Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Apa itu Route 53 VPC Resolver?
<a name="resolver"></a>

Route 53 VPC Resolver merespons secara rekursif kueri DNS dari sumber daya AWS untuk catatan publik, nama DNS khusus Amazon VPC, dan zona host pribadi Amazon Route 53, dan tersedia secara default di semua. VPCs 

**catatan**  
Route 53 VPC Resolver sebelumnya disebut Route 53 Resolver, tetapi diganti namanya ketika Route 53 Global Resolver diperkenalkan.

VPC Amazon terhubung ke Resolver VPC di alamat IP VPC\$12. Alamat VPC\$12 ini terhubung ke Resolver VPC dalam Availability Zone. 

Resolver VPC secara otomatis menjawab kueri DNS untuk:
+ Nama domain VPC lokal untuk instans EC2 (misalnya, ec2-192-0-2-44.compute-1.amazonaws.com).

  
+ Rekaman di zona host pribadi (misalnya, acme.example.com).
+ Untuk nama domain publik, VPC Resolver melakukan pencarian rekursif terhadap server nama publik di internet.

 

Jika Anda memiliki beban kerja yang memanfaatkan sumber daya lokal VPCs dan sumber daya lokal, Anda juga perlu menyelesaikan catatan DNS yang dihosting di lokasi. Demikian pula, sumber daya lokal ini mungkin perlu menyelesaikan nama yang dihosting. AWS Melalui titik akhir Resolver dan aturan penerusan bersyarat, Anda dapat menyelesaikan kueri DNS antara sumber daya lokal dan VPCs membuat pengaturan cloud hybrid melalui VPN atau Direct Connect (DX). Secara khusus:
+ Titik akhir Inbound Resolver memungkinkan kueri DNS ke VPC Anda dari jaringan lokal atau VPC lain.
+ Titik akhir Outbound Resolver memungkinkan kueri DNS dari VPC ke jaringan lokal atau VPC lain. 
+ Aturan penyelesai memungkinkan Anda membuat satu aturan penerusan untuk setiap nama domain dan menentukan nama domain yang ingin Anda teruskan kueri DNS dari VPC ke resolver DNS lokal dan dari lokal ke VPC Anda. Aturan diterapkan langsung ke VPC Anda dan dapat dibagikan di beberapa akun. 

Diagram berikut menunjukkan resolusi DNS hybrid dengan titik akhir Resolver. Perhatikan bahwa diagram disederhanakan untuk menampilkan hanya satu Availability Zone.

![\[Grafik konseptual yang menunjukkan jalur kueri DNS dari VPC ke penyimpanan data lokal melalui titik akhir keluar Route 53 VPC Resolver dan jalur dari penyelesai DNS di titik akhir masuk jaringan Anda kembali ke VPC.\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/images/Resolver-routing.png)


Diagram ini menggambarkan langkah-langkah berikut:

**Keluar (panah padat 1—5):**

1. Instans Amazon EC2 perlu menyelesaikan kueri DNS ke domain internal.example.com. Server DNS otoritatif berada di pusat data lokal. Kueri DNS ini dikirim ke VPC\$12 di VPC yang terhubung ke VPC Resolver.

1. Aturan penerusan VPC Resolver dikonfigurasi untuk meneruskan kueri ke internal.example.com di pusat data lokal.

1. Kueri diteruskan ke titik akhir keluar.

1. Titik akhir keluar meneruskan kueri ke resolver DNS lokal melalui koneksi pribadi antara dan pusat data. AWS Koneksi dapat berupa Direct Connect atau AWS Site-to-Site VPN, digambarkan sebagai gateway pribadi virtual.

1. Penyelesai DNS lokal menyelesaikan kueri DNS untuk internal.example.com dan mengembalikan jawaban ke instans Amazon EC2 melalui jalur yang sama secara terbalik.

**Masuk (panah putus-putus a—d):**

1. Klien di pusat data lokal perlu menyelesaikan kueri DNS ke AWS sumber daya untuk domain dev.example.com. Ini mengirimkan kueri ke resolver DNS lokal. 

1. Penyelesai DNS lokal memiliki aturan penerusan yang mengarahkan kueri ke dev.example.com ke titik akhir masuk. 

1. Kueri tiba di titik akhir masuk melalui koneksi pribadi, seperti Direct Connect atau AWS Site-to-Site VPN, digambarkan sebagai gateway virtual.

