Cloud DNS 针对生成式 AI 应用场景的控制措施
本文档包含在 Google Cloud上运行生成式 AI 工作负载时 Cloud DNS 的最佳实践和准则。将 Cloud DNS 与 Vertex AI 搭配使用来注册、管理和提供网域。
必需的 Cloud DNS 控制措施
使用 Cloud DNS 时,强烈建议采取以下控制措施。
启用 DNS 安全扩展
| Google 控制 ID |
DNS-CO-6.1 |
| 类别 |
必需 |
| 说明 |
域名系统安全扩展 (DNSSEC) 是域名系统 (DNS) 的一项功能,用于验证对域名查找的响应。它不会为这些查找提供隐私保护,但会阻止攻击者操控对 DNS 请求的响应或对该响应进行投毒攻击。 在 Cloud DNS 中,在以下位置启用 DNSSEC: |
| 适用的产品 |
|
| 相关 NIST-800-53 控制 |
|
| 相关 CRI 配置文件控制 |
- PR.AC-5.1
- PR.AC-5.2
- PR.DS-2.1
- PR.DS-2.2
- PR.DS-5.1
- PR.PT-4.1
- DE.CM-1.1
- DE.CM-1.2
- DE.CM-1.3
- DE.CM-1.4
|
| 相关信息 |
|
可选的 Cloud DNS 控制措施
建议您在包含生成式 AI 工作负载的文件夹中实施以下安全控制措施。
使用可用区级 DNS
| Google 控制 ID |
DNS-CO-4.1 |
| 类别 |
可选 |
| 说明 |
通过 compute.setNewProjectDefaultToZonalDNSOnly 布尔值限制条件,您可以将新项目的内部 DNS 设置为仅使用可用区级 DNS。使用可用区级 DNS 是因为与个别可用区相比,可用区级 DNS 可将 DNS 注册中的故障隔离,从而提供更高的可靠性。 |
| 适用的产品 |
|
| 路径 |
constraints/compute.setNewProjectDefaultToZonalDNSOnly |
| 运算符 |
= |
| 值 |
|
| 类型 |
布尔值 |
| 相关 NIST-800-53 控制 |
|
| 相关 CRI 配置文件控制 |
- PR.AC-3.1
- PR.AC-3.2
- PR.AC-4.1
- PR.AC-4.2
- PR.AC-4.3
- PR.AC-6.1
- PR.PT-3.1
- PR.PT-4.1
|
| 相关信息 |
|
后续步骤
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-11-24。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2025-11-24。"],[],[]]
