Resolución de DNS consultas entre y su red VPCs - Amazon Route 53
Cómo DNS los resolutores de la red reenvían DNS las consultas a los puntos finales de Route 53 ResolverCómo el punto final Route 53 Resolver reenvía DNS las consultas de su red VPCs a su redConsideraciones al crear puntos de conexión de entrada y salida

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Resolución de DNS consultas entre y su red VPCs

El Resolver contiene puntos finales que se configuran para responder a DNS las consultas que se realizan desde y hacia el entorno local.

nota

No se admite el reenvío de DNS consultas privadas a ninguna dirección VPC CIDR + 2 desde DNS los servidores locales, lo que puede provocar resultados inestables. En su lugar, le recomendamos que utilice un punto de conexión de entrada de Resolver.

También puede integrar la DNS resolución entre el Resolver y los DNS resolutores de su red configurando las reglas de reenvío. La red puede incluir cualquier red a la que se pueda acceder desde la suyaVPC, como las siguientes:

  • El mismo VPC

  • Otro se asomó VPC

  • Una red local que está conectada AWS con AWS Direct Connect una o una VPN puerta de enlace de traducción de direcciones de red () NAT

Antes de empezar a reenviar consultas, debe crear los puntos finales entrantes o salientes de Resolver en el dispositivo conectado. VPC Estos puntos de conexión proporcionan una ruta para las consultas entrantes o salientes:

Punto final entrante: los DNS solucionadores de su red pueden reenviar DNS las consultas a Route 53 Resolver a través de este punto final

Esto permite a sus DNS solucionadores resolver fácilmente los nombres de dominio de AWS recursos, como EC2 instancias o registros, en una zona alojada privada de Route 53. Para obtener más información, consulte Cómo DNS los resolutores de la red reenvían DNS las consultas a los puntos finales de Route 53 Resolver.

Punto de conexión de salida: Resolver reenvía con condiciones las consultas a los solucionadores de la red a través de este punto de conexión

Para reenviar las consultas seleccionadas, cree reglas de resolución que especifiquen los nombres de dominio de DNS las consultas que desea reenviar (como example.com) y las direcciones IP de los DNS solucionadores de la red a los que desea reenviar las consultas. Si una consulta coincide con varias reglas (example.com, acme.example.com), Resolver elige la regla que tiene la concordancia más especifica (acme.example.com) y reenvía la consulta a las direcciones IP que ha especificado en dicha regla. Para obtener más información, consulte Cómo el punto final Route 53 Resolver reenvía DNS las consultas de su red VPCs a su red.

Al igual que AmazonVPC, Resolver es regional. En cada región en la que se VPCs encuentre, puede elegir si desea reenviar las consultas de su red VPCs a su red (consultas salientes), de su red a la VPCs suya (consultas entrantes) o ambas.

No puede crear puntos finales de Resolver en un entorno VPC que no sea de su propiedad. Solo el VPC propietario puede crear recursos VPC de nivel básico, como puntos de enlace entrantes.

nota

Al crear un punto final de Resolver, no puede especificar uno VPC que tenga el atributo de tenencia de la instancia establecido en. dedicated Para obtener más información, consulte Uso de Resolver en los VPCs que están configurados para la tenencia de instancias dedicadas.

Para utilizar el reenvío entrante o saliente, debe crear un punto final de Resolver en su. VPC Como parte de la definición de un punto final, debe especificar las direcciones IP a las que desea reenviar las DNS consultas entrantes o las direcciones IP desde las que desea que se originen las consultas salientes. Para cada dirección IP que especifique, Resolver crea automáticamente una interfaz de red VPC elástica.

El siguiente diagrama muestra la ruta de una DNS consulta desde un DNS solucionador de la red hasta los puntos finales del Resolver de Route 53.

Gráfico conceptual que muestra la ruta de una DNS consulta desde un DNS solucionador de la red hasta los puntos finales de Route 53 Resolver.

