Menyelesaikan DNS kueri antara VPCs dan jaringan Anda - Amazon Route 53
Bagaimana DNS resolver di jaringan Anda meneruskan DNS kueri ke titik akhir Route 53 ResolverBagaimana Route 53 Resolver endpoint meneruskan DNS kueri dari jaringan Anda ke jaringan VPCsPertimbangan saat membuat titik akhir masuk dan keluar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyelesaikan DNS kueri antara VPCs dan jaringan Anda

Resolver berisi titik akhir yang Anda konfigurasikan untuk menjawab DNS kueri ke dan dari lingkungan lokal Anda.

catatan

Meneruskan DNS kueri pribadi ke VPC CIDR alamat+2 mana pun dari DNS server lokal Anda tidak didukung, dan dapat menyebabkan hasil yang tidak stabil. Sebagai gantinya, kami menyarankan Anda menggunakan titik akhir masuk Resolver.

Anda juga dapat mengintegrasikan DNS resolusi antara Resolver dan DNS resolver di jaringan Anda dengan mengonfigurasi aturan penerusan. Jaringan Anda dapat menyertakan jaringan apa pun yang dapat dijangkau dari AndaVPC, seperti berikut ini:

  • Itu VPC sendiri

  • Lain mengintip VPC

  • Jaringan lokal yang terhubung AWS dengan AWS Direct Connect, gateway terjemahan alamat jaringan (NAT)VPN, atau jaringan

Sebelum Anda mulai meneruskan kueri, Anda membuat titik akhir masuk dan/atau keluar Resolver di titik akhir yang terhubung. VPC Titik akhir ini menyediakan jalan untuk kueri masuk atau keluar:

Titik akhir masuk: DNS resolver di jaringan Anda dapat meneruskan kueri DNS ke Route 53 Resolver melalui titik akhir ini

Hal ini memungkinkan DNS resolver Anda untuk dengan mudah menyelesaikan nama domain untuk AWS sumber daya seperti EC2 instance atau catatan di zona host pribadi Route 53. Untuk informasi selengkapnya, lihat Bagaimana DNS resolver di jaringan Anda meneruskan DNS kueri ke titik akhir Route 53 Resolver.

Titik akhir keluar: Resolver meneruskan kueri DNS ke penyelesai di jaringan melalui titik akhir ini secara bersyarat

Untuk meneruskan kueri yang dipilih, Anda membuat aturan Resolver yang menentukan nama domain untuk DNS kueri yang ingin Anda teruskan (seperti example.com), dan alamat IP DNS resolver di jaringan yang ingin Anda teruskan kueri. Jika kueri cocok dengan beberapa aturan (example.com, acme.example.com), Resolver memilih aturan dengan kecocokan paling spesifik (acme.example.com) dan meneruskan kueri ke alamat IP yang Anda tentukan dalam aturan tersebut. Untuk informasi selengkapnya, lihat Bagaimana Route 53 Resolver endpoint meneruskan DNS kueri dari jaringan Anda ke jaringan VPCs.

Seperti AmazonVPC, Resolver bersifat regional. Di setiap wilayah yang Anda milikiVPCs, Anda dapat memilih apakah akan meneruskan kueri dari jaringan Anda VPCs ke jaringan Anda (kueri keluar), dari jaringan Anda ke VPCs (kueri masuk), atau keduanya.

Anda tidak dapat membuat titik akhir Resolver di tempat VPC yang tidak Anda miliki. Hanya VPC pemilik yang dapat membuat sumber daya VPC -level seperti titik akhir masuk.

catatan

Saat membuat titik akhir Resolver, Anda tidak dapat menentukan yang memiliki atribut penyewaan instance VPC yang disetel ke. dedicated Untuk informasi selengkapnya, lihat Menggunakan Resolver VPCs yang dikonfigurasi untuk penyewaan instance khusus.

