Reenvío de consultas de DNS de salida a su red
Para reenviar las consultas de DNS que se originan en las instancias de Amazon EC2 de una o más VPC a la red, cree un punto de enlace de salida y una o más reglas.
- Punto de conexión de salida
Para reenviar consultas de DNS desde las VPC a la red, cree un punto de conexión saliente. Un punto de conexión saliente especifica las direcciones IP de las que se originan las consultas. Esas direcciones IP, que usted elige entre el rango de direcciones IP disponibles para su VPC, no son direcciones IP públicas. Esto significa que para cada punto de conexión de salida debe conectar la VPC a la red mediante una conexión AWS Direct Connect, una conexión de VPN o una gateway de enlace de traducción de direcciones de red (NAT). Tenga en cuenta que puede usar el mismo punto de conexión de salida para varias VPC de la misma región. O bien, puede crear varios puntos de conexión de salida. Si desea que el punto de conexión de salida utilice DNS64, puede habilitar DNS64 utilizando Amazon Virtual Private Cloud. Para obtener más información, consulte DNS64 y NAT64 en la Guía del usuario de Amazon VPC.
Resolver elige aleatoriamente la IP de destino de la regla de Route 53 Resolver y no hay preferencia a la hora de elegir una IP de destino sobre la otra. Si una IP de destino no responde a la solicitud de DNS reenviada, Resolver volverá a intentar encontrar una dirección IP aleatoria entre las IP de destino.
- Reglas
Para especificar los nombres de dominio de las consultas que quiere reenviar a los solucionadores de DNS de su red, puede crear una o más reglas. Cada regla especifica un nombre de dominio. A continuación, asocie reglas a las VPC para las que quiere reenviar consultas a la red.
Para obtener más información, consulte los temas siguientes:
Configuración del enrutamiento saliente
Para configurar Resolver para que reenvíe a su red las consultas de DNS que se originan en la VPC, realice los siguientes procedimientos.
importante
Después de crear un punto de conexión de salida, debe crear una o más reglas y asociarlas a una o más VPC. Las reglas especifican los nombres de dominio de las consultas de DNS que quiere reenviar a su red.
Para crear un punto de conexión de salida
Inicie sesión en la AWS Management Console y abra la consola de Route 53 en https://console.aws.amazon.com/route53/
. En el panel de navegación, elija Inbound Outbound (Puntos de conexión de salida).
En la barra de navegación, elija la región en la que desea crear un punto de conexión de salida.
Elija Create outbound endpoint (Crear punto de conexión de salida).
Ingrese los valores aplicables. Para obtener más información, consulte Valores que se especifican al crear o editar puntos de conexión de salida.
Elija Create (Crear).
nota
La creación de un punto de conexión de salida tarda uno o dos minutos. No se puede crear otro punto de conexión de salida hasta que no se haya creado el primero.
Cree una o más reglas para especificar los nombres de dominio de las consultas de DNS que quiere reenviar a su red. Para obtener más información, consulte el siguiente procedimiento.
Para crear una o varias reglas de reenvío, siga el procedimiento que se indica a continuación.
Para crear reglas de reenvío y asociarlas a una o más VPC
Inicie sesión en la AWS Management Console y abra la consola de Route 53 en https://console.aws.amazon.com/route53/
. En el panel de navegación, seleccione Reglas.
En la barra de navegación, elija la región en la que desee crear la regla.
Elija Crear regla.
Ingrese los valores aplicables. Para obtener más información, consulte Valores que se especifican al crear o editar reglas.
Elija Save (Guardar).
Para agregar otra regla, repita los pasos 4 a 6.
Valores que se especifican al crear o editar puntos de conexión de salida
Al crear o editar un punto de conexión de salida, tiene que especificar los siguientes valores:
- ID de Outpost
Si va a crear el punto de conexión para un Resolver en una VPC de AWS Outposts, este es el ID de AWS Outposts.
- Endpoint name (Nombre del punto de conexión)
Un nombre fácil de recordar que le permite encontrar fácilmente un punto de conexión de salida en el panel.
