Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Mejores prácticas para VPC Resolver
<a name="best-practices-resolver"></a>

En esta sección se proporcionan las prácticas recomendadas para optimizar la resolución de VPC de Amazon Route 53 y se tratan los siguientes temas:

1. **Cómo evitar las configuraciones en bucle con los puntos de conexión de Resolver**
   + Evite los bucles de enrutamiento al garantizar que la misma VPC no esté asociada tanto a una regla de Resolver como a su punto de conexión de entrada.
   +  AWS RAM Utilícelo para compartir VPCs entre cuentas y, al mismo tiempo, mantener las configuraciones de enrutamiento adecuadas.

   Para obtener más información, consulte [Evitar las configuraciones en bucle con los puntos de enlace de Resolver](best-practices-resolver-endpoints.md)

1. **Escalado de los puntos de conexión de Resolver:**
   + Implemente reglas de grupos de seguridad que permitan el tráfico en función del estado de la conexión para reducir la sobrecarga de seguimiento de las conexiones.
   + Siga las reglas de los grupos de seguridad recomendadas para los puntos de conexión de Resolver, tanto de entrada como de salida, a fin de maximizar el rendimiento de las consultas.
   + Supervise las combinaciones únicas de direcciones IP y puertos que generan tráfico de DNS para evitar limitaciones de capacidad. 

   Para obtener más información, consulte [Escalado de los puntos de enlace de Resolver](best-practices-resolver-endpoint-scaling.md)

1. **Alta disponibilidad para puntos de conexión de Resolver:**
   + Cree puntos de conexión de entrada con las direcciones IP al menos en dos zonas de disponibilidad para la redundancia.
   + Aprovisionamiento de interfaces de red adicionales para garantizar la disponibilidad durante el mantenimiento o los picos de tráfico

   Para obtener más información, consulte [Alta disponibilidad para puntos de enlace de Resolver](best-practices-resolver-endpoint-high-availability.md)

1. **Prevención de los ataques de desplazamiento por zonas DNS:**
   + Esté atento a los posibles ataques de desplazamiento de zonas DNS, en los que los atacantes intentan recuperar todo el contenido de las zonas DNS firmadas por DNSSEC.
   + Si sus puntos finales sufren una ralentización debido a la sospecha de que están caminando por zonas, póngase en contacto con AWS Support para obtener ayuda. 

   Para obtener más información, consulte [Consulta exhaustiva de nombres de zona DNS](best-practices-resolver-zone-walking.md)

 Si sigue estas prácticas recomendadas, puede optimizar el rendimiento, la escalabilidad y la seguridad de sus implementaciones de VPC Resolver, lo que garantiza una resolución de DNS fiable y eficiente para sus aplicaciones y recursos.

# Evitar las configuraciones en bucle con los puntos de enlace de Resolver
<a name="best-practices-resolver-endpoints"></a>

No asocie la misma VPC a una regla de Resolver y a su punto de conexión de entrada (tanto si se trata de un destino directo del punto de conexión como si se realiza a través de un servidor DNS en las instalaciones). Cuando el punto de conexión de salida de una regla de Resolver apunta a un punto de conexión de entrada que comparte una VPC con la regla, puede provocar un bucle en el que la consulta se pasa continuamente entre los puntos de conexión de entrada y salida.

La regla de reenvío puede seguir asociándose a otras VPCs que se compartan con otras cuentas mediante (). AWS Resource Access Manager AWS RAM Las zonas alojadas privadas asociadas al centro, o una VPC central, seguirán resolviendo desde las consultas hasta los puntos de enlace de entrada, porque las reglas de resolución de reenvío no cambian esta resolución.

# Escalado de los puntos de enlace de Resolver
<a name="best-practices-resolver-endpoint-scaling"></a>

Los grupos de seguridad de los puntos de enlace de Resolver utilizan el seguimiento de las conexiones para recopilar información sobre el tráfico hacia y desde los puntos de enlace. Cada interfaz de punto final tiene un número máximo de conexiones de las que se puede realizar un seguimiento, pero un gran volumen de consultas de DNS puede superar las conexiones y causar limitación controlada y pérdida de consultas. El seguimiento de conexiones AWS es el comportamiento predeterminado para supervisar el estado del tráfico que fluye a través de los grupos de seguridad (SGs). Si utiliza el seguimiento de SGs conexiones para reducir el rendimiento del tráfico, puede implementar conexiones sin seguimiento para reducir la sobrecarga y mejorar el rendimiento. Para obtener más información, consulte [Conexiones sin seguimiento](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).

