Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Résolution des requêtes DNS entre VPCs et votre réseau

PDF
RSS
Mode de mise au point
Résolution des requêtes DNS entre VPCs et votre réseau - Amazon Route 53
Comment les résolveurs DNS de votre réseau réacheminent les requêtes DNS vers les points de terminaison Route 53 ResolverComment le point de terminaison Route 53 Resolver transmet les requêtes DNS de vous VPCs à votre réseauConsidérations lors de la création de points de terminaison entrants et sortants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Resolver contient en outre des points de terminaison que vous configurez pour répondre aux requêtes DNS depuis et vers votre environnement sur site.

Note

La transmission de requêtes DNS privées à toute adresse VPC CIDR + 2 à partir de vos serveurs DNS sur site n'est pas prise en charge et peut entraîner des résultats instables. À la place, nous vous recommandons d'utiliser un point de terminaison entrant Resolver.

Vous pouvez également intégrer la résolution DNS entre Resolver et les résolveurs DNS sur votre réseau en configurant des règles de réacheminement. Votre réseau peut inclure tous les réseaux accessibles depuis votre VPC, par exemple :

  • Le VPC lui-même

  • Un autre VPC appairé

  • Un réseau sur site connecté à une passerelle VPN ou AWS à AWS Direct Connect une passerelle de traduction d'adresses réseau (NAT)

Avant de commencer à réacheminer des requêtes, créez des points de terminaison Resolver entrants et/ou sortants dans le VPC connecté. Ces points de terminaison fournissent un chemin pour les requêtes entrantes ou sortantes :

Point de terminaison entrant : les résolveurs DNS de votre réseau peuvent réacheminer des requêtes DNS vers Route 53 Resolver via ce point de terminaison

Cela permet à vos résolveurs DNS de résoudre facilement les noms de domaine pour AWS des ressources telles que des EC2 instances ou des enregistrements dans une zone hébergée privée Route 53. Pour de plus amples informations, veuillez consulter Comment les résolveurs DNS de votre réseau réacheminent les requêtes DNS vers les points de terminaison Route 53 Resolver.

Point de terminaison sortant : Resolver réachemine de manière conditionnelle les requêtes aux résolveurs de votre réseau via ce point de terminaison

Pour réacheminer les requêtes sélectionnées, créez des règles Resolver qui spécifient les noms de domaine pour les requêtes DNS que vous souhaitez réacheminer (par exemple, exemple.com) et les adresses IP des résolveurs DNS de votre réseau vers lesquels vous voulez réacheminer les requêtes. Si une requête correspond à plusieurs règles (exemple.com, acme.exemple.com), Resolver choisit la règle ayant la correspondance la plus spécifique (acme.exemple.com) et réachemine la requête vers les adresses IP que vous avez indiquées dans cette règle. Pour plus d'informations, veuillez consulter Comment le point de terminaison Route 53 Resolver transmet les requêtes DNS de vous VPCs à votre réseau.

Comme Amazon VPC, Resolver est régional. Dans chaque région où vous vous trouvez VPCs, vous pouvez choisir de transférer les requêtes de votre réseau VPCs vers votre réseau (requêtes sortantes), de votre réseau vers le vôtre VPCs (requêtes entrantes), ou les deux.

Vous ne pouvez pas créer de points de terminaison de résolveur dans un VPC dont vous n'êtes pas le propriétaire. Seul le propriétaire du VPC peut créer des ressources de niveau VPC telles que des points de terminaison entrants.

Note

Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas indquer un VPC doté de l'attribut de location d'instance défini sur dedicated. Pour plus d'informations, veuillez consulter Utilisation d'un résolveur configuré pour la location d'instance dédiée VPCs .

Pour utiliser le réacheminement entrant ou sortant, créez un point de terminaison Resolver dans votre VPC. Dans le cadre de la définition d'un point de terminaison, vous spécifiez les adresses IP vers lesquelles vous souhaitez acheminer les requêtes DNS entrantes ou les adresses IP depuis lesquelles vous souhaitez lancer les requêtes sortantes. Pour chaque adresse IP que vous indiquez, Resolver crée automatiquement une interface réseau Elastic VPC.

Le diagramme suivant montre le chemin d'une requête DNS à partir d'un résolveur DNS sur votre réseau vers les points de terminaison Route 53 Resolver.

Graphique conceptuel qui montre le chemin d'une requête DNS à partir d'un résolveur DNS sur votre réseau vers les points de terminaison Route 53 Resolver.