Untuk menggunakan penerusan masuk atau keluar, Anda membuat titik akhir Resolver di. VPC Sebagai bagian dari definisi titik akhir, Anda menentukan alamat IP yang ingin Anda teruskan DNS kueri masuk atau alamat IP yang Anda inginkan dari kueri keluar. Untuk setiap alamat IP yang Anda tentukan, Resolver secara otomatis membuat VPC elastic network interface.

Diagram berikut menunjukkan jalur DNS kueri dari DNS resolver di jaringan Anda ke titik akhir Route 53 Resolver.

Grafik konseptual yang menunjukkan jalur DNS kueri dari DNS resolver di jaringan Anda ke titik akhir Route 53 Resolver.

Diagram berikut menunjukkan jalur DNS kueri dari sebuah EC2 instance di salah satu DNS resolver Anda VPCs ke jaringan Anda.

Grafik konseptual yang menunjukkan jalur DNS kueri dari jaringan Anda ke Route 53 Resolver.

Untuk gambaran umum tentang antarmuka VPC jaringan, lihat Antarmuka jaringan elastis di VPCPanduan Pengguna Amazon.

Topik

Bagaimana DNS resolver di jaringan Anda meneruskan DNS kueri ke titik akhir Route 53 Resolver

Saat ingin meneruskan DNS kueri dari jaringan ke titik akhir Route 53 Resolver di AWS Wilayah, Anda melakukan langkah-langkah berikut:

  1. Anda membuat titik akhir masuk Route 53 Resolver di a VPC dan menentukan alamat IP yang diteruskan kueri oleh resolver pada jaringan Anda. DNS

    Untuk setiap alamat IP yang Anda tentukan untuk titik akhir inbound, Resolver membuat VPC elastic network interface di VPC tempat Anda membuat titik akhir masuk.

  2. Anda mengonfigurasi resolver di jaringan Anda untuk meneruskan DNS kueri nama domain yang berlaku ke alamat IP yang Anda tentukan di titik akhir masuk. Untuk informasi selengkapnya, lihat Pertimbangan saat membuat titik akhir masuk dan keluar.

Berikut cara Resolver menyelesaikan DNS kueri yang berasal dari jaringan Anda:

  1. Browser web atau aplikasi lain di jaringan Anda mengirimkan DNS kueri untuk nama domain yang Anda teruskan ke Resolver.

  2. Penyelesai di jaringan Anda meneruskan kueri ke alamat IP di titik akhir masuk.

  3. Titik akhir masuk meneruskan kueri ke Resolver.

  4. Resolver mendapatkan nilai yang berlaku untuk nama domain dalam DNS kueri, baik secara internal atau dengan melakukan pencarian rekursif terhadap server nama publik.

  5. Resolver mengembalikan nilai ke titik akhir masuk.

  6. Titik akhir masuk mengembalikan nilai ke penyelesai di jaringan Anda.

  7. Penyelesai di jaringan Anda mengembalikan nilai ke aplikasi.

  8. Menggunakan nilai yang dikembalikan oleh Resolver, aplikasi mengirimkan permintaan, misalnya, HTTP permintaan untuk objek di bucket Amazon S3.

Membuat titik akhir masuk tidak mengubah perilaku Resolver, itu hanya menyediakan jalur dari lokasi di luar jaringan ke AWS Resolver.

Bagaimana Route 53 Resolver endpoint meneruskan DNS kueri dari jaringan Anda ke jaringan VPCs

Saat Anda ingin meneruskan DNS kueri dari EC2 instans di satu atau lebih VPCs di AWS Wilayah ke jaringan Anda, Anda melakukan langkah-langkah berikut.

  1. Anda membuat titik akhir keluar Route 53 Resolver di sebuahVPC, dan Anda menentukan beberapa nilai:

    • DNSPertanyaan VPC yang ingin Anda lewati dalam perjalanan ke resolver di jaringan Anda.

    • Alamat IP di tempat Anda VPC ingin Resolver meneruskan DNS kueri. Untuk host di jaringan Anda, ini adalah alamat IP tempat DNS kueri berasal.