El siguiente diagrama muestra la ruta de una DNS consulta desde una EC2 instancia de una de sus instancias VPCs a una instancia de DNS resolución de su red.

Gráfico conceptual que muestra la ruta de una DNS consulta desde su red hasta Route 53 Resolver.

Para obtener información general sobre las interfaces de VPC red, consulte Interfaces de red elásticas en la Guía del VPC usuario de Amazon.

Temas

Cómo DNS los resolutores de la red reenvían DNS las consultas a los puntos finales de Route 53 Resolver

Cuando desee reenviar DNS consultas de su red a los puntos finales de Route 53 Resolver en una AWS región, siga estos pasos:

  1. Debe crear un punto final de entrada de Route 53 Resolver en un VPC y especificar las direcciones IP a las que los resolutores de la red reenvían DNS las consultas.

    Para cada dirección IP que especifique para el punto final de entrada, Resolver crea una interfaz de red VPC elástica en el VPC lugar donde creó el punto final de entrada.

  2. Los resolutores de la red se configuran para que reenvíen DNS las consultas de los nombres de dominio aplicables a las direcciones IP que especificó en el punto final de entrada. Para obtener más información, consulte Consideraciones al crear puntos de conexión de entrada y salida.

Así es como Resolver resuelve DNS las consultas que se originan en la red:

  1. Un navegador web u otra aplicación de su red envía una DNS consulta sobre un nombre de dominio que usted reenvía a Resolver.

  2. Un solucionador de su red reenvía la consulta a las direcciones IP del punto de conexión de entrada.

  3. El punto de conexión de entrada reenvía la consulta al solucionador.

  4. Resolver obtiene el valor aplicable al nombre de dominio de la DNS consulta, ya sea internamente o mediante una búsqueda recursiva en servidores de nombres públicos.

  5. Resolver devuelve el valor al punto de conexión de entrada.

  6. El punto de conexión de entrada devuelve el valor al solucionador de la red.

  7. El solucionador de la red devuelve el valor a la aplicación.

  8. Con el valor devuelto por Resolver, la aplicación envía una HTTP solicitud, por ejemplo, una solicitud de un objeto en un bucket de Amazon S3.

La creación de un punto final entrante no cambia el comportamiento de Resolver, solo proporciona una ruta desde una ubicación fuera de la AWS red hasta Resolver.

Cómo el punto final Route 53 Resolver reenvía DNS las consultas de su red VPCs a su red

Si desea reenviar DNS consultas desde las EC2 instancias de una o más instancias de una VPCs AWS región a su red, lleve a cabo los siguientes pasos.

  1. Cree un punto final saliente de Route 53 Resolver en un VPC y especifique varios valores:

    • El VPC que desea que pasen DNS las consultas al llegar a los resolutores de su red.

    • Las direcciones IP desde las VPC que desea que Resolver reenvíe DNS las consultas. Para los hosts de su red, estas son las direcciones IP desde las que se originan DNS las consultas.

    • Un grupo VPC de seguridad

    Para cada dirección IP que especifique para el punto final de salida, Resolver crea una interfaz de red VPC elástica de Amazon en el punto de conexión VPC que especifique. Para obtener más información, consulte Consideraciones al crear puntos de conexión de entrada y salida.

  2. Usted crea una o más reglas que especifican los nombres de dominio de las DNS consultas que desea que Resolver reenvíe a los solucionadores de su red. También debe especificar las direcciones IP de los solucionadores. Para obtener más información, consulte Uso de reglas para controlar qué consultas se reenvían a la red.

  3. Asocia cada regla a la VPCs que desea reenviar DNS las consultas a la red.

Uso de reglas para controlar qué consultas se reenvían a la red

Las reglas controlan qué DNS consultas del punto final de Route 53 Resolver reenvía a los DNS resolutores de la red y qué consultas Resolver responde por sí mismo.