1. Titik akhir masuk mengirimkan kueri ke VPC Resolver, dan VPC Resolver menyelesaikan kueri DNS untuk dev.example.com dan mengembalikan jawaban ke klien melalui jalur yang sama secara terbalik.

**Topics**
+ [

# Menyelesaikan kueri DNS antara VPCs dan jaringan Anda
](resolver-overview-DSN-queries-to-vpc.md)
+ [

# Ketersediaan dan penskalaan Route 53 VPC Resolver
](resolver-availability-scaling.md)
+ [

# Mulai menggunakan Route 53 VPC Resolver
](resolver-getting-started.md)
+ [

# Meneruskan kueri DNS masuk ke VPCs
](resolver-forwarding-inbound-queries.md)
+ [

# Meneruskan kueri DNS keluar ke jaringan Anda
](resolver-forwarding-outbound-queries.md)
+ [

# Tutorial aturan delegasi penyelesai
](outbound-delegation-tutorial.md)
+ [

# Mengaktifkan validasi DNSSEC di Amazon Route 53
](resolver-dnssec-validation.md)

# Menyelesaikan kueri DNS antara VPCs dan jaringan Anda
<a name="resolver-overview-DSN-queries-to-vpc"></a>

Resolver VPC berisi titik akhir yang Anda konfigurasikan untuk menjawab kueri DNS ke dan dari lingkungan lokal Anda.

**catatan**  
 Meneruskan kueri DNS pribadi ke alamat VPC CIDR\$12 apa pun dari server DNS VPC lokal atau lainnya tidak didukung, dan dapat menyebabkan hasil yang tidak stabil. Sebagai gantinya, kami menyarankan Anda menggunakan titik akhir masuk Resolver.

Anda juga dapat mengintegrasikan resolusi DNS antara VPC Resolver dan DNS resolver di jaringan Anda dengan mengonfigurasi aturan penerusan. *Jaringan Anda* dapat mencakup jaringan yang dapat dijangkau dari VPC, seperti berikut ini:
+ VPC itu sendiri
+ VPC lain yang tersambung
+ Jaringan lokal yang terhubung AWS dengan Direct Connect, VPN, atau gateway terjemahan alamat jaringan (NAT)

Sebelum Anda mulai meneruskan kueri, Anda membuat titik akhir and/or keluar masuk Resolver di VPC yang terhubung. Titik akhir ini menyediakan jalan untuk kueri masuk atau keluar:

**Titik akhir masuk: DNS resolver di jaringan Anda dapat meneruskan kueri DNS ke Route 53 VPC Resolver melalui titik akhir ini**  
Ada dua jenis titik akhir masuk, titik akhir **masuk default yang diteruskan ke alamat IP, dan titik akhir masuk** **delegasi yang mendelegasikan** otoritas untuk subdomain yang dihosting di Zona host pribadi Route 53 ke Resolver VPC Route 53. Titik akhir masuk memungkinkan resolver DNS Anda untuk dengan mudah menyelesaikan nama domain untuk AWS sumber daya seperti instans EC2 atau catatan di zona host pribadi Route 53. Untuk informasi selengkapnya, lihat [Bagaimana DNS resolver di jaringan Anda meneruskan kueri DNS ke titik akhir Resolver](resolver-overview-forward-network-to-vpc.md).

**Titik akhir keluar: VPC Resolver meneruskan kueri secara kondisional ke resolver di jaringan Anda melalui titik akhir ini**  
Untuk meneruskan kueri yang dipilih, buat aturan Resolver yang menentukan nama domain bagi kueri DNS yang ingin Anda teruskan (misalnya example.com), dan alamat IP DNS resolver di jaringan yang menjadi tujuan penerusan permintaan. Jika kueri cocok dengan beberapa aturan (example.com, acme.example.com), VPC Resolver memilih aturan dengan kecocokan paling spesifik (acme.example.com) dan meneruskan kueri ke alamat IP yang Anda tentukan dalam aturan tersebut. Ada tiga jenis aturan, **maju**, **sistem**, dan **delegasi.** Untuk informasi selengkapnya, lihat [Bagaimana titik akhir Resolver meneruskan kueri DNS dari Anda ke jaringan Anda VPCs](resolver-overview-forward-vpc-to-network.md). 

