Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Bewährte Methoden für VPC Resolver
<a name="best-practices-resolver"></a>

Dieser Abschnitt enthält bewährte Methoden für die Optimierung von Amazon Route 53 VPC Resolver und behandelt die folgenden Themen:

1. **Vermeidung von Loop-Konfigurationen mit Resolver-Endpunkten:**
   + Vermeiden Sie Routingschleifen, indem Sie sicherstellen, dass dieselbe VPC nicht sowohl mit einer Resolver-Regel als auch mit ihrem eingehenden Endpunkt verknüpft ist.
   + Verwenden Sie diese AWS RAM Option für die gemeinsame Nutzung VPCs durch mehrere Konten unter Beibehaltung der korrekten Routing-Konfigurationen.

   Weitere Informationen finden Sie unter [Vermeiden SieSchleifenkonfigurationenResolver-Endpunkt](best-practices-resolver-endpoints.md).

1. **Skalierung von Resolver-Endpunkten:**
   + Implementieren Sie Sicherheitsgruppenregeln, die Datenverkehr auf der Grundlage des Verbindungsstatus zulassen, um den Aufwand für die Verbindungsverfolgung zu reduzieren
   + Befolgen Sie die empfohlenen Sicherheitsgruppenregeln für eingehende und ausgehende Resolver-Endpunkte, um den Abfragedurchsatz zu maximieren.
   + Überwachen Sie eindeutige Kombinationen von IP-Adressen und Ports, die DNS-Verkehr generieren, um Kapazitätsbeschränkungen zu vermeiden. 

   Weitere Informationen finden Sie unter [Resolver-Endpunkt-Skalierung](best-practices-resolver-endpoint-scaling.md).

1. **Hohe Verfügbarkeit für Resolver-Endpunkte:**
   + Erstellen Sie aus Redundanzgründen eingehende Endpunkte mit IP-Adressen in mindestens zwei Availability Zones.
   + Stellen Sie zusätzliche Netzwerkschnittstellen bereit, um die Verfügbarkeit bei Wartungsarbeiten oder bei hohem Datenaufkommen sicherzustellen

   Weitere Informationen finden Sie unter [Hohe Verfügbarkeit für Resolver-Endpunkt](best-practices-resolver-endpoint-high-availability.md).

1. **Verhinderung von DNS-Zone-Walking-Angriffen:**
   + Seien Sie sich möglicher DNS-Zone-Walking-Angriffe bewusst, bei denen Angreifer versuchen, den gesamten Inhalt aus DNSSEC-signierten DNS-Zonen abzurufen.
   + Wenn Ihre Endgeräte aufgrund des vermuteten Zonenwechsels gedrosselt werden, wenden Sie sich an den Support, um AWS Unterstützung zu erhalten. 

   Weitere Informationen finden Sie unter [Gehen Sie zur DNS-Zone](best-practices-resolver-zone-walking.md).

 Wenn Sie diese bewährten Methoden befolgen, können Sie die Leistung, Skalierbarkeit und Sicherheit Ihrer VPC-Resolver-Bereitstellungen optimieren und so eine zuverlässige und effiziente DNS-Auflösung für Ihre Anwendungen und Ressourcen sicherstellen.

# Vermeiden SieSchleifenkonfigurationenResolver-Endpunkt
<a name="best-practices-resolver-endpoints"></a>

Ordnen Sie dieselbe VPC nicht einer Resolver-Regel und ihrem eingehenden Endpunkt zu (unabhängig davon, ob es sich um ein direktes Ziel des Endpunkts oder über einen On-Premises-DNS-Server handelt). Wenn der ausgehende Endpunkt in einer Resolver-Regel auf einen eingehenden Endpunkt verweist, der eine VPC mit der Regel gemeinsam verwendet, kann dies zu einer Schleife führen, in der die Abfrage kontinuierlich zwischen den eingehenden und ausgehenden Endpunkten übergeben wird.

Die Weiterleitungsregel kann mithilfe von AWS Resource Access Manager (AWS RAM) weiterhin mit anderen Konten verknüpft werden VPCs , die mit anderen Konten geteilt wurden. Private gehostete Zonen, die dem Hub oder einer zentralen VPC zugeordnet sind, werden weiterhin von Abfragen an eingehende Endpunkte aufgelöst, da eine Weiterleitungsauflösungsregel diese Auflösung nicht ändert.

# Resolver-Endpunkt-Skalierung
<a name="best-practices-resolver-endpoint-scaling"></a>

Resolver-Endpunkt Sicherheitsgruppen verwenden die Verbindungsverfolgung zum Sammeln von Informationen über Datenverkehr zu und von den Endpunkten. Jede Endpunktschnittstelle verfügt über eine maximale Anzahl von Verbindungen, die verfolgt werden können, und eine hohe Anzahl von DNS-Abfragen kann die Verbindungen überschreiten und zu Drosselung und Abfrageverlust führen. Die Verbindungsverfolgung AWS ist das Standardverhalten zur Überwachung des Datenverkehrs, der durch Sicherheitsgruppen fließt (SGs). Durch die Verwendung der Verbindungsverfolgung SGs wird der Durchsatz des Datenverkehrs reduziert. Sie können jedoch Verbindungen ohne Nachverfolgung implementieren, um den Overhead zu reduzieren und die Leistung zu verbessern. Weitere Informationen finden Sie unter Verbindungen [ohne Nachverfolgung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).