Le schéma suivant montre le chemin d'une requête DNS depuis une EC2 instance de l'un de vous VPCs vers un résolveur DNS de votre réseau.

Graphique conceptuel qui montre le chemin d'une requête DNS à partir de votre réseau vers le résolveur Route 53.

Pour une présentation des interfaces réseau VPC, veuillez consulter Interfaces réseau Elastic dans le Guide de l'utilisateur Amazon VPC.

Rubriques

Comment les résolveurs DNS de votre réseau réacheminent les requêtes DNS vers les points de terminaison Route 53 Resolver

Si vous souhaitez réacheminer des requêtes DNS à partir de votre réseau vers les points de terminaison Route 53 Resolver dans une région AWS , procédez comme suit :

  1. Créez un point de terminaison entrant Route 53 Resolver dans un VPC et spécifiez les adresses IP vers lesquelles les résolveurs de votre réseau doivent réacheminer les requêtes DNS.

    Pour chaque adresse IP que vous indiquez pour le point de terminaison entrant, Resolver crée une interface réseau Elastic VPC dans le VPC dans lequel vous avez créé le point de terminaison entrant.

  2. Configurez les résolveurs sur votre réseau pour réacheminer les requêtes DNS pour les noms de domaine applicables vers les adresses IP indiquées dans le point de terminaison entrant. Pour plus d'informations, veuillez consulter Considérations lors de la création de points de terminaison entrants et sortants.

Voici comment Resolver résout les requêtes DNS qui proviennent de votre réseau :

  1. Un navigateur web ou une autre application de votre réseau envoie une requête DNS pour un nom de domaine que vous avez réacheminé vers Resolver.

  2. Un résolveur de votre réseau réachemine la requête vers les adresses IP de votre point de terminaison entrant.

  3. Le point de terminaison entrant réachemine la requête vers Resolver.

  4. Resolver obtient la valeur applicable pour le nom de domaine dans la requête DNS, soit en interne ou en effectuant une recherche récursive sur les serveurs de noms publics.

  5. Le résolveur renvoie la valeur au point de terminaison entrant.

  6. Le point de terminaison entrant renvoie la valeur au résolveur de votre réseau.

  7. Le résolveur de votre réseau renvoie la valeur à l'application.

  8. En utilisant la valeur qui a été renvoyée par Resolver, l'application envoie une requête HTTP, par exemple, une requête pour un objet dans un compartiment Amazon S3.

La création d'un point de terminaison entrant ne modifie pas le comportement de Resolver, elle fournit simplement un chemin entre un emplacement extérieur au AWS réseau et Resolver.

Comment le point de terminaison Route 53 Resolver transmet les requêtes DNS de vous VPCs à votre réseau

Lorsque vous souhaitez transférer des requêtes DNS depuis les EC2 instances d'une ou de plusieurs instances VPCs d'une AWS région vers votre réseau, vous devez effectuer les étapes suivantes.

  1. Créez un point de terminaison sortant Route 53 Resolver dans un VPC et spécifiez plusieurs valeurs :

    • Le VPC par lequel vous voulez que les requêtes DNS transitent lors de leur transfert vers les résolveurs de votre réseau.

    • Les adresses IP dans votre VPC depuis lesquelles vous souhaitez que Resolver réachemine les requêtes DNS. Pour les hôtes de votre réseau, ce sont les adresses IP d'où proviennent les requêtes DNS.

    • Un groupe de sécurité VPC

    Pour chaque adresse IP que vous spécifiez pour le point de terminaison sortant, Resolver crée une interface réseau Elastic Amazon VPC dans le VPC que vous indiquez. Pour plus d'informations, veuillez consulter Considérations lors de la création de points de terminaison entrants et sortants.

  2. Créez une ou plusieurs règles pour indiquer les noms de domaine des requêtes DNS que vous voulez que Resolver réachemine vers les résolveurs de votre réseau. Spécifiez également les adresses IP des résolveurs. Pour de plus amples informations, veuillez consulter Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau.

  3. Vous associez chaque règle à celle VPCs pour laquelle vous souhaitez transférer les requêtes DNS vers votre réseau.

Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau

Les règles déterminent les requêtes DNS que le point de terminaison Route 53 Resolver réachemine vers les résolveurs DNS de votre réseau, et les requêtes que Resolver traite directement.