Hay dos formas de categorizar las reglas. Una es según quién crea las reglas:

  • Reglas autodefinidas: Resolver crea automáticamente reglas autodefinidas y las asocia a las suyas. VPCs La mayoría de estas reglas se aplican a los nombres de dominio AWS específicos para los que Resolver responde a las consultas. Para obtener más información, consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas.

  • Reglas personalizadas: puede crear reglas personalizadas y asociarlas a ellas. VPCs En la actualidad, solo puede crear un tipo de regla personalizada, las reglas de reenvío condicional, también conocidas como reglas de reenvío. Las reglas de reenvío hacen que Resolver reenvíe DNS las consultas de sus direcciones IP VPCs a las de los DNS solucionadores de su red.

    Si crea una regla de reenvío para el mismo dominio que una regla autodefinida, Resolver reenvía las consultas de ese nombre de dominio a los DNS solucionadores de la red en función de la configuración de la regla de reenvío.

Otra forma de categorizar las reglas es según lo que hacen:

  • Reglas de reenvío condicional: se crean reglas de reenvío condicional (también conocidas como reglas de reenvío) cuando se desean reenviar DNS consultas de nombres de dominio específicos a los solucionadores de la red. DNS

  • Reglas del sistema: las reglas del sistema hacen que Resolver anule de forma selectiva el comportamiento definido en la regla de reenvío. Al crear una regla del sistema, Resolver resuelve DNS las consultas de subdominios específicos que, de otro modo, resolverían los resolutores de la red. DNS

    De forma predeterminada, las reglas de reenvío se aplican a un nombre de dominio y todos sus subdominios. Si quiere reenviar las consultas de un dominio a un solucionador de la red, pero no quiere reenviar las consultas a algunos subdominios, debe crear una regla de sistema para los subdominios. Por ejemplo, si crea una regla de reenvío para example.com pero no desea reenviar las consultas a acme.example.com, debe crear una regla de sistema y especificar acme.example.com para el nombre de dominio.

  • Regla recursiva: Resolver crea automáticamente una regla recursiva llamada Internet Resolver (Solucionador de Internet). Esta regla hace que Route 53 Resolver actúe como un solucionador recursivo para cualquier nombre de dominio para el que no haya creado reglas personalizadas y para el que Resolver no haya creado reglas autodefinidas. Para obtener más información acerca de cómo anular este comportamiento, consulte "Reenvío de todas las consultas a su red", más adelante en este tema.

Puede crear reglas personalizadas que se apliquen a nombres de dominio específicos (el suyo o la mayoría de los nombres de AWS dominio), a los nombres de AWS dominios públicos o a todos los nombres de dominio.

Reenvío a su red de las consultas para nombres de dominio específicos

Para reenviar a su red las consultas de un nombre de dominio específico, como example.com, debe crear una regla y especificar ese nombre de dominio. También puede especificar las direcciones IP de los dispositivos de DNS resolución de la red a los que desea reenviar las consultas. A continuación, asocie cada regla a VPCs la que desee reenviar DNS las consultas a la red. Por ejemplo, puede crear reglas diferentes para los dominios example.com, example.org y example.net. A continuación, puede asociar las reglas a las VPCs de una AWS región en cualquier combinación.

Reenvío a su red de las consultas de amazonaws.com

El nombre de dominio amazonaws.com es el nombre de dominio público para AWS recursos como las EC2 instancias y los buckets de S3. Si quiere reenviar a su red las consultas de amazonaws.com, cree una regla, especifique amazonaws.com como nombre de dominio y especifique Forward (Reenvío) como tipo de regla.

nota

Resolver no reenvía automáticamente DNS las consultas de algunos subdominios de amazonaws.com, incluso si creas una regla de reenvío para amazonaws.com. Para obtener más información, consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas. Para obtener más información acerca de cómo anular este comportamiento, consulte "Reenvío de todas las consultas a su red", a continuación.

