Résolution DNS des requêtes entre VPCs et votre réseau - Amazon Route 53
Comment DNS les résolveurs de votre réseau transmettent les DNS requêtes aux points de terminaison Route 53 ResolverComment le point de terminaison Route 53 Resolver transmet DNS les requêtes de vous VPCs à votre réseauConsidérations lors de la création de points de terminaison entrants et sortants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution DNS des requêtes entre VPCs et votre réseau

Le résolveur contient des points de terminaison que vous configurez pour répondre aux DNS requêtes depuis et vers votre environnement sur site.

Note

Le transfert de DNS requêtes privées vers n'importe quelle adresse VPC CIDR +2 depuis vos DNS serveurs locaux n'est pas pris en charge et peut entraîner des résultats instables. À la place, nous vous recommandons d'utiliser un point de terminaison entrant Resolver.

Vous pouvez également intégrer la DNS résolution entre le résolveur et les DNS résolveurs de votre réseau en configurant des règles de transfert. Votre réseau peut inclure n'importe quel réseau accessible depuis vousVPC, tel que le suivant :

  • Le VPC lui-même

  • Un autre pair VPC

  • Réseau local connecté à une passerelle de traduction AWS d' AWS Direct Connect adresses réseau (NAT)VPN, à une ou à une passerelle

Avant de commencer à transférer des requêtes, vous créez des points de terminaison entrants et/ou sortants du résolveur dans le fichier connecté. VPC Ces points de terminaison fournissent un chemin pour les requêtes entrantes ou sortantes :

Point de terminaison entrant : DNS les résolveurs de votre réseau peuvent transmettre les DNS requêtes au résolveur Route 53 via ce point de terminaison

Cela permet à vos DNS résolveurs de résoudre facilement les noms de domaine pour AWS des ressources telles que des EC2 instances ou des enregistrements dans une zone hébergée privée Route 53. Pour de plus amples informations, veuillez consulter Comment DNS les résolveurs de votre réseau transmettent les DNS requêtes aux points de terminaison Route 53 Resolver.

Point de terminaison sortant : Resolver réachemine de manière conditionnelle les requêtes aux résolveurs de votre réseau via ce point de terminaison

Pour transférer les requêtes sélectionnées, vous créez des règles de résolution qui spécifient les noms de domaine des DNS requêtes que vous souhaitez transférer (par exemple, exemple.com) et les adresses IP des DNS résolveurs de votre réseau vers lesquels vous souhaitez transférer les requêtes. Si une requête correspond à plusieurs règles (exemple.com, acme.exemple.com), Resolver choisit la règle ayant la correspondance la plus spécifique (acme.exemple.com) et réachemine la requête vers les adresses IP que vous avez indiquées dans cette règle. Pour de plus amples informations, veuillez consulter Comment le point de terminaison Route 53 Resolver transmet DNS les requêtes de vous VPCs à votre réseau.

Comme AmazonVPC, Resolver est régional. Dans chaque région où vous vous trouvezVPCs, vous pouvez choisir de transférer les requêtes de votre réseau VPCs vers votre réseau (requêtes sortantes), de votre réseau vers le vôtre VPCs (requêtes entrantes), ou les deux.

Vous ne pouvez pas créer de points de terminaison Resolver dans un objet VPC qui ne vous appartient pas. Seul le VPC propriétaire peut créer des ressources de VPC niveau telles que des points de terminaison entrants.

Note

Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas spécifier un VPC dont l'attribut de location d'instance est défini sur. dedicated Pour de plus amples informations, veuillez consulter Utilisation d'un résolveur configuré pour la location d'instance dédiée VPCs.

Pour utiliser le transfert entrant ou sortant, vous devez créer un point de terminaison Resolver dans votre. VPC Dans le cadre de la définition d'un point de terminaison, vous spécifiez les adresses IP vers lesquelles vous souhaitez transférer les DNS requêtes entrantes ou les adresses IP dont vous souhaitez que les requêtes sortantes proviennent. Pour chaque adresse IP que vous spécifiez, Resolver crée automatiquement une interface VPC elastic network.

Le schéma suivant montre le chemin d'une DNS requête depuis un DNS résolveur de votre réseau vers les points de terminaison Route 53 Resolver.

Graphique conceptuel qui montre le chemin d'une DNS requête entre un DNS résolveur de votre réseau et les points de terminaison Route 53 Resolver.