Vous pouvez classer les règles de deux façons. Par exemple, par l'auteur des règles :

  • Règles définies automatiquement — Resolver crée automatiquement des règles définies automatiquement et associe les règles à vos. VPCs La plupart de ces règles s'appliquent aux noms de domaine AWS spécifiques pour lesquels Resolver répond aux requêtes. Pour de plus amples informations, veuillez consulter Noms de domaine pour lesquels Resolver crée des règles système autodéfinies.

  • Règles personnalisées : vous créez des règles personnalisées et vous les associez àVPCs. Actuellement, vous ne pouvez créer qu'un seul type de règles personnalisées, celles de réacheminement conditionnel, également appelées règles de réacheminement. Les règles de transfert obligent Resolver à transférer les requêtes DNS de vous VPCs vers les adresses IP des résolveurs DNS de votre réseau.

    Si vous créez une règle de réacheminement pour le même domaine qu'une règle autodéfinie, Resolver réachemine les requêtes pour ce nom de domaine vers les résolveurs DNS de votre réseau selon les paramètres de la règle de réacheminement.

Les règles peuvent aussi être classées selon leur action :

  • Règles de réacheminement conditionnel - Vous créez des règles de réacheminement conditionnel (également appelées règles de réacheminement) lorsque vous souhaitez réacheminer les requêtes DNS pour des noms de domaine indiqués vers les résolveurs DNS de votre réseau.

  • Règles système - Les règles système conduisent Resolver à remplacer de façon sélective le comportement défini dans une règle de réacheminement. Lorsque vous créez une règle système, Resolver résout les requêtes DNS pour les sous-domaines indiqués, qui seraient sinon résolues par les résolveurs DNS de votre réseau.

    Par défaut, les règles de réacheminement s'appliquent à un nom de domaine et à tous ses sous-domaines. Si vous souhaitez réacheminer les requêtes d'un domaine vers un résolveur de votre réseau, mais pas celles de certains sous-domaines, créez une règle système pour les sous-domaines. Par exemple, si vous créez une règle de réacheminement pour exemple.com, mais que vous ne voulez pas réacheminer les requêtes pour acme.exemple.com, créez une règle système et indiquez acme.exemple.com pour le nom de domaine.

  • Règle récursive - Resolver crée automatiquement une règle récursive nommée Internet Resolver (Résolveur Internet). Avec cette règle, Route 53 Resolver agit en tant que résolveur récursif pour tous les noms de domaine pour lesquels vous n'avez pas créé de règles personnalisées et pour lesquels Resolver n'a pas créé de règles autodéfinies. Pour plus d'informations sur la façon de remplacer ce comportement, consultez la section « Réacheminement de toutes les requêtes vers votre réseau » dans la suite de cette rubrique.

Vous pouvez créer des règles personnalisées qui s'appliquent à des noms de domaine spécifiques (le vôtre ou la plupart des noms de AWS domaine), aux noms de AWS domaines publics ou à tous les noms de domaine.

Réacheminement de requêtes pour des noms de domaines spécifiques vers votre réseau

Pour réacheminer les requêtes pour un nom de domaine spécifique, par exemple exemple.com, vers votre réseau, créez une règle et spécifiez ce nom de domaine. Spécifiez aussi les adresses IP des résolveurs DNS de votre réseau vers lesquels vous souhaitez réacheminer les requêtes. Vous associez ensuite chaque règle à celle VPCs pour laquelle vous souhaitez transférer les requêtes DNS vers votre réseau. Par exemple, vous pouvez créer des règles distinctes pour exemple.com, exemple.org et exemple.net. Vous pouvez ensuite associer les règles VPCs à celles d'une AWS région dans n'importe quelle combinaison.

Réacheminement des requêtes pour amazonaws.com vers votre réseau

Le nom de domaine amazonaws.com est le nom de domaine public pour les AWS ressources telles que les EC2 instances et les compartiments S3. Si vous souhaitez réacheminer les requêtes pour amazonaws.com vers votre réseau, créez une règle, spécifiez amazonaws.com pour le nom de domaine et indiquez Forward (Réacheminer) pour le type de règle.

Note

Resolver ne réachemine pas automatiquement les requêtes DNS pour certains sous-domaines amazonaws.com, même si vous créez une règle de réacheminement pour amazonaws.com. Pour plus d'informations, veuillez consulter Noms de domaine pour lesquels Resolver crée des règles système autodéfinies. Pour plus d'informations sur la façon de remplacer ce comportement, consultez la section "Réacheminement de toutes les requêtes vers votre réseau" ci-dessous.

