Lösung von Abfragen zwischen und Ihrem Netzwerk DNS VPCs - Amazon Route 53
So leiten DNS Resolver in Ihrem Netzwerk DNS Anfragen an Route 53 Resolver-Endpunkte weiterSo leitet der Route 53 Resolver-Endpunkt DNS Anfragen von Ihrem VPCs an Ihr Netzwerk weiterErwägungen beim Erstellen von ein- und ausgehenden Endpunkten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lösung von Abfragen zwischen und Ihrem Netzwerk DNS VPCs

Der Resolver enthält Endpunkte, die Sie so konfigurieren, dass sie DNS Anfragen an und von Ihrer lokalen Umgebung beantworten.

Anmerkung

Die Weiterleitung von privaten DNS Anfragen von Ihren lokalen DNS Servern an eine beliebige VPC CIDR +2-Adresse wird nicht unterstützt und kann zu instabilen Ergebnissen führen. Stattdessen empfehlen wir Ihnen, einen eingehenden Resolver-Endpunkt zu verwenden.

Sie können die DNS Auflösung auch zwischen Resolver und DNS Resolvern in Ihrem Netzwerk integrieren, indem Sie Weiterleitungsregeln konfigurieren. Ihr Netzwerk kann jedes Netzwerk umfassen, das von Ihrem aus erreichbar istVPC, z. B. das Folgende:

  • Das VPC selbst

  • Ein anderer hat geguckt VPC

  • Ein lokales Netzwerk, das AWS mit AWS Direct Connect, einem oder einem VPN Network Address Translation () NAT -Gateway verbunden ist

Bevor Sie mit der Weiterleitung von Abfragen beginnen, erstellen Sie Resolver-Endpunkte für eingehende und/oder ausgehende Verbindungen. VPC Diese Endpunkte bieten einen Pfad für eingehende oder ausgehende Abfragen:

Eingehender Endpunkt: DNS Resolver in Ihrem Netzwerk können DNS Anfragen über diesen Endpunkt an Route 53 Resolver weiterleiten

Auf diese Weise können Ihre DNS Resolver problemlos Domainnamen für AWS Ressourcen wie EC2 Instanzen oder Datensätze in einer privaten gehosteten Route 53-Zone auflösen. Weitere Informationen finden Sie unter So leiten DNS Resolver in Ihrem Netzwerk DNS Anfragen an Route 53 Resolver-Endpunkte weiter.

Ausgehender Endpunkt: Resolver leitet Abfragen über diesen Endpunkt bedingt an Resolver in Ihrem Netzwerk weiter

Um ausgewählte Abfragen weiterzuleiten, erstellen Sie Resolver-Regeln, die die Domänennamen für die DNS Abfragen angeben, die Sie weiterleiten möchten (z. B. example.com), und die IP-Adressen der DNS Resolver in Ihrem Netzwerk, an die Sie die Abfragen weiterleiten möchten. Wenn eine Abfrage mehreren Regeln entspricht (example.com, acme.example.com), wählt Resolver die Regel mit der genauesten Übereinstimmung (acme.example.com) und leitet die Abfrage an die IP-Adressen weiter, die Sie in dieser Regel angegeben haben. Weitere Informationen finden Sie unter So leitet der Route 53 Resolver-Endpunkt DNS Anfragen von Ihrem VPCs an Ihr Netzwerk weiter.

Resolver ist wie Amazon VPC regional. In jeder Region, in der Sie tätig sindVPCs, können Sie wählen, ob Sie Anfragen von Ihrem Netzwerk VPCs an Ihr Netzwerk (ausgehende Anfragen), von Ihrem Netzwerk an Ihr VPCs (eingehende Anfragen) oder beides weiterleiten möchten.

Sie können keine Resolver-Endpunkte in einem System erstellenVPC, das Sie nicht besitzen. Nur der VPC Besitzer kann Ressourcen VPC auf der Ebene A, wie z. B. eingehende Endpunkte, erstellen.

Anmerkung

Wenn Sie einen Resolver-Endpunkt erstellen, können Sie keinen angeben, für den VPC das Instanz-Tenancy-Attribut auf gesetzt ist. dedicated Weitere Informationen finden Sie unter Verwenden Sie Resolver inVPCs, die für dedizierte Instance-Tenancy konfiguriert sind.