- VPC in the region-name Region (VPC en la región nombre-región)
Todas las consultas de DNS salientes atravesarán esta VPC en el recorrido hacia su red.
- Security group for this endpoint (Grupo de seguridad para este punto de conexión)
-
El ID de uno o varios grupos de seguridad que desea utilizar para controlar el acceso a esta VPC. El grupo de seguridad que especifique debe incluir una o más reglas de salida. Las reglas de salida deben permitir el acceso de TCP y UDP en el puerto que utiliza para las consultas de DNS de la red. No puede cambiar este valor después de crear un punto de conexión.
Algunas reglas de los grupos de seguridad harán que se rastree su conexión y podrían afectar al número máximo de consultas por segundo desde el punto de conexión de salida al servidor de nombres de destino. Para evitar el seguimiento de la conexión provocado por un grupo de seguridad, consulte Conexiones no rastreadas.
Para obtener más información, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.
- Tipo de punto de conexión
El tipo de punto de conexión puede ser IPv4, IPv6 o direcciones IP de doble pila. En el caso de un punto de conexión de doble pila, el punto de conexión tendrá direcciones IPv4 e IPv6 a las que el Resolver de DNS de la red pueda reenviar las consultas de DNS.
nota
Por motivos de seguridad, estamos denegando el acceso directo al tráfico IPv6 hacia la internet pública a todas las direcciones IP IPv6 y de doble pila.
- Direcciones IP
Las direcciones IP de la VPC a las que quiere que Resolver reenvíe las consultas de DNS en el recorrido hacia los solucionadores de la red. Estas no son las direcciones IP de los solucionadores de DNS de la red; estas direcciones IP del solucionador se especifican cuando crea las reglas que asocia a una o más VPC. Le pedimos que especifique un mínimo de dos direcciones IP para la redundancia.
nota
El punto de conexión de Resolver tiene una dirección IP privada. Estas direcciones IP no cambiarán a lo largo de la vida de un punto de conexión.
Tenga en cuenta lo siguiente:
- Varias zonas de disponibilidad
Le recomendamos que especifique direcciones IP que se encuentren al menos en dos zonas de disponibilidad. Opcionalmente, puede especificar direcciones IP adicionales en estas u otras zonas de disponibilidad.
- Direcciones IP e interfaces de red elásticas de Amazon VPC
Para cada combinación de zona de disponibilidad, subred y dirección IP que especifique, Resolver crea una interfaz de red elástica de Amazon VPC. Para obtener información acerca del número máximo actual de consultas de DNS por segundo por cada dirección IP de un punto de conexión, consulte Cuotas en Route 53 Resolver. Para obtener información acerca de los precios de cada interfaz de red elástica, consulte “Amazon Route 53” en la página de precios de Amazon Route 53
. - Orden de direcciones IP
Puede especificar direcciones IP en cualquier orden. Al reenviar consulta de DNS, Resolver no elige direcciones IP según el orden en el que aparecen las direcciones IP.
Para cada dirección IP, especifique los siguientes valores. Cada dirección IP debe estar en una zona de disponibilidad de la VPC que especificó en VPC in the region-name Region (VPC en la región nombre-región).
- Zona de disponibilidad
La zona de disponibilidad por la que quiere que pasen las consultas de DNS en el recorrido hacia su red. La zona de disponibilidad que especifique debe estar configurada con una subred.
- Subred
La subred que contiene la dirección IP que quiere que las consultas de DNS se creen en el recorrido hacia su red. La subred debe tener una dirección IP disponible.
La dirección IP de la subred debe coincidir con el Tipo de punto de conexión.
- Dirección IP
La dirección IP que quiere que las consultas de DNS se creen en el recorrido hacia su red.
Elija si quiere que Resolver elija una dirección IP de entre las direcciones IP disponibles en la subred especificada o si quiere ser usted quien especifique la dirección IP.
Si elige especificar la dirección IP, puede escribir una dirección IPv4, una dirección IPv6 o ambas.