Le schéma suivant montre le chemin d'une DNS requête depuis une EC2 instance de l'un de vous VPCs vers un DNS résolveur de votre réseau.

Graphique conceptuel qui montre le chemin d'une DNS requête de votre réseau vers Route 53 Resolver.

Pour une présentation des interfaces VPC réseau, consultez la section Elastic network interfaces dans le guide de VPC l'utilisateur Amazon.

Rubriques

Comment DNS les résolveurs de votre réseau transmettent les DNS requêtes aux points de terminaison Route 53 Resolver

Lorsque vous souhaitez transférer des DNS requêtes de votre réseau vers les points de terminaison Route 53 Resolver dans une AWS région, vous devez effectuer les étapes suivantes :

  1. Vous créez un point de terminaison entrant Route 53 Resolver dans un VPC et vous spécifiez les adresses IP auxquelles les résolveurs de votre réseau transmettent DNS les requêtes.

    Pour chaque adresse IP que vous spécifiez pour le point de terminaison entrant, Resolver crée une interface réseau VPC élastique à l'VPCendroit où vous avez créé le point de terminaison entrant.

  2. Vous configurez des résolveurs sur votre réseau pour transférer les DNS requêtes relatives aux noms de domaine applicables aux adresses IP que vous avez spécifiées dans le point de terminaison entrant. Pour de plus amples informations, veuillez consulter Considérations lors de la création de points de terminaison entrants et sortants.

Voici comment Resolver résout DNS les requêtes provenant de votre réseau :

  1. Un navigateur Web ou une autre application de votre réseau envoie une DNS requête pour un nom de domaine que vous avez transféré à Resolver.

  2. Un résolveur de votre réseau réachemine la requête vers les adresses IP de votre point de terminaison entrant.

  3. Le point de terminaison entrant réachemine la requête vers Resolver.

  4. Resolver obtient la valeur applicable pour le nom de domaine dans la DNS requête, soit en interne, soit en effectuant une recherche récursive sur des serveurs de noms publics.

  5. Le résolveur renvoie la valeur au point de terminaison entrant.

  6. Le point de terminaison entrant renvoie la valeur au résolveur de votre réseau.

  7. Le résolveur de votre réseau renvoie la valeur à l'application.

  8. À l'aide de la valeur renvoyée par Resolver, l'application envoie une HTTP demande, par exemple une demande pour un objet dans un compartiment Amazon S3.

La création d'un point de terminaison entrant ne modifie pas le comportement de Resolver, elle fournit simplement un chemin entre un emplacement extérieur au AWS réseau et Resolver.

Comment le point de terminaison Route 53 Resolver transmet DNS les requêtes de vous VPCs à votre réseau

Lorsque vous souhaitez transférer des DNS requêtes depuis les EC2 instances d'une ou de plusieurs instances VPCs d'une AWS région vers votre réseau, vous devez effectuer les étapes suivantes.

  1. Vous créez un point de terminaison sortant Route 53 Resolver dans unVPC, et vous spécifiez plusieurs valeurs :

    • Les DNS requêtes VPC que vous souhaitez transmettre en cours de route vers les résolveurs de votre réseau.

    • Les adresses IP de votre ordinateur à partir VPC desquelles vous souhaitez que Resolver transmette DNS les requêtes. Pour les hôtes de votre réseau, il s'agit des adresses IP d'où proviennent les DNS requêtes.

    • Un groupe VPC de sécurité

    Pour chaque adresse IP que vous spécifiez pour le point de terminaison sortant, Resolver crée une interface Amazon VPC Elastic network dans VPC celle que vous spécifiez. Pour de plus amples informations, veuillez consulter Considérations lors de la création de points de terminaison entrants et sortants.

  2. Vous créez une ou plusieurs règles qui spécifient les noms de domaine des DNS requêtes que Resolver doit transmettre aux résolveurs de votre réseau. Spécifiez également les adresses IP des résolveurs. Pour de plus amples informations, veuillez consulter Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau.

  3. Vous associez chaque règle à celle VPCs pour laquelle vous souhaitez transférer DNS les requêtes vers votre réseau.

Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau

Les règles contrôlent les DNS requêtes que le point de terminaison Route 53 Resolver transmet aux DNS résolveurs de votre réseau et les requêtes auxquelles Resolver répond lui-même.