Um eingehende oder ausgehende Weiterleitungen zu verwenden, erstellen Sie einen Resolver-Endpunkt in Ihrem. VPC Im Rahmen der Definition eines Endpunkts geben Sie die IP-Adressen an, an die Sie eingehende DNS Anfragen weiterleiten möchten, oder die IP-Adressen, von denen ausgehende Anfragen stammen sollen. Für jede IP-Adresse, die Sie angeben, erstellt Resolver automatisch eine VPC elastic network interface.

Das folgende Diagramm zeigt den Pfad einer DNS Abfrage von einem DNS Resolver in Ihrem Netzwerk zu den Route 53-Resolver-Endpunkten.

Konzeptgrafik, die den Pfad einer DNS Abfrage von einem DNS Resolver in Ihrem Netzwerk zu Route 53 Resolver-Endpunkten zeigt.

Das folgende Diagramm zeigt den Pfad einer DNS Abfrage von einer EC2 Instanz in einer Ihrer Instanzen VPCs zu einem DNS Resolver in Ihrem Netzwerk.

Konzeptgrafik, die den Pfad einer DNS Abfrage von Ihrem Netzwerk zum Route 53 Resolver zeigt.

Einen Überblick über VPC Netzwerkschnittstellen finden Sie unter Elastic Network Interfaces im VPCAmazon-Benutzerhandbuch.

Topics

So leiten DNS Resolver in Ihrem Netzwerk DNS Anfragen an Route 53 Resolver-Endpunkte weiter

Wenn Sie DNS Abfragen von Ihrem Netzwerk an Route 53 Resolver-Endpunkte in einer AWS Region weiterleiten möchten, führen Sie die folgenden Schritte aus:

  1. Sie erstellen einen eingehenden Route 53 Resolver-Endpunkt in einem VPC und geben die IP-Adressen an, an die die Resolver in Ihrem Netzwerk Anfragen weiterleitenDNS.

    Für jede IP-Adresse, die Sie für den eingehenden Endpunkt angeben, erstellt Resolver eine VPC elastic network interface an der VPC Stelle, an der Sie den eingehenden Endpunkt erstellt haben.

  2. Sie konfigurieren Resolver in Ihrem Netzwerk so, dass sie DNS Abfragen für die entsprechenden Domainnamen an die IP-Adressen weiterleiten, die Sie im Eingangsendpunkt angegeben haben. Weitere Informationen finden Sie unter Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten.

So löst Resolver DNS Anfragen, die ihren Ursprung in Ihrem Netzwerk haben:

  1. Ein Webbrowser oder eine andere Anwendung in Ihrem Netzwerk sendet eine DNS Anfrage nach einem Domainnamen, den Sie an Resolver weitergeleitet haben.

  2. Ein Resolver in Ihrem Netzwerk leitet die Abfrage an die IP-Adressen in Ihrem eingehenden Endpunkt weiter.

  3. Der eingehende Endpunkt leitet die Abfrage an Resolver weiter.

  4. Resolver ruft den entsprechenden Wert für den Domainnamen in der DNS Abfrage ab, entweder intern oder durch eine rekursive Suche auf öffentlichen Nameservern.

  5. Der Resolver gibt den Wert an den eingehenden Endpunkt zurück.

  6. Der eingehende Endpunkt gibt den Wert an den Resolver in Ihrem Netzwerk zurück.

  7. Der Resolver in Ihrem Netzwerk gibt den Wert an die Anwendung zurück.

  8. Unter Verwendung des von Resolver zurückgegebenen Werts sendet die Anwendung eine HTTP Anfrage, z. B. eine Anfrage für ein Objekt in einem Amazon S3 S3-Bucket.

Das Erstellen eines Eingangsendpunkts ändert nichts am Verhalten von Resolver, sondern stellt lediglich einen Pfad von einem Standort außerhalb des AWS Netzwerks zum Resolver bereit.

So leitet der Route 53 Resolver-Endpunkt DNS Anfragen von Ihrem VPCs an Ihr Netzwerk weiter

Wenn Sie DNS Anfragen von den EC2 Instances in einer oder mehreren VPCs in einer AWS Region an Ihr Netzwerk weiterleiten möchten, führen Sie die folgenden Schritte aus.

  1. Sie erstellen einen ausgehenden Route 53 Resolver-Endpunkt in einem VPC und geben mehrere Werte an:

    • DieVPC, über die DNS Abfragen auf dem Weg zu den Resolvern in Ihrem Netzwerk weitergeleitet werden sollen.

    • Die IP-Adressen in IhremVPC, von denen der Resolver DNS Anfragen weiterleiten soll. Für Hosts in Ihrem Netzwerk sind dies die IP-Adressen, von denen die DNS Anfragen stammen.

