Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réacheminement des requêtes DNS sortantes vers votre réseau
Pour transférer les requêtes DNS provenant d' EC2 instances Amazon en une ou plusieurs VPCs vers votre réseau, vous devez créer un point de terminaison sortant et une ou plusieurs règles :
- Point de terminaison sortant
Pour transférer les requêtes DNS de votre réseau VPCs vers votre réseau, vous devez créer un point de terminaison sortant. Un point de terminaison sortant spécifie les adresses IP d'où proviennent les requêtes. Ces adresses IP, que vous choisissez parmi la plage d'adresses IP disponibles pour votre VPC, ne sont pas des adresses IP publiques. Cela signifie que, pour chaque point de terminaison sortant, vous devez connecter votre VPC à votre réseau à l'aide d'une connexion AWS Direct Connect , d'une connexion VPN ou d'une passerelle de traduction d'adresses réseau (NAT). Notez que vous pouvez utiliser le même point de terminaison sortant pour plusieurs points de terminaison VPCs dans la même région, ou vous pouvez créer plusieurs points de terminaison sortants. Si vous souhaitez utiliser votre point de terminaison sortant DNS64, vous pouvez l'activer à DNS64 l'aide d'Amazon Virtual Private Cloud. Pour plus d'informations, consultez DNS64 et consultez NAT64 le guide de l'utilisateur Amazon VPC.
L'adresse IP cible de la règle Route 53 Resolver est choisie au hasard par Resolver et il n'y a aucune préférence quant au choix d'une adresse IP cible particulière par rapport à une autre. Si une adresse IP cible ne répond pas à la demande DNS transmise, le résolveur réessaiera d'utiliser une adresse IP aléatoire parmi la cible. IPs
Assurez-vous que toutes les adresses IP cibles sont accessibles depuis les points de terminaison du résolveur. Si Resolver n'est pas en mesure de transférer les requêtes DNS sortantes vers l'une des adresses IP cibles, cela peut entraîner des délais de résolution DNS prolongés.
- Règles
Pour spécifier les noms de domaine des requêtes que vous voulez réacheminer vers les résolveurs DNS de votre réseau, vous devez créer une ou plusieurs règles. Chaque règle spécifie un nom de domaine. Vous associez ensuite les règles VPCs pour lesquelles vous souhaitez transférer les requêtes vers votre réseau.
Pour plus d’informations, consultez les rubriques suivantes :
Configuration du réacheminement sortant
Pour configurer Resolver afin de réacheminer les requêtes DNS créées dans votre VPC vers votre réseau, exécutez les procédures suivantes.
Important
Après avoir créé un point de terminaison sortant, vous devez créer une ou plusieurs règles et les associer à une ou plusieurs VPCs règles. Les règles spécifient les noms de domaine des requêtes DNS que vous souhaitez réacheminer vers votre réseau.
Créer un point de terminaison sortant
Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/
. Dans le panneau de navigation, choisissez Outbound endpoints (Points de terminaison sortants).
Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer un point de terminaison sortant.
Choisissez Create outbound endpoint (Créer point de terminaison sortant).
Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants.
Sélectionnez Créer.
Note
Créer un point de terminaison sortant prend une minute ou deux. Vous ne pouvez pas créer d'autre point de terminaison sortant avant d'avoir créé le premier.
Créez une ou plusieurs règles pour spécifier les noms de domaine des requêtes DNS que vous voulez réacheminer vers votre réseau. Pour en savoir plus, consultez la procédure suivante.
Pour créer une ou plusieurs règles de réacheminement, exécutez la procédure suivante.
Pour créer des règles de transfert et les associer à une ou plusieurs VPCs
Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/
. Dans le volet de navigation, choisissez Règles.
Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer la règle.
Choisissez Créer une règle.
Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter Valeurs à spécifier lors de la création ou de la modification de règles.
Choisissez Save (Enregistrer).
Pour ajouter une autre règle, répétez les étapes 4 à 6.
Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants
Lorsque vous créez ou modifiez un point de terminaison sortant, spécifiez les valeurs suivantes :
- ID Outpost
Si vous créez le point de terminaison d'un résolveur sur un AWS Outposts VPC, il s'agit AWS Outposts de l'ID.
- Nom du point de terminaison
Un nom convivial vous permettant de retrouver facilement le point de terminaison sortant sur le tableau de bord.
- VPC dans la région region-name
Toutes les requêtes DNS sortantes transiteront via ce VPC lors de leur transfert vers votre réseau.