    • Grup VPC keamanan

    Untuk setiap alamat IP yang Anda tentukan untuk titik akhir keluar, Resolver membuat antarmuka VPC elastis network Amazon dalam yang Anda tentukanVPC. Untuk informasi selengkapnya, lihat Pertimbangan saat membuat titik akhir masuk dan keluar.

  2. Anda membuat satu atau beberapa aturan, yang menentukan nama domain DNS kueri yang ingin diteruskan oleh Resolver ke resolver di jaringan Anda. Tentukan juga alamat IP penyelesai. Untuk informasi selengkapnya, lihat Menggunakan aturan untuk mengontrol kueri yang diteruskan ke jaringan Anda.

  3. Anda mengaitkan setiap aturan dengan VPCs yang ingin Anda teruskan DNS kueri ke jaringan Anda.

Menggunakan aturan untuk mengontrol kueri yang diteruskan ke jaringan Anda

Aturan mengontrol DNS kueri mana yang menentukan titik akhir Route 53 Resolver yang diteruskan ke DNS resolver di jaringan Anda dan pertanyaan mana yang menjawab Resolver itu sendiri.

Anda dapat mengategorikan aturan ke dalam beberapa cara. Salah satu caranya adalah siapa yang membuat aturan:

  • Aturan yang ditentukan otomatis - Resolver secara otomatis membuat aturan yang ditentukan secara otomatis dan mengaitkan aturan dengan aturan Anda. VPCs Sebagian besar aturan ini berlaku untuk nama domain AWS-spesifik yang Resolver menjawab kueri. Untuk informasi selengkapnya, lihat Nama domain dengan aturan sistem yang ditentukan secara otomatis yang dibuat oleh Resolver.

  • Aturan kustom - Anda membuat aturan khusus dan mengaitkan aturan denganVPCs. Saat ini, Anda hanya dapat membuat satu jenis aturan kustom, aturan penerusan bersyarat, juga dikenal sebagai aturan penerusan. Aturan penerusan menyebabkan Resolver meneruskan DNS kueri dari alamat IP Anda VPCs ke resolver di jaringan Anda. DNS

    Jika Anda membuat aturan penerusan untuk domain yang sama dengan aturan yang ditentukan otomatis, Resolver meneruskan kueri untuk nama domain tersebut ke resolver di jaringan Anda berdasarkan DNS pengaturan dalam aturan penerusan.

Cara lain untuk mengategorikan aturan adalah hal yang dilakukan:

  • Aturan penerusan bersyarat - Anda membuat aturan penerusan bersyarat (juga dikenal sebagai aturan penerusan) saat Anda ingin meneruskan DNS kueri untuk nama domain tertentu ke resolver di jaringan Anda. DNS

  • Aturan sistem – Aturan sistem membuat Resolver secara selektif menimpa perilaku yang ditentukan dalam aturan penerusan. Saat Anda membuat aturan sistem, Resolver menyelesaikan DNS kueri untuk subdomain tertentu yang akan diselesaikan oleh resolver di jaringan Anda. DNS

    Secara default, aturan penerusan berlaku untuk nama domain dan semua subdomainnya. Jika Anda ingin meneruskan kueri untuk domain ke penyelesai di jaringan tetapi Anda tidak ingin meneruskan kueri untuk beberapa subdomain, buatlah aturan sistem untuk subdomain. Misalnya, jika Anda membuat aturan penerusan untuk example.com tetapi tidak ingin meneruskan kueri untuk acme.example.com, buatlah aturan sistem dan tentukan acme.example.com untuk nama domain.

  • Aturan rekursif – Resolver secara otomatis membuat aturan rekursif bernama Resolver Internet. Aturan ini membuat Route 53 Resolver bertindak sebagai penyelesai rekursif untuk nama domain tanpa aturan kustom dan aturan yang ditentukan secara otomatis tidak dibuat oleh Resolver. Untuk informasi tentang cara menimpa perilaku ini, lihat "Meneruskan Semua Kueri ke Jaringan Anda" nanti dalam topik ini.

Anda dapat membuat aturan khusus yang berlaku untuk nama domain tertentu (milik Anda atau sebagian besar nama AWS domain), ke nama AWS domain publik, atau ke semua nama domain.

