Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Praktik terbaik untuk VPC Resolver
Bagian ini memberikan praktik terbaik untuk mengoptimalkan Amazon Route 53 VPC Resolver, yang mencakup topik-topik berikut:
1. **Menghindari Konfigurasi Loop dengan Titik Akhir Resolver:**
+ Cegah perutean loop dengan memastikan bahwa VPC yang sama tidak terkait dengan aturan Resolver dan titik akhir masuknya.
+ Gunakan AWS RAM untuk berbagi VPCs di seluruh akun sambil mempertahankan konfigurasi perutean yang tepat.
Untuk informasi selengkapnya, lihat [Hindari konfigurasi loop dengan titik akhir Resolver](best-practices-resolver-endpoints.md)
1. **Titik akhir Resolver Penskalaan:**
+ Menerapkan aturan grup keamanan yang mengizinkan lalu lintas berdasarkan status koneksi untuk mengurangi overhead pelacakan koneksi
+ Ikuti aturan grup keamanan yang disarankan untuk titik akhir Resolver masuk dan keluar untuk memaksimalkan throughput kueri.
+ Pantau alamat IP unik dan kombinasi port yang menghasilkan lalu lintas DNS untuk menghindari keterbatasan kapasitas.
Untuk informasi selengkapnya, lihat [Penskalaan titik akhir penyelesai](best-practices-resolver-endpoint-scaling.md)
1. **Ketersediaan tinggi untuk titik akhir Resolver:**
+ Buat titik akhir masuk dengan alamat IP di setidaknya dua Availability Zone untuk redundansi.
+ Menyediakan antarmuka jaringan tambahan untuk memastikan ketersediaan selama pemeliharaan atau lonjakan lalu lintas
Untuk informasi selengkapnya, lihat [Ketersediaan tinggi untuk titik akhir Resolver](best-practices-resolver-endpoint-high-availability.md)
1. **Mencegah serangan berjalan zona DNS:**
+ Waspadai potensi serangan berjalan zona DNS, di mana penyerang mencoba mengambil semua konten dari zona DNS yang ditandatangani DNSSEC.
+ Jika titik akhir Anda mengalami pelambatan karena dicurigai berjalan di zona, hubungi AWS Support untuk bantuan.
Untuk informasi selengkapnya, lihat [Zona DNS berjalan](best-practices-resolver-zone-walking.md)
Dengan mengikuti praktik terbaik ini, Anda dapat mengoptimalkan kinerja, skalabilitas, dan keamanan penerapan Resolver VPC Anda, memastikan resolusi DNS yang andal dan efisien untuk aplikasi dan sumber daya Anda.
# Hindari konfigurasi loop dengan titik akhir Resolver
Jangan mengaitkan VPC yang sama ke aturan Resolver dan titik akhir masuknya (apakah itu target langsung titik akhir, atau melalui server DNS on-premise). Ketika titik akhir keluar dalam aturan Resolver menunjuk ke titik akhir masuk yang berbagi VPC dengan aturan, hal ini dapat menyebabkan loop di mana kueri terus diteruskan di antara titik akhir masuk dan keluar.
Aturan penerusan masih dapat dikaitkan dengan lainnya VPCs yang dibagikan dengan akun lain dengan menggunakan AWS Resource Access Manager ()AWS RAM. Zona yang di-hosting secara privat yang terkait dengan hub, atau VPC sentral, masih akan menyelesaikan dari kueri ke titik akhir masuk, karena aturan penyelesai penerusan tidak mengubah resolusi ini.
# Penskalaan titik akhir penyelesai
Grup keamanan titik akhir penyelesai menggunakan pelacakan koneksi untuk mengumpulkan informasi tentang lalu lintas ke dan dari titik akhir. Setiap antarmuka titik akhir memiliki jumlah maksimum koneksi yang dapat dilacak, dan volume kueri DNS yang tinggi dapat melebihi koneksi serta menyebabkan throttling dan kehilangan kueri. Pelacakan koneksi AWS adalah perilaku default untuk memantau keadaan lalu lintas yang mengalir melalui grup keamanan (SGs). Menggunakan pelacakan koneksi SGs akan mengurangi throughput lalu lintas, namun, Anda dapat menerapkan koneksi yang tidak dilacak untuk mengurangi overhead dan meningkatkan kinerja. Untuk informasi selengkapnya lihat Koneksi [yang tidak dilacak](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).