Reenvío de todas las consultas a su red

Si quieres reenviar todas las consultas a tu red, debes crear una regla y especificar «.» (punto) como nombre de dominio y asocie la regla a la VPCs que desee reenviar todas las DNS consultas a la red. El solucionador sigue sin reenviar todas DNS las consultas a la red porque si se utiliza un DNS solucionador externo, se AWS estropearían algunas funciones. Por ejemplo, algunos nombres de AWS dominio internos tienen rangos de direcciones IP internos a los que no se puede acceder desde fuera AWS. Para ver una lista de los nombres de dominio para los que las consultas no se reenvían a la red cuando se crea una regla para ".", consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas.

Sin embargo, se DNS pueden deshabilitar las reglas de sistema autodefinidas para invertirlas, lo que permite que la regla «.» reenvíe todas las DNS consultas inversas a la red. Para más información acerca de cómo desactivar las reglas autodefinidas, consulte Reglas de reenvío para DNS consultas inversas en Resolver.

Si quiere intentar reenviar DNS las consultas de todos los nombres de dominio a su red, incluidos los nombres de dominio que están excluidos del reenvío de forma predeterminada, puede crear una regla «.» y realizar una de las siguientes acciones:

importante

Si reenvía todos los nombres de dominio a la red, incluidos los nombres de dominio que Resolver excluye cuando se crea una regla “.”, algunas características podrían dejar de funcionar.

Cómo determina Resolver si el nombre de dominio de una consulta coincide con cualquier regla

Route 53 Resolver compara el nombre de dominio de la DNS consulta con el nombre de dominio de las reglas asociadas al origen de la consulta. VPC El solucionador considera que los nombres de dominio coinciden en los siguientes casos:

  • Los nombres de dominio coinciden exactamente

  • El nombre de dominio en la consulta es un subdominio del nombre de dominio de la regla

Por ejemplo, si el nombre de dominio de la regla es acme.example.com, Resolver considera que los siguientes nombres de dominio de una DNS consulta coinciden:

  • acme.example.com

  • zenith.acme.example.com

Los siguientes nombres de dominio no son una coincidencia:

  • example.com

  • nadir.example.com

Si el nombre de dominio de una consulta coincide con el nombre de dominio de más de una regla (como example.com y www.example.com), Resolver direcciona las DNS consultas salientes mediante la regla que contiene el nombre de dominio más específico (www.example.com).

Cómo determina Resolver a dónde reenviar las consultas DNS

Cuando una aplicación que se ejecuta en una EC2 instancia de un VPC envía una DNS consulta, Route 53 Resolver realiza los siguientes pasos:

  1. El solucionador comprueba los nombres de dominio de las reglas.

    Si el nombre de dominio de una consulta coincide con el nombre de dominio de una regla, Resolver reenvía la consulta a la dirección IP que especificó al crear el punto de conexión de salida. A continuación, el punto de conexión de salida reenvía la consulta a las direcciones IP de los solucionadores de la red, que especificó al crear la regla.

    Para obtener más información, consulte Cómo determina Resolver si el nombre de dominio de una consulta coincide con cualquier regla.

  2. El punto final de Resolver reenvía DNS las consultas según la configuración de la regla «.».

    Si el nombre de dominio de una consulta no coincide con el nombre de dominio de otras reglas, Resolver reenvía la consulta en función de la configuración de la regla autodefinida “.” (punto). La regla de los puntos se aplica a todos los nombres de dominio, excepto a algunos nombres de dominio AWS internos y nombres de registro en zonas alojadas privadas. Esta regla hace que Resolver reenvíe DNS las consultas a los servidores de nombres públicos si los nombres de dominio de las consultas no coinciden con ningún nombre de las reglas de reenvío personalizadas. Si desea reenviar todas las consultas a los DNS solucionadores de la red, puede crear una regla de reenvío personalizada, especificar «.» como nombre de dominio, especificar Reenvío como tipo y especificar las direcciones IP de esos solucionadores.

  3. El solucionador devuelve la respuesta a la aplicación que envió la consulta.

Uso de reglas en varias regiones

Route 53 Resolver es un servicio regional, por lo que los objetos que cree en una AWS región solo están disponibles en esa región. Para utilizar la misma regla en más de una región, debe crear la regla en cada región.

