Weiterleiten ausgehender Anfragen an Ihr Netzwerk DNS - Amazon Route 53
Konfigurieren von Weiterleitungen ausgehender AbfragenWerte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angebenWerte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Weiterleiten ausgehender Anfragen an Ihr Netzwerk DNS

Um DNS Anfragen, die von EC2 Amazon-Instances in einer oder mehreren stammen, VPCs an Ihr Netzwerk weiterzuleiten, erstellen Sie einen ausgehenden Endpunkt und eine oder mehrere Regeln:

Ausgehender Endpunkt

Um DNS Anfragen von Ihrem VPCs an Ihr Netzwerk weiterzuleiten, erstellen Sie einen ausgehenden Endpunkt. Ein ausgehender Endpunkt gibt die IP-Adressen an, von denen Abfragen stammen. Bei diesen IP-Adressen, die Sie aus dem verfügbaren IP-Adressbereich auswählenVPC, handelt es sich nicht um öffentliche IP-Adressen. Das bedeutet, dass Sie für jeden ausgehenden Endpunkt eine Verbindung VPC zu Ihrem Netzwerk herstellen müssen, indem Sie eine AWS Direct Connect Verbindung, eine VPN Verbindung oder ein Gateway zur Netzwerkadressübersetzung (Network Address TranslationNAT) verwenden. Beachten Sie, dass Sie denselben ausgehenden Endpunkt für mehrere Endpunkte VPCs in derselben Region verwenden oder mehrere ausgehende Endpunkte erstellen können. Wenn Sie möchten, dass Ihr ausgehender Endpunkt verwendet wirdDNS64, können Sie die DNS64 Verwendung von Amazon Virtual Private Cloud aktivieren. Weitere Informationen finden Sie unter DNS64und NAT64 im VPCAmazon-Benutzerhandbuch.

Die Ziel-IP aus der Route 53-Resolver-Regel wird vom Resolver nach dem Zufallsprinzip ausgewählt, und die Auswahl einer bestimmten Ziel-IP gegenüber der anderen wird nicht bevorzugt. Wenn eine Ziel-IP nicht auf die weitergeleitete DNS Anfrage reagiert, versucht der Resolver erneut, eine zufällige IP-Adresse unter den Zieladressen auszuwählen. IPs

Regeln

Um die Domainnamen der Abfragen anzugeben, die Sie an DNS Resolver in Ihrem Netzwerk weiterleiten möchten, erstellen Sie eine oder mehrere Regeln. Jede Regel gibt einen Domainnamen an. Anschließend ordnen Sie den Elementen, VPCs für die Sie Abfragen an Ihr Netzwerk weiterleiten möchten, Regeln zu.

Weitere Informationen finden Sie unter den folgenden Themen:

Konfigurieren von Weiterleitungen ausgehender Abfragen

Gehen Sie wie folgt vor, um Resolver so zu konfigurieren, dass DNS Anfragen, die von Ihnen stammen, VPC an Ihr Netzwerk weitergeleitet werden.

Wichtig

Nachdem Sie einen ausgehenden Endpunkt erstellt haben, müssen Sie eine oder mehrere Regeln erstellen und diese einer oder mehreren Regeln zuordnen. VPCs Regeln geben die Domänennamen der DNS Abfragen an, die Sie an Ihr Netzwerk weiterleiten möchten.

So erstellen Sie einen ausgehenden Endpunkt

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Klicken Sie im Navigationsbereich auf Outbound endpoints (Ausgehende Endpunkte).

  3. Wählen Sie in der Navigationsleiste die Region aus, in der Sie einen ausgehenden Endpunkt erstellen möchten.

  4. Klicken Sie auf Create outbound endpoint (Ausgehenden Endpunkt erstellen).

  5. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben.

  6. Wählen Sie Create (Erstellen) aus.

    Anmerkung

    Die Erstellung eines ausgehenden Endpunkt nimmt ein oder zwei Minuten in Anspruch. Sie können erst einen anderen ausgehenden Endpunkt erstellen, wenn der erste erstellt wurde.

  7. Erstellen Sie eine oder mehrere Regeln, um die Domänennamen der DNS Abfragen anzugeben, die Sie an Ihr Netzwerk weiterleiten möchten. Weitere Informationen finden Sie im nächsten Verfahren .

Führen Sie die folgenden Schritte aus, um eine oder mehrere Weiterleitungsregeln zu erstellen.

Um Weiterleitungsregeln zu erstellen und die Regeln einer oder mehreren zuzuordnen VPCs

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich Regeln aus.

  3. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

  4. Wählen Sie Regel erstellen aus.

  5. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben.

  6. Wählen Sie Save (Speichern) aus.

  7. Um eine weitere Regel hinzuzufügen, wiederholen Sie die Schritte 4 bis 6.

Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben

Wenn Sie einen ausgehenden Endpunkt erstellen oder bearbeiten, geben Sie die folgenden Werte an:

Outpost-ID

Wenn Sie den Endpunkt für einen Resolver auf einem erstellen AWS Outposts VPC, ist dies die AWS Outposts ID.

