N'importe qui, y compris les fournisseurs d'accès à Internet (FAI) et les grandes organisations, est libre d'utiliser le DNS public de Google, mais nous appliquons des limites de débit à chaque client afin de protéger notre service. Les volumes de requêtes élevés provenant d'une seule adresse IPv4 (ou d'un préfixe réseau IPv6 /64) peuvent être limités s'ils dépassent ces limites.
Avant de commencer à utiliser le DNS public de Google
Si vous prévoyez que les clients envoient des requêtes directement à Google Public et que vous n'utilisez pas le NAT de niveau opérateur (CG-NAT) pour mapper les clients aux adresses IPv4, vous pouvez ignorer ces étapes et suivre les instructions de la section Utiliser directement le DNS public de Google.
Déterminez le taux maximal de requêtes DNS par seconde (RPS).
Vous pouvez mesurer cela avec les données NetFlow ou Dataflow de vos appareils réseau, ou avec les statistiques ou les journaux de requêtes de vos résolveurs. Si vous ne pouvez pas effectuer l’une de ces opérations, estimez simplement le taux de requêtes DNS.
Les pics d'activité ne doivent pas comptabiliser les pics instantanés, mais le trafic moyen sur une ou deux secondes aux heures les plus chargées de la journée. Le DNS public de Google autorise de courtes périodes de trafic intensives qui dépassent brièvement la limite.
Trouvez le nombre d'adresses IP routables qui envoient des requêtes DNS.
Si vous utilisez des résolveurs partagés pour agréger (et éventuellement mettre en cache) des requêtes DNS, comptez simplement le nombre d'adresses IP externes qu'ils utilisent.
Si les appareils envoient des requêtes DNS directement au DNS public de Google, comptez le nombre d'adresses IP externes qu'ils utiliseraient, en tenant compte de tout mappage d'adresses NAT ou NAT de niveau opérateur.
Comparez vos débits par adresse IP aux limites de débit par défaut.
Idéalement, vous devriez avoir des tarifs spécifiques pour chaque adresse IP, mais vous pouvez simplement diviser le taux global de RPS par le nombre d'adresses IP.
Votre taux de RPS par adresse IP est inférieur à 1 500 RPS
Vous pouvez configurer le DNS public de Google comme vous le souhaitez. Vous n'avez pas besoin de demander une augmentation de la limite de débit.
Votre taux de RPS par adresse IP dépasse 1 500 RPS
Si les appareils de vos réseaux peuvent interroger directement le DNS public de Google et que cela réduit le taux de RPS par adresse IP en dessous de la limite, vous pouvez choisir d'utiliser cette approche sans augmentation de la limite de débit.
Sinon, vous devez demander une augmentation de la limite de débit.
Configurer l'utilisation du DNS public de Google
Utilisez l'une des méthodes décrites dans la section suivante.
Configurer le DNS public de Google
Utiliser directement le DNS public de Google
Les FAI peuvent configurer une infrastructure de configuration réseau telle que DHCP pour renvoyer les adresses DNS publiques de Google (8.8.8.8, 8.8.4.4 et IPv6) afin que les clients sur leurs réseaux utilisent directement le DNS public Google. Il s'agit de l'approche la plus simple et la plus fiable. Lorsque les clients réseau envoient les requêtes DNS directement au DNS public de Google, chaque client est limité en termes de débit individuellement, et les clients non abusifs sont très peu susceptibles d'être affectés par une limitation.
Utiliser le DNS public de Google à partir de résolveurs locaux
Les FAI peuvent également utiliser des résolveurs locaux pour les requêtes des clients et leur demander de transférer les requêtes au DNS public de Google. Cela peut être nécessaire pour des raisons réglementaires ou pour les exigences opérationnelles des FAI.
