Weiterleiten von ausgehenden DNS-Abfragen an Ihr Netzwerk - Amazon Route 53
Konfigurieren von Weiterleitungen ausgehender AbfragenWerte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angebenWerte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Weiterleiten von ausgehenden DNS-Abfragen an Ihr Netzwerk

Um DNS-Anfragen, die von EC2 Amazon-Instances in einer oder mehreren Instanzen stammen, VPCs an Ihr Netzwerk weiterzuleiten, erstellen Sie einen ausgehenden Endpunkt und eine oder mehrere Regeln:

Ausgehender Endpunkt

Um DNS-Anfragen von Ihrem VPCs an Ihr Netzwerk weiterzuleiten, erstellen Sie einen ausgehenden Endpunkt. Ein ausgehender Endpunkt gibt die IP-Adressen an, von denen Abfragen stammen. Diese aus dem Bereich der IP-Adressen ausgewählten IP-Adressen, die Ihrer VPC zur Verfügung stehen, sind keine öffentlichen IP-Adressen. Dies bedeutet, dass Sie für jeden ausgehenden Endpunkt Ihre VPC über eine AWS Direct Connect VPC-Verbindung oder ein NAT-Gateway (Network Address Translation) mit Ihrem Netzwerk verbinden müssen. Beachten Sie, dass Sie denselben ausgehenden Endpunkt für mehrere Endpunkte VPCs in derselben Region verwenden oder mehrere ausgehende Endpunkte erstellen können. Wenn Sie möchten, dass Ihr ausgehender Endpunkt verwendet wird DNS64, können Sie die DNS64 Verwendung von Amazon Virtual Private Cloud aktivieren. Weitere Informationen finden Sie unter DNS64 und NAT64 im Amazon VPC-Benutzerhandbuch.

Die Ziel-IP aus der Route 53-Resolver-Regel wird vom Resolver nach dem Zufallsprinzip ausgewählt, und die Auswahl einer bestimmten Ziel-IP gegenüber der anderen wird nicht bevorzugt. Wenn eine Ziel-IP nicht auf die weitergeleitete DNS-Anfrage reagiert, versucht der Resolver erneut, eine zufällige IP-Adresse unter den Zieladressen auszuwählen. IPs

Stellen Sie sicher, dass alle Ziel-IP-Adressen von den Resolver-Endpunkten aus erreichbar sind. Wenn Resolver keine ausgehenden DNS-Anfragen an eine der Ziel-IP-Adressen weiterleiten kann, kann dies zu längeren DNS-Auflösungszeiten führen.

Regeln

Sie erstellen eine oder mehrere Regeln, um die Domainnamen der Abfragen anzugeben, die Sie an die DNS-Resolver in Ihrem Netzwerk weiterleiten möchten. Jede Regel gibt einen Domainnamen an. Anschließend ordnen Sie Regeln denen zu, VPCs für die Sie Abfragen an Ihr Netzwerk weiterleiten möchten.

Weitere Informationen finden Sie unter den folgenden Themen:

Konfigurieren von Weiterleitungen ausgehender Abfragen

Um Resolver so zu konfigurieren, dass aus Ihrer VPC stammende DNS-Abfragen an Ihr Netzwerk weitergeleitet werden, führen Sie die folgenden Schritte aus.

Wichtig

Nachdem Sie einen ausgehenden Endpunkt erstellt haben, müssen Sie eine oder mehrere Regeln erstellen und sie einer oder mehreren VPCs Regeln zuordnen. Regeln geben die Domainnamen der DNS-Abfragen an, die Sie an Ihr Netzwerk weiterleiten möchten.

So erstellen Sie einen ausgehenden Endpunkt

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Klicken Sie im Navigationsbereich auf Outbound endpoints (Ausgehende Endpunkte).

  3. Wählen Sie in der Navigationsleiste die Region aus, in der Sie einen ausgehenden Endpunkt erstellen möchten.

  4. Klicken Sie auf Create outbound endpoint (Ausgehenden Endpunkt erstellen).

  5. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben.

  6. Wählen Sie Create (Erstellen) aus.

    Anmerkung

    Die Erstellung eines ausgehenden Endpunkt nimmt ein oder zwei Minuten in Anspruch. Sie können erst einen anderen ausgehenden Endpunkt erstellen, wenn der erste erstellt wurde.

  7. Erstellen Sie eine oder mehrere Regeln, um die Domainnamen der DNS-Abfragen anzugeben, die Sie an Ihr Netzwerk weiterleiten möchten. Weitere Informationen finden Sie im nächsten Verfahren .

Führen Sie die folgenden Schritte aus, um eine oder mehrere Weiterleitungsregeln zu erstellen.

Um Weiterleitungsregeln zu erstellen und die Regeln einer oder mehreren zuzuordnen VPCs

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich Regeln aus.

  3. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

  4. Wählen Sie Regel erstellen aus.

  5. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben.

  6. Wählen Sie Save (Speichern) aus.

  7. Um eine weitere Regel hinzuzufügen, wiederholen Sie die Schritte 4 bis 6.

Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben

Wenn Sie einen ausgehenden Endpunkt erstellen oder bearbeiten, geben Sie die folgenden Werte an:

Outpost-ID

Wenn Sie den Endpunkt für einen Resolver auf einer AWS Outposts VPC erstellen, ist dies die AWS Outposts ID.