La AWS cuenta que creó una regla puede compartirla con otras AWS cuentas. Para obtener más información, consulte Compartir las reglas de Resolver con otras AWS cuentas y usar reglas compartidas.

Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas

El solucionador crea automáticamente reglas del sistema autodefinidas que definen cómo se resuelven de forma predeterminada las consultas de los dominios seleccionados:

  • Para las zonas alojadas privadas y para los nombres EC2 de dominio específicos de Amazon (como compute.amazonaws.com y compute.internal), las reglas autodefinidas garantizan que tus zonas e EC2 instancias alojadas privadas sigan resolviéndose si creas reglas de reenvío condicional para nombres de dominio menos específicos, como «». (punto) o «com».

  • En el caso de los nombres de dominio reservados públicamente (como localhost y 10.in-addr.arpa), las DNS mejores prácticas recomiendan que las consultas se respondan de forma local en lugar de reenviarlas a servidores de nombres públicos. Consulte 6303, Zonas atendidas localmente. RFC DNS

nota

Si crea una regla de reenvío condicional para "." (punto) o "com", le recomendamos que también cree una regla del sistema para amazonaws.com. (Las reglas del sistema hacen que Resolver resuelva localmente DNS las consultas para dominios y subdominios específicos). La creación de esta regla del sistema mejora el rendimiento, reduce el número de consultas que se reenvían a la red y reduce los cargos de Resolver.

Si desea anular una regla autodefinida, puede crear una regla de reenvío condicional para el mismo nombre de dominio.

También existe la posibilidad de desactivar las reglas autodefinidas. Para obtener más información, consulte Reglas de reenvío para DNS consultas inversas en Resolver.

El solucionador crea las siguientes reglas autodefinidas.

Reglas para zonas alojadas privadas

Para cada zona alojada privada que asocie a unaVPC, Resolver crea una regla y la VPC asocia a. Si asocia la zona alojada privada a variasVPCs, Resolver asociará la regla a la mismaVPCs.

La regla tiene el tipo Forward (Reenvío).

Reglas para varios nombres de dominio AWS internos

Todas las reglas para los nombres de dominio internos de esta sección presentan un tipo reenvío. Resolver reenvía DNS las consultas de estos nombres de dominio a los servidores de nombres autorizados del. VPC

nota

El solucionador crea la mayoría de estas reglas cuando se establece la enableDnsHostnames marca para un aVPC. true Resolver crea las reglas aunque no esté utilizando puntos de conexión de Resolver.

El solucionador crea las siguientes reglas autodefinidas y las asocia a un VPC cuando se establece la enableDnsHostnames marca para el VPC totrue:

  • Region-name.compute.internal, por ejemplo, eu-west-1.compute.internal. La región us-east-1 no utiliza este nombre de dominio.

  • Region-name.computar. amazon-domain-name, por ejemplo, eu-west-1.compute.amazonaws.com o cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. La región us-east-1 no utiliza este nombre de dominio.

  • ec2.internal. Solo la región us-east-1 utiliza este nombre de dominio.

  • compute-1.internal. Solo la región us-east-1 utiliza este nombre de dominio.

  • compute-1.amazonaws.com. Solo la región us-east-1 utiliza este nombre de dominio.

Las siguientes reglas autodefinidas son para la búsqueda inversa de las reglas que Resolver crea al establecer la marca para. DNS enableDnsHostnames VPC true

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa a 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Reglas para cada uno de los CIDR rangos deVPC. Por ejemplo, si a tiene un VPC CIDR rango de 10.0.0.0/23, Resolver crea las siguientes reglas:

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Las siguientes reglas autodefinidas, para los dominios relacionados con el host local, también se crean y se asocian a VPC cuando se establece la marca para: enableDnsHostnames VPC true

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver crea las siguientes reglas autodefinidas y las asocia a las suyas VPC cuando se conecta VPC con otra VPC a través de una pasarela de tránsito o interconexión, y con la VPC compatibilidad habilitada: DNS

  • La DNS búsqueda inversa de los rangos de direcciones IP VPC del par, por ejemplo, 0.192.in-addr.arpa

    Si agrega un IPv4 CIDR bloque aVPC, Resolver agrega una regla autodefinida para el nuevo rango de direcciones IP.