Meneruskan kueri untuk nama domain tertentu ke jaringan Anda

Untuk meneruskan kueri bagi nama domain tertentu, seperti example.com, ke jaringan Anda, buatlah aturan dan tentukan nama domain tersebut. Anda juga menentukan alamat IP DNS resolver di jaringan Anda yang ingin Anda teruskan kueri. Anda kemudian mengaitkan setiap aturan dengan VPCs yang ingin Anda teruskan DNS kueri ke jaringan Anda. Misalnya, Anda dapat membuat aturan terpisah untuk example.com, example.org, dan example.net. Kemudian Anda dapat mengaitkan aturan dengan VPCs di AWS Wilayah dalam kombinasi apa pun.

Meneruskan kueri untuk amazonaws.com ke jaringan Anda

Nama domain amazonaws.com adalah nama domain publik untuk AWS sumber daya seperti EC2 instance dan bucket S3. Jika ingin meneruskan kueri untuk amazonaws.com ke jaringan Anda, buat aturan, tentukan amazonaws.com untuk nama domain, dan tentukan Teruskan untuk jenis aturan.

catatan

Resolver tidak secara otomatis meneruskan DNS kueri untuk beberapa subdomain amazonaws.com bahkan jika Anda membuat aturan penerusan untuk amazonaws.com. Untuk informasi selengkapnya, lihat Nama domain dengan aturan sistem yang ditentukan secara otomatis yang dibuat oleh Resolver. Untuk informasi tentang cara menimpa perilaku ini, segera lihat "Meneruskan Semua Kueri ke Jaringan Anda" berikut.

Meneruskan semua kueri ke jaringan Anda

Jika Anda ingin meneruskan semua kueri ke jaringan Anda, Anda membuat aturan, tentukan “.” (dot) untuk nama domain, dan kaitkan aturan dengan yang Anda inginkan VPCs untuk meneruskan semua DNS kueri ke jaringan Anda. Resolver masih tidak meneruskan semua DNS kueri ke jaringan Anda karena menggunakan DNS resolver di luar akan merusak beberapa fungsionalitas. AWS Misalnya, beberapa nama AWS domain internal memiliki rentang alamat IP internal yang tidak dapat diakses dari luar AWS. Untuk daftar nama domain dengan kueri yang tidak diteruskan ke jaringan saat Anda membuat aturan untuk ".", lihat Nama domain dengan aturan sistem yang ditentukan secara otomatis yang dibuat oleh Resolver.

Namun, aturan sistem yang ditentukan secara otomatis untuk reverse DNS dapat dinonaktifkan, memungkinkan aturan “.” untuk meneruskan semua DNS kueri terbalik ke jaringan Anda. Untuk informasi selengkapnya tentang cara menonaktifkan aturan yang ditentukan secara otomatis, lihatAturan penerusan untuk DNS kueri terbalik di Resolver.

Jika Anda ingin mencoba meneruskan DNS kueri untuk semua nama domain ke jaringan Anda, termasuk nama domain yang dikecualikan dari penerusan secara default, Anda dapat membuat aturan “.” dan lakukan salah satu hal berikut:

penting

Jika Anda meneruskan semua nama domain ke jaringan, termasuk nama domain yang dikecualikan Resolver ketika Anda membuat aturan ".", beberapa fitur mungkin berhenti bekerja.

Cara Resolver menentukan apakah nama domain dalam kueri cocok dengan aturan

Route 53 Resolver membandingkan nama domain dalam DNS kueri dengan nama domain dalam aturan yang terkait dengan asal kueri VPC tersebut. Resolver menganggap nama domain cocok dalam kasus berikut:

  • Nama domain cocok

  • Nama domain dalam kueri adalah subdomain dari nama domain dalam aturan

Misalnya, jika nama domain dalam aturan adalah acme.example.com, Resolver menganggap nama domain berikut dalam kueri cocok: DNS

  • acme.example.com

  • zenith.acme.example.com

Nama domain berikut tidak cocok:

  • contoh.com

  • nadir.example.com

Jika nama domain dalam kueri cocok dengan nama domain di lebih dari satu aturan (seperti example.com dan www.example.com), Resolver merutekan DNS kueri keluar menggunakan aturan yang berisi nama domain paling spesifik (www.example.com).