Endpoint name (Endpunktname)

Ein Anzeigename, mit dem Sie ganz einfach einen ausgehenden Endpunkt auf dem Dashboard finden können.

VPC in der Region region-name

Alle ausgehenden DNS-Abfragen durchlaufen diese VPC auf dem Weg zu Ihrem Netzwerk.

Sicherheitsgruppe für diesen Endpunkt

Die ID einer oder mehrerer Sicherheitsgruppen, die Sie verwenden möchten, um den Zugriff auf diese VPC zu steuern. Die von Ihnen angegebene Sicherheitsgruppe muss eine oder mehrere ausgehende Regeln enthalten. Ausgehende Regeln müssen TCP- und UDP-Zugriff auf dem Port zulassen, den Sie für DNS-Abfragen in Ihrem Netzwerk verwenden. Sie können diesen Wert nicht ändern, nachdem Sie ein Portal erstellt haben.

Einige Sicherheitsgruppenregeln sorgen dafür, dass Ihre Verbindung nachverfolgt wird, und wirken sich möglicherweise auf die maximale Anzahl von Abfragen pro Sekunde vom ausgehenden Endpunkt zum Ziel-Nameserver aus. Informationen zur Vermeidung der durch eine Sicherheitsgruppe verursachten Verbindungsverfolgung finden Sie unter Verbindungen ohne Nachverfolgung.

Weitere Informationen finden Sie unter Sicherheitsgruppenregeln für Ihre VPC im Amazon VPC-Benutzerhandbuch.

Endpunkttyp

Der Endpunkttyp kann entweder IPv4 IPv6, oder Dual-Stack-IP-Adressen sein. Bei einem Dual-Stack-Endpunkt hat der Endpunkt IPv4 sowohl eine Adresse als auch eine IPv6 Adresse, an die Ihr DNS-Resolver in Ihrem Netzwerk DNS-Anfragen weiterleiten kann.

Anmerkung

Aus Sicherheitsgründen verweigern wir allen Dual-Stack- und IP-Adressen den direkten IPv6 Datenzugriff auf das öffentliche Internet. IPv6

IP-Adressen

Die IP-Adressen in Ihrer VPC, an die Resolver DNS-Abfragen auf dem Weg zu Resolvern in Ihrem Netzwerk weiterleiten soll. Dies sind nicht die IP-Adressen der DNS-Resolver in Ihrem Netzwerk. Sie geben die Resolver-IP-Adressen an, wenn Sie die Regeln erstellen, die Sie einem oder mehreren zuordnen. VPCs Aus Redundanzgründen müssen Sie mindestens zwei IP-Adressen angeben.

Anmerkung

Der Resolver-Endpunkt hat eine private IP-Adresse. Diese IP-Adressen ändern sich im Laufe der Lebensdauer eines Endpunkts nicht.

Beachten Sie Folgendes:

Mehrere Availability Zones

Wir empfehlen, IP-Adressen in mindestens zwei Availability Zones festzulegen. Wahlweise können Sie zusätzliche IP-Adressen in diesen oder anderen Availability Zones angeben.

IP-Adressen und Amazon VPC Elastic Network-Schnittstellen

Für jede Kombination aus Availability Zone, Subnetz und IP-Adresse, die Sie festlegen, erstellt Resolver eine Amazon VPC Elastic Network-Schnittstelle. Informationen zu dem aktuellen Höchstwerten für die Anzahl der DNS-Abfragen pro Sekunde und IP-Adresse in einem Endpunkt finden Sie unter Kontingente bei Route 53 Resolver. Weitere Informationen zu den Preisen für die einzelnen Elastic Network-Schnittstellen finden Sie unter "Amazon Route 53" auf der Seite Amazon Route 53 Preise.

Reihenfolge der IP-Adressen

Sie können IP-Adressen in beliebiger Reihenfolge angeben. Beim Weiterleiten von DNS-Abfragen wählt Resolver IP-Adressen nicht auf Grundlage der Reihenfolge aus, in der die IP-Adressen aufgeführt sind.

Geben Sie für jede IP-Adresse die folgenden Werte an. Jede IP-Adresse muss in einer Availability Zone in der VPC vorhanden sein, die Sie in VPC in der Region region-name angegeben haben.

Availability Zone

Die Availability Zone, die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk durchlaufen sollen. Die angegebene Availability Zone muss mit einem Subnetz konfiguriert sein.

Subnetz

Das Subnetz mit der IP-Adresse, aus denen die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk stammen sollen. Das Subnetz muss eine verfügbare IP-Adresse enthalten.

Die Subnetz-IP-Adresse muss dem Endpunkttyp entsprechen.

IP-Adresse

Die IP-Adresse, von der die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk stammen sollen.

Wählen Sie, ob Resolver aus den verfügbaren IP-Adressen im angegebenen Subnetz eine IP-Adresse für Sie auswählen soll, oder ob Sie die IP-Adresse selbst festlegen möchten.

