Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zum Weiterleiten von DNS-Abfragen von Ihrem Netzwerk an Resolver erstellen Sie einen eingehenden Endpunkt. Ein eingehender Endpunkt gibt die IP-Adressen (aus dem Bereich der für Ihre VPC verfügbaren IP-Adressen) an, an die DNS-Resolver im Netzwerk DNS-Abfragen weiterleiten sollen. Diese IP-Adressen sind keine öffentlichen IP-Adressen. Daher müssen Sie für jeden eingehenden Endpunkt Ihre VPC entweder über eine AWS Direct Connect Verbindung oder eine VPN-Verbindung mit Ihrem Netzwerk verbinden.
Themen
Konfigurieren von Weiterleitungen eingehender Abfragen
Gehen Sie wie folgt vor, um einen eingehenden Endpunkt zu erstellen.
So erstellen Sie einen eingehenden Endpunkt
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter. https://console.aws.amazon.com/route53/
Klicken Sie im Navigationsbereich auf Inbound endpoints (Eingehende Endpunkte).
Wählen Sie in der Navigationsleiste die Region aus, in der Sie einen eingehenden Endpunkt erstellen möchten.
Klicken Sie auf Create inbound endpoint (Eingehenden Endpunkt erstellen).
Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben.
Wählen Sie Create (Erstellen) aus.
Konfigurieren Sie DNS-Resolver in Ihrem Netzwerk so, dass die entsprechenden DNS-Abfragen an die IP-Adressen für Ihren eingehenden Endpunkt weitergeleitet werden. Weitere Informationen finden Sie in der Dokumentation zu Ihrer DNS-Anwendung.
Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben
Wenn Sie einen eingehenden Endpunkt erstellen oder bearbeiten, geben Sie die folgenden Werte an:
- Outpost-ID
Wenn Sie den Endpunkt für einen Resolver auf einer AWS Outposts VPC erstellen, ist dies die AWS Outposts ID.
- Endpoint name (Endpunktname)
Ein Anzeigename, mit dem Sie ganz einfach einen eingehenden Endpunkt auf dem Dashboard finden können.
- VPC in der Region region-name
Alle ausgehenden DNS-Abfragen von Ihrem Netzwerk durchlaufen diese VPC auf dem Weg zu Resolver.
- Sicherheitsgruppe für diesen Endpunkt
Die ID einer oder mehrerer Sicherheitsgruppen, die Sie verwenden möchten, um den Zugriff auf diese VPC zu steuern. Die von Ihnen angegebene Sicherheitsgruppe muss eine oder mehrere eingehende Regeln enthalten. Eingehende Regeln müssen TCP- und UDP-Zugriff auf Port 53 zulassen. Sie können diesen Wert nicht ändern, nachdem Sie einen Endpunkt erstellt haben.
Einige Sicherheitsgruppenregeln sorgen dafür, dass Ihre Verbindung nachverfolgt wird, und die maximale Gesamtzahl der Abfragen pro Sekunde pro IP-Adresse für einen eingehenden Endpunkt kann bis zu 1500 betragen. Informationen zur Vermeidung der durch eine Sicherheitsgruppe verursachten Verbindungsverfolgung finden Sie unter Verbindungen ohne Nachverfolgung.
Anmerkung
Verwenden Sie den AWS CLI Befehl
create-resolver-endpoint, um mehrere Sicherheitsgruppen hinzuzufügen. Weitere Informationen finden Sie unter create-resolver-endpointWeitere Informationen finden Sie unter Sicherheitsgruppenregeln für Ihre VPC im Amazon VPC-Benutzerhandbuch.
- Endpunkttyp
Der Endpunkttyp kann entweder IPv4 IPv6, oder Dual-Stack-IP-Adressen sein. Bei einem Dual-Stack-Endpunkt hat der Endpunkt IPv4 sowohl eine Adresse als auch eine IPv6 Adresse, an die Ihr DNS-Resolver in Ihrem Netzwerk DNS-Anfragen weiterleiten kann.
Anmerkung
Aus Sicherheitsgründen verweigern wir allen Dual-Stack- und IP-Adressen den direkten IPv6 Datenzugriff aus dem öffentlichen Internet. IPv6
- IP-Adressen
Die IP-Adressen, an die DNS-Resolver in Ihrem Netzwerk DNS-Abfragen weiterleiten sollen. Aus Redundanzgründen müssen Sie mindestens zwei IP-Adressen angeben. Beachten Sie Folgendes:
- Mehrere Availability Zones
Wir empfehlen, IP-Adressen in mindestens zwei Availability Zones festzulegen. Wahlweise können Sie zusätzliche IP-Adressen in diesen oder anderen Availability Zones angeben.