Seperti Amazon VPC, VPC Resolver bersifat regional. Di setiap wilayah yang Anda miliki VPCs, Anda dapat memilih apakah akan meneruskan kueri dari jaringan Anda VPCs ke jaringan Anda (kueri keluar), dari jaringan Anda ke VPCs (kueri masuk), atau keduanya.

Anda tidak dapat membuat titik akhir Resolver di VPC yang tidak Anda miliki. Hanya pemilik VPC yang dapat membuat sumber daya tingkat VPC seperti titik akhir masuk.

**catatan**  
Ketika membuat titik akhir Resolver, Anda tidak dapat menentukan VPC dengan atribut penghunian instans yang diatur ke `dedicated`. Untuk informasi selengkapnya, lihat [Menggunakan VPC Resolver yang dikonfigurasi untuk VPCs penyewaan instans khusus](resolver-choose-vpc.md#resolver-considerations-dedicated-instance-tenancy).

Untuk menggunakan penerusan masuk atau keluar, buatlah titik akhir Resolver di VPC Anda. Sebagai bagian dari definisi titik akhir, Anda menentukan alamat IP, atau delegasi DNS, yang ingin Anda teruskan kueri DNS masuk atau alamat IP yang Anda inginkan dari kueri keluar. Untuk setiap alamat IP dan delegasi yang Anda tentukan, VPC Resolver secara otomatis membuat VPC elastic network interface.

Diagram berikut menunjukkan jalur kueri DNS dari penyelesai DNS di jaringan Anda ke titik akhir Route 53 Resolver.

![\[Grafik konseptual yang menunjukkan jalur kueri DNS dari resolver DNS di jaringan Anda ke titik akhir Route 53 Resolver.\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/images/Resolver-inbound-endpoint.png)


Diagram berikut menunjukkan jalur kueri DNS dari instans EC2 di salah satu resolver DNS Anda VPCs ke jaringan Anda. Domain jyo.example.com menggunakan aturan penerusan, sedangkan subdomain ric.example.com telah mendelegasikan otoritas penerusan ke VPC Resolver.

![\[Grafik konseptual yang menunjukkan jalur kueri DNS dari jaringan Anda ke Route 53 VPC Resolver.\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/images/Resolver-outbound-endpoint.png)


Untuk gambaran umum antarmuka jaringan VPC, lihat [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) dalam *Panduan Pengguna Amazon VPC*.

**Topik**
+ [Bagaimana DNS resolver di jaringan Anda meneruskan kueri DNS ke titik akhir Resolver](resolver-overview-forward-network-to-vpc.md)
+ [Bagaimana titik akhir Resolver meneruskan kueri DNS dari Anda ke jaringan Anda VPCs](resolver-overview-forward-vpc-to-network.md)
+ [Pertimbangan saat membuat titik akhir masuk dan keluar](resolver-choose-vpc.md)

# Bagaimana DNS resolver di jaringan Anda meneruskan kueri DNS ke titik akhir Resolver
<a name="resolver-overview-forward-network-to-vpc"></a>

Untuk meneruskan kueri DNS dari jaringan Anda ke Route 53 VPC Resolver, Anda membuat titik akhir masuk di Wilayah. AWS **Ada dua kategori titik akhir inbound, **default** dan delegasi.**

**Langkah-langkah untuk membuat titik akhir masuk default**

1. Anda membuat titik akhir masuk Resolver default di VPC dan menentukan alamat IP tempat resolver di jaringan Anda meneruskan kueri DNS, bersama dengan grup keamanan VPC yang menyertakan aturan masuk yang memungkinkan akses TCP dan UDP pada port 53. Untuk instruksi lihat[Mengonfigurasi penerusan masuk](resolver-forwarding-inbound-queries-configuring.md).

   Untuk setiap alamat IP yang Anda tentukan untuk titik akhir masuk, VPC Resolver membuat VPC elastic network interface di VPC tempat Anda membuat endpoint masuk. 

1. Anda mengonfigurasi penyelesai pada jaringan guna meneruskan kueri DNS untuk nama domain yang ada ke alamat IP yang Anda tentukan di titik akhir masuk. Untuk informasi selengkapnya, lihat [Pertimbangan saat membuat titik akhir masuk dan keluar](resolver-choose-vpc.md).