Wenn Sie die IP-Adresse selbst angeben möchten, geben Sie eine IPv6 Oder-Adresse IPv4 oder beide ein.

Protokolle

Das Endpunktprotokoll bestimmt, wie die Daten vom ausgehenden Endpunkt übertragen werden. Wählen Sie ein oder mehrere Protokolle, je nachdem, welche Sicherheitsstufe Sie benötigen.

  • Do53: (Standard) Die Daten werden über den Route-53-Resolver ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, aber sie können innerhalb der AWS -Netzwerke eingesehen werden.

  • DoH: Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können.

Für einen ausgehenden Endpunkt können Sie die Protokolle wie folgt anwenden:

  • Do53 und DoH in Kombination.

  • Nur Do53.

  • Nur DoH.

  • Keins, was als Do53 behandelt wird.

Tags

Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. Cost center (Kostenstelle) als Key (Schlüssel) und 456 als Value (Wert) angeben.

Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben

Wenn Sie eine Weiterleitungsregel erstellen oder bearbeiten, geben Sie die folgenden Werte an:

Regelname

Ein Anzeigename, mit dem Sie ganz einfach eine Regel auf dem Dashboard finden können.

Regeltyp

Wählen Sie einen geeignete Wert aus:

  • Forward (Weiterleiten) – Wählen Sie diese Option, wenn Sie DNS-Abfragen für einen angegebenen Domainnamen an Resolver in Ihrem Netzwerk weiterleiten möchten.

  • System – Wählen Sie diese Option, wenn Sie möchten, dass Resolver das Verhalten selektiv überschreibt, das in einer Weiterleitungsregel definiert ist. Wenn Sie eine Systemregel erstellen, löst Resolver DNS-Abfragen für bestimmte Subdomains auf, die andernfalls von DNS-Resolvern in Ihrem Netzwerk aufgelöst werden.

Standardmäßig gelten Weiterleitungsregeln für einen Domainnamen und alle entsprechenden Subdomains. Wenn Sie Abfragen für eine Domain an einen Resolver in Ihrem Netzwerk weiterleiten möchten, Abfragen für einige Subdomains hingegen nicht, erstellen Sie eine Systemregel für die Subdomains. Wenn Sie beispielsweise eine Weiterleitungsregel für example.com erstellen, Abfragen für acme.example.com jedoch nicht weiterleiten möchten, erstellen Sie eine Systemregel und geben für den Domainnamen acme.example.com an.

VPCs die diese Regel verwenden

Diejenigen VPCs , die diese Regel verwenden, um DNS-Abfragen für den oder die angegebenen Domainnamen weiterzuleiten. Sie können eine Regel auf so viele anwenden, VPCs wie Sie möchten.

Domainname

DNS-Abfragen für diesen Domainnamen werden an die IP-Adressen weitergeleitet, die Sie in Target IP addresses (Ziel-IP-Adressen) festlegen. Weitere Informationen finden Sie unter So bestimmt Resolver, ob der Domainname in einer Abfrage einer Regel entspricht.

Ausgehender Endpunkt

Resolver leitet DNS-Abfragen durch den hier angegebenen ausgehenden Endpunkt an die IP-Adressen weiter, die Sie in Target IP addresses (Ziel-IP-Adressen) festlegen.

Ziel-IP-Adressen

Wenn eine DNS-Abfrage dem im Feld Domain name (Domainname) angegebenen Namen entspricht, leitet der ausgehende Endpunkt die Abfrage an die IP-Adressen weiter, die Sie hier angeben. Dies sind in der Regel die IP-Adressen für DNS-Resolver in Ihrem Netzwerk.

Target IP-Adressen (Ziel-IP-Adressen) ist nur verfügbar, wenn der Wert für Rule type (Regeltyp) Forward (Weiterleiten) lautet.

Geben Sie IPv4 IPv6 unsere Adressen und die Protokolle an, die ServerNameIndication Sie für den Endpunkt verwenden möchten. ServerNameIndication ist nur anwendbar, wenn das gewählte Protokoll DoH ist.

Das Auflösen der Ziel-IP-Adresse des FQDN eines DoH-Resolvers in Ihrem Netzwerk über den ausgehenden Endpunkt wird nicht unterstützt. Ausgehende Endpunkte benötigen die Ziel-IP-Adresse des DoH-Resolvers in Ihrem Netzwerk, an den die DoH-Anfragen weitergeleitet werden können. Wenn der DoH-Resolver in Ihrem Netzwerk den FQDN im TLS-SNI und im HTTP-Host-Header benötigt, muss dieser angegeben werden. ServerNameIndication

ServerNameIndication

Die Servernamensangabe des DoH-Servers, an den Sie Anfragen weiterleiten möchten. Dies wird nur verwendet, wenn das Protokoll DoH ist.

Tags

Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. Cost center (Kostenstelle) als Key (Schlüssel) und 456 als Value (Wert) angeben.

Dies sind die Tags, mit denen AWS Billing and Cost Management Sie Ihre AWS Rechnung organisieren können. Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter Verwenden von Kostenzuordnungs-Tags im AWS Billing -Benutzerhandbuch.