gerada, muitos dos quais não estão relacionados ao DNS interno. Como resultado, você pode incorrer em um custo pelo uso desse recurso. Em geral, os primeiros 50 GiB de armazenamento de registros por projeto por mês são sem custo financeiro. Cada 50 GiB adicional custa US $0,50.

Para mais informações sobre os preços, consulte o Resumo de preços do Cloud Logging.

Receber os nomes de rede de nuvem privada virtual (VPC)

Para capturar dados de consultas DNS, ative a geração de registros para a rede VPC usada pela instância de computação. Geralmente, um Cloud de Confiance by S3NS projeto tem várias redes VPC. É possível usar um comando da CLI gcloud para listar as redes VPC usadas pelas instâncias de computação que você quer monitorar.

Console

No console do Cloud de Confiance , acesse a página Instâncias de VM.

Acessar instâncias de VM
Opcional: use a caixa Filtro para restringir o número de instâncias mostradas.
Clique no nome da instância que você quer inspecionar.
Na seção Rede, em Interfaces de rede, é possível conferir as interfaces de rede (NICs) criadas para a instância, a rede e a sub-rede associadas a cada NIC e os endereços IP atribuídos.

gcloud

Para conferir as redes VPC usadas por todas as instâncias de computação em um projeto, use o gcloud compute instances list comando. É possível anexar uma opção --format ao comando para restringir as informações retornadas a campos específicos e mudar a forma como elas são exibidas. Por exemplo:

gcloud compute instances list \
  --format="flattened(name,networkInterfaces[].name, \
    networkInterfaces[].network.basename(), \
    networkInterfaces[].stackType, networkInterfaces[].nicType)"

O resultado será assim:

name:                           test-gvnic
networkInterfaces[0].name:      nic0
networkInterfaces[0].network:   default
networkInterfaces[0].nicType:   GVNIC
networkInterfaces[0].stackType: IPV4_ONLY
---
name:                           test-multinic
networkInterfaces[0].name:      nic0
networkInterfaces[0].network:   default
networkInterfaces[0].nicType:   GVNIC
networkInterfaces[0].stackType: IPV4_ONLY
networkInterfaces[1].name:      nic0.14
networkInterfaces[1].network:   net0
networkInterfaces[1].stackType: IPV4_ONLY
networkInterfaces[2].name:      nic1
networkInterfaces[2].network:   prod-ipv6
networkInterfaces[2].nicType:   GVNIC
networkInterfaces[2].stackType: IPV4_IPV6

Para conferir as interfaces de rede (NICs) de uma instância de computação específica e as redes VPC atribuídas a ela, use o gcloud compute instances describe comando. É possível anexar uma opção --format ao comando para restringir as informações retornadas a campos específicos e mudar a forma como elas são exibidas. Por exemplo:

gcloud compute instances describe INSTANCE_NAME --zone=ZONE \
  --format="flattened(name,networkInterfaces[].name, \
  networkInterfaces[].network.basename(), \
  networkInterfaces[].stackType, networkInterfaces[].nicType)"

Substitua:

INSTANCE_NAME: o nome da instância a ser visualizada
ZONE: a zona da instância que você quer visualizar

O resultado será assim:

name:                           test-instance
networkInterfaces[0].name:      nic0
networkInterfaces[0].network:   default
networkInterfaces[0].nicType:   GVNIC
networkInterfaces[0].stackType: IPV4_ONLY
networkInterfaces[1].name:      nic1
networkInterfaces[1].network:   prod-ipv6
networkInterfaces[1].nicType:   GVNIC
networkInterfaces[1].stackType: IPV4_IPV6
networkInterfaces[1].name:      nic1.2
networkInterfaces[1].network:   alt-ipv6-net
networkInterfaces[1].nicType:   GVNIC
networkInterfaces[1].stackType: IPV4_IPV6
networkInterfaces[1].parentNicName: nic1

Ativar a geração de registros de consultas DNS do Cloud DNS

O registro do Cloud DNS rastreia consultas que os servidores de nomes resolvem para suas redes VPC, bem como consultas de uma entidade externa diretamente para uma zona pública.