**Berikut cara VPC Resolver menyelesaikan kueri DNS yang berasal dari jaringan Anda melalui titik akhir masuk default:**

1. Browser web atau aplikasi lain di jaringan Anda mengirimkan kueri DNS untuk nama domain yang Anda teruskan ke VPC Resolver.

1. Penyelesai di jaringan Anda meneruskan kueri ke alamat IP di titik akhir masuk.

1. Titik akhir masuk meneruskan kueri ke VPC Resolver.

1. VPC Resolver mendapatkan nilai yang berlaku untuk nama domain dalam kueri DNS, baik secara internal atau dengan melakukan pencarian rekursif terhadap server nama publik.

1. VPC Resolver mengembalikan nilai ke titik akhir masuk.

1. Titik akhir masuk mengembalikan nilai ke penyelesai di jaringan Anda.

1. Penyelesai di jaringan Anda mengembalikan nilai ke aplikasi.

1. Menggunakan nilai yang dikembalikan oleh VPC Resolver, aplikasi mengirimkan permintaan, misalnya, permintaan untuk objek di bucket Amazon S3.

**Langkah-langkah untuk membuat titik akhir masuk delegasi**

1. Anda membuat titik akhir masuk Resolver delegasi di VPC. Untuk instruksi lihat[Mengonfigurasi penerusan masuk](resolver-forwarding-inbound-queries-configuring.md).

   Untuk setiap alamat IP yang Anda tentukan untuk titik akhir masuk, VPC Resolver membuat VPC elastic network interface di VPC tempat Anda membuat endpoint masuk. 

1. Anda mengonfigurasi resolver di jaringan Anda untuk mendelegasikan kueri DNS untuk nama domain yang berlaku ke VPC Resolver. Untuk catatan lem Anda harus memasukkan alamat IP untuk titik akhir masuk. Untuk informasi selengkapnya, lihat [Pertimbangan saat membuat titik akhir masuk dan keluar](resolver-choose-vpc.md).

**Berikut cara VPC Resolver menyelesaikan kueri DNS yang berasal dari jaringan Anda melalui titik akhir masuk delegasi:**

1. Sebagai prasyarat, Anda harus mendelegasikan subdomain yang dihosting di zona host pribadi dari lokal. Karena Anda mendelegasikan subdomain melalui titik akhir delegasi masuk, Anda menggunakan alamat IP titik akhir masuk sebagai catatan lem untuk subdomain yang didelegasikan.
**catatan**  
Anda mungkin juga perlu menyertakan catatan lem untuk memastikan kueri DNS dapat diselesaikan. Jika Anda mendelegasikan subdomain ke server nama yang berada di zona yang sama dengan domain induk, catatan lem diperlukan.

1. Browser web atau aplikasi lain di jaringan Anda mengirimkan kueri DNS untuk nama domain yang Anda delegasikan ke Resolver VPC.

1. Penyelesai di jaringan Anda meneruskan kueri ke alamat IP di titik akhir masuk.

1. Titik akhir masuk mendelegasikan kueri ke VPC Resolver.

1. VPC Resolver mengembalikan alamat ke AWS sumber daya dari zona host pribadi ke titik akhir masuk.

1. Titik akhir masuk mengembalikan nilai ke penyelesai di jaringan Anda.

1. Penyelesai di jaringan Anda mengembalikan nilai ke aplikasi.

1. Menggunakan nilai yang dikembalikan oleh VPC Resolver, aplikasi mengirimkan permintaan, misalnya, permintaan untuk objek di bucket Amazon S3.

Membuat titik akhir masuk tidak mengubah perilaku Resolver VPC, itu hanya menyediakan jalur dari lokasi di luar jaringan ke VPC Resolver. AWS 

# Bagaimana titik akhir Resolver meneruskan kueri DNS dari Anda ke jaringan Anda VPCs
<a name="resolver-overview-forward-vpc-to-network"></a>

Saat Anda ingin meneruskan kueri DNS dari instans EC2 di satu atau lebih VPCs di AWS Wilayah ke jaringan Anda, Anda melakukan langkah-langkah berikut.