    • Eine VPCSicherheitsgruppe

    Für jede IP-Adresse, die Sie für den ausgehenden Endpunkt angeben, erstellt Resolver eine Amazon VPC elastic network interface in der von VPC Ihnen angegebenen. Weitere Informationen finden Sie unter Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten.

  2. Sie erstellen eine oder mehrere Regeln, die die Domainnamen der DNS Abfragen angeben, die Resolver an Resolver in Ihrem Netzwerk weiterleiten soll. Sie legen auch die IP-Adressen der Resolver fest. Weitere Informationen finden Sie unter Verwenden von Regeln zum Steuern, welche Abfragen an Ihr Netzwerk weitergeleitet werden.

  3. Sie ordnen jede Regel der Regel zu, VPCs für die Sie DNS Abfragen an Ihr Netzwerk weiterleiten möchten.

Verwenden von Regeln zum Steuern, welche Abfragen an Ihr Netzwerk weitergeleitet werden

Regeln steuern, welche DNS Anfragen der Route 53 53-Resolver-Endpunkt an DNS Resolver in Ihrem Netzwerk weiterleitet und welche Anfragen der Resolver selbst beantwortet.

Es gibt mehrere Möglichkeiten zum Kategorisieren von Regeln. Eine Möglichkeit ist die Kategorisierung nach Ersteller der Regeln:

  • Automatisch definierte Regeln — Resolver erstellt automatisch automatisch definierte Regeln und ordnet die Regeln Ihren zu. VPCs Die meisten dieser Regeln gelten für die AWS spezifischen Domainnamen, für die Resolver Anfragen beantwortet. Weitere Informationen finden Sie unter Domainnamen, für die Resolver automatisch definierte Systemregeln erstellt.

  • Benutzerdefinierte Regeln — Sie erstellen benutzerdefinierte Regeln und verknüpfen die Regeln mit. VPCs Derzeit können Sie nur eine Art von benutzerdefinierten Regeln erstellen, nämlich bedingte Weiterleitungsregeln (auch einfach als Weiterleitungsregeln bezeichnet). Weiterleitungsregeln veranlassen Resolver, DNS Anfragen von Ihnen VPCs an die IP-Adressen für DNS Resolver in Ihrem Netzwerk weiterzuleiten.

    Wenn Sie eine Weiterleitungsregel für dieselbe Domain wie eine automatisch definierte Regel erstellen, leitet Resolver Anfragen für diesen Domainnamen auf der Grundlage der Einstellungen in der Weiterleitungsregel an DNS Resolver in Ihrem Netzwerk weiter.

Eine weitere Möglichkeit ist die Kategorisierung von Regeln nach Funktion:

  • Bedingte Weiterleitungsregeln — Sie erstellen Regeln für die bedingte Weiterleitung (auch als Weiterleitungsregeln bezeichnet), wenn Sie DNS Abfragen für bestimmte Domainnamen an DNS Resolver in Ihrem Netzwerk weiterleiten möchten.

  • Systemregeln – Systemregeln bewirken, dass Resolver das in einer Weiterleitungsregel definierte Verhalten selektiv überschreibt. Wenn Sie eine Systemregel erstellen, löst Resolver DNS Anfragen für bestimmte Subdomänen auf, die andernfalls von DNS Resolvern in Ihrem Netzwerk gelöst würden.

    Standardmäßig gelten Weiterleitungsregeln für einen Domainnamen und alle entsprechenden Subdomains. Wenn Sie Abfragen für eine Domain an einen Resolver in Ihrem Netzwerk weiterleiten möchten, Abfragen für einige Subdomains hingegen nicht, erstellen Sie eine Systemregel für die Subdomains. Wenn Sie beispielsweise eine Weiterleitungsregel für example.com erstellen, Abfragen für acme.example.com jedoch nicht weiterleiten möchten, erstellen Sie eine Systemregel und geben für den Domainnamen acme.example.com an.

  • Rekursive Regel - erstellt automatisch eine rekursive Regel mit dem Namen Internet Resolver. Diese Regel führt dazu, dass Route 53 als rekursiver Resolver für alle Domainnamen arbeitet, für die Sie keine benutzerdefinierten Regeln erstellt haben, und für die Resolver keine automatisch definierten Regeln erstellt hat. Informationen zum Überschreiben dieses Verhaltens finden Sie unter „Weiterleiten aller Abfragen an Ihr Netzwerk“ später in diesem Thema.