- Protocolos
El protocolo de punto de conexión determina cómo se transmiten los datos desde el punto de conexión de salida. Elija uno o varios protocolos en función del nivel de seguridad necesario.
Do53: (predeterminado) los datos se transmiten mediante Route 53 Resolver sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las redes de AWS.
DoH: los datos se transmiten a través de una sesión HTTPS cifrada. El DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto.
Para un punto de conexión de salida, puede aplicar los protocolos de la siguiente manera:
Do53 y DoH en combinación.
Do53 solo.
DoH solo.
Ninguno, por lo que se trata como Do53.
- Etiquetas
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar Centro de costos en Key (Clave) y 456 en Value (Valor).
Valores que se especifican al crear o editar reglas
Al crear o editar una regla de reenvío, tiene que especificar los siguientes valores:
- Nombre de la regla
Un nombre fácil de recordar que permite encontrar fácilmente una regla en el panel.
- Tipo de regla
Elija el valor aplicable:
Forward (Reenviar): elija esta opción cuando quiera reenviar consultas de DNS para un nombre de dominio especificado a los solucionadores de la red.
System (Sistema): elija esta opción cuando quiera que Resolver sobrescriba de forma selectiva el comportamiento que se define en la regla de reenvío. Al crear una regla de sistema, Resolver resuelve las consultas de DNS para los subdominios especificados que, de lo contrario, resolverían los solucionadores de DNS de la red.
De forma predeterminada, las reglas de reenvío se aplican a un nombre de dominio y todos sus subdominios. Si quiere reenviar las consultas de un dominio a un solucionador de la red, pero no quiere reenviar las consultas a algunos subdominios, debe crear una regla de sistema para los subdominios. Por ejemplo, si crea una regla de reenvío para example.com pero no desea reenviar las consultas a acme.example.com, debe crear una regla de sistema y especificar acme.example.com para el nombre de dominio.
- VPC que utilizan esta regla
Las VPC que usan esta regla para reenviar las consultas de DNS para el nombre o nombres de dominio especificados. Puede aplicar una regla a tantas VPC como desee.
- Nombre del dominio
Las consultas de DNS para este nombre de dominio se reenvían a las direcciones IP que especifique en las Target IP addresses (Direcciones IP de destino). Para obtener más información, consulte Cómo determina Resolver si el nombre de dominio de una consulta coincide con cualquier regla.
- Punto de conexión de salida
El solucionador reenvía las consultas de DNS a través del punto de enlace de salida que especifique aquí a las direcciones IP que especifique en Target IP addresses (Direcciones IP de destino).
- Direcciones IP de destino
Cuando una consulta de DNS coincide con el nombre que especifica en Domain name (Nombre de dominio), el punto de conexión de salida reenvía la consulta a las direcciones IP que especifica aquí. Suelen ser las direcciones IP de los solucionadores de DNS de su red.
Target IP addresses (Direcciones IP de destino) solo está disponible cuando el valor de Rule type (Tipo de regla) es Forward (Reenvío).
Especifique las direcciones IPv4 o IPv6, los protocolos y la ServerNameIndication que desea utilizar para el punto de conexión. La ServerNameIndication solo se aplica cuando el protocolo seleccionado es DoH.
No se admite la resolución de la dirección IP de destino del FQDN de un solucionador DoH que haya en la red a través del punto de conexión de salida. Los puntos de conexión de salida necesitan la dirección IP de destino del solucionador DoH de la red para reenviar las consultas DoH. Si el solucionador DoH de su red necesita el FQDN en el SNI de TLS y en el encabezado del host HTTP, debe proporcionar la ServerNameIndication.
- ServerNameIndication
La indicación del nombre del servidor DoH al que desea reenviar las consultas. Solo se usa si el protocolo es DoH.
- Etiquetas
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar Centro de costos en Key (Clave) y 456 en Value (Valor).
Estas son las etiquetas que AWS Billing and Cost Management proporciona para organizar la factura de AWS. Para obtener más información sobre el uso de etiquetas para la asignación de costes, consulte Uso de etiquetas de asignación de costes en la Guía del usuario de AWS Billing.