1. Anda membuat titik akhir keluar Resolver di VPC, dan Anda menentukan beberapa nilai:
   + VPC yang akan dilewati kueri DNS dalam perjalanan ke penyelesai di jaringan Anda. 
   + [Grup keamanan VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) yang menyertakan aturan keluar yang memungkinkan akses TCP dan UDP pada port 53 (atau port yang Anda gunakan untuk kueri DNS di jaringan Anda)

   Untuk setiap alamat IP yang Anda tentukan untuk titik akhir keluar, VPC Resolver membuat antarmuka elastis network Amazon VPC di VPC yang Anda tentukan. Untuk informasi selengkapnya, lihat [Pertimbangan saat membuat titik akhir masuk dan keluar](resolver-choose-vpc.md).

1. Anda membuat satu atau beberapa aturan, yang menentukan nama domain kueri DNS yang ingin Anda delegasikan ke VPC Resolver untuk diteruskan, atau ingin VPC Resolver diteruskan ke resolver di jaringan Anda. Untuk aturan penerusan, Anda juga menentukan alamat IP resolver. Untuk informasi selengkapnya, lihat [Menggunakan aturan untuk mengontrol kueri yang diteruskan ke jaringan Anda](resolver-overview-forward-vpc-to-network-using-rules.md).

1. Anda mengaitkan setiap aturan dengan yang VPCs Anda inginkan untuk meneruskan kueri DNS ke jaringan Anda.

# Menggunakan aturan untuk mengontrol kueri yang diteruskan ke jaringan Anda
<a name="resolver-overview-forward-vpc-to-network-using-rules"></a>

Aturan mengontrol kueri DNS mana yang meneruskan titik akhir Resolver ke resolver DNS di jaringan Anda dan pertanyaan mana yang menjawab VPC Resolver itu sendiri. 

Anda dapat mengategorikan aturan ke dalam beberapa cara. Salah satu caranya adalah siapa yang membuat aturan:
+ **Aturan yang ditentukan otomatis** — VPC Resolver secara otomatis membuat aturan yang ditentukan secara otomatis dan mengaitkan aturan dengan aturan Anda. VPCs Sebagian besar aturan ini berlaku untuk nama domain AWS-spesifik yang VPC Resolver menjawab pertanyaan untuk. Untuk informasi selengkapnya, lihat [Nama domain yang VPC Resolver membuat aturan sistem yang ditentukan secara otomatis](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
+ **Aturan kustom** - Anda membuat aturan khusus dan mengaitkan aturan dengan VPCs. **Saat ini, Anda dapat membuat dua jenis aturan kustom, aturan **penerusan bersyarat, juga dikenal sebagai aturan penerusan**, dan aturan delegasi.** Aturan **penerusan menyebabkan** VPC Resolver meneruskan kueri DNS dari alamat IP Anda ke alamat IP untuk penyelesai DNS di jaringan Anda VPCs .

  Jika Anda membuat aturan penerusan untuk domain yang sama dengan aturan yang ditentukan otomatis, VPC Resolver meneruskan kueri untuk nama domain tersebut ke resolver DNS di jaringan Anda berdasarkan pengaturan dalam aturan penerusan.

  **Aturan delegasi** meneruskan kueri DNS dengan catatan delegasi dalam aturan delegasi yang cocok dengan catatan NS sebagai respons terhadap resolver di jaringan Anda.

Cara lain untuk mengategorikan aturan adalah hal yang dilakukan:
+ **Aturan penerusan bersyarat** – Anda membuat aturan penerusan bersyarat (juga dikenal sebagai aturan penerusan) saat Anda ingin meneruskan kueri DNS untuk nama domain tertentu ke penyelesai DNS di jaringan Anda.
+ **Aturan sistem — Aturan** sistem menyebabkan VPC Resolver secara selektif mengesampingkan perilaku yang didefinisikan dalam aturan penerusan. Saat Anda membuat aturan sistem, VPC Resolver menyelesaikan kueri DNS untuk subdomain tertentu yang akan diselesaikan oleh penyelesai DNS di jaringan Anda.