Vous pouvez classer les règles de deux façons. Par exemple, par l'auteur des règles :

  • Règles définies automatiquement — Resolver crée automatiquement des règles définies automatiquement et associe les règles à vos. VPCs La plupart de ces règles s'appliquent aux noms de domaine AWS spécifiques pour lesquels Resolver répond aux requêtes. Pour de plus amples informations, veuillez consulter Noms de domaine pour lesquels Resolver crée des règles système autodéfinies.

  • Règles personnalisées : vous créez des règles personnalisées et vous les associez àVPCs. Actuellement, vous ne pouvez créer qu'un seul type de règles personnalisées, celles de réacheminement conditionnel, également appelées règles de réacheminement. Les règles de transfert obligent Resolver à transférer DNS les requêtes de votre part VPCs vers les adresses IP des DNS résolveurs de votre réseau.

    Si vous créez une règle de transfert pour le même domaine en tant que règle définie automatiquement, Resolver transmet les requêtes pour ce nom de domaine aux DNS résolveurs de votre réseau en fonction des paramètres de la règle de transfert.

Les règles peuvent aussi être classées selon leur action :

  • Règles de transfert conditionnelles : vous créez des règles de transfert conditionnelles (également appelées règles de transfert) lorsque vous souhaitez transférer des DNS requêtes pour des noms de domaine spécifiques aux DNS résolveurs de votre réseau.

  • Règles système - Les règles système conduisent Resolver à remplacer de façon sélective le comportement défini dans une règle de réacheminement. Lorsque vous créez une règle système, Resolver résout les DNS requêtes relatives à des sous-domaines spécifiques qui seraient autrement résolues par les DNS résolveurs de votre réseau.

    Par défaut, les règles de réacheminement s'appliquent à un nom de domaine et à tous ses sous-domaines. Si vous souhaitez réacheminer les requêtes d'un domaine vers un résolveur de votre réseau, mais pas celles de certains sous-domaines, créez une règle système pour les sous-domaines. Par exemple, si vous créez une règle de réacheminement pour exemple.com, mais que vous ne voulez pas réacheminer les requêtes pour acme.exemple.com, créez une règle système et indiquez acme.exemple.com pour le nom de domaine.

  • Règle récursive - Resolver crée automatiquement une règle récursive nommée Internet Resolver (Résolveur Internet). Avec cette règle, Route 53 Resolver agit en tant que résolveur récursif pour tous les noms de domaine pour lesquels vous n'avez pas créé de règles personnalisées et pour lesquels Resolver n'a pas créé de règles autodéfinies. Pour plus d'informations sur la façon de remplacer ce comportement, consultez la section « Réacheminement de toutes les requêtes vers votre réseau » dans la suite de cette rubrique.

Vous pouvez créer des règles personnalisées qui s'appliquent à des noms de domaine spécifiques (le vôtre ou la plupart des noms de AWS domaine), aux noms de AWS domaines publics ou à tous les noms de domaine.

Réacheminement de requêtes pour des noms de domaines spécifiques vers votre réseau

Pour réacheminer les requêtes pour un nom de domaine spécifique, par exemple exemple.com, vers votre réseau, créez une règle et spécifiez ce nom de domaine. Vous spécifiez également les adresses IP des DNS résolveurs de votre réseau auxquels vous souhaitez transférer les requêtes. Vous associez ensuite chaque règle à celle VPCs pour laquelle vous souhaitez transférer DNS les requêtes vers votre réseau. Par exemple, vous pouvez créer des règles distinctes pour exemple.com, exemple.org et exemple.net. Vous pouvez ensuite associer les règles VPCs à celles d'une AWS région dans n'importe quelle combinaison.

Réacheminement des requêtes pour amazonaws.com vers votre réseau

Le nom de domaine amazonaws.com est le nom de domaine public pour les AWS ressources telles que les EC2 instances et les compartiments S3. Si vous souhaitez réacheminer les requêtes pour amazonaws.com vers votre réseau, créez une règle, spécifiez amazonaws.com pour le nom de domaine et indiquez Forward (Réacheminer) pour le type de règle.

Note

Resolver ne transmet pas automatiquement les DNS requêtes pour certains sous-domaines amazonaws.com, même si vous créez une règle de transfert pour amazonaws.com. Pour de plus amples informations, veuillez consulter Noms de domaine pour lesquels Resolver crée des règles système autodéfinies. Pour plus d'informations sur la façon de remplacer ce comportement, consultez la section "Réacheminement de toutes les requêtes vers votre réseau" ci-dessous.