Sie können benutzerdefinierte Regeln erstellen, die für bestimmte Domainnamen (Ihre oder die meisten AWS Domainnamen), für öffentliche Domainnamen oder für alle AWS Domainnamen gelten.

Weiterleiten von Abfragen für spezifische Domainnamen an Ihr Netzwerk

Um Abfragen für einen spezifischen Domainnamen wie beispielsweise example.com an Ihr Netzwerk weiterzuleiten, erstellen Sie eine Regel und geben diesen Domainnamen an. Sie geben auch die IP-Adressen der DNS Resolver in Ihrem Netzwerk an, an die Sie die Anfragen weiterleiten möchten. Anschließend ordnen Sie jede Regel der Regel zu, VPCs für die Sie DNS Abfragen an Ihr Netzwerk weiterleiten möchten. Beispielsweise können Sie separate Regeln für example.com, example.org und example.net erstellen. Anschließend können Sie die Regeln in einer beliebigen Kombination mit der VPCs in einer AWS Region verknüpfen.

Weiterleiten von Abfragen für amazonaws.com an Ihr Netzwerk

Der Domainname amazonaws.com ist der öffentliche Domainname für AWS Ressourcen wie EC2 Instances und S3-Buckets. Wenn Sie Abfragen für amazonaws.com an Ihr Netzwerk weiterleiten möchten, erstellen Sie eine Regel, geben Sie für den Domainnamen amazonaws.com und für den Regeltyp Forward (Weiterleiten) an.

Anmerkung

Resolver leitet DNS Anfragen für einige Amazonaws.com-Subdomains nicht automatisch weiter, selbst wenn Sie eine Weiterleitungsregel für amazonaws.com erstellen. Weitere Informationen finden Sie unter Domainnamen, für die Resolver automatisch definierte Systemregeln erstellt. Informationen zum Überschreiben dieses Verhaltens finden Sie im direkt folgenden Abschnitt „Weiterleiten aller Abfragen an Ihr Netzwerk“.

Weiterleiten aller Abfragen an Ihr Netzwerk

Wenn Sie alle Anfragen an Ihr Netzwerk weiterleiten möchten, erstellen Sie eine Regel und geben Sie „“ an. (Punkt) für den Domainnamen und ordnen Sie die Regel der Regel zu, VPCs für die Sie alle DNS Abfragen an Ihr Netzwerk weiterleiten möchten. Der Resolver leitet immer noch nicht alle DNS Anfragen an Ihr Netzwerk weiter, da die Verwendung eines DNS Resolvers außerhalb des Netzwerks einige AWS Funktionen beeinträchtigen würde. Beispielsweise haben einige interne AWS Domainnamen interne IP-Adressbereiche, auf die von außerhalb nicht zugegriffen werden kann. AWS Eine Liste der Domainnamen, für die Abfragen nicht an Ihr Netzwerk weitergeleitet werden, wenn Sie eine Regel für "." erstellen, finden Sie unter Domainnamen, für die Resolver automatisch definierte Systemregeln erstellt.

Autodefinierte Systemregeln für Reverse DNS können jedoch deaktiviert werden, sodass die Regel „.“ alle DNS Rückwärtsabfragen an Ihr Netzwerk weiterleitet. Weitere Informationen zum Deaktivieren der automatisch definierten Regeln finden Sie unter Weiterleitungsregeln für umgekehrte DNS Abfragen in Resolver.

Wenn Sie versuchen möchten, DNS Abfragen für alle Domainnamen an Ihr Netzwerk weiterzuleiten, einschließlich der Domainnamen, die standardmäßig von der Weiterleitung ausgeschlossen sind, können Sie eine „.“ -Regel erstellen und einen der folgenden Schritte ausführen:

Wichtig

Wenn Sie alle Domainnamen an Ihr Netzwerk weiterleiten, einschließlich der Domainnamen, die Resolver bei der Erstellung einer "."-Regel ausschließt, funktionieren einige Funktionen möglicherweise nicht mehr.

So bestimmt Resolver, ob der Domainname in einer Abfrage einer Regel entspricht

Route 53 Resolver vergleicht den Domänennamen in der DNS Abfrage mit dem Domänennamen in den Regeln, die dem zugeordnet sind, aus dem VPC die Abfrage stammt. Resolver betrachtet die Domainnamen in den folgenden Fällen als übereinstimmend:

  • Der Domainname stimmt genau überein.

  • Bei dem Domainnamen in der Abfrage handelt es sich um eine Subdomain der Domain in der Regel.