  Secara default, aturan penerusan berlaku untuk nama domain dan semua subdomainnya. Jika Anda ingin meneruskan kueri untuk domain ke penyelesai di jaringan tetapi Anda tidak ingin meneruskan kueri untuk beberapa subdomain, buatlah aturan sistem untuk subdomain. Misalnya, jika Anda membuat aturan penerusan untuk example.com tetapi tidak ingin meneruskan kueri untuk acme.example.com, buatlah aturan sistem dan tentukan acme.example.com untuk nama domain.
+ **Aturan rekursif** **— VPC Resolver secara otomatis membuat aturan rekursif bernama Internet Resolver.** Aturan ini menyebabkan Route 53 VPC Resolver bertindak sebagai resolver rekursif untuk nama domain apa pun yang tidak Anda buat aturan kustom dan VPC Resolver tidak membuat aturan yang ditentukan secara otomatis. Untuk informasi tentang cara menimpa perilaku ini, lihat "Meneruskan Semua Kueri ke Jaringan Anda" nanti dalam topik ini.

Anda dapat membuat aturan khusus yang berlaku untuk nama domain tertentu (milik Anda atau sebagian besar nama AWS domain), ke nama AWS domain publik, atau ke semua nama domain. 

**Meneruskan kueri untuk nama domain tertentu ke jaringan Anda**  
Untuk meneruskan kueri bagi nama domain tertentu, seperti example.com, ke jaringan Anda, buatlah aturan dan tentukan nama domain tersebut. Untuk aturan **penerusan**, Anda juga menentukan alamat IP resolver DNS di jaringan yang ingin Anda teruskan kueri, atau, untuk aturan delegasi, buat catatan **delegasi yang ingin Anda delegasikan** wewenangnya ke resolver on-prem. Anda kemudian mengaitkan setiap aturan dengan yang VPCs Anda inginkan untuk meneruskan kueri DNS ke jaringan Anda. Misalnya, Anda dapat membuat aturan terpisah untuk example.com, example.org, dan example.net. Kemudian Anda dapat mengaitkan aturan dengan VPCs di AWS Wilayah dalam kombinasi apa pun.

**Meneruskan kueri untuk amazonaws.com ke jaringan Anda**  
Nama domain amazonaws.com adalah nama domain publik untuk AWS sumber daya seperti instans EC2 dan bucket S3. Jika Anda ingin meneruskan kueri untuk amazonaws.com ke jaringan Anda, buat aturan, tentukan amazonaws.com untuk nama domain, dan tentukan **Teruskan** atau **Delegasi** untuk jenis aturan tergantung pada metode yang ingin Anda gunakan.  
VPC Resolver tidak secara otomatis meneruskan kueri DNS untuk beberapa subdomain amazonaws.com bahkan jika Anda membuat aturan penerusan untuk amazonaws.com. Untuk informasi selengkapnya, lihat [Nama domain yang VPC Resolver membuat aturan sistem yang ditentukan secara otomatis](resolver-overview-forward-vpc-to-network-autodefined-rules.md). Untuk informasi tentang cara menimpa perilaku ini, segera lihat "Meneruskan Semua Kueri ke Jaringan Anda" berikut.

**Meneruskan semua kueri ke jaringan Anda**  
  
Jika Anda ingin meneruskan semua kueri ke jaringan Anda, Anda membuat aturan, tentukan “.” (dot) untuk nama domain, dan kaitkan aturan dengan yang Anda inginkan VPCs untuk meneruskan semua kueri DNS ke jaringan Anda. VPC Resolver masih tidak meneruskan semua kueri DNS ke jaringan Anda karena menggunakan resolver DNS di luar akan merusak beberapa fungsionalitas. AWS Misalnya, beberapa nama AWS domain internal memiliki rentang alamat IP internal yang tidak dapat diakses dari luar AWS. Untuk daftar nama domain dengan kueri yang tidak diteruskan ke jaringan saat Anda membuat aturan untuk ".", lihat [Nama domain yang VPC Resolver membuat aturan sistem yang ditentukan secara otomatis](resolver-overview-forward-vpc-to-network-autodefined-rules.md).  
Namun, aturan sistem yang ditentukan secara otomatis untuk DNS terbalik dapat dinonaktifkan, memungkinkan aturan “.” untuk meneruskan semua kueri DNS terbalik ke jaringan Anda. Untuk informasi selengkapnya tentang cara menonaktifkan aturan yang ditentukan secara otomatis, lihat[Aturan penerusan untuk kueri DNS terbalik di VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns).  
Jika Anda ingin mencoba meneruskan kueri DNS untuk semua nama domain ke jaringan, termasuk nama domain yang dikecualikan dari penerusan secara default, Anda dapat membuat aturan "." dan lakukan salah satu hal berikut ini:  
+ Mengatur bendera `enableDnsHostnames` untuk VPC ke `false`
+ Membuat aturan untuk nama domain yang tercantum dalam [Nama domain yang VPC Resolver membuat aturan sistem yang ditentukan secara otomatis](resolver-overview-forward-vpc-to-network-autodefined-rules.md)
Jika Anda meneruskan semua nama domain ke jaringan Anda, termasuk nama domain yang dikecualikan VPC Resolver saat Anda membuat aturan “.”, beberapa fitur mungkin berhenti berfungsi.