Endpoint name (Endpunktname)

Ein Anzeigename, mit dem Sie ganz einfach einen ausgehenden Endpunkt auf dem Dashboard finden können.

VPCim Regionsnamen Region

Alle ausgehenden DNS Anfragen werden auf dem Weg zu Ihrem Netzwerk VPC über diesen Kanal weitergeleitet.

Sicherheitsgruppe für diesen Endpunkt

Die ID einer oder mehrerer Sicherheitsgruppen, die Sie verwenden möchten, um den Zugriff darauf VPC zu kontrollieren. Die von Ihnen angegebene Sicherheitsgruppe muss eine oder mehrere ausgehende Regeln enthalten. Regeln für ausgehende Verbindungen müssen den Port zulassen TCP und darauf UDP zugreifen, den Sie für DNS Abfragen in Ihrem Netzwerk verwenden. Sie können diesen Wert nicht ändern, nachdem Sie ein Portal erstellt haben.

Einige Sicherheitsgruppenregeln sorgen dafür, dass Ihre Verbindung nachverfolgt wird, und wirken sich möglicherweise auf die maximale Anzahl von Anfragen pro Sekunde vom ausgehenden Endpunkt zum Ziel-Nameserver aus. Informationen zur Vermeidung der durch eine Sicherheitsgruppe verursachten Verbindungsverfolgung finden Sie unter Verbindungen ohne Nachverfolgung.

Weitere Informationen finden Sie unter Sicherheitsgruppen für Sie VPC im VPCAmazon-Benutzerhandbuch.

Endpunkttyp

Der Endpunkttyp kann entweder IPv4IPv6, oder Dual-Stack-IP-Adressen sein. Bei einem Dual-Stack-Endpunkt hat der Endpunkt IPv4 sowohl eine Adresse als auch eine IPv6 Adresse, an die Ihr DNS Resolver in Ihrem Netzwerk Anfragen weiterleiten DNS kann.

Anmerkung

Aus Sicherheitsgründen verweigern wir allen Dual-Stack- und IP-Adressen den direkten IPv6 Datenzugriff auf das öffentliche Internet. IPv6

IP-Adressen

Die IP-Adressen in IhremVPC, an die Resolver DNS Anfragen auf dem Weg zu Resolvern in Ihrem Netzwerk weiterleiten soll. Dies sind nicht die IP-Adressen der DNS Resolver in Ihrem Netzwerk. Sie geben die Resolver-IP-Adressen an, wenn Sie die Regeln erstellen, die Sie einem oder mehreren Resolvern zuordnen. VPCs Aus Redundanzgründen müssen Sie mindestens zwei IP-Adressen angeben.

Anmerkung

Der Resolver-Endpunkt hat eine private IP-Adresse. Diese IP-Adressen ändern sich im Laufe der Lebensdauer eines Endpunkts nicht.

Beachten Sie Folgendes:

Mehrere Availability Zones

Wir empfehlen, IP-Adressen in mindestens zwei Availability Zones festzulegen. Wahlweise können Sie zusätzliche IP-Adressen in diesen oder anderen Availability Zones angeben.

IP-Adressen und Amazon VPC Elastic Network-Schnittstellen

Für jede Kombination aus Availability Zone, Subnetz und IP-Adresse, die Sie angeben, erstellt Resolver eine Amazon VPC elastic network interface. Die aktuelle maximale Anzahl von DNS Abfragen pro Sekunde pro IP-Adresse in einem Endpunkt finden Sie unter. Kontingente bei Route 53 Resolver Weitere Informationen zu den Preisen für die einzelnen Elastic Network-Schnittstellen finden Sie unter "Amazon Route 53" auf der Seite Amazon Route 53 Preise.

Reihenfolge der IP-Adressen

Sie können IP-Adressen in beliebiger Reihenfolge angeben. Bei der Weiterleitung von DNS Anfragen wählt Resolver IP-Adressen nicht anhand der Reihenfolge aus, in der die IP-Adressen aufgeführt sind.

Geben Sie für jede IP-Adresse die folgenden Werte an. Jede IP-Adresse muss sich in einer Availability Zone in der Region befindenVPC, die Sie VPCim Regionsnamen angegeben haben.

Availability Zone

Die Availability Zone, die DNS Abfragen auf dem Weg zu Ihrem Netzwerk passieren sollen. Die angegebene Availability Zone muss mit einem Subnetz konfiguriert sein.

Subnetz

Das Subnetz, das die IP-Adresse enthält, von der DNS Abfragen auf dem Weg zu Ihrem Netzwerk ausgehen sollen. Das Subnetz muss eine verfügbare IP-Adresse enthalten.

Die Subnetz-IP-Adresse muss dem Endpunkttyp entsprechen.

IP-Adresse

Die IP-Adresse, von der die DNS Anfragen auf dem Weg zu Ihrem Netzwerk ausgehen sollen.

Wählen Sie, ob Resolver aus den verfügbaren IP-Adressen im angegebenen Subnetz eine IP-Adresse für Sie auswählen soll, oder ob Sie die IP-Adresse selbst festlegen möchten.