- Groupe de sécurité de ce point de terminaison
-
L'ID d'un ou de plusieurs groupes de sécurité que vous souhaitez utiliser pour contrôler l'accès à ce VPC. Le groupe de sécurité que vous spécifiez doit inclure une ou plusieurs règles sortantes. Les règles sortantes doivent autoriser l'accès TCP et UDP sur le port que vous utilisez pour les requêtes DNS sur votre réseau. Vous ne pouvez pas modifier cette valeur après avoir créé un point de terminaison.
Certaines règles de groupe de sécurité entraînent le suivi de votre connexion et peuvent avoir un impact sur le nombre maximal de requêtes par seconde entre le point de terminaison sortant et votre serveur de noms cible. Pour éviter le suivi des connexions causé par un groupe de sécurité, consultez la section Connexions non suivies.
Pour plus d'informations, consultez Groupes de sécurité pour votre VPC dans le Guide de l'utilisateur Amazon VPC.
- Type de point de terminaison
Le type de point de terminaison peut être soit IPv4 IPv6 des adresses IP à double pile. Pour un point de terminaison à double pile, le point de terminaison aura à la fois IPv4 une IPv6 adresse à laquelle votre résolveur DNS sur votre réseau peut transférer les requêtes DNS.
Note
Pour des raisons de sécurité, nous refusons l'accès direct au IPv6 trafic Internet public pour toutes les adresses IPv6 IP et à double pile.
- Adresses IP
Les adresses IP de votre VPC vers lesquelles vous voulez que Resolver réachemine les requêtes DNS lors de leur transfert vers les résolveurs de votre réseau. Il ne s'agit pas des adresses IP des résolveurs DNS de votre réseau ; vous spécifiez les adresses IP des résolveurs lorsque vous créez les règles que vous associez à une ou plusieurs d'entre elles. VPCs Nous vous demandons de spécifier au moins deux adresses IP pour la redondance.
Note
Le point de terminaison Resolver possède une adresse IP privée. Ces adresses IP ne changeront pas au cours de la durée de vie d'un point de terminaison.
Remarques :
- Plusieurs zones de disponibilité
Nous vous recommandons de spécifier des adresses IP dans au moins deux zones de disponibilité. Si vous le souhaitez, vous pouvez spécifier des adresses IP supplémentaires dans ces zones de disponibilité ou dans d'autres.
- Adresses IP et interfaces réseau Elastic Amazon VPC
Pour chaque combinaison de zone de disponibilité, sous-réseau, et adresse IP que vous spécifiez, Resolver crée une interface réseau Elastic Amazon VPC. Pour le nombre maximum actuel de requêtes DNS par seconde et par adresse IP dans un point de terminaison, consultez Quotas sur Route 53 Resolver. Pour plus d'informations sur la tarification pour chaque interface réseau Elastic, veuillez consulter la section « Amazon Route 53 » sur la page de tarification d'Amazon Route 53
. - Ordre des adresses IP
Vous pouvez spécifier des adresses IP dans n'importe quel ordre. Lors du réacheminement de requêtes DNS, Resolver ne choisit pas les adresses IP en fonction de l'ordre dans lequel elles sont répertoriées.
Pour chaque adresse IP, spécifiez les valeurs suivantes. Chaque adresse IP doit se trouver dans une zone de disponibilité du VPC que vous avez indiquée dans VPC dans la région region-name.
- Zone de disponibilité
La zone de disponibilité par laquelle vous voulez que les requêtes DNS transitent lors de leur transfert vers votre réseau. La zone de disponibilité que vous spécifiez doit être configurée avec un sous-réseau.
- Sous-réseau
Le sous-réseau qui contient l'adresse IP depuis laquelle vous voulez que les requêtes DNS soient lancées lors de leur transfert vers votre réseau. Le sous-réseau doit avoir une adresse IP disponible.
L'adresse IP du sous-réseau doit correspondre au type de point de terminaison.
- Adresse IP
Adresse IP à parti de laquelle vous voulez que les requêtes DNS soient lancées lors de leur transfert vers votre réseau.
Choisissez si vous souhaitez que Resolver choisisse une adresse IP pour vous parmi les adresses IP disponibles dans le sous-réseau indiqué, ou si vous voulez indiquer l'adresse IP vous-même.
Si vous choisissez de spécifier vous-même l'adresse IP, entrez une IPv6 adresse IPv4 ou, ou les deux.