Réacheminement de toutes les requêtes vers votre réseau

Si vous souhaitez transférer toutes les requêtes vers votre réseau, vous devez créer une règle, en spécifiant «. » (point) pour le nom de domaine, et associez la règle à VPCs celle pour laquelle vous souhaitez transférer toutes les DNS requêtes vers votre réseau. Le résolveur ne transmet toujours pas toutes les DNS requêtes à votre réseau, car l'utilisation d'un DNS résolveur extérieur AWS perturberait certaines fonctionnalités. Par exemple, certains noms de AWS domaine internes comportent des plages d'adresses IP internes qui ne sont pas accessibles de l'extérieur AWS. Pour obtenir la liste des noms de domaine pour lesquels les requêtes ne sont pas réacheminées vers votre réseau lorsque vous créez une règle pour « . », consultez Noms de domaine pour lesquels Resolver crée des règles système autodéfinies.

Cependant, les règles système définies automatiquement pour l'inversion DNS peuvent être désactivées, ce qui permet à la règle «. » de transférer toutes les DNS requêtes inversées vers votre réseau. Pour plus d'informations sur la désactivation des règles autodéfinies, veuillez consulter Règles de transfert pour les DNS requêtes inversées dans Resolver.

Si vous souhaitez essayer de transférer des DNS requêtes pour tous les noms de domaine vers votre réseau, y compris les noms de domaine exclus du transfert par défaut, vous pouvez créer une règle «. » et effectuer l'une des opérations suivantes :

Important

Si vous réacheminez tous les noms de domaine vers votre réseau, y compris les noms de domaine que Resolver exclut lorsque vous créez une règle « . », certaines fonctionnalités peuvent cesser de fonctionner.

Comment Resolver détermine si le nom de domaine d'une requête correspond aux règles

Route 53 Resolver compare le nom de domaine dans la DNS requête avec le nom de domaine dans les règles associées à l'VPCorigine de la requête. Resolver considère que les noms de domaine correspondent dans les cas suivants :

  • Les noms de domaine sont identiques.

  • Le nom de domaine de la requête est un sous-domaine du nom de domaine de la règle.

Par exemple, si le nom de domaine indiqué dans la règle est acme.example.com, Resolver considère que les noms de domaine suivants correspondent dans une DNS requête :

  • acme.exemple.com

  • zenith.acme.exemple.com

Les noms de domaine suivants ne correspondent pas :

  • exemple.com

  • nadir.exemple.com

Si le nom de domaine d'une requête correspond au nom de domaine de plusieurs règles (par exemple exemple.com et www.exemple.com), Resolver achemine les DNS requêtes sortantes en utilisant la règle qui contient le nom de domaine le plus spécifique (www.exemple.com).

Comment Resolver détermine où transférer les requêtes DNS

Lorsqu'une application exécutée sur une EC2 instance de a VPC soumet une DNS requête, Route 53 Resolver exécute les étapes suivantes :

  1. Resolver vérifie les noms de domaine dans les règles.

    Si le nom de domaine d'une requête correspond au nom de domaine d'une règle, Resolver réachemine la requête vers l'adresse IP indiquée à la création du point de terminaison sortant. Le point de terminaison sortant transmet ensuite la requête aux adresses IP des résolveurs de votre réseau, que vous avez spécifiées lorsque vous avez créé la règle.

    Pour de plus amples informations, veuillez consulter Comment Resolver détermine si le nom de domaine d'une requête correspond aux règles.

  2. Le point de terminaison du résolveur transmet les DNS requêtes en fonction des paramètres de la règle «. ».

    Si le nom de domaine d'une requête ne correspond pas au nom de domaine des autres règles, Resolver réachemine la requête en fonction des paramètres de la règle autodéfinie « . » (point). La règle des points s'applique à tous les noms de domaine, à l'exception de certains noms de domaine AWS internes et de certains noms d'enregistrement dans des zones hébergées privées. Cette règle oblige Resolver à transférer les DNS requêtes aux serveurs de noms publics si les noms de domaine figurant dans les requêtes ne correspondent à aucun des noms figurant dans vos règles de transfert personnalisées. Si vous souhaitez transférer toutes les requêtes aux DNS résolveurs de votre réseau, vous pouvez créer une règle de transfert personnalisée, spécifier «. » pour le nom de domaine, spécifier le transfert pour le type et spécifier les adresses IP de ces résolveurs.

