Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Bonnes pratiques pour VPC Resolver
<a name="best-practices-resolver"></a>

Cette section fournit les meilleures pratiques pour optimiser le résolveur VPC Amazon Route 53, en abordant les sujets suivants :

1. **Éviter les configurations de boucle avec les points de terminaison du résolveur :**
   + Empêchez les boucles de routage en vous assurant que le même VPC n'est pas associé à la fois à une règle de résolution et à son point de terminaison entrant.
   +  AWS RAM À utiliser pour partager VPCs entre comptes tout en conservant des configurations de routage appropriées.

   Pour de plus amples informations, consultez [Évitez les configurations de boucle avec les points de terminaison Resolver.](best-practices-resolver-endpoints.md).

1. **Dimensionnement des points de terminaison du résolveur :**
   + Mettez en œuvre des règles de groupe de sécurité qui autorisent le trafic en fonction de l'état de la connexion afin de réduire les frais de suivi des connexions
   + Suivez les règles de groupe de sécurité recommandées pour les points de terminaison du résolveur entrants et sortants afin d'optimiser le débit des requêtes.
   + Surveillez les combinaisons d'adresses IP et de ports uniques générant du trafic DNS afin d'éviter les limitations de capacité. 

   Pour de plus amples informations, consultez [Mise à l'échelle du point de terminaison Resolver](best-practices-resolver-endpoint-scaling.md).

1. **Haute disponibilité pour les points de terminaison Resolver :**
   + Créez des points de terminaison entrants avec des adresses IP dans au moins deux zones de disponibilité à des fins de redondance.
   + Fournir des interfaces réseau supplémentaires pour garantir la disponibilité pendant la maintenance ou les pics de trafic

   Pour de plus amples informations, consultez [Haute disponibilité pour les points de terminaison Resolver](best-practices-resolver-endpoint-high-availability.md).

1. **Prévention des attaques basées sur les zones DNS :**
   + Soyez conscient des attaques potentielles basées sur les zones DNS, dans le cadre desquelles les attaquants tentent de récupérer tout le contenu des zones DNS signées par le protocole DNSSEC.
   + Si vos terminaux subissent un ralentissement en raison d'une suspicion de franchissement de zone, contactez le AWS Support pour obtenir de l'aide. 

   Pour de plus amples informations, consultez [Parcours de zone DNS](best-practices-resolver-zone-walking.md).

 En suivant ces bonnes pratiques, vous pouvez optimiser les performances, l'évolutivité et la sécurité de vos déploiements de résolveurs VPC, en garantissant une résolution DNS fiable et efficace pour vos applications et ressources.

# Évitez les configurations de boucle avec les points de terminaison Resolver.
<a name="best-practices-resolver-endpoints"></a>

N'associez pas le même VPC à une règle Resolver et à son point de terminaison entrant (qu'il s'agisse d'une cible directe du point de terminaison ou via un serveur DNS local). Lorsque le point de terminaison sortant d'une règle Resolver pointe vers un point de terminaison entrant qui partage un VPC avec la règle, il peut provoquer une boucle dans laquelle la requête est continuellement transmise entre les points de terminaison entrants et sortants.

La règle de transfert peut toujours être associée à d'autres VPCs règles partagées avec d'autres comptes en utilisant AWS Resource Access Manager (AWS RAM). Les zones hébergées privées associées au hub, ou à un VPC central, sont toujours résolues à partir des requêtes vers les points de terminaison entrants car une règle de réacheminement de résolveur ne modifie pas cette résolution.

# Mise à l'échelle du point de terminaison Resolver
<a name="best-practices-resolver-endpoint-scaling"></a>

Les groupes de sécurité du point de terminaison Resolver utilisent le suivi de connexion pour collecter des informations sur le trafic en provenance ou à destination des points de terminaison. Chaque interface de point de terminaison dispose d'un nombre maximal de connexions qui peuvent être suivies, et un volume élevé de requêtes DNS peut dépasser les connexions et provoquer une limitation et une perte de requête. Le suivi des connexions AWS est le comportement par défaut pour surveiller l'état du trafic passant par les groupes de sécurité (SGs). L'utilisation du suivi des SGs connexions permet de réduire le débit du trafic, mais vous pouvez implémenter des connexions non suivies pour réduire les frais généraux et améliorer les performances. Pour plus d'informations, voir [Connexions non suivies](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).