Bagaimana Resolver menentukan tempat untuk meneruskan kueri DNS

Ketika aplikasi yang berjalan pada EC2 instance dalam VPC mengirimkan DNS kueri, Route 53 Resolver melakukan langkah-langkah berikut:

  1. Resolver memeriksa nama domain dalam aturan.

    Jika nama domain dalam kueri cocok dengan nama domain dalam aturan, Resolver meneruskan permintaan ke alamat IP yang Anda tentukan ketika membuat titik akhir keluar. Titik akhir keluar kemudian meneruskan kueri ke alamat IP penyelesai pada jaringan Anda, yang ditentukan ketika Anda membuat aturan.

    Untuk informasi selengkapnya, lihat Cara Resolver menentukan apakah nama domain dalam kueri cocok dengan aturan.

  2. Titik akhir Resolver meneruskan DNS kueri berdasarkan pengaturan dalam aturan “.”.

    Jika nama domain dalam kueri tidak cocok dengan nama domain dalam aturan lain, Rdesolver meneruskan kueri berdasarkan pengaturan dalam aturan "." (dot) yang ditentukan secara otomatis. Aturan dot berlaku untuk semua nama domain kecuali beberapa nama domain AWS internal dan nama rekaman di zona host pribadi. Aturan ini menyebabkan Resolver meneruskan DNS kueri ke server nama publik jika nama domain dalam kueri tidak cocok dengan nama apa pun dalam aturan penerusan kustom Anda. Jika Anda ingin meneruskan semua kueri ke DNS resolver di jaringan Anda, Anda dapat membuat aturan penerusan kustom, menentukan “.” untuk nama domain, tentukan Penerusan untuk Jenis, dan tentukan alamat IP dari resolver tersebut.

  3. Resolver mengembalikan respons ke aplikasi yang mengirimkan kueri.

Menggunakan aturan di beberapa Wilayah

Route 53 Resolver adalah layanan regional, sehingga objek yang Anda buat di satu AWS Wilayah hanya tersedia di Wilayah tersebut. Untuk menggunakan aturan yang sama di lebih dari satu Wilayah, Anda harus membuat aturan di setiap Wilayah.

AWS Akun yang membuat aturan dapat berbagi aturan dengan AWS akun lain. Untuk informasi selengkapnya, lihat Berbagi aturan Resolver dengan AWS akun lain dan menggunakan aturan bersama.

Nama domain dengan aturan sistem yang ditentukan secara otomatis yang dibuat oleh Resolver

Resolver secara otomatis membuat aturan sistem yang ditentukan secara otomatis yang menentukan cara kueri untuk domain yang dipilih diselesaikan secara default:

  • Untuk zona yang dihosting pribadi dan untuk nama domain EC2 khusus Amazon (seperti compute.amazonaws.com dan compute.internal), aturan yang ditentukan secara otomatis memastikan bahwa zona dan EC2 instance yang dihosting pribadi terus diselesaikan jika Anda membuat aturan penerusan bersyarat untuk nama domain yang kurang spesifik seperti “.” (dot) atau “com”.

  • Untuk nama domain yang dicadangkan secara publik (seperti localhost dan 10.in-addr.arpa), praktik DNS terbaik merekomendasikan agar kueri dijawab secara lokal alih-alih diteruskan ke server nama publik. Lihat RFC6303, Zona yang Dilayani Secara Lokal. DNS

catatan

Jika Anda membuat aturan penerusan bersyarat untuk "." (dot) atau "com", kami sarankan agar Anda juga membuat aturan sistem untuk amazonaws.com. (Aturan sistem menyebabkan Resolver menyelesaikan DNS kueri untuk domain dan subdomain tertentu secara lokal.) Membuat aturan sistem ini dapat meningkatkan performa, mengurangi jumlah kueri yang diteruskan ke jaringan Anda, dan mengurangi biaya Resolver.