- Protocoles
Le protocole de point de terminaison détermine la manière dont les données sont transmises à un point de terminaison sortant. Choisissez un ou plusieurs protocoles en fonction du niveau de sécurité requis.
Do53 : (Par défaut) Les données sont relayées à l'aide du Route 53 Resolver sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des parties externes, elles peuvent être consultées au sein des réseaux AWS .
DoH : Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.
Pour un point de terminaison sortant, vous pouvez appliquer les protocoles comme suit :
Do53 et DoH en combinaison.
Do53 uniquement.
DoH uniquement.
Aucun, qui est traité comme Do53.
- Balises
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer Cost center (Centre de coûts) pour Key (Clé) et 456 pour Value (Valeur).
Valeurs à spécifier lors de la création ou de la modification de règles
Lorsque vous créez ou modifiez une règle de réacheminement, spécifiez les valeurs suivantes :
- Nom de la règle
Un nom convivial vous permettant de retrouver facilement la règle sur le tableau de bord.
- Type de règle
Choisissez la valeur applicable :
Forward (Réacheminer) - Lorsque vous voulez réacheminer les requêtes DNS pour le nom de domaine indiqué vers les résolveurs de votre réseau, choisissez cette option.
Système - Choisissez cette option lorsque vous voulez que Resolver remplace de manière sélective le comportement qui est défini dans une règle de réacheminement. Lorsque vous créez une règle système, Resolver résout les requêtes DNS pour les sous-domaines indiqués, qui seraient sinon résolues par les résolveurs DNS de votre réseau.
Par défaut, les règles de réacheminement s'appliquent à un nom de domaine et à tous ses sous-domaines. Si vous souhaitez réacheminer les requêtes d'un domaine vers un résolveur de votre réseau, mais pas celles de certains sous-domaines, créez une règle système pour les sous-domaines. Par exemple, si vous créez une règle de réacheminement pour exemple.com, mais que vous ne voulez pas réacheminer les requêtes pour acme.exemple.com, créez une règle système et indiquez acme.exemple.com pour le nom de domaine.
- VPCs qui utilisent cette règle
Les VPCs qui utilisent cette règle pour transférer les requêtes DNS pour le ou les noms de domaine spécifiés. Vous pouvez appliquer une règle à autant de personnes VPCs que vous le souhaitez.
- Nom de domaine
Les requêtes DNS pour ce nom de domaine sont réacheminées vers les adresses IP que vous spécifiez dans le champ Target IP addresses (Adresses IP cible). Pour plus d'informations, veuillez consulter Comment Resolver détermine si le nom de domaine d'une requête correspond aux règles.
- Point de terminaison sortant
Resolver réachemine les requêtes DNS à travers le point de terminaison sortant indiqué ici vers les adresses IP indiquées dans Target IP addresses (Adresses IP cible).
- Adresses IP cible
Lorsqu'une requête DNS correspond au nom que vous spécifiez dans le champ Domain name (Nom de domaine), le point de terminaison sortant réachemine la requête vers les adresses IP que vous spécifiez ici. Ce sont généralement les adresses IP des résolveurs DNS sur votre réseau.
L'option Target IP addresses (Adresses IP cible) n'est disponible que lorsque la valeur de Rule type (Type de règle) est Forward (Réacheminer).
Spécifiez IPv4 IPv6 les adresses, les protocoles que ServerNameIndication vous souhaitez utiliser pour le point de terminaison. ServerNameIndication s'applique uniquement lorsque le protocole sélectionné est DoH.
La résolution de l'adresse IP cible du FQDN d'un résolveur DoH de votre réseau via le point de terminaison sortant n'est pas prise en charge. Les points de terminaison sortants ont besoin de l'adresse IP cible du résolveur DoH de votre réseau pour transférer les requêtes DoH. Si le résolveur DoH de votre réseau a besoin du FQDN dans le TLS SNI et dans l'en-tête HTTP Host, il doit être fourni. ServerNameIndication
- ServerNameIndication
L'indication du nom du serveur DoH vers lequel vous souhaitez transférer les requêtes. Ceci n'est utilisé que si le protocole est DoH.
- Balises
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer Cost center (Centre de coûts) pour Key (Clé) et 456 pour Value (Valeur).
Ce sont les tags qui AWS Billing and Cost Management permettent d'organiser votre AWS facture. Pour plus d'informations sur l'utilisation de balises pour l'allocation de coûts, consultez Utilisation des balises d'allocation de coûts dans le Guide de l'utilisateur AWS Billing .