Wenn der Domänenname in der Regel beispielsweise acme.example.com lautet, betrachtet Resolver die folgenden Domänennamen in einer DNS Abfrage als übereinstimmend:

  • acme.example.com

  • zenith.acme.example.com

Bei den folgenden Domainnamen handelt es sich nicht um Übereinstimmungen:

  • example.com

  • nadir.example.com

Wenn der Domainname in einer Abfrage mit dem Domainnamen in mehr als einer Regel übereinstimmt (z. B. example.com und www.example.com), leitet Resolver ausgehende DNS Anfragen mit der Regel weiter, die den spezifischsten Domainnamen enthält (www.example.com).

Wie Resolver bestimmt, wohin Abfragen weitergeleitet werden DNS

Wenn eine Anwendung, die auf einer EC2 Instanz in einer Instanz ausgeführt wird, eine DNS Abfrage VPC sendet, führt Route 53 Resolver die folgenden Schritte aus:

  1. Resolver führt Prüfungen auf Domainnamen in Regeln aus.

    Wenn der Domainname in einer Abfrage mit dem Domainnamen in einer Regel übereinstimmt, leitet Resolver die Abfrage an die IP-Adresse weiter, die Sie beim Erstellen des ausgehenden Endpunkts angegeben haben. Der ausgehende Endpunkt leitet die Abfrage anschließend an die IP-Adressen von Resolvern in Ihrem Netzwerk weiter, die Sie beim Erstellen der Regel angegeben haben.

    Weitere Informationen finden Sie unter So bestimmt Resolver, ob der Domainname in einer Abfrage einer Regel entspricht.

  2. Der Resolver-Endpunkt leitet DNS Abfragen auf der Grundlage der Einstellungen in der Regel „.“ weiter.

    Wenn der Domainname in einer Abfrage nicht dem Domainnamen in einer anderen Regel übereinstimmt, leitet Resolver die Anfrage basierend auf den Einstellungen in der automatisch definierten "."-Regel (Punkt-Regel) weiter. Die Punktregel gilt für alle Domainnamen mit Ausnahme einiger AWS interner Domainnamen und Datensatznamen in privaten Hosting-Zonen. Diese Regel veranlasst Resolver, DNS Anfragen an öffentliche Nameserver weiterzuleiten, wenn die Domainnamen in den Abfragen mit keinem Namen in Ihren benutzerdefinierten Weiterleitungsregeln übereinstimmen. Wenn Sie alle Anfragen an die DNS Resolver in Ihrem Netzwerk weiterleiten möchten, können Sie eine benutzerdefinierte Weiterleitungsregel erstellen, „.“ für den Domainnamen angeben, Forwarding als Typ angeben und die IP-Adressen dieser Resolver angeben.

  3. Resolver gibt die Antwort an die Anwendung zurück, die die Abfrage übermittelt hat.

Verwenden von Regeln in mehreren Regionen

Route 53 Resolver ist ein regionaler Dienst, sodass Objekte, die Sie in einer AWS Region erstellen, nur in dieser Region verfügbar sind. Wenn Sie dieselbe Regel in mehr als einer Region verwenden möchten, müssen Sie die Regel in allen Regionen erstellen.

Das AWS Konto, das eine Regel erstellt hat, kann die Regel mit anderen AWS Konten gemeinsam nutzen. Weitere Informationen finden Sie unter Resolver-Regeln mit anderen AWS Konten teilen und gemeinsame Regeln verwenden.

Domainnamen, für die Resolver automatisch definierte Systemregeln erstellt

Der Resolver erstellt automatisch definierte Systemregeln, die definieren, wie Abfragen für ausgewählte Domains standardmäßig aufgelöst werden:

  • Für privat gehostete Zonen und für EC2 Amazon-spezifische Domainnamen (wie compute.amazonaws.com und compute.internal) stellen automatisch definierte Regeln sicher, dass Ihre privaten gehosteten Zonen und EC2 Instances weiterhin aufgelöst werden, wenn Sie bedingte Weiterleitungsregeln für weniger spezifische Domainnamen wie „“ erstellen. (Punkt) oder „com“.

  • Für öffentlich reservierte Domainnamen (wie localhost und 10.in-addr.arpa) empfehlen DNS bewährte Methoden, Anfragen lokal zu beantworten, anstatt sie an öffentliche Nameserver weiterzuleiten. Weitere Informationen finden Sie unter 6303, Lokal versorgte Zonen. RFC DNS

Anmerkung

Wenn Sie eine bedingte Weiterleitungsregel für "." (Punkt) oder "com" erstellen, empfehlen wir, auch eine Systemregel für amazonaws.com zu erstellen. (Systemregeln veranlassen Resolver, DNS Abfragen für bestimmte Domänen und Subdomänen lokal aufzulösen.) Eine solche erstellte Systemregel verbessert die Leistung, reduziert die Anzahl der Abfragen, die an Ihr Netzwerk weitergeleitet werden, und senkt die Resolver-Gebühren.