Si el seguimiento de conexiones se aplica mediante reglas restrictivas del grupo de seguridad o las consultas se enrutan a través del Equilibrador de carga de red (consulte [Conexiones con seguimiento automático](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking)), el número máximo total de consultas por segundo por dirección IP para un punto de conexión puede ser tan bajo como 1500.

**Recomendaciones de reglas del grupo de seguridad de entrada y salida para el punto de conexión de entrada de Resolver**


****  

| 
| 
| **Reglas de entrada** | 
| --- |
| Tipo de protocolo | Número de puerto | IP de origen | 
| TCP  | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 
| **Reglas de salida** | 
| --- |
| Tipo de protocolo | Número de puerto | IP de destino | 
| TCP | Todos | 0.0.0.0/0 | 
| UDP | Todos | 0.0.0.0/0 | 

**Recomendaciones de reglas de grupos de seguridad de entrada y salida para el punto de conexión de salida de Resolver**


****  

| 
| 
| **Reglas de entrada** | 
| --- |
| Tipo de protocolo | Número de puerto | IP de origen | 
| TCP  | Todos | 0.0.0.0/0 | 
| UDP | Todos | 0.0.0.0/0 | 
| **Reglas de salida** | 
| --- |
| Tipo de protocolo | Número de puerto | IP de destino | 
| TCP | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 

**nota**  
**Requisitos de puerto del grupo de seguridad:**  
Los **puntos de conexión de entrada** requieren reglas de entrada que permitan que el TCP y el UDP del puerto 53 reciban consultas de DNS de su red. Las reglas de salida pueden permitir todos los puertos, ya que es posible que el punto de conexión deba responder a las consultas de diferentes puertos de origen.
Los **puntos de conexión de salida** requieren reglas de salida que permitan que el TCP y UDP accedan a los puertos que utiliza para las consultas de DNS en su red. En el ejemplo anterior se muestra el puerto 53 porque es el puerto DNS más común, pero es posible que su red utilice puertos diferentes. Las reglas de entrada pueden permitir que todos los puertos admitan las respuestas de sus servidores DNS.

**Puntos de enlace de entrada de Resolver**

Para los clientes que utilizan un punto de conexión de entrada de Resolver, la capacidad de la interfaz de red elástica se verá afectada si tiene más de 40 000 combinaciones únicas de direcciones IP y puertos que generan el tráfico DNS.

# Alta disponibilidad para puntos de enlace de Resolver
<a name="best-practices-resolver-endpoint-high-availability"></a>

Al crear los puntos finales de entrada de VPC Resolver, Route 53 requiere que cree al menos dos direcciones IP a las que los resolutores de DNS de su red reenviarán las consultas. También debe especificar las direcciones IP en dos zonas de disponibilidad como mínimo para la redundancia. 

Si necesita más de un punto de conexión para la interfaz de red elástica para garantizar la disponibilidad en todo momento, le recomendamos que cree al menos una interfaz de red más de la que necesita para asegurarse de disponer de capacidad adicional para gestionar posibles sobretensiones de tráfico. La interfaz de red adicional también garantiza la disponibilidad durante las operaciones de servicio, como mantenimiento o actualizaciones.

Para obtener más información, consulte este artículo detallado del blog: [Cómo lograr una alta disponibilidad de DNS con los puntos finales](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-achieve-dns-high-availability-with-route-53-resolver-endpoints/) de Resolver y. [Valores que se especifican al crear o editar puntos de conexión de entrada](resolver-forwarding-inbound-queries-values.md)

# Consulta exhaustiva de nombres de zona DNS
<a name="best-practices-resolver-zone-walking"></a>

Los ataques de consulta exhaustiva de nombres de zona DNS intentan obtener todo el contenido de las zonas DNS firmadas por DNSSEC. Si el equipo de resolución de VPC detecta un patrón de tráfico que coincide con los que se generan cuando se recorren zonas de DNS en su punto final, el equipo de servicio reducirá el tráfico en su punto final. Como consecuencia, puede observar un alto porcentaje de las consulta de DNS que agotan su tiempo de espera.

Si observa una reducción de la capacidad en sus terminales y cree que se ha reducido el límite de carga por error, vaya a home\$1/ para https://console.aws.amazon.com/support/ crear un caso de soporte.