Meneruskan kueri DNS keluar ke jaringan Anda - Amazon Route 53
Mengonfigurasi penerusan keluarNilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluarNilai yang Anda tentukan ketika membuat atau mengedit aturan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meneruskan kueri DNS keluar ke jaringan Anda

Untuk meneruskan kueri DNS yang berasal dari EC2 instans Amazon dalam satu atau beberapa VPCs ke jaringan Anda, Anda membuat titik akhir keluar dan satu atau beberapa aturan:

Titik akhir keluar

Untuk meneruskan kueri DNS dari jaringan Anda VPCs ke jaringan Anda, Anda membuat titik akhir keluar. Titik akhir keluar menentukan alamat IP tempat kueri berasal. Alamat IP tersebut, yang Anda pilih dari kisaran alamat IP yang tersedia untuk VPC, bukanlah alamat IP publik. Ini berarti bahwa, untuk setiap titik akhir keluar, Anda perlu menghubungkan VPC ke jaringan menggunakan koneksi AWS Direct Connect , koneksi VPN, atau gateway penerjemahan alamat jaringan (NAT). Perhatikan bahwa Anda dapat menggunakan titik akhir keluar yang sama untuk beberapa VPCs di Wilayah yang sama, atau Anda dapat membuat beberapa titik akhir keluar. Jika ingin titik akhir keluar digunakan DNS64, Anda dapat mengaktifkan DNS64 menggunakan Amazon Virtual Private Cloud. Untuk informasi selengkapnya, lihat DNS64 dan NAT64 di Panduan Pengguna Amazon VPC.

IP target dari aturan Resolver Route 53 dipilih secara acak oleh Resolver dan tidak ada preferensi untuk memilih IP target tertentu di atas yang lain. Jika IP target tidak menanggapi permintaan DNS yang diteruskan, Resolver akan mencoba lagi ke alamat IP acak di antara target. IPs

Pastikan bahwa semua alamat IP target dapat dijangkau dari titik akhir Resolver. Jika Resolver tidak dapat meneruskan kueri DNS keluar ke salah satu IP target, itu dapat menyebabkan waktu resolusi DNS diperpanjang.

Aturan

Untuk menentukan nama domain kueri yang ingin diteruskan ke penyelesai DNS di jaringan Anda, buatlah satu atau lebih aturan. Setiap aturan menentukan satu nama domain. Anda kemudian mengaitkan aturan dengan VPCs yang ingin Anda teruskan kueri ke jaringan Anda.

Untuk informasi selengkapnya, lihat topik berikut.

Mengonfigurasi penerusan keluar

Untuk mengonfigurasi Resolver agar meneruskan kueri DNS yang berasal dari VPC ke jaringan, lakukan prosedur berikut.

penting

Setelah Anda membuat titik akhir keluar, Anda harus membuat satu atau beberapa aturan dan mengaitkannya dengan satu atau lebih. VPCs Untuk menentukan nama domain kueri DNS yang ingin diteruskan ke jaringan Anda.

Cara membuat titik akhir keluar

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Titik akhir keluar.

  3. Pada bilah navigasi, pilih Wilayah tempat Anda ingin membuat titik akhir keluar.

  4. Pilih Buat titik akhir keluar.

  5. Masukkan nilai yang berlaku. Untuk informasi selengkapnya, lihat Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar.

  6. Pilih Buat.

    catatan

    Membuat titik akhir keluar membutuhkan waktu satu atau dua menit. Anda tidak dapat membuat titik akhir keluar lain hingga yang pertama selesai dibuat.

  7. Membuat satu atau lebih aturan untuk menentukan nama domain kueri DNS yang ingin diteruskan ke jaringan Anda. Untuk informasi selengkapnya, lihat prosedur berikutnya.

Untuk membuat satu atau lebih aturan penerusan, lakukan prosedur berikut.

Untuk membuat aturan penerusan dan mengaitkan aturan dengan satu atau lebih VPCs

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Aturan.

  3. Pada bilah navigasi, pilih Wilayah tempat Anda ingin membuat aturan.

  4. Pilih Buat aturan.

  5. Masukkan nilai yang berlaku. Untuk informasi selengkapnya, lihat Nilai yang Anda tentukan ketika membuat atau mengedit aturan.

  6. Pilih Simpan.

  7. Untuk menambahkan aturan lain, ulangi langkah 4 hingga 6.

Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar

Saat Anda membuat atau mengedit titik akhir keluar, tentukan nilai berikut:

outpost-id

Jika Anda membuat endpoint untuk Resolver pada AWS Outposts VPC, ini adalah ID. AWS Outposts

Nama titik akhir

Nama ramah yang memudahkan Anda menemukan titik akhir keluar di dasbor.