  • Si el otro VPC está en otra región, los siguientes nombres de dominio:

    • Region-name.compute.internal. La región us-east-1 no utiliza este nombre de dominio.

    • Region-name.computar. amazon-domain-name. La región us-east-1 no utiliza este nombre de dominio.

    • ec2.internal. Solo la región us-east-1 utiliza este nombre de dominio.

    • compute-1.amazonaws.com. Solo la región us-east-1 utiliza este nombre de dominio.

Una regla para todos los demás dominios

El solucionador crea una regla “.” (punto) que se aplica a todos los nombres de dominio que no se han especificado anteriormente en este tema. La regla “.” es de tipo recursivo, lo que significa que la regla hace que Resolver actúe como un solucionador recursivo.

Consideraciones al crear puntos de conexión de entrada y salida

Antes de crear puntos finales de Resolver entrantes y salientes en una AWS región, tenga en cuenta los siguientes aspectos.

Número de puntos de conexión de entrada y salida en cada región

Si desea realizar la integración DNS VPCs en una AWS región con DNS su red, normalmente necesitará un terminal de entrada de Resolver (para DNS las consultas que reenvía a su redVPCs) y un punto final de salida (para las consultas que reenvía de su red a su red). VPCs Puede crear varios puntos de enlace de entrada y varios puntos de enlace de salida, pero basta con un punto de enlace de entrada o salida para gestionar las consultas en cada dirección respectiva. DNS Tenga en cuenta lo siguiente:

  • Para cada punto de conexión de Resolver, debe especificar dos o más direcciones IP en diferentes zonas de disponibilidad. Cada dirección IP de un punto final puede gestionar una gran cantidad de consultas por segundo. DNS (Para obtener información acerca del número máximo actual de consultas por segundo por cada dirección IP de un punto de conexión, consulte Cuotas en Route 53 Resolver.) Si necesita que Resolver gestione más consultas, puede agregar más direcciones IP al punto de conexión existente en lugar de agregar otro punto de conexión.

  • Los precios de Resolver se basan en el número de direcciones IP de los puntos finales y en el número de DNS consultas que procesa el punto final. Cada punto de conexión incluye un mínimo de dos direcciones IP. Para obtener más información acerca de los precios de Resolver, consulte Precios de Amazon Route 53.

  • Cada regla especifica el punto final de salida desde el que se reenvían DNS las consultas. Si crea varios puntos de enlace de salida en una AWS región y desea asociar algunas o todas las reglas de Resolver a cada uno de ellosVPC, necesitará crear varias copias de esas reglas.

Usa lo mismo VPC para los puntos de conexión entrantes y salientes

Puede crear puntos finales de entrada y salida en la misma región VPC o en diferentes puntos de la misma región. VPCs

Para obtener más información, consulte Prácticas recomendadas de Amazon Route 53.

Puntos de conexión de entrada y zonas alojadas privadas

Si desea que Resolver resuelva DNS las consultas entrantes mediante registros de una zona alojada privada, asocie la zona alojada privada a la zona en la VPC que creó el punto final de entrada. Para obtener información sobre cómo asociar zonas alojadas privadas a, consulte. VPCs Uso de zonas alojadas privadas

VPCmirando

Puede usar cualquier punto VPC de una AWS región como punto final entrante o saliente, independientemente de si el VPC que elija está emparejado con otro. VPCs Para obtener más información, consulte VPCEmparejamiento de Amazon Virtual Private Cloud.