Jika pelacakan koneksi diberlakukan baik dengan menggunakan aturan grup keamanan yang membatasi atau kueri dirutekan melalui Network Load Balancer (lihat [Koneksi yang dilacak secara otomatis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking)), kueri maksimum keseluruhan per detik per alamat IP untuk titik akhir bisa serendah 1500.
**Rekomendasi aturan Grup Keamanan masuk dan keluar untuk titik akhir Resolver masuk**
****
|
|
| **Aturan masuk** |
| --- |
| Jenis protokol | Nomor port | Sumber IP |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
| **Aturan jalan keluar** |
| --- |
| Jenis protokol | Nomor port | IP Tujuan |
| TCP | Semua | 0.0.0.0/0 |
| UDP | Semua | 0.0.0.0/0 |
**Rekomendasi aturan grup keamanan masuk dan keluar untuk titik akhir Resolver keluar**
****
|
|
| **Aturan masuk** |
| --- |
| Jenis protokol | Nomor port | Sumber IP |
| TCP | Semua | 0.0.0.0/0 |
| UDP | Semua | 0.0.0.0/0 |
| **Aturan jalan keluar** |
| --- |
| Jenis protokol | Nomor port | IP Tujuan |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
**catatan**
**Persyaratan port grup keamanan:**
**Endpoint inbound** memerlukan aturan ingress yang memungkinkan TCP dan UDP pada port 53 untuk menerima kueri DNS dari jaringan Anda. Aturan keluar dapat mengizinkan semua port karena titik akhir mungkin perlu menanggapi kueri dari berbagai port sumber.
**Titik akhir keluar** memerlukan aturan keluar yang memungkinkan akses TCP dan UDP ke port yang Anda gunakan untuk kueri DNS di jaringan Anda. Port 53 ditunjukkan pada contoh di atas karena ini adalah port DNS yang paling umum, tetapi jaringan Anda mungkin menggunakan port yang berbeda. Aturan Ingress dapat memungkinkan semua port untuk mengakomodasi respons dari server DNS Anda.
**Titik akhir Inbound Resolver**
Untuk klien yang menggunakan titik akhir Resolver masuk, kapasitas antarmuka jaringan elastis akan terpengaruh jika Anda memiliki lebih dari 40.000 alamat IP unik dan port kombinasi yang menghasilkan lalu lintas DNS.
# Ketersediaan tinggi untuk titik akhir Resolver
Saat Anda membuat titik akhir masuk VPC Resolver, Route 53 mengharuskan Anda membuat setidaknya dua alamat IP yang akan diteruskan kueri oleh resolver DNS di jaringan Anda. Anda juga harus menentukan alamat IP di setidaknya dua Availability Zone untuk redundansi.
Jika memerlukan lebih dari satu titik akhir antarmuka jaringan elastis agar tersedia setiap saat, kami sarankan Anda menambahkan setidaknya satu antarmuka jaringan melebihi kebutuhan, untuk memastikan Anda memiliki kapasitas tambahan yang tersedia untuk menangani kemungkinan lonjakan lalu lintas. Antarmuka jaringan tambahan juga memastikan ketersediaan selama operasi layanan seperti pemeliharaan atau peningkatan.
Untuk informasi lebih lanjut, lihat artikel blog terperinci ini: [Cara mencapai ketersediaan tinggi DNS dengan titik akhir Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-achieve-dns-high-availability-with-route-53-resolver-endpoints/) dan. [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir masuk](resolver-forwarding-inbound-queries-values.md)
# Zona DNS berjalan
Serangan zona DNS berjalan mencoba untuk mendapatkan semua konten dari zona DNS yang ditandatangani DNSSEC. Jika tim VPC Resolver mendeteksi pola lalu lintas yang cocok dengan yang dihasilkan saat zona DNS berjalan di titik akhir Anda, tim layanan akan membatasi lalu lintas di titik akhir Anda. Sebagai konsekuensinya, Anda mungkin melihat persentase tinggi pada batas waktu kueri DNS.
Jika Anda mengamati pengurangan kapasitas pada titik akhir Anda dan yakin bahwa titik akhir telah dibatasi secara keliru, pergilah ke https://console.aws.amazon.com/support/ rumah\$1/ untuk membuat kasus dukungan.