Jika ingin menimpa aturan yang ditentukan secara otomatis, Anda dapat membuat aturan penerusan bersyarat untuk nama domain yang sama.

Anda juga dapat menonaktifkan beberapa aturan yang ditentukan secara otomatis. Untuk informasi selengkapnya, lihat Aturan penerusan untuk DNS kueri terbalik di Resolver.

Resolver membuat aturan yang ditentukan secara otomatis berikut.

Aturan untuk zona yang di-hosting privat

Untuk setiap zona host pribadi yang Anda kaitkan dengan aVPC, Resolver membuat aturan dan mengaitkannya dengan. VPC Jika Anda mengaitkan zona host pribadi dengan beberapaVPCs, Resolver mengaitkan aturan dengan yang sama. VPCs

Aturan memiliki jenis Teruskan.

Aturan untuk berbagai nama domain AWS internal

Semua aturan untuk nama domain internal di bagian ini memiliki jenis Teruskan. Resolver meneruskan DNS kueri untuk nama domain ini ke server nama otoritatif untuk. VPC

catatan

Resolver membuat sebagian besar aturan ini saat Anda menyetel enableDnsHostnames flag untuk aVPC. true Resolver membuat aturan bahkan jika Anda tidak menggunakan titik akhir Resolver.

Resolver membuat aturan yang ditentukan otomatis berikut dan mengaitkannya dengan VPC saat Anda menyetel enableDnsHostnames flag untuk: VPC true

  • Region-name.compute.internal, misalnya, eu-west-1.compute.internal. Wilayah us-east-1 tidak menggunakan nama domain ini.

  • Region-name.menghitung.amazon-domain-name, misalnya, eu-west-1.compute.amazonaws.com atau cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. Wilayah us-east-1 tidak menggunakan nama domain ini.

  • ec2.internal. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.

  • compute-1.internal. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.

  • compute-1.amazonaws.com. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.

Aturan yang ditentukan otomatis berikut adalah untuk DNS pencarian terbalik untuk aturan yang dibuat Resolver saat Anda menyetel enableDnsHostnames flag untuk to. VPC true

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa melalui 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Aturan untuk masing-masing CIDR rentang untukVPC. Misalnya, jika a VPC yang memiliki CIDR rentang 10.0.0.0/23, Resolver membuat aturan berikut:

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Aturan yang ditentukan otomatis berikut, untuk domain terkait host lokal, juga dibuat dan dikaitkan dengan VPC saat Anda menyetel flag untuk: enableDnsHostnames VPC true

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver membuat aturan yang ditentukan otomatis berikut dan mengaitkannya dengan aturan Anda VPC saat Anda menghubungkannya dengan yang lain VPC melalui gateway transit atau VPC peering, dan VPC dengan dukungan diaktifkan: DNS

  • DNSPencarian terbalik untuk rentang alamat IP rekan, misalnya, VPC 0.192.in-addr.arpa

    Jika Anda menambahkan IPv4 CIDR blok keVPC, Resolver menambahkan aturan yang ditentukan secara otomatis untuk rentang alamat IP baru.

  • Jika yang lain VPC berada di Wilayah lain, nama domain berikut:

    • Region-name.compute.internal. Wilayah us-east-1 tidak menggunakan nama domain ini.

    • Region-name.menghitung.amazon-domain-name. Wilayah us-east-1 tidak menggunakan nama domain ini.

    • ec2.internal. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.

    • compute-1.amazonaws.com. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.

Aturan untuk semua domain lainnya

Resolver membuat aturan "." (dot) yang berlaku untuk semua nama domain yang tidak ditentukan sebelumnya dalam topik ini. Aturan "." memiliki jenis Rekursif, yang berarti bahwa aturan membuat Resolver bertindak sebagai penyelesai rekursif.

Pertimbangan saat membuat titik akhir masuk dan keluar

Sebelum Anda membuat titik akhir Resolver masuk dan keluar di AWS Wilayah, pertimbangkan masalah berikut.