Si le suivi des connexions est appliqué en utilisant des règles de groupe de sécurité restrictives ou si les requêtes sont acheminées via Network Load Balancer ([voir Connexions suivies automatiquement](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking)), le nombre maximum de requêtes par seconde et par adresse IP pour un point de terminaison peut être inférieur à 1 500.

**Recommandations relatives aux règles du groupe de sécurité d'entrée et de sortie pour le point de terminaison entrant du résolveur**


****  

| 
| 
| **Règles d'entrée** | 
| --- |
| Type de protocole | Numéro de port | IP Source | 
| TCP  | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 
| **Règles de sortie** | 
| --- |
| Type de protocole | Numéro de port | IP de destination | 
| TCP | Tous | 0.0.0.0/0 | 
| UDP | Tous | 0.0.0.0/0 | 

**Recommandations relatives aux règles des groupes de sécurité d'entrée et de sortie pour le point de terminaison Resolver sortant**


****  

| 
| 
| **Règles d'entrée** | 
| --- |
| Type de protocole | Numéro de port | IP Source | 
| TCP  | Tous | 0.0.0.0/0 | 
| UDP | Tous | 0.0.0.0/0 | 
| **Règles de sortie** | 
| --- |
| Type de protocole | Numéro de port | IP de destination | 
| TCP | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 

**Note**  
**Exigences relatives aux ports du groupe de sécurité :**  
Les **points de terminaison entrants** nécessitent des règles d'entrée permettant aux protocoles TCP et UDP sur le port 53 de recevoir des requêtes DNS de votre réseau. Les règles de sortie peuvent autoriser tous les ports, car le point de terminaison peut avoir besoin de répondre à des requêtes provenant de différents ports sources.
Les **points de terminaison sortants** nécessitent des règles de sortie autorisant l'accès TCP et UDP aux ports que vous utilisez pour les requêtes DNS sur votre réseau. Le port 53 est illustré dans l'exemple ci-dessus car il s'agit du port DNS le plus courant, mais votre réseau peut utiliser des ports différents. Les règles d'entrée peuvent permettre à tous les ports de prendre en charge les réponses de vos serveurs DNS.

**Points de terminaison Resolver**

Pour les clients utilisant un point de terminaison de résolveur entrant, la capacité de l'elastic network interface sera affectée si vous avez plus de 40 000 combinaisons d'adresses IP et de ports uniques générant le trafic DNS.

# Haute disponibilité pour les points de terminaison Resolver
<a name="best-practices-resolver-endpoint-high-availability"></a>

Lorsque vous créez les points de terminaison entrants de votre résolveur VPC, Route 53 exige que vous créiez au moins deux adresses IP auxquelles les résolveurs DNS de votre réseau transmettront les requêtes. Vous devez également spécifier les adresses IP dans au moins deux zones de disponibilité pour la redondance. 

Si vous avez besoin que plus d'un point de terminaison d'Interface réseau Elastic soit disponible à tout moment, nous vous recommandons de créer au moins une interface réseau de plus que nécessaire, afin de vous assurer que vous disposez d'une capacité supplémentaire pour gérer d'éventuelles surtensions de trafic. L'interface réseau supplémentaire assure également la disponibilité pendant les opérations de service, telles que la maintenance ou les mises à niveau.

Pour plus d'informations, consultez cet article de blog détaillé : [Comment atteindre la haute disponibilité du DNS avec les points de terminaison Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-achieve-dns-high-availability-with-route-53-resolver-endpoints/) et. [Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants](resolver-forwarding-inbound-queries-values.md)

# Parcours de zone DNS
<a name="best-practices-resolver-zone-walking"></a>

Une attaque du parcours de zone DNS tente d’obtenir tout le contenu des zones DNS signées par DNSSEC. Si l'équipe VPC Resolver détecte un modèle de trafic correspondant à ceux générés lorsque des zones DNS sont parcourues sur votre terminal, l'équipe de service limitera le trafic sur votre point de terminaison. Par conséquent, vous pouvez observer un pourcentage élevé de vos requêtes DNS expirer.

Si vous constatez une réduction de la capacité de vos terminaux et que vous pensez que le terminal a été limité par erreur, rendez-vous https://console.aws.amazon.com/support/ sur home\$1/ pour créer un dossier d'assistance.