Réacheminement de toutes les requêtes vers votre réseau

Si vous souhaitez transférer toutes les requêtes vers votre réseau, vous devez créer une règle, en spécifiant «. » (point) pour le nom de domaine, et associez la règle à VPCs celle pour laquelle vous souhaitez transférer toutes les requêtes DNS vers votre réseau. Le résolveur ne transmet toujours pas toutes les requêtes DNS à votre réseau, car l'utilisation d'un résolveur DNS extérieur AWS perturberait certaines fonctionnalités. Par exemple, certains noms de AWS domaine internes comportent des plages d'adresses IP internes qui ne sont pas accessibles de l'extérieur AWS. Pour obtenir la liste des noms de domaine pour lesquels les requêtes ne sont pas réacheminées vers votre réseau lorsque vous créez une règle pour « . », consultez Noms de domaine pour lesquels Resolver crée des règles système autodéfinies.

Toutefois, les règles système autodéfinies pour le DNS inverse peuvent être désactivées, ce qui permet à la règle « . » de transférer toutes les requêtes DNS inverses vers votre réseau. Pour plus d'informations sur la désactivation des règles autodéfinies, veuillez consulter Règles de transfert pour les requêtes DNS inverses dans Resolver.

Si vous souhaitez essayer de réacheminer les requêtes DNS pour tous les noms de domaine vers votre réseau, y compris les noms de domaine exclus du réacheminement par défaut, vous pouvez créer une règle « . » et effectuer l'une des actions suivantes :

Important

Si vous réacheminez tous les noms de domaine vers votre réseau, y compris les noms de domaine que Resolver exclut lorsque vous créez une règle « . », certaines fonctionnalités peuvent cesser de fonctionner.

Comment Resolver détermine si le nom de domaine d'une requête correspond aux règles

Route 53 Resolver compare le nom de domaine de la requête DNS au nom de domaine des règles associées au VPC dont la requête provient. Resolver considère que les noms de domaine correspondent dans les cas suivants :

  • Les noms de domaine sont identiques.

  • Le nom de domaine de la requête est un sous-domaine du nom de domaine de la règle.

Par exemple, si le nom de domaine de la règle est acme.exemple.com, Resolver considère que les noms de domaine suivants identifiés dans une requête DNS correspondent :

  • acme.exemple.com

  • zenith.acme.exemple.com

Les noms de domaine suivants ne correspondent pas :

  • exemple.com

  • nadir.exemple.com

Si le nom de domaine d'une requête correspond au nom de domaine de plusieurs règles (par exemple exemple.com et www.exemple.com), Resolver achemine les requêtes DNS sortantes à l'aide de la règle qui contient le nom de domaine le plus spécifique (www.exemple.com).

Comment Resolver détermine la destination du réacheminement des requêtes DNS

Lorsqu'une application qui s'exécute sur une EC2 instance dans un VPC envoie une requête DNS, Route 53 Resolver exécute les étapes suivantes :

  1. Resolver vérifie les noms de domaine dans les règles.

    Si le nom de domaine d'une requête correspond au nom de domaine d'une règle, Resolver réachemine la requête vers l'adresse IP indiquée à la création du point de terminaison sortant. Le point de terminaison sortant transmet ensuite la requête aux adresses IP des résolveurs de votre réseau, que vous avez spécifiées lorsque vous avez créé la règle.

    Pour plus d'informations, veuillez consulter Comment Resolver détermine si le nom de domaine d'une requête correspond aux règles.

  2. Le point de terminaison Resolver réachemine les requêtes DNS en fonction des paramètres de la règle « . ».

    Si le nom de domaine d'une requête ne correspond pas au nom de domaine des autres règles, Resolver réachemine la requête en fonction des paramètres de la règle autodéfinie « . » (point). La règle des points s'applique à tous les noms de domaine, à l'exception de certains noms de domaine AWS internes et de certains noms d'enregistrement dans des zones hébergées privées. Cette règle conduit Resolver à réacheminer les requêtes DNS vers des serveurs de noms publics si les noms de domaine des requêtes ne correspondent à aucun nom des règles de réacheminement personnalisées. Si vous voulez transférer toutes les requêtes vers les résolveurs DNS de votre réseau, vous pouvez créer une règle de réacheminement personnalisée. Spécifiez « . » pour le nom de domaine, Forwarding (Réacheminement) pour le Type (Type), ainsi que les adresses IP des résolveurs.