Jumlah titik akhir masuk dan keluar di setiap Wilayah

Ketika Anda ingin mengintegrasikan DNS untuk VPCs di AWS Wilayah dengan DNS untuk jaringan Anda, Anda biasanya memerlukan satu titik akhir masuk Resolver (untuk DNS kueri yang diteruskan ke AndaVPCs) dan satu titik akhir keluar (untuk kueri yang diteruskan dari jaringan Anda ke jaringan Anda). VPCs Anda dapat membuat beberapa titik akhir masuk dan beberapa titik akhir keluar, tetapi satu titik akhir masuk atau keluar cukup untuk menangani kueri untuk setiap arah masing-masing. DNS Perhatikan hal berikut:

  • Untuk setiap titik akhir Resolver, Anda menentukan dua atau lebih alamat IP di Availability Zone yang berbeda. Setiap alamat IP di titik akhir dapat menangani sejumlah besar DNS kueri per detik. (Untuk jumlah maksimum kueri saat ini per detik per alamat IP di titik akhir, lihat Kuota pada Route 53 Resolver.) Jika membutuhkan Resolver untuk menangani lebih banyak kueri, Anda dapat menambahkan lebih banyak alamat IP ke titik akhir yang ada, alih-alih menambahkan titik akhir lain.

  • Harga penyelesai didasarkan pada jumlah alamat IP di titik akhir Anda dan pada jumlah DNS kueri yang diproses titik akhir. Setiap titik akhir mencakup minimal dua alamat IP. Untuk informasi selengkapnya tentang harga Resolver, lihat Harga Amazon Route 53.

  • Setiap aturan menentukan titik akhir keluar dari mana DNS kueri diteruskan. Jika Anda membuat beberapa titik akhir keluar di AWS Wilayah dan Anda ingin mengaitkan beberapa atau semua aturan Resolver dengan masing-masingVPC, Anda perlu membuat beberapa salinan aturan tersebut.

Menggunakan hal yang sama VPC untuk titik akhir masuk dan keluar

Anda dapat membuat titik akhir masuk dan keluar di tempat yang sama VPC atau berbeda VPCs di Wilayah yang sama.

Untuk informasi selengkapnya, lihat Praktik terbaik untuk Amazon Route 53.

Titik akhir masuk dan zona yang di-hosting privat

Jika Anda ingin Resolver menyelesaikan DNS kueri masuk menggunakan catatan di zona host pribadi, kaitkan zona host pribadi dengan tempat VPC Anda membuat titik akhir masuk. Untuk informasi tentang mengaitkan zona yang dihosting pribadi denganVPCs, lihatBekerja dengan zona yang di-hosting privat.

VPCmengintip

Anda dapat menggunakan salah satu VPC di AWS Wilayah untuk titik akhir masuk atau keluar terlepas dari apakah yang Anda pilih diintip dengan VPC yang lain. VPCs Untuk informasi selengkapnya, lihat VPCpeering Amazon Virtual Private Cloud.

Alamat IP dalam subnet bersama

Saat Anda membuat titik akhir masuk atau keluar, Anda dapat menentukan alamat IP di subnet bersama hanya jika akun saat ini membuat. VPC Jika akun lain membuat VPC dan berbagi subnet di akun Anda, Anda tidak dapat menentukan alamat IP di subnet tersebut. VPC Untuk informasi selengkapnya tentang subnet bersama, lihat Bekerja dengan dibagikan VPCs di Panduan VPC Pengguna Amazon.

Koneksi antara jaringan Anda dan titik akhir VPCs yang Anda buat

Anda harus memiliki salah satu koneksi berikut antara jaringan Anda dan titik akhir VPCs yang Anda buat di:

Ketika berbagi aturan, Anda juga berbagi titik akhir keluar

Saat membuat aturan, Anda menentukan titik akhir keluar yang ingin digunakan Resolver untuk meneruskan DNS kueri ke jaringan Anda. Jika Anda membagikan aturan dengan AWS akun lain, Anda juga secara tidak langsung membagikan titik akhir keluar yang Anda tentukan dalam aturan. Jika Anda menggunakan lebih dari satu AWS akun untuk membuat VPCs di AWS Wilayah, Anda dapat melakukan hal berikut:

  • Buat satu titik akhir keluar di Wilayah.