Wenn Sie die IP-Adresse selbst angeben möchten, geben Sie eine IPv4 IPv6 Oder-Adresse oder beide ein.

Protokolle

Das Endpunktprotokoll bestimmt, wie die Daten vom ausgehenden Endpunkt übertragen werden. Wählen Sie ein oder mehrere Protokolle, je nachdem, welche Sicherheitsstufe Sie benötigen.

  • Do53: (Standard) Die Daten werden über den Route-53-Resolver ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, aber sie können innerhalb der AWS -Netzwerke eingesehen werden.

  • DoH: Die Daten werden über eine verschlüsselte HTTPS Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können.

Für einen ausgehenden Endpunkt können Sie die Protokolle wie folgt anwenden:

  • Do53 und DoH in Kombination.

  • Nur Do53.

  • Nur DoH.

  • Keins, was als Do53 behandelt wird.

Tags

Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. Cost center (Kostenstelle) als Key (Schlüssel) und 456 als Value (Wert) angeben.

Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben

Wenn Sie eine Weiterleitungsregel erstellen oder bearbeiten, geben Sie die folgenden Werte an:

Regelname

Ein Anzeigename, mit dem Sie ganz einfach eine Regel auf dem Dashboard finden können.

Regeltyp

Wählen Sie einen geeignete Wert aus:

  • Weiterleiten — Wählen Sie diese Option, wenn Sie DNS Anfragen für einen bestimmten Domainnamen an Resolver in Ihrem Netzwerk weiterleiten möchten.

  • System – Wählen Sie diese Option, wenn Sie möchten, dass Resolver das Verhalten selektiv überschreibt, das in einer Weiterleitungsregel definiert ist. Wenn Sie eine Systemregel erstellen, löst Resolver DNS Anfragen für bestimmte Subdomänen auf, die andernfalls von DNS Resolvern in Ihrem Netzwerk gelöst würden.

Standardmäßig gelten Weiterleitungsregeln für einen Domainnamen und alle entsprechenden Subdomains. Wenn Sie Abfragen für eine Domain an einen Resolver in Ihrem Netzwerk weiterleiten möchten, Abfragen für einige Subdomains hingegen nicht, erstellen Sie eine Systemregel für die Subdomains. Wenn Sie beispielsweise eine Weiterleitungsregel für example.com erstellen, Abfragen für acme.example.com jedoch nicht weiterleiten möchten, erstellen Sie eine Systemregel und geben für den Domainnamen acme.example.com an.

VPCsdie diese Regel verwenden

DiejenigenVPCs, die diese Regel verwenden, um DNS Abfragen für den oder die angegebenen Domainnamen weiterzuleiten. Sie können eine Regel auf so viele anwenden, VPCs wie Sie möchten.

Domainname

DNSAbfragen für diesen Domainnamen werden an die IP-Adressen weitergeleitet, die Sie unter Ziel-IP-Adressen angeben. Weitere Informationen finden Sie unter So bestimmt Resolver, ob der Domainname in einer Abfrage einer Regel entspricht.

Ausgehender Endpunkt

Der Resolver leitet DNS Anfragen über den ausgehenden Endpunkt, den Sie hier angeben, an die IP-Adressen weiter, die Sie unter Ziel-IP-Adressen angeben.

Ziel-IP-Adressen

Wenn eine DNS Abfrage mit dem Namen übereinstimmt, den Sie im Feld Domänenname angeben, leitet der ausgehende Endpunkt die Abfrage an die IP-Adressen weiter, die Sie hier angeben. Dies sind in der Regel die IP-Adressen für DNS Resolver in Ihrem Netzwerk.

Target IP-Adressen (Ziel-IP-Adressen) ist nur verfügbar, wenn der Wert für Rule type (Regeltyp) Forward (Weiterleiten) lautet.

Geben Sie IPv4 unsere IPv6 Adressen und die Protokolle an, die ServerNameIndication Sie für den Endpunkt verwenden möchten. ServerNameIndication ist nur anwendbar, wenn das gewählte Protokoll DoH ist.

Das Auflösen der Ziel-IP-Adresse FQDN eines DoH-Resolvers in Ihrem Netzwerk über den ausgehenden Endpunkt wird nicht unterstützt. Ausgehende Endpunkte benötigen die Ziel-IP-Adresse des DoH-Resolvers in Ihrem Netzwerk, an den die DoH-Anfragen weitergeleitet werden können. Wenn der DoH-Resolver in Ihrem Netzwerk den im TLS SNI und FQDN im Host-Header benötigt, muss er angegeben werden. HTTP ServerNameIndication

ServerNameIndication

Die Servernamensangabe des DoH-Servers, an den Sie Anfragen weiterleiten möchten. Dies wird nur verwendet, wenn das Protokoll DoH ist.

Tags

Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. Cost center (Kostenstelle) als Key (Schlüssel) und 456 als Value (Wert) angeben.

Dies sind die Tags, mit denen AWS Billing and Cost Management Sie Ihre AWS Rechnung organisieren können. Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter Verwenden von Kostenzuordnungs-Tags im AWS Billing -Benutzerhandbuch.