View a markdown version of this page

Consideraciones al crear puntos de conexión de entrada y salida - Amazon Route 53
Número de puntos de conexión de entrada y salida en cada regiónUso de la misma VPC para los puntos de conexión de entrada y salidaPuntos de conexión de entrada y zonas alojadas privadasEmparejamiento de VPCDirecciones IP en subredes compartidasConexión entre su red y las VPC en las que crea puntos de conexiónAl compartir reglas, también comparte los puntos de conexión de salidaElección de protocolos para los puntos de conexiónUso de VPC Resolver en VPC configuradas para la tenencia de instancias dedicadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones al crear puntos de conexión de entrada y salida

Antes de crear puntos finales de Resolver entrantes y salientes en una AWS región, tenga en cuenta los siguientes aspectos.

Número de puntos de conexión de entrada y salida en cada región

Si desea integrar el DNS de las VPC de una AWS región con el DNS de su red, normalmente necesitará un extremo de entrada de Resolver (para las consultas de DNS que reenvía a las VPC) y un punto de enlace de salida (para las consultas que reenvía desde las VPC a la red). Puede crear varios puntos de conexión de entrada y varios puntos de conexión de salida, pero un punto de conexión es suficiente para gestionar las consultas de DNS para cualquier dirección. Tenga en cuenta lo siguiente:

  • Para cada punto de conexión de Resolver, debe especificar dos o más direcciones IP en diferentes zonas de disponibilidad. Cada dirección IP de un punto de conexión puede gestionar un amplio número de consultas de DNS por segundo. (Para obtener información acerca del número máximo actual de consultas por segundo por cada dirección IP de un punto de conexión, consulte Cuotas en el solucionador de VPC Route 53.) Si necesita que VPC Resolver gestione más consultas, puede añadir más direcciones IP a su punto de conexión existente en lugar de añadir otro punto de conexión.

  • Los precios de VPC Resolver se basan en la cantidad de direcciones IP de los puntos finales y en la cantidad de consultas de DNS que procesa el punto final. Cada punto de conexión incluye un mínimo de dos direcciones IP. Para obtener más información sobre los precios de VPC Resolver, consulte los precios de Amazon Route 53.

  • Cada regla especifica el punto de conexión de salida desde el que se reenvían las consultas de DNS. Si crea varios puntos de conexión de salida en una región de AWS y quiere asociar algunas o todas las reglas de Resolver con cada VPC, tiene que crear varias copias de esas reglas.

Uso de la misma VPC para los puntos de conexión de entrada y salida

Puede crear puntos de conexión de entrada y salida en la misma VPC o en diferentes VPC de la misma región.

Para obtener más información, consulte Prácticas recomendadas de Amazon Route 53.

Puntos de conexión de entrada y zonas alojadas privadas

Si desea que VPC Resolver resuelva las consultas de DNS entrantes mediante registros de una zona alojada privada, asocie la zona alojada privada a la VPC en la que creó el punto final de entrada. Para obtener información acerca de asociar zonas hospedadas privadas a las VPC, consulte Uso de zonas alojadas privadas.

Emparejamiento de VPC

Puede usar cualquier VPC de una AWS región para un punto final entrante o saliente, independientemente de si la VPC que elija está emparejada con otras VPC. Para obtener más información, consulte Amazon Virtual Private Cloud (VPC).

Direcciones IP en subredes compartidas

Al crear un punto de conexión de entrada o salida, solo puede especificar una dirección IP en una subred compartida si la cuenta actual creó la VPC. Si otra cuenta crea una VPC y comparte una subred en la VPC con su cuenta, no puede especificar una dirección IP en esa subred. Para obtener más información acerca de las subredes compartidas, consulteUsar VPC compartidas en la Guía del usuario de Amazon VPC.

Conexión entre su red y las VPC en las que crea puntos de conexión

Debe tener una de las siguientes conexiones entre su red y las VPC en las que crea puntos de conexión:

Al compartir reglas, también comparte los puntos de conexión de salida

Al crear una regla, se especifica el punto de conexión saliente que desea que VPC Resolver utilice para reenviar las consultas de DNS a la red. Si compartes la regla con otra AWS cuenta, también compartes indirectamente el punto final de salida que especificas en la regla. Si has utilizado más de una AWS cuenta para crear VPC en una AWS región, puedes hacer lo siguiente:

  • Cree un punto de conexión de salida en la región.

  • Crea reglas con una AWS cuenta.

  • Comparte las reglas con todas las AWS cuentas que crearon VPC en la región.

Esto le permite usar un punto de conexión saliente en una región para reenviar consultas de DNS a su red desde varias VPC, incluso si las VPC se crearon con cuentas diferentes. AWS

Elección de protocolos para los puntos de conexión

Los protocolos de punto de conexión determinan cómo se transmiten los datos a un punto de conexión de entrada y desde un punto de conexión de salida. No es necesario cifrar las consultas de DNS para el tráfico de VPC porque cada flujo de paquetes de la red se autoriza individualmente según una regla para validar el origen y el destino correctos antes de transmitirlos y entregarlos. Es muy poco probable que la información pase arbitrariamente entre entidades sin la autorización específica tanto de la entidad emisora como de la entidad receptora. Si un paquete se enruta a un destino sin una regla que lo iguale, el paquete se descarta. Para obtener más información, consulte Características de VPC.

Los protocolos disponibles son:

  • Do53: DNS a través del puerto 53. Los datos se transmiten mediante el solucionador de VPC sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las AWS redes. Utiliza UDP o TCP para enviar los paquetes. Do53 se utiliza principalmente para el tráfico dentro de las VPC de Amazon y entre ellas. Actualmente, este es el único protocolo disponible para los puntos de conexión de entrada de delegación.

  • DoH: los datos se transmiten a través de una sesión HTTPS cifrada. DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto. No está disponible para los puntos de conexión de entrada de delegación.

  • DoH-FIPS: Los datos se transmiten a través de una sesión HTTPS cifrada que cumple con el estándar criptográfico FIPS 140-2. Admite solo puntos de conexión de entrada. Para obtener más información, consulte FIPS PUB 140-2. No está disponible para los puntos de conexión de entrada de delegación.

En el caso de un punto de conexión de entrada de reenvío, puede aplicar los protocolos de la siguiente manera:

  • Do53 y DoH en combinación.

  • Do53 y en combinación. DoH-FIPS

  • Do53 solo.

  • DoH solo.

  • DoH-FIPS solo.

  • Ninguno, por lo que se trata como Do53.

Para un punto de conexión de salida, puede aplicar los protocolos de la siguiente manera:

  • Do53 y DoH en combinación.

  • Do53 solo.

  • DoH solo.

  • Ninguno, por lo que se trata como Do53.

Consulte también Valores que se especifican al crear o editar puntos de conexión de entrada y Valores que se especifican al crear o editar puntos de conexión de salida.

Uso de VPC Resolver en VPC configuradas para la tenencia de instancias dedicadas

Cuando se crea un punto de conexión de Resolver, no se puede especificar una VPC que tenga el atributo de tenencia de la instancia establecido en dedicated. El solucionador de VPC no se ejecuta en hardware de un solo inquilino.

Puede seguir utilizando VPC Resolver para resolver las consultas de DNS que se originan en una VPC. Cree al menos una VPC que tenga el atributo de propiedad de instancia establecido en default y especifique esa VPC cuando cree puntos de conexión de entrada y salida.

Al crear una regla de reenvío, puede asociarla con cualquier VPC, independientemente de la configuración del atributo de propiedad de instancia.