  3. Resolver renvoie la réponse à l'application qui a envoyé la requête.

Utilisation des règles dans plusieurs régions

Route 53 Resolver étant un service régional, les objets que vous créez dans une AWS région ne sont disponibles que dans cette région. Pour utiliser la même règle dans plusieurs régions, vous devez créer la règle dans chaque région.

Le AWS compte qui a créé une règle peut partager la règle avec d'autres AWS comptes. Pour de plus amples informations, veuillez consulter Partage des règles du résolveur avec d'autres AWS comptes et utilisation de règles partagées.

Noms de domaine pour lesquels Resolver crée des règles système autodéfinies

Resolver crée automatiquement des règles systèmes autodéfinies, qui définissent la façon dont les requêtes sont résolues par défaut pour les domaines sélectionnés :

  • Pour les zones hébergées privées et pour les noms de EC2 domaine spécifiques à Amazon (tels que compute.amazonaws.com et compute.internal), les règles définies automatiquement garantissent que vos zones et EC2 instances hébergées privées continuent de se résoudre si vous créez des règles de transfert conditionnel pour des noms de domaine moins spécifiques tels que « ». (point) ou « com ».

  • Pour les noms de domaine réservés au public (tels que localhost et 10.in-addr.arpa), les DNS meilleures pratiques recommandent de répondre aux requêtes localement plutôt que d'être transférées vers des serveurs de noms publics. Voir RFC6303, DNS Zones desservies localement.

Note

Si vous créez une règle de réacheminement conditionnel pour « . » (point) ou « com », nous vous recommandons de créer également une règle système pour amazonaws.com. (Les règles du système obligent Resolver à résoudre localement les DNS requêtes pour des domaines et sous-domaines spécifiques.) La création de cette règle système améliore les performances, réduit le nombre de requêtes qui sont réacheminées vers votre réseau et diminue les frais de Resolver.

Si vous souhaitez remplacer une règle autodéfinie, vous pouvez créer une règle de réacheminement conditionnel pour le même nom de domaine.

Vous pouvez également désactiver certaines règles définies automatiquement. Pour de plus amples informations, veuillez consulter Règles de transfert pour les DNS requêtes inversées dans Resolver.

Resolver crée les règles autodéfinies suivantes.

Règles pour les zones hébergées privées

Pour chaque zone hébergée privée que vous associez à unVPC, Resolver crée une règle et l'associe auVPC. Si vous associez la zone hébergée privée à plusieursVPCs, Resolver associe la règle à la même VPCs zone.

La règle dispose d'un type Forward (Réacheminer).

Règles relatives aux différents noms de domaine AWS internes

Toutes les règles pour les noms de domaine internes de cette section sont de type Forward (Réacheminer). Resolver transmet les DNS requêtes pour ces noms de domaine aux serveurs de noms faisant autorité pour le. VPC

Note

Resolver crée la plupart de ces règles lorsque vous définissez l'enableDnsHostnamesindicateur pour un VPC totrue. Resolver crée les règles, même si vous n'utilisez pas les points de terminaison Resolver.

Resolver crée les règles définies automatiquement suivantes et les associe à un VPC lorsque vous définissez l'enableDnsHostnamesindicateur pour le VPC à : true

  • Region-name.compute.internal, par exemple, eu-west-1.compute.internal. La région us-east-1 n'utilise pas ce nom de domaine.

  • Region-name.calculer. amazon-domain-name, par exemple, eu-west-1.compute.amazonaws.com ou cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. La région us-east-1 n'utilise pas ce nom de domaine.

  • ec2.internal. Seule la région us-east-1 utilise ce nom de domaine.

  • compute-1.internal. Seule la région us-east-1 utilise ce nom de domaine.

  • compute-1.amazonaws.com. Seule la région us-east-1 utilise ce nom de domaine.

Les règles définies automatiquement suivantes concernent la DNS recherche inversée des règles créées par Resolver lorsque vous définissez l'enableDnsHostnamesindicateur pour le VPC to. true

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa via 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Règles pour chacune des CIDR plages deVPC. Par exemple, si un VPC a une CIDR plage de 10.0.0.0/23, Resolver crée les règles suivantes :

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Les règles définies automatiquement suivantes, pour les domaines liés à l'hôte local, sont également créées et associées à un VPC lorsque vous définissez l'enableDnsHostnamesindicateur pour le à : VPC true

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver crée les règles définies automatiquement suivantes et les associe à vos règles VPC lorsque vous les connectez à une autre VPC via une passerelle de transit ou un VPC peering, et lorsque le support est activé : VPC DNS

  • La DNS recherche inversée pour les plages d'adresses IP VPC de l'homologue, par exemple 0.192.in-addr.arpa

    Si vous ajoutez un IPv4 CIDR bloc à unVPC, Resolver ajoute une règle définie automatiquement pour la nouvelle plage d'adresses IP.