  • Buat aturan menggunakan satu AWS akun.

  • Bagikan aturan dengan semua AWS akun yang dibuat VPCs di Wilayah.

Ini memungkinkan Anda menggunakan satu titik akhir keluar di Wilayah untuk meneruskan DNS kueri ke jaringan Anda dari beberapa VPCs meskipun VPCs dibuat menggunakan akun yang berbeda. AWS

Memilih protokol untuk titik akhir

Protokol endpoint menentukan bagaimana data ditransmisikan ke titik akhir masuk dan dari titik akhir keluar. Enkripsi DNS kueri untuk VPC lalu lintas tidak diperlukan karena setiap aliran paket pada jaringan secara individual diotorisasi terhadap aturan untuk memvalidasi sumber dan tujuan yang benar sebelum ditransmisikan dan dikirim. Sangat tidak mungkin bagi informasi untuk secara sewenang-wenang melewati antar entitas tanpa secara khusus diberi wewenang oleh entitas pengirim dan penerima. Jika sebuah paket dialihkan ke tujuan tanpa aturan yang cocok dengannya, paket tersebut dijatuhkan. Untuk informasi selengkapnya, lihat VPCfitur.

Protokol yang tersedia adalah:

  • Do53: DNS lebih dari port 53. Data disampaikan dengan menggunakan Resolver Route 53 tanpa enkripsi tambahan. Meskipun data tidak dapat dibaca oleh pihak eksternal, data dapat dilihat di dalam AWS jaringan. Menggunakan salah satu UDP atau TCP untuk mengirim paket. Do53 terutama digunakan untuk lalu lintas di dalam dan di antara AmazonVPCs.

  • DoH: Data ditransmisikan melalui sesi terenkripsi. HTTPS DoH menambahkan tingkat keamanan tambahan di mana data tidak dapat didekripsi oleh pengguna yang tidak sah, dan tidak dapat dibaca oleh siapa pun kecuali penerima yang dituju.

  • DoH-FIPS: Data ditransmisikan melalui HTTPS sesi terenkripsi yang sesuai dengan standar kriptografi FIPS 140-2. Didukung hanya untuk titik akhir inbound. Untuk informasi lebih lanjut, lihat FIPSPUB140-2.

Untuk titik akhir inbound, Anda dapat menerapkan protokol sebagai berikut:

  • Do53 dan DoH dalam kombinasi.

  • Do53 dan DoH- FIPS dalam kombinasi.

  • Do53 sendiri.

  • DoH sendiri.

  • DoH- FIPS sendirian.

  • Tidak ada, yang diperlakukan sebagai Do53.

Untuk titik akhir keluar, Anda dapat menerapkan protokol sebagai berikut:

  • Do53 dan DoH dalam kombinasi.

  • Do53 sendiri.

  • DoH sendiri.

  • Tidak ada, yang diperlakukan sebagai Do53.

Lihat juga Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir masuk dan Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar.

Menggunakan Resolver VPCs yang dikonfigurasi untuk penyewaan instance khusus

Saat membuat titik akhir Resolver, Anda tidak dapat menentukan yang memiliki atribut penyewaan instance VPC yang disetel ke. dedicated Resolver tidak berjalan di perangkat keras penghuni tunggal.

Anda masih dapat menggunakan Resolver untuk menyelesaikan DNS kueri yang berasal dari file. VPC Buat setidaknya satu VPC yang memiliki atribut penyewaan instance yang disetel kedefault, dan tentukan itu VPC saat Anda membuat titik akhir masuk dan keluar.

Saat Anda membuat aturan penerusan, Anda dapat mengaitkannya dengan aturan apa punVPC, terlepas dari pengaturan untuk atribut penyewaan instance.