  3. Resolver renvoie la réponse à l'application qui a envoyé la requête.

Utilisation des règles dans plusieurs régions

Route 53 Resolver étant un service régional, les objets que vous créez dans une AWS région ne sont disponibles que dans cette région. Pour utiliser la même règle dans plusieurs régions, vous devez créer la règle dans chaque région.

Le AWS compte qui a créé une règle peut partager la règle avec d'autres AWS comptes. Pour de plus amples informations, veuillez consulter Partage des règles du résolveur avec d'autres AWS comptes et utilisation de règles partagées.

Noms de domaine pour lesquels Resolver crée des règles système autodéfinies

Resolver crée automatiquement des règles systèmes autodéfinies, qui définissent la façon dont les requêtes sont résolues par défaut pour les domaines sélectionnés :

  • Pour les zones hébergées privées et pour les noms de EC2 domaine spécifiques à Amazon (tels que compute.amazonaws.com et compute.internal), les règles définies automatiquement garantissent que vos zones et EC2 instances hébergées privées continuent de se résoudre si vous créez des règles de transfert conditionnel pour des noms de domaine moins spécifiques tels que « ». (point) ou « com ».

  • Pour les noms de domaines publiquement réservés (comme localhost et 10.in-addr.arpa), les bonnes pratiques DNS recommandent que les réponses aux requêtes soient fournies en local au lieu d'être réacheminées vers les serveurs de noms publics. Voir RFC 6303, Locally Served DNS Zones (RFC 6303, zones DNS servies en local).

Note

Si vous créez une règle de réacheminement conditionnel pour « . » (point) ou « com », nous vous recommandons de créer également une règle système pour amazonaws.com. (Avec les règles système, Resolver résoud localement les requêtes DNS pour des domaines et sous-domaines spécifiques). La création de cette règle système améliore les performances, réduit le nombre de requêtes qui sont réacheminées vers votre réseau et diminue les frais de Resolver.

Si vous souhaitez remplacer une règle autodéfinie, vous pouvez créer une règle de réacheminement conditionnel pour le même nom de domaine.

Vous pouvez également désactiver certaines règles définies automatiquement. Pour de plus amples informations, veuillez consulter Règles de transfert pour les requêtes DNS inverses dans Resolver.

Resolver crée les règles autodéfinies suivantes.

Règles pour les zones hébergées privées

Pour chaque zone hébergée privée que vous associez à un VPC, Resolver crée une règle et l'associe au VPC. Si vous associez la zone hébergée privée à plusieurs VPCs, Resolver associe la règle à la même VPCs zone.

La règle dispose d'un type Forward (Réacheminer).

Règles relatives aux différents noms de domaine AWS internes

Toutes les règles pour les noms de domaine internes de cette section sont de type Forward (Réacheminer). Resolver réachemine les requêtes DNS pour ces noms de domaine vers les serveurs de noms faisant autorité pour le VPC.

Note

Resolver crée la plupart de ces règles lorsque vous définissez l'indicateur enableDnsHostnames pour un VPC sur true. Resolver crée les règles, même si vous n'utilisez pas les points de terminaison Resolver.

Resolver crée les règles autodéfinies suivantes et les associe au VPC lorsque vous définissez l'indicateur enableDnsHostnames pour le VPC sur true :

  • Region-name.compute.internal, par exemple, eu-west-1.compute.internal. La région us-east-1 n'utilise pas ce nom de domaine.

  • Region-name.calculer. amazon-domain-name, par exemple, eu-west-1.compute.amazonaws.com ou cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. La région us-east-1 n'utilise pas ce nom de domaine.

  • ec2.internal. Seule la région us-east-1 utilise ce nom de domaine.

  • compute-1.internal. Seule la région us-east-1 utilise ce nom de domaine.

  • compute-1.amazonaws.com. Seule la région us-east-1 utilise ce nom de domaine.

Les règles autodéfinies suivantes servent à la recherche DNS inverse pour les règles que Resolver crée lorsque vous définissez l'indicateur enableDnsHostnames pour le VPC sur true.