  • Si l'autre VPC se trouve dans une autre région, les noms de domaine suivants :

    • Region-name.compute.interne. La région us-east-1 n'utilise pas ce nom de domaine.

    • Region-name.calculer. amazon-domain-name. La région us-east-1 n'utilise pas ce nom de domaine.

    • ec2.internal. Seule la région us-east-1 utilise ce nom de domaine.

    • compute-1.amazonaws.com. Seule la région us-east-1 utilise ce nom de domaine.

Une règle pour tous les autres domaines

Resolver crée une règle « . » (point) qui s'applique à tous les noms de domaine qui ne sont pas indiqués plus haut dans cette rubrique. La règle « . » dispose d'un type Recursive (Récursif), ce qui signifie que la règle conduit Resolver à agir en tant que résolveur récursif.

Considérations lors de la création de points de terminaison entrants et sortants

Avant de créer des points de terminaison de résolution entrants et sortants dans une AWS région, prenez en compte les points suivants.

Nombre de points de terminaison entrants et sortants dans chaque région

Lorsque vous souhaitez intégrer DNS une AWS région à votre réseau, vous avez généralement besoin d'DNSun point de terminaison entrant Resolver (pour les DNS requêtes que vous transférez vers votreVPCs) et d'un point de terminaison sortant (pour les requêtes que vous transférez de votre VPCs vers votre réseau). VPCs Vous pouvez créer plusieurs points de terminaison entrants et plusieurs points de terminaison sortants, mais un point de terminaison entrant ou sortant suffit pour traiter les DNS requêtes pour chaque direction respective. Notez ce qui suit :

  • Pour chaque point de terminaison Resolver, vous spécifiez deux ou plusieurs adresses IP dans différentes zones de disponibilité. Chaque adresse IP d'un point de terminaison peut traiter un grand nombre de DNS requêtes par seconde. (Pour le nombre maximum actuel de requêtes par seconde et par adresse IP dans un point de terminaison, consultez Quotas sur Route 53 Resolver.) Si vous voulez que Resolver traite plus de requêtes, vous pouvez ajouter d'autres adresses IP à votre point de terminaison existant, au lieu d'ajouter un autre point de terminaison.

  • La tarification du résolveur est basée sur le nombre d'adresses IP de vos points de terminaison et sur le nombre de DNS requêtes traitées par le point de terminaison. Chaque point de terminaison inclut un minimum de deux adresses IP. Pour en savoir plus sur la tarification de Resolver, veuillez consulter Tarification Amazon Route 53.

  • Chaque règle spécifie le point de terminaison sortant à partir duquel les DNS requêtes sont transférées. Si vous créez plusieurs points de terminaison sortants dans une AWS région et que vous souhaitez associer certaines ou toutes les règles du résolveur à chacun d'entre euxVPC, vous devez créer plusieurs copies de ces règles.

Utilisation de la même méthode VPC pour les points de terminaison entrants et sortants

Vous pouvez créer des points de terminaison entrants et sortants identiques VPC ou différents VPCs dans la même région.

Pour de plus amples informations, veuillez consulter Bonnes pratiques relatives à Amazon Route 53.

Points de terminaison entrants et zones hébergées privées

Si vous souhaitez que Resolver résolve les DNS requêtes entrantes à l'aide d'enregistrements dans une zone hébergée privée, associez la zone hébergée privée à VPC celle dans laquelle vous avez créé le point de terminaison entrant. Pour plus d'informations sur l'association de zones hébergées privées àVPCs, consultezUtilisation des zones hébergées privées.

VPCpeering

Vous pouvez utiliser n'importe quel VPC point d'une AWS région pour un point de terminaison entrant ou sortant, que le point de terminaison VPC que vous choisissez soit apparenté ou non à un autre. VPCs Pour plus d'informations, consultez Amazon Virtual Private Cloud VPC peering.