- IP-Adressen und Amazon VPC Elastic Network-Schnittstellen
Für jede Kombination aus Availability Zone, Subnetz und IP-Adresse, die Sie festlegen, erstellt Resolver eine Amazon VPC Elastic Network-Schnittstelle. Informationen zu dem aktuellen Höchstwerten für die Anzahl der DNS-Abfragen pro Sekunde und IP-Adresse in einem Endpunkt finden Sie unter Kontingente bei Route 53 Resolver. Weitere Informationen zu den Preisen für die einzelnen Elastic Network-Schnittstellen finden Sie unter "Amazon Route 53" auf der Seite Amazon Route 53 Preise
.
Anmerkung
Der Resolver-Endpunkt hat eine private IP-Adresse. Diese IP-Adressen ändern sich im Laufe der Lebensdauer eines Endpunkts nicht.
Geben Sie für jede IP-Adresse die folgenden Werte an. Jede IP-Adresse muss in einer Availability Zone in der VPC vorhanden sein, die Sie in VPC in der Region region-name angegeben haben.
- Availability Zone
Die Availability Zone, die DNS-Abfragen auf dem Weg zu Ihrer VPC durchlaufen sollen. Die angegebene Availability Zone muss mit einem Subnetz konfiguriert sein.
- Subnetz
Das Subnetz, das die IP-Adressen enthält, die Sie Ihrem Resolver-Endpunkt zuweisen möchten. ENIs Dies sind die Adressen, an die Sie DNS-Anfragen senden werden. Das Subnetz muss eine verfügbare IP-Adresse enthalten.
Die Subnetz-IP-Adresse muss dem Endpunkttyp entsprechen.
- IP-Adresse
Die IP-Adresse in Ihrem Netzwerk, an die DNS-Abfragen weitergeleitet werden sollen.
Wählen Sie, ob Resolver aus den verfügbaren IP-Adressen im angegebenen Subnetz eine IP-Adresse für Sie auswählen soll, oder ob Sie die IP-Adresse selbst festlegen möchten.
Wenn Sie die IP-Adresse selbst angeben möchten, geben Sie entweder eine IPv4 IPv6 Oder-Adresse oder beide ein.
- Protokolle
Das Endpunktprotokoll bestimmt, wie die Daten an den eingehenden Endpunkt übertragen werden. Wählen Sie ein oder mehrere Protokolle, je nachdem, welche Sicherheitsstufe Sie benötigen.
Do53: (Standard) Die Daten werden über den Route-53-Resolver ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, aber sie können innerhalb der AWS -Netzwerke eingesehen werden.
DoH: Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können.
DoH-FIPS: Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen, die mit dem Verschlüsselungsstandard FIPS 140-2 konform ist. Wird nur für eingehende Endpunkte unterstützt. Weitere Informationen finden Sie unter FIPS PUB 140-2
. Anmerkung
Bei eingehenden DoH/DOH-FIPS-Endpunkten besteht ein bekanntes Problem, bei dem eine falsche Quell-IP in der Route 53 Resolver-Abfrageprotokollierung veröffentlicht wird.
Für einen eingehenden Endpunkt können Sie die Protokolle wie folgt anwenden:
Do53 und DoH in Kombination.
Do53 und DoH-FIPS in Kombination.
Nur Do53.
Nur DoH.
Nur DoH-FIPS.
Keins, was als Do53 behandelt wird.
Wichtig
Sie können das Protokoll eines eingehenden Endpunkts nicht direkt von nur Do53 auf nur DoH oder DoH-FIPS ändern. Damit soll eine plötzliche Unterbrechung des eingehenden Datenverkehrs verhindert werden, der auf Do53 angewiesen ist. Um das Protokoll von Do53 auf DoH oder DoH-FIPS zu ändern, müssen Sie zunächst sowohl Do53 als auch DoH oder Do53 und DoH-FIPS aktivieren, um sicherzustellen, dass der gesamte eingehende Datenverkehr auf das DoH-Protokoll oder DoH-FIPS umgestellt wurde, und dann Do53 entfernen.
- Tags
Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. Cost center (Kostenstelle) als Key (Schlüssel) und 456 als Value (Wert) angeben.