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa via 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Règles pour chacune des plages d'adresses CIDR pour le VPC. Par exemple, pour un VPC ayant une plage d'adresses CIDR de 10.0.0.0/23, Resolver crée les règles suivantes :

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Les règles autodéfinies suivantes, pour les domaines associés à localhost, sont également créées et associées à un VPC lorsque vous définissez l'indicateur enableDnsHostnames pour le VPC sur true :

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver crée les règles autodéfinies suivantes et les associe à votre VPC lorsque vous connectez le VPC à un autre VPC via une passerelle de transit ou un appairage de VPC, et avec la prise en charge de DNS activée :

  • La recherche DNS inverse pour les plages d'adresses IP du VPC appairé, par exemple, 0.192.in-addr.arpa

    Si vous ajoutez un bloc IPv4 CIDR à un VPC, Resolver ajoute une règle définie automatiquement pour la nouvelle plage d'adresses IP.

  • Si l'autre VPC est dans une autre région, les noms de domaine suivants :

    • Region-name.compute.interne. La région us-east-1 n'utilise pas ce nom de domaine.

    • Region-name.calculer. amazon-domain-name. La région us-east-1 n'utilise pas ce nom de domaine.

    • ec2.internal. Seule la région us-east-1 utilise ce nom de domaine.

    • compute-1.amazonaws.com. Seule la région us-east-1 utilise ce nom de domaine.

Une règle pour tous les autres domaines

Resolver crée une règle « . » (point) qui s'applique à tous les noms de domaine qui ne sont pas indiqués plus haut dans cette rubrique. La règle « . » dispose d'un type Recursive (Récursif), ce qui signifie que la règle conduit Resolver à agir en tant que résolveur récursif.

Considérations lors de la création de points de terminaison entrants et sortants

Avant de créer des points de terminaison de résolution entrants et sortants dans une AWS région, prenez en compte les points suivants.

Nombre de points de terminaison entrants et sortants dans chaque région

Lorsque vous souhaitez intégrer le DNS d'une AWS région VPCs au DNS de votre réseau, vous avez généralement besoin d'un point de terminaison entrant Resolver (pour les requêtes DNS que vous transférez vers votre VPCs) et d'un point de terminaison sortant (pour les requêtes que vous transférez de votre VPCs vers votre réseau). Vous pouvez créer plusieurs points de terminaison entrants et sortants, mais un seul point de terminaison entrant ou sortant suffit pour traiter les requêtes DNS dans l'une ou l'autre direction. Remarques :

  • Pour chaque point de terminaison Resolver, vous spécifiez deux ou plusieurs adresses IP dans différentes zones de disponibilité. Chaque adresse IP dans un point de terminaison peut traiter un grand nombre de requêtes DNS par seconde. (Pour le nombre maximum actuel de requêtes par seconde et par adresse IP dans un point de terminaison, consultez Quotas sur Route 53 Resolver.) Si vous voulez que Resolver traite plus de requêtes, vous pouvez ajouter d'autres adresses IP à votre point de terminaison existant, au lieu d'ajouter un autre point de terminaison.

  • La tarification de Resolver est basée sur le nombre d'adresses IP dans vos points de terminaison et sur le nombre de requêtes DNS traitées par le point de terminaison. Chaque point de terminaison inclut un minimum de deux adresses IP. Pour en savoir plus sur la tarification de Resolver, veuillez consulter Tarification Amazon Route 53.

  • Chaque règle spécifie le point de terminaison sortant à partir duquel les requêtes DNS sont transférées. Si vous créez plusieurs points de terminaison sortants au sein d'une région AWS et que vous souhaitez associer certaines ou toutes les règles Resolver avec chaque VPC, vous devez créer plusieurs copies de ces règles.

Utilisation du même VPC pour les points de terminaison entrants et sortants

Vous pouvez créer des points de terminaison entrants et sortants dans le même VPC ou dans un autre VPCs dans la même région.

Pour de plus amples informations, veuillez consulter Bonnes pratiques relatives à Amazon Route 53.

Points de terminaison entrants et zones hébergées privées

Si vous voulez que Resolver résolve les requêtes DNS entrantes à l'aide de registres dans une zone hébergée privée, associez la zone hébergée privée avec le VPC dans lequel vous avez créé le point de terminaison entrant. Pour plus d'informations sur l'association de zones hébergées privées à VPCs, consultezUtilisation des zones hébergées privées.

Appairage de VPC

Vous pouvez utiliser n'importe quel VPC d'une AWS région pour un point de terminaison entrant ou sortant, que le VPC que vous choisissez soit apparié ou non à un autre. VPCs Pour en savoir plus, consultez Amazon Virtual Private Cloud VPC Peering.