VPC dalam Wilayah region-name

Semua kueri DNS keluar akan mengalir melalui VPC ini dalam perjalanan ke jaringan Anda.

Grup keamanan untuk titik akhir ini

ID salah satu atau beberapa grup keamanan yang ingin Anda gunakan untuk mengendalikan akses ke VPC ini. Grup keamanan yang Anda tentukan harus menyertakan satu atau lebih aturan keluar. Aturan keluar harus mengizinkan akses TCP dan UDP di port yang Anda gunakan untuk kueri DNS di jaringan. Anda tidak dapat mengubah nilai ini setelah membuat titik akhir.

Beberapa aturan grup keamanan akan menyebabkan koneksi Anda dilacak dan berpotensi memengaruhi kueri maksimum per detik dari titik akhir keluar ke server nama target Anda. Untuk menghindari pelacakan koneksi yang disebabkan oleh grup keamanan, lihat Koneksi yang tidak dilacak.

Untuk informasi selengkapnya, lihat Grup keamanan untuk VPC Anda di Panduan pengguna Amazon VPC.

Jenis titik akhir

Jenis endpoint dapat berupa IPv4, IPv6, atau alamat IP dual-stack. Untuk titik akhir dual-stack, titik akhir akan memiliki keduanya IPv4 dan IPv6 alamat yang dapat diteruskan oleh resolver DNS Anda di jaringan Anda.

catatan

Untuk alasan keamanan, kami menolak akses IPv6 lalu lintas langsung ke internet publik untuk semua alamat dual-stack dan IPv6 IP.

Alamat IP

Alamat IP di VPC yang menjadi tujuan penerusan kueri DNS yang dilakukan oleh Resolver saat dalam perjalanan ke penyelesai di jaringan. Ini bukan alamat IP dari resolver DNS di jaringan Anda; Anda menentukan alamat IP resolver saat Anda membuat aturan yang Anda kaitkan dengan satu atau lebih. VPCs Kami mengharuskan Anda untuk menentukan minimal dua alamat IP untuk redundansi.

catatan

Titik akhir Resolver memiliki alamat IP pribadi. Alamat IP ini tidak akan berubah selama masa hidup titik akhir.

Perhatikan hal berikut:

Beberapa Availability Zone

Kami menyarankan Anda menentukan alamat IP di setidaknya dua Availability Zone. Secara opsional Anda dapat menentukan alamat IP tambahan di Availability Zone tersebut atau lainnya.

Alamat IP dan antarmuka jaringan elastis Amazon VPC

Untuk setiap kombinasi Availability Zone, Subnet, dan alamat IP yang Anda tentukan, penyelesai membuat antarmuka jaringan elastis Amazon VPC. Untuk jumlah maksimum kueri DNS saat ini per detik per alamat IP di titik akhir, lihat Kuota pada Route 53 Resolver. Untuk informasi tentang harga untuk setiap elastic network interface, lihat “Amazon Route 53" di halaman harga Amazon Route 53.

Urutan alamat IP

Anda dapat menentukan alamat IP dalam urutan apa pun. Ketika meneruskan kueri DNS, penyelesai tidak memilih alamat IP berdasarkan urutan pencantuman alamat IP.

Untuk setiap alamat IP, tentukan nilai berikut. Setiap alamat IP harus berada dalam Availability Zone di VPC yang Anda tentukan di VPC dalam Wilayah region-name.

Zona Ketersediaan

Availability Zone yang akan dilewati kueri DNS dalam perjalanan ke jaringan Anda. Availability Zone yang Anda tentukan harus dikonfigurasi dengan subnet.

Subnet

Subnet yang berisi alamat IP tempat kueri DNS berasal dari dalam perjalanan ke jaringan Anda. Subnet harus memiliki alamat IP yang tersedia.

Alamat IP subnet harus sesuai dengan tipe Endpoint.

Alamat IP

Alamat IP tempat kueri DNS berasal dari dalam perjalanan ke jaringan Anda.

Pilih apakah Anda ingin Resolver untuk memilih alamat IP untuk Anda dari alamat IP yang tersedia di subnet yang ditentukan, atau Anda ingin menentukan alamat IP sendiri.

Jika Anda memilih untuk menentukan alamat IP sendiri, masukkan IPv6 alamat IPv4 atau, atau keduanya.

Protokol

Protokol endpoint menentukan bagaimana data ditransmisikan dari titik akhir keluar. Pilih protokol, atau protokol, tergantung pada tingkat keamanan yang dibutuhkan.