As consultas registradas podem vir de instâncias do Compute Engine, contêineres do Google Kubernetes Engine na mesma rede VPC, zonas de peering ou clientes locais que usam o encaminhamento de DNS de entrada. As zonas de DNS particular, os encaminhamentos de zonas de DNS, os servidores de nomes alternativos, as zonas de DNS interno Cloud de Confiance by S3NS ou as zonas de DNS externo podem resolver as consultas.

Os registros pertencem ao projeto proprietário da rede ou zona pública que transportou a solicitação. No caso da VPC compartilhada, os registros pertencem ao projeto host porque ele é proprietário da rede.

Para ativar a geração de registros de DNS, faça uma destas ações:

Crie uma política de DNS com a geração de registros ativada executando o gcloud dns policies create comando.

gcloud dns policies create POLICY_NAME \
    --networks=NETWORK_NAMES \
    --enable-logging \
    --description="Enable DNS query logging for NETWORK_NAMES"

Se a rede já tiver uma política de DNS, atualize a política de geração de registros atual executando o gcloud dns policies update comando.
```
gcloud dns policies update POLICY_NAME \
   --networks=NETWORK_NAMES \
   --enable-logging \
```

Substitua:

POLICY_NAME: o nome da política de DNS
NETWORK_NAMES: uma lista de nomes de rede separados por vírgulas

Para instruções detalhadas sobre como criar e ativar políticas de DNS para geração de registros, consulte Usar a geração de registros do Cloud DNS.

Usar a Análise de registros para visualizar os registros e as taxas de falha de DNS

Depois de ativar a geração de registros de DNS, o projeto começa a acumular registros na Análise de registros. Para conferir esses registros, use o Cloud de Confiance console e acesse a página Análise de registros.

Acessar a Análise de registros

Monitorar falhas de resolução de nomes DNS

Use o código de resposta NXDOMAIN para isolar falhas de domínio inexistentes. Essas falhas ocorrem quando o DNS interno não consegue resolver um determinado nome de domínio.

Na caixa de consulta da página do console Análise de registros, insira o seguinte texto:

resource.type="dns_query"
jsonPayload.queryType="A"
jsonPayload.queryName=~"\.internal\.$"
jsonPayload.responseCode = "NXDOMAIN"

Clique em Executar consulta.

Monitorar consultas de resolução de nomes bem-sucedidas

Use o código de resposta NOERROR para isolar a resolução de DNS bem-sucedida.

Na caixa de consulta da página do console Análise de registros, insira o seguinte texto:

resource.type="dns_query"
jsonPayload.queryType="A"
jsonPayload.queryName=~"\.internal\.$"
jsonPayload.responseCode = "NOERROR"

Clique em Executar consulta.

Estabelecer um período de análise

É possível usar o seletor de período de registros para mudar o período dos registros analisados. Esse seletor está localizado no canto superior direito da janela Análise de registros.

Para uma comparação eficaz das taxas de erro e sucesso, ative os registros de consultas DNS antes de migrar para o DNS zonal. O Google recomenda que você ative a geração de registros de consultas DNS pelo menos 24 horas antes da migração para estabelecer uma linha de base de pré-migração.

Depois de coletar dados suficientes nos registros de consultas DNS, é possível realizar a migração de DNS zonal. É possível monitorar as taxas de resolução de DNS durante a migração para garantir que ela não cause um aumento nas falhas de consultas DNS.

Analisar e comparar taxas de resolução de nomes DNS

Use o seguinte para analisar e comparar as taxas de erro e sucesso.

Contagens de registros: para cada consulta e período, a Análise de registros mostra o número de entradas de registro encontradas. Um aumento significativo nas contagens de NXDOMAIN após a migração para nomes DNS que foram resolvidos anteriormente (tinham NOERROR) pode indicar um problema.
Histograma: A interface da Análise de registros inclui um histograma. Quando as consultas são executadas, o histograma mostra a frequência de entradas de registro correspondentes no período selecionado. Isso é útil para visualizar:
- Uma taxa de linha de base de entradas de registro NXDOMAIN antes da migração.
- Quaisquer picos nas entradas de registro NXDOMAIN imediatamente após a migração.
- Mudanças na taxa de entradas de registro NOERROR.
Para conferir o histograma, clique em Preferências, Visualizar, e em Mostrar linha do tempo.

A seguir

Saiba mais sobre o DNS interno para o Compute Engine.
Confira a configuração de rede das instâncias de computação.
Saiba mais sobre como visualizar registros usando a Análise de registros.