Routeurs ou autres périphériques réseau pour la maison
La plupart des résolveurs locaux s'exécutent sur des routeurs, des pare-feu ou des modems DSL/câbles gérés par un FAI. Lorsqu'ils concernent un seul client et qu'ils possèdent leur propre adresse IP, ils fonctionnent comme des clients utilisant directement le DNS public de Google.
Résolveurs de mise en cache partagés
Pour réduire la latence des requêtes DNS, en particulier pour les FAI éloignés des emplacements des résolveurs Google, les FAI peuvent utiliser des résolveurs DNS de mise en cache qui desservent de nombreux clients. Cela peut réduire le volume des requêtes DNS envoyées au DNS public de Google, mais en le concentrant sur un petit nombre d'adresses IP, il est plus susceptible d'être limité. Les FAI utilisant des résolveurs partagés qui transfèrent des requêtes à Google Public DNS doivent surveiller les taux de requêtes DNS et demander une augmentation de la limite de débit si les débits dépassent leur limite ou si plus de 1% des requêtes n'obtiennent pas de réponse.
Autres mesures que les FAI peuvent prendre
Demander une augmentation de la limite de débit
Les FAI qui utilisent des résolveurs de mise en cache partagés ou des adresses IPv4 avec CG-NAT peuvent avoir besoin de limites de débit plus élevées pour garantir un service cohérent. Avant de demander une augmentation, les FAI disposant de résolveurs de mise en cache doivent vérifier leurs journaux de requêtes, et ceux qui utilisent CG-NAT doivent vérifier leurs journaux de trafic réseau pour confirmer l'existence de plus de 1 500 RPS pour les adresses IP de la requête.
Vous pouvez envoyer une demande d'augmentation de la limite de débit via l'Issue Tracker du DNS public de Google.
Le DNS public de Google peut être configuré pour répondre avec des erreurs REFUSE lorsque les clients avec des limites de débit plus élevées sont limités. Si vous avez besoin de ce signal, indiquez-le dans votre demande d'augmentation de la limite de débit.
Utiliser d'autres résolveurs avec le DNS public de Google
Les FAI peuvent également configurer le DNS public de Google comme l'un des différents services de résolution pour leurs clients ou des résolveurs de mise en cache partagés. Cela peut augmenter la fiabilité du DNS et éliminer les points de défaillance uniques. Les questions fréquentes mettent en évidence les problèmes à prendre en compte lors de la configuration de plusieurs résolveurs DNS.
Utiliser le DNS public de Google comme solution de secours d'urgence
Les FAI peuvent configurer le DNS public Google comme solution de secours d'urgence, mais si le volume de requêtes DNS est élevé, les requêtes risquent d'être limitées lors du passage au DNS public de Google si le volume de requêtes soutenues par adresse IP client dépasse les limites de débit par défaut (1 500 RPS).
Pour provisionner correctement le service DNS public de Google afin de gérer les pics de demande, nous nous appuyons sur des niveaux de trafic de référence précis. Nous ne pouvons pas proposer d'augmentation des limites de débit pour les clients qui n'envoient pas de volume de trafic qui n'atteint même pas les limites de débit par défaut.
Une meilleure approche pour les FAI avec un volume de requêtes élevé et qui souhaitent utiliser le DNS public de Google comme solution de secours d'urgence uniquement, consiste à configurer des résolveurs DNS publics Google avec plusieurs adresses de résolveur alternatives en tant que solutions de secours. Si les solutions de remplacement sont activées, votre trafic DNS sera réparti entre plusieurs fournisseurs, ce qui réduira le risque d'atteindre les limites de débit.
Appairer avec Google
Les FAI de taille moyenne à grande qui utilisent le DNS public de Google pour leur résolution DNS doivent configurer l'appairage de réseaux avec Google. Cela permet d'établir une relation avec le NOC Google, qui peut être utilisée pour l'escalade en cas de problèmes de connectivité ou de joignabilité entre le réseau du FAI et les réseaux de Google, y compris les adresses IP du DNS public de Google.