  • Do53: (Default) Data diteruskan menggunakan Route 53 Resolver tanpa enkripsi tambahan. Meskipun data tidak dapat dibaca oleh pihak eksternal, data dapat dilihat di dalam AWS jaringan.

  • DoH: Data ditransmisikan melalui sesi HTTPS terenkripsi. DoH menambahkan tingkat keamanan tambahan di mana data tidak dapat didekripsi oleh pengguna yang tidak sah, dan tidak dapat dibaca oleh siapa pun kecuali penerima yang dituju.

Untuk titik akhir keluar, Anda dapat menerapkan protokol sebagai berikut:

  • Do53 dan DoH dalam kombinasi.

  • Do53 sendiri.

  • DoH sendiri.

  • Tidak ada, yang diperlakukan sebagai Do53.

Tanda

Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan Pusat biaya untuk Kunci dan menentukan 456 untuk Nilai.

Nilai yang Anda tentukan ketika membuat atau mengedit aturan

Saat Anda membuat atau mengedit aturan penerusan, tentukan nilai berikut:

Nama aturan

Nama ramah yang memudahkan Anda menemukan aturan di dasbor.

Jenis aturan

Pilih nilai yang sesuai:

  • Teruskan – Pilih opsi ini ketika Anda ingin meneruskan kueri DNS untuk nama domain tertentu ke penyelesai di jaringan.

  • Sistem – Pilih opsi ini ketika Anda ingin Resolver menimpa secara selektif perilaku yang ditentukan dalam aturan penerusan. Ketika Anda membuat aturan sistem, Resolver menyelesaikan kueri DNS untuk subdomain tertentu yang sebaliknya akan diselesaikan oleh penyelesai DNS di jaringan Anda.

Secara default, aturan penerusan berlaku untuk nama domain dan semua subdomainnya. Jika Anda ingin meneruskan kueri untuk domain ke penyelesai di jaringan tetapi Anda tidak ingin meneruskan kueri untuk beberapa subdomain, buatlah aturan sistem untuk subdomain. Misalnya, jika Anda membuat aturan penerusan untuk example.com tetapi tidak ingin meneruskan kueri untuk acme.example.com, buatlah aturan sistem dan tentukan acme.example.com untuk nama domain.

VPCs yang menggunakan aturan ini

VPCs Yang menggunakan aturan ini untuk meneruskan kueri DNS untuk nama domain tertentu atau nama. Anda dapat menerapkan aturan untuk VPCs sebanyak yang Anda inginkan.

Nama domain

Kueri DNS untuk nama domain ini diteruskan ke alamat IP yang ditentukan dalam Alamat IP target. Untuk informasi selengkapnya, lihat Cara Resolver menentukan apakah nama domain dalam kueri cocok dengan aturan.

Titik akhir keluar

Resolver meneruskan kueri DNS melalui titik akhir keluar yang Anda tentukan di sini ke alamat IP yang Anda tentukan di Alamat IP target.

Alamat IP target

Jika kueri DNS cocok dengan nama domain yang Anda tentukan dalam Nama domain, titik akhir keluar meneruskan kueri ke alamat IP yang Anda tentukan di sini. Biasanya, ini adalah alamat IP penyelesai DNS pada jaringan Anda.

Alamat IP target tersedia hanya ketika nilai Jenis aturan adalah Teruskan.

Tentukan IPv4 atau IPv6 alamat, protokol, dan yang ingin ServerNameIndication Anda gunakan untuk titik akhir. ServerNameIndication hanya berlaku jika protokol yang dipilih adalah DoH.

Menyelesaikan alamat IP target FQDN dari resolver DoH di jaringan Anda melalui titik akhir keluar tidak didukung. Titik akhir keluar memerlukan alamat IP target resolver DoH di jaringan Anda untuk meneruskan kueri DoH ke. Jika resolver DoH di jaringan Anda membutuhkan FQDN di TLS SNI dan di header Host HTTP, harus disediakan. ServerNameIndication

ServerNameIndication

Indikasi Nama Server server DoH yang ingin Anda teruskan kueri. Ini hanya digunakan jika Protokol adalah DoH.

Tanda

Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan Pusat biaya untuk Kunci dan menentukan 456 untuk Nilai.

Ini adalah tag yang AWS Billing and Cost Management menyediakan untuk mengatur AWS tagihan Anda. Untuk informasi selengkapnya tentang penggunaan tanda untuk alokasi biaya, lihat Menggunakan tanda alokasi biaya dalam Panduan Pengguna AWS Billing .