Wenn die Verbindungsverfolgung entweder mithilfe restriktiver Sicherheitsgruppenregeln erzwungen wird oder Abfragen über den Network Load Balancer weitergeleitet werden (siehe [Automatisch verfolgte Verbindungen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking)), kann die maximale Gesamtzahl der Abfragen pro Sekunde und IP-Adresse für einen Endpunkt bis zu 1500 betragen.

**Regelempfehlungen für Sicherheitsgruppen für eingehenden und ausgehenden Datenverkehr für den Resolver-Endpunkt für eingehende Anrufe**


****  

| 
| 
| **Regeln für eingehenden Datenverkehr** | 
| --- |
| Protokolltyp | Port-Nummer | Quell-IP | 
| TCP  | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 
| **Regeln für den Ausgang** | 
| --- |
| Protokolltyp | Port-Nummer | Ziel-IP | 
| TCP | Alle | 0.0.0.0/0 | 
| UDP | Alle | 0.0.0.0/0 | 

**Empfehlungen für Sicherheitsgruppenregeln für eingehenden und ausgehenden Datenverkehr für den ausgehenden Resolver-Endpunkt**


****  

| 
| 
| **Regeln für eingehenden Datenverkehr** | 
| --- |
| Protokolltyp | Port-Nummer | Quell-IP | 
| TCP  | Alle | 0.0.0.0/0 | 
| UDP | Alle | 0.0.0.0/0 | 
| **Regeln für den Ausgang** | 
| --- |
| Protokolltyp | Port-Nummer | Ziel-IP | 
| TCP | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 

**Anmerkung**  
**Port-Anforderungen für Sicherheitsgruppen:**  
Für **eingehende Endpunkte** sind Eingangsregeln erforderlich, die es TCP und UDP auf Port 53 ermöglichen, DNS-Anfragen von Ihrem Netzwerk zu empfangen. Ausgangsregeln können alle Ports zulassen, da der Endpunkt möglicherweise auf Anfragen von verschiedenen Quellports antworten muss.
Für **ausgehende Endpunkte** sind Ausgangsregeln erforderlich, die den TCP- und UDP-Zugriff auf die Ports ermöglichen, die Sie für DNS-Abfragen in Ihrem Netzwerk verwenden. Port 53 wird im obigen Beispiel gezeigt, da es sich um den gängigsten DNS-Port handelt, Ihr Netzwerk jedoch möglicherweise andere Ports verwendet. Durch Eingangsregeln können alle Ports Antworten von Ihren DNS-Servern aufnehmen.

**Resolver-Endpunkt**

Bei Clients, die einen eingehenden Resolverendpunkt verwenden, wird die Kapazität der elastic network interface beeinträchtigt, wenn Sie über 40.000 eindeutige IP-Adress- und Portkombinationen verfügen, die den DNS-Datenverkehr generieren.

# Hohe Verfügbarkeit für Resolver-Endpunkt
<a name="best-practices-resolver-endpoint-high-availability"></a>

Wenn Sie Ihre eingehenden VPC-Resolver-Endpunkte erstellen, erfordert Route 53, dass Sie mindestens zwei IP-Adressen erstellen, an die die DNS-Resolver in Ihrem Netzwerk Anfragen weiterleiten. Sie sollten zu Redundanzzwecken auch IP-Adressen in mindestens zwei Availability Zones angeben. 

Wenn Sie benötigen, dass immer mehr als ein Endpunkt der elastic network interface verfügbar ist, empfehlen wir, mindestens eine weitere Netzwerkschnittstelle zu erstellen, als Sie benötigen, um sicherzustellen, dass zusätzliche Kapazitäten für die Handhabung möglicher Überspannungen verfügbar sind. Die zusätzliche Netzwerkschnittstelle stellt auch die Verfügbarkeit während des Servicebetriebs wie Wartung oder Upgrades sicher.

Weitere Informationen finden Sie in diesem ausführlichen Blogartikel: [So erreichen Sie DNS-Hochverfügbarkeit mit](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-achieve-dns-high-availability-with-route-53-resolver-endpoints/) Resolver-Endpunkten und. [Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben](resolver-forwarding-inbound-queries-values.md)

# Gehen Sie zur DNS-Zone
<a name="best-practices-resolver-zone-walking"></a>

Ein DNS-Zonenangriff versucht, alle Inhalte von DNSSEC-signierten DNS-Zonen abzurufen. Wenn das VPC-Resolver-Team ein Datenverkehrsmuster erkennt, das mit denen übereinstimmt, die beim Durchlaufen von DNS-Zonen auf Ihrem Endpunkt generiert wurden, drosselt das Service-Team den Verkehr auf Ihrem Endpunkt. Als Konsequenz können Sie einen hohen Prozentsatz Ihrer DNS-Abfragen beobachten, der Timeout ist.

Wenn Sie eine verringerte Kapazität auf Ihren Endpunkten feststellen und glauben, dass der Endpunkt irrtümlich gedrosselt wurde, gehen Sie zu home\$1/, um einen Support-Fall zu https://console.aws.amazon.com/support/ erstellen.