Adresses IP dans des sous-réseaux partagés

Lorsque vous créez un point de terminaison entrant ou sortant, vous pouvez spécifier une adresse IP dans un sous-réseau partagé uniquement si le compte actuel a créé le VPC. Si un autre compte crée un VPC et partage un sous-réseau dans le VPC avec votre compte, vous ne pouvez pas spécifier d'adresse IP dans ce sous-réseau. Pour plus d'informations sur les sous-réseaux partagés, consultez la section Travailler avec le partage VPCs dans le guide de l'utilisateur Amazon VPC.

Connexion entre votre réseau et le terminal dans VPCs lequel vous créez des points de terminaison

Vous devez disposer de l'une des connexions suivantes entre votre réseau et le point de terminaison dans VPCs lequel vous créez :

Lorsque vous partagez des règles, vous partagez également des points de terminaison sortants

Lorsque vous créez une règle, vous spécifiez le point de terminaison sortant que vous voulez que Resolver utilise pour réacheminer les requêtes DNS vers votre réseau. Si vous partagez la règle avec un autre AWS compte, vous partagez également indirectement le point de terminaison sortant que vous spécifiez dans la règle. Si vous avez utilisé plusieurs AWS comptes pour créer un compte VPCs dans une AWS région, vous pouvez effectuer les opérations suivantes :

  • Créer un point de terminaison sortant dans la région.

  • Créez des règles à l'aide d'un seul AWS compte.

  • Partagez les règles avec tous les AWS comptes créés VPCs dans la région.

Cela vous permet d'utiliser un point de terminaison sortant dans une région pour transférer des requêtes DNS à votre réseau à partir de plusieurs, VPCs même si VPCs elles ont été créées à l'aide de AWS comptes différents.

Choisir des protocoles pour les points de terminaison

Les protocoles de point de terminaison déterminent la manière dont les données sont transmises à un point de terminaison entrant et à partir d'un point de terminaison sortant. Le chiffrement des requêtes DNS pour le trafic VPC n'est pas nécessaire, car chaque flux de paquets sur le réseau est autorisé individuellement selon une règle permettant de valider la source et la destination correctes avant d'être transmis et livré. Il est hautement improbable que des informations passent arbitrairement d'une entité à l'autre sans l'autorisation spécifique de l'entité émettrice et réceptrice. Si un paquet est acheminé vers une destination sans règle qui lui correspond, le paquet est abandonné. Pour plus d'informations, consultez Fonctionnalités VPC.

Les protocoles disponibles sont :

  • Do53 : DNS sur le port 53. Les données sont relayées à l'aide du Route 53 Resolver sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des tiers, elles peuvent être consultées au sein des AWS réseaux. Utilise UDP ou TCP pour envoyer les paquets. Do53 est principalement utilisé pour le trafic au sein d'Amazon et entre Amazon VPCs.

  • DoH : Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.

  • DOH-FIPS : Les données sont transmises via une session HTTPS chiffrée conforme à la norme de chiffrement FIPS 140-2. Pris en charge uniquement pour les points de terminaison entrants. Pour plus d'informations, veuillez consulter FIPS PUB 140-2.

Pour un point de terminaison entrant, vous pouvez appliquer les protocoles comme suit :

  • Do53 et DoH en combinaison.

  • Do53 et DoH-FIPS en combinaison.

  • Do53 uniquement.

  • DoH uniquement.

  • DoH-FIPS uniquement.

  • Aucun, qui est traité comme Do53.

Pour un point de terminaison sortant, vous pouvez appliquer les protocoles comme suit :

  • Do53 et DoH en combinaison.

  • Do53 uniquement.

  • DoH uniquement.

  • Aucun, qui est traité comme Do53.

Voir aussi Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants et Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants.

Utilisation d'un résolveur configuré pour la location d'instance dédiée VPCs

Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas indiquer un VPC doté de l'attribut de location d'instance défini sur dedicated. Resolver ne s'exécute pas sur un matériel à utilisateur unique.

Vous pouvez toujours utiliser Resolver pour résoudre les requêtes DNS provenant d'un VPC. Créez au moins un VPC doté de l'attribut de location d'instance défini sur default, et spécifiez ce VPC lorsque vous créez des points de terminaison entrants et sortants.

Lorsque vous créez une règle de réacheminement, vous pouvez l'associer à n'importe quel VPC, quelle que soit la valeur de l'attribut de location d'instance.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.