Adresses IP dans des sous-réseaux partagés

Lorsque vous créez un point de terminaison entrant ou sortant, vous ne pouvez spécifier une adresse IP dans un sous-réseau partagé que si le compte actuel a créé le. VPC Si un autre compte crée un sous-réseau VPC et partage un sous-réseau VPC avec le vôtre, vous ne pouvez pas spécifier d'adresse IP dans ce sous-réseau. Pour plus d'informations sur les sous-réseaux partagés, consultez la section Travailler avec le partage VPCs dans le guide de l'VPCutilisateur Amazon.

Connexion entre votre réseau et le terminal dans VPCs lequel vous créez des points de terminaison

Vous devez disposer de l'une des connexions suivantes entre votre réseau et le point de terminaison dans VPCs lequel vous créez :

Lorsque vous partagez des règles, vous partagez également des points de terminaison sortants

Lorsque vous créez une règle, vous spécifiez le point de terminaison sortant que Resolver doit utiliser pour transférer les DNS requêtes vers votre réseau. Si vous partagez la règle avec un autre AWS compte, vous partagez également indirectement le point de terminaison sortant que vous spécifiez dans la règle. Si vous avez créé plusieurs AWS comptes VPCs dans une AWS région, vous pouvez effectuer les opérations suivantes :

  • Créer un point de terminaison sortant dans la région.

  • Créez des règles à l'aide d'un seul AWS compte.

  • Partagez les règles avec tous les AWS comptes créés VPCs dans la région.

Cela vous permet d'utiliser un point de terminaison sortant dans une région pour transférer des DNS requêtes à votre réseau à partir de plusieurs, VPCs même si VPCs elles ont été créées à l'aide de AWS comptes différents.

Choisir des protocoles pour les points de terminaison

Les protocoles de point de terminaison déterminent la manière dont les données sont transmises à un point de terminaison entrant et à partir d'un point de terminaison sortant. Le chiffrement des DNS requêtes pour le VPC trafic n'est pas nécessaire car chaque flux de paquets sur le réseau est autorisé individuellement selon une règle visant à valider la bonne source et la bonne destination avant d'être transmis et livré. Il est hautement improbable que des informations passent arbitrairement d'une entité à l'autre sans l'autorisation spécifique de l'entité émettrice et réceptrice. Si un paquet est acheminé vers une destination sans règle qui lui correspond, le paquet est abandonné. Pour plus d'informations, consultez la section VPCFonctionnalités.

Les protocoles disponibles sont :

  • Do53 : DNS sur le port 53. Les données sont relayées à l'aide du Route 53 Resolver sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des tiers, elles peuvent être consultées au sein des AWS réseaux. Utilise l'UDPun ou TCP l'autre pour envoyer les paquets. Do53 est principalement utilisé pour le trafic au sein d'Amazon et entre AmazonVPCs.

  • DoH : Les données sont transmises via une HTTPS session cryptée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.

  • DoH- FIPS : Les données sont transmises via une HTTPS session cryptée conforme à la norme cryptographique FIPS 140-2. Pris en charge uniquement pour les points de terminaison entrants. Pour plus d'informations, reportez-vous à la section FIPSPUB140-2.

Pour un point de terminaison entrant, vous pouvez appliquer les protocoles comme suit :

  • Do53 et DoH en combinaison.

  • Do53 et DoH- FIPS en combinaison.

  • Do53 uniquement.

  • DoH uniquement.

  • DoH- FIPS seul.

  • Aucun, qui est traité comme Do53.

Pour un point de terminaison sortant, vous pouvez appliquer les protocoles comme suit :

  • Do53 et DoH en combinaison.

  • Do53 uniquement.

  • DoH uniquement.

  • Aucun, qui est traité comme Do53.

Voir aussi Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants et Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants.

Utilisation d'un résolveur configuré pour la location d'instance dédiée VPCs

Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas spécifier un VPC dont l'attribut de location d'instance est défini sur. dedicated Resolver ne s'exécute pas sur un matériel à utilisateur unique.

Vous pouvez toujours utiliser Resolver pour résoudre DNS les requêtes provenant d'unVPC. Créez-en au moins un VPC dont l'attribut de location d'instance est défini surdefault, et spécifiez-le VPC lorsque vous créez des points de terminaison entrants et sortants.

Lorsque vous créez une règle de transfert, vous pouvez l'associer à n'importe laquelleVPC, quel que soit le paramètre de l'attribut de location d'instance.