Wenn Sie eine automatisch definierte Regel überschreiben möchten, können Sie eine bedingte Weiterleitungsregel für denselben Domainnamen erstellen.

Einige der automatisch definierten Regeln können auch deaktiviert werden. Weitere Informationen finden Sie unter Weiterleitungsregeln für umgekehrte DNS Abfragen in Resolver.

Resolver erstellt die folgenden automatisch definierten Regeln.

Regeln für privat gehostete Zonen

Für jede private gehostete Zone, die Sie einer zuordnenVPC, erstellt Resolver eine Regel und ordnet sie der zu. VPC Wenn Sie die private gehostete Zone mehreren zuordnenVPCs, ordnet Resolver die Regel derselben zu. VPCs

Die Regel verfügt über einen Typ von Forward (Weiterleiten).

Regeln für verschiedene AWS interne Domainnamen

Alle Regeln für die internen Domainnamen in diesem Abschnitt verfügen über einen Typ von Forward. Der Resolver leitet DNS Anfragen für diese Domainnamen an die autoritativen Nameserver für weiter. VPC

Anmerkung

Resolver erstellt die meisten dieser Regeln, wenn Sie das enableDnsHostnames Kennzeichen für ein An setzen. VPC true Resolver erstellt die Regeln, auch wenn Sie keine Resolver-Endpunkte verwenden.

Resolver erstellt die folgenden automatisch definierten Regeln und ordnet sie einem zu, VPC wenn Sie das enableDnsHostnames Flag für das auf setzen: VPC true

  • Region-name.compute.internal, zum Beispiel eu-west-1.compute.internal. Die Region us-east-1 verwendet diesen Domainnamen nicht.

  • Region-name.rechnen. amazon-domain-name, zum Beispiel eu-west-1.compute.amazonaws.com oder cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. Die Region us-east-1 verwendet diesen Domainnamen nicht.

  • ec2.internal. Nur die Region us-east-1 verwendet diesen Domainnamen.

  • compute-1.internal. Nur die Region us-east-1 verwendet diesen Domainnamen.

  • compute-1.amazonaws.com. Nur die Region us-east-1 verwendet diesen Domänennamen.

Die folgenden automatisch definierten Regeln gelten für die umgekehrte Suche nach den Regeln, die Resolver erstellt, wenn Sie die Markierung für „bis“ setzen. DNS enableDnsHostnames VPC true

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa bis 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Regeln für jeden der CIDR Bereiche für. VPC Wenn ein Beispiel einen VPC CIDR Bereich von 10.0.0.0/23 hat, erstellt Resolver die folgenden Regeln:

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Die folgenden automatisch definierten Regeln für Domänen, die sich auf Localhost beziehen, werden ebenfalls erstellt und mit a verknüpft, VPC wenn Sie das Flag für Folgendes setzen: enableDnsHostnames VPC true

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver erstellt die folgenden automatisch definierten Regeln und ordnet sie Ihren zu, VPC wenn Sie VPC über Transit-Gateway oder VPC Peering eine Verbindung VPC mit anderen herstellen und der Support aktiviert ist: DNS

  • Die umgekehrte DNS Suche nach den IP-Adressbereichen des VPC Peers, z. B. 0.192.in-addr.arpa

    Wenn Sie einen IPv4 CIDR Block zu einem hinzufügenVPC, fügt Resolver eine automatisch definierte Regel für den neuen IP-Adressbereich hinzu.

  • Wenn sich der andere in einer anderen Region VPC befindet, die folgenden Domainnamen:

    • Region-name.compute.internal. Die Region us-east-1 verwendet diesen Domainnamen nicht.

    • Region-name. berechnen. amazon-domain-name. Die Region us-east-1 verwendet diesen Domainnamen nicht.

    • ec2.internal. Nur die Region us-east-1 verwendet diesen Domainnamen.

    • compute-1.amazonaws.com. Nur die Region us-east-1 verwendet diesen Domainnamen.

Eine Regel für alle anderen Domains

Resolver erstellt eine "."-Regel (Punkt-Regel), die für alle Domainnamen gilt, die nicht zuvor in diesem Thema angegeben wurden. Die "."-Regel verfügt über einen Typ von Recursive (Rekursiv). Dies bedeutet, dass Resolver durch diese Regel als rekursiver Resolver wirkt.

Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten

Bevor Sie Resolver-Endpoints für eingehenden und ausgehenden Datenverkehr in einer AWS Region erstellen, sollten Sie die folgenden Punkte berücksichtigen.

Anzahl der eingehenden und ausgehenden Endpunkte in den einzelnen -Regionen

Wenn Sie den VPCs in einer AWS Region mit Ihrem Netzwerk integrieren DNS möchten, benötigen Sie in der Regel einen Resolver-Endpunkt DNS für eingehende Anfragen (für DNS Anfragen, die Sie an Ihren weiterleitenVPCs) und einen ausgehenden Endpunkt (für Anfragen, die Sie von Ihrem zu Ihrem Netzwerk weiterleiten). VPCs Sie können mehrere eingehende Endpunkte und mehrere ausgehende Endpunkte erstellen, aber ein eingehender oder ausgehender Endpunkt reicht aus, um die Abfragen für jede Richtung zu bearbeiten. DNS Beachten Sie Folgendes:

  • Für jeden Resolver-Endpunkt legen Sie zwei oder mehr IP-Adressen in verschiedenen Availability Zones fest. Jede IP-Adresse in einem Endpunkt kann eine große Anzahl von Abfragen pro Sekunde verarbeiten. DNS (Informationen zu dem aktuellen Höchstwerten für die Anzahl der Abfragen pro Sekunde und IP-Adresse in einem Endpunkt finden Sie unter Kontingente bei Route 53 Resolver.) Wenn Resolver mehr Abfragen verarbeiten muss, können Sie weitere IP-Adressen zu Ihrem vorhandenen Endpunkt hinzufügen, anstatt einen neuen Endpunkt hinzufügen zu müssen.

  • Die Preise für Resolver basieren auf der Anzahl der IP-Adressen auf Ihren Endpunkten und auf der Anzahl der DNS Abfragen, die der Endpunkt verarbeitet. Jeder Endpunkt enthält mindestens zwei IP-Adressen. Weitere Informationen zu Resolver-Preisen finden Sie unter Amazon Route 53 Preise.

  • Jede Regel gibt den ausgehenden Endpunkt an, von dem DNS Anfragen weitergeleitet werden. Wenn Sie mehrere ausgehende Endpunkte in einer AWS Region erstellen und allen Resolver-Regeln einige oder alle zuordnen möchtenVPC, müssen Sie mehrere Kopien dieser Regeln erstellen.

Verwenden Sie dasselbe VPC für eingehende und ausgehende Endpunkte

Sie können eingehende und ausgehende Endpunkte in derselben Region VPC oder in unterschiedlichen Endpunkten in derselben Region erstellen. VPCs

Weitere Informationen finden Sie unter Bewährte Methoden für Amazon Route 53.

Eingehende Endpunkte und privat gehostete Zonen

Wenn Sie möchten, dass Resolver eingehende DNS Anfragen mithilfe von Datensätzen in einer privaten gehosteten Zone löst, ordnen Sie die private gehostete Zone der Zone zu, in der Sie den eingehenden VPC Endpunkt erstellt haben. Informationen zum Zuordnen von privat gehosteten Zonen zu finden Sie unter. VPCs Arbeiten mit privat gehosteten Zonen

VPCPeering

Sie können jeden Endpunkt VPC in einer AWS Region für einen eingehenden oder ausgehenden Endpunkt verwenden, unabhängig davon, ob der VPC von Ihnen gewählte Endpunkt mit einem anderen Peering verbunden ist. VPCs Weitere Informationen finden Sie unter Amazon Virtual Private Cloud VPC Peering.

IP-Adressen in freigegebenen Subnetzen

Wenn Sie einen eingehenden oder ausgehenden Endpunkt erstellen, können Sie eine IP-Adresse in einem gemeinsam genutzten Subnetz nur dann angeben, wenn das aktuelle Konto die erstellt hat. VPC Wenn ein anderes Konto ein Subnetz erstellt VPC und dieses VPC mit Ihrem Konto teilt, können Sie in diesem Subnetz keine IP-Adresse angeben. Weitere Informationen zu geteilten Subnetzen finden Sie unter Arbeiten mit geteilten Subnetzen VPCs im VPCAmazon-Benutzerhandbuch.