Direcciones IP en subredes compartidas

Al crear un punto final entrante o saliente, puede especificar una dirección IP en una subred compartida solo si la cuenta actual creó el. VPC Si otra cuenta crea una subred VPC y comparte una subred VPC con la suya, no podrá especificar una dirección IP en esa subred. Para obtener más información sobre las subredes compartidas, consulte Trabajar con subredes compartidas VPCs en la Guía del VPC usuario de Amazon.

Conexión entre su red y la red en la VPCs que crea los puntos de conexión

Debe tener una de las siguientes conexiones entre la red y la red en la VPCs que crea los puntos finales:

Al compartir reglas, también comparte los puntos de conexión de salida

Al crear una regla, debe especificar el punto final de salida que desea que Resolver utilice para reenviar DNS las consultas a la red. Si comparte la regla con otra AWS cuenta, también comparte indirectamente el punto final de salida que especifique en la regla. Si ha utilizado más de una AWS cuenta para crear VPCs en una AWS región, puede hacer lo siguiente:

  • Cree un punto de conexión de salida en la región.

  • Cree reglas con una AWS cuenta.

  • Comparte las reglas con todas las AWS cuentas que se hayan creado VPCs en la región.

Esto le permite usar un punto final de salida en una región para reenviar DNS consultas a su red desde varios puntos de vista, VPCs incluso si VPCs se crearon con AWS cuentas diferentes.

Elección de protocolos para los puntos de conexión

Los protocolos de punto de conexión determinan cómo se transmiten los datos a un punto de conexión de entrada y desde un punto de conexión de salida. No es necesario cifrar DNS las consultas de VPC tráfico porque cada flujo de paquetes de la red se autoriza individualmente según una regla que valida el origen y el destino correctos antes de transmitirlos y entregarlos. Es muy poco probable que la información pase arbitrariamente entre entidades sin la autorización específica tanto de la entidad emisora como de la entidad receptora. Si un paquete se enruta a un destino sin una regla que lo iguale, el paquete se descarta. Para obtener más información, consulte VPClas funciones.

Los protocolos disponibles son:

  • Do53: a DNS través del puerto 53. Los datos se retransmiten mediante Route 53 Resolver sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las AWS redes. Utiliza uno UDP o TCP para enviar los paquetes. Do53 se utiliza principalmente para el tráfico dentro y entre AmazonVPCs.

  • DoH: Los datos se transmiten a través de una sesión cifradaHTTPS. DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto.

  • DoH-FIPS: Los datos se transmiten a través de una HTTPS sesión cifrada que cumple con el estándar criptográfico FIPS 140-2. Admite solo puntos de conexión de entrada. Para obtener más información, consulte 140-2. FIPS PUB

Para un punto de conexión de entrada, puede aplicar los protocolos de la siguiente manera:

  • Do53 y DoH en combinación.

  • Do53 y DoH- FIPS en combinación.

  • Do53 solo.

  • DoH solo.

  • DoH, solo. FIPS

  • Ninguno, por lo que se trata como Do53.

Para un punto de conexión de salida, puede aplicar los protocolos de la siguiente manera:

  • Do53 y DoH en combinación.

  • Do53 solo.

  • DoH solo.

  • Ninguno, por lo que se trata como Do53.

Consulte también Valores que se especifican al crear o editar puntos de conexión de entrada y Valores que se especifican al crear o editar puntos de conexión de salida.

Uso de Resolver en los VPCs que están configurados para la tenencia de instancias dedicadas

Al crear un punto final de Resolver, no puede especificar uno VPC que tenga el atributo de tenencia de instancias establecido en. dedicated El solucionador no se ejecuta en hardware de inquilino único.

Puede seguir utilizando Resolver para resolver DNS consultas que se originen en unVPC. Cree al menos uno VPC que tenga el atributo de tenencia de la instancia establecido en y especifíquelo VPC al crear puntos de enlace entrantes y salientes. default

Al crear una regla de reenvío, puede asociarla a cualquier reglaVPC, independientemente de la configuración del atributo de tenencia de la instancia.