Verbindung zwischen Ihrem Netzwerk und demVPCs, in dem Sie Endgeräte erstellen

Sie müssen über eine der folgenden Verbindungen zwischen Ihrem Netzwerk und dem Netzwerk verfügenVPCs, in dem Sie Endgeräte erstellen:

Wenn Sie Regeln freigeben, geben Sie auch ausgehende Endpunkte frei

Wenn Sie eine Regel erstellen, geben Sie den ausgehenden Endpunkt an, den Resolver verwenden soll, um Anfragen an Ihr Netzwerk weiterzuleitenDNS. Wenn Sie die Regel mit einem anderen AWS Konto teilen, teilen Sie indirekt auch den ausgehenden Endpunkt, den Sie in der Regel angeben. Wenn Sie für die Erstellung VPCs in einer AWS Region mehr als ein AWS Konto verwendet haben, können Sie wie folgt vorgehen:

  • Einen ausgehenden Endpunkt in der Region erstellen.

  • Erstellen Sie Regeln mit einem AWS Konto.

  • Teilen Sie die Regeln mit allen AWS Konten, die VPCs in der Region erstellt wurden.

Auf diese Weise können Sie einen ausgehenden Endpunkt in einer Region verwenden, um DNS Anfragen von mehreren an Ihr Netzwerk weiterzuleiten, VPCs auch wenn diese mit unterschiedlichen AWS Konten erstellt VPCs wurden.

Auswählen von Protokollen für die Endpunkte

Endpunktprotokolle bestimmen, wie Daten an einen eingehenden Endpunkt und von einem ausgehenden Endpunkt übertragen werden. Das Verschlüsseln von DNS VPC Datenverkehrsabfragen ist nicht erforderlich, da jeder Paketfluss im Netzwerk einzeln anhand einer Regel autorisiert wird, um die richtige Quelle und das richtige Ziel zu überprüfen, bevor er übertragen und zugestellt wird. Es ist höchst unwahrscheinlich, dass Informationen willkürlich zwischen Entitäten ausgetauscht werden, ohne dass dies von der sendenden und der empfangenden Entität ausdrücklich genehmigt wurde. Wenn ein Paket an ein Ziel geleitet wird, für das es keine passende Regel gibt, wird das Paket verworfen. Weitere Informationen finden Sie unter VPCFunktionen.

Die verfügbaren Protokolle sind:

  • Do53: DNS über Port 53. Die Daten werden mit Hilfe des Route-53-Resolver ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, können aber innerhalb der AWS Netzwerke eingesehen werden. Verwendet entweder UDP oderTCP, um die Pakete zu senden. Do53 wird hauptsächlich für den Verkehr innerhalb und zwischen Amazon VPCs verwendet.

  • DoH: Die Daten werden über eine verschlüsselte HTTPS Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können.

  • DoH-FIPS: Die Daten werden über eine verschlüsselte HTTPS Sitzung übertragen, die dem kryptografischen Standard FIPS 140-2 entspricht. Wird nur für eingehende Endpunkte unterstützt. Weitere Informationen finden Sie unter 140-2. FIPS PUB

Für einen eingehenden Endpunkt können Sie die Protokolle wie folgt anwenden:

  • Do53 und DoH in Kombination.

  • Do53 und DoH- in Kombination. FIPS

  • Nur Do53.

  • Nur DoH.

  • DoH- allein. FIPS

  • Keins, was als Do53 behandelt wird.

Für einen ausgehenden Endpunkt können Sie die Protokolle wie folgt anwenden:

  • Do53 und DoH in Kombination.

  • Nur Do53.

  • Nur DoH.

  • Keins, was als Do53 behandelt wird.

Weitere Informationen finden Sie auch unter Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben und Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben.

Verwenden Sie Resolver inVPCs, die für dedizierte Instance-Tenancy konfiguriert sind

Wenn Sie einen Resolver-Endpunkt erstellen, können Sie keinen angeben, für den VPC das Instanz-Tenancy-Attribut auf gesetzt ist. dedicated Resolver wird nicht auf Einzelmandantenhardware ausgeführt.

Sie können Resolver weiterhin verwenden, um DNS Anfragen zu lösen, die ihren Ursprung in einem haben. VPC Erstellen Sie mindestens einenVPC, für den das Instanz-Tenancy-Attribut auf gesetzt istdefault, und geben Sie dies an, VPC wenn Sie eingehende und ausgehende Endpoints erstellen.

Wenn Sie eine Weiterleitungsregel erstellen, können Sie sie einer beliebigen Regel zuordnenVPC, unabhängig von der Einstellung für das Instanzmandantenattribut.