# Bagaimana VPC Resolver menentukan apakah nama domain dalam kueri cocok dengan aturan apa pun
<a name="resolver-overview-forward-vpc-to-network-domain-name-matches"></a>

Route 53 VPC Resolver membandingkan nama domain dalam kueri DNS dengan nama domain dalam aturan yang terkait dengan VPC tempat kueri berasal. VPC Resolver menganggap nama domain cocok dalam kasus berikut:
+ Nama domain cocok
+ Nama domain dalam kueri adalah subdomain dari nama domain dalam aturan

Misalnya, jika nama domain dalam aturan adalah acme.example.com, VPC Resolver menganggap nama domain berikut dalam kueri DNS cocok:
+ acme.example.com
+ zenith.acme.example.com

Nama domain berikut tidak cocok:
+ contoh.com
+ nadir.example.com

Jika nama domain dalam kueri cocok dengan nama domain di lebih dari satu aturan (seperti example.com dan www.example.com), VPC Resolver merutekan kueri DNS keluar menggunakan aturan yang berisi nama domain paling spesifik (www.example.com).

# Bagaimana VPC Resolver menentukan tempat untuk meneruskan kueri DNS
<a name="resolver-overview-forward-vpc-to-network-where-to-forward-queries"></a>

Ketika aplikasi yang berjalan pada instans EC2 di VPC mengirimkan kueri DNS, Route 53 VPC Resolver melakukan langkah-langkah berikut:

1. Resolver memeriksa nama domain dalam aturan.

   Jika nama domain dalam kueri cocok dengan nama domain dalam aturan penerusan default, VPC Resolver meneruskan kueri ke alamat IP yang Anda tentukan saat Anda membuat titik akhir keluar. Titik akhir keluar kemudian meneruskan kueri ke alamat IP penyelesai pada jaringan Anda, yang ditentukan ketika Anda membuat aturan.

   Jika catatan delegasi dalam respons cocok dengan aturan delegasi, maka Resolver mendelegasikan wewenang ke resolver on-prem melalui titik akhir keluar yang terkait dengan aturan delegasi.

   Untuk informasi selengkapnya, lihat [Bagaimana VPC Resolver menentukan apakah nama domain dalam kueri cocok dengan aturan apa pun](resolver-overview-forward-vpc-to-network-domain-name-matches.md). 

1. Titik akhir Resolver meneruskan kueri DNS berdasarkan pengaturan dalam aturan “.”.

   Jika nama domain dalam kueri tidak cocok dengan nama domain dalam aturan lain, VPC Resolver meneruskan kueri berdasarkan pengaturan di “yang ditentukan secara otomatis”. aturan (titik). Aturan dot berlaku untuk semua nama domain kecuali beberapa nama domain AWS internal dan nama rekaman di zona host pribadi. Aturan ini menyebabkan VPC Resolver meneruskan kueri DNS ke server nama publik jika nama domain dalam kueri tidak cocok dengan nama apa pun dalam aturan penerusan kustom Anda. Jika Anda ingin meneruskan semua kueri ke penyelesai DNS di jaringan, buat aturan penerusan kustom, tentukan "." untuk nama domain, tentukan **Penerusan** untuk **Jenis**, dan tentukan alamat IP penyelesai tersebut. 

1. VPC Resolver mengembalikan respon ke aplikasi yang mengirimkan query.

# Menggunakan aturan di beberapa Wilayah
<a name="resolver-overview-forward-vpc-to-network-using-rules-multiple-regions"></a>

Route 53 VPC Resolver adalah layanan regional, sehingga objek yang Anda buat di satu AWS Wilayah hanya tersedia di Wilayah tersebut. Untuk menggunakan aturan yang sama di lebih dari satu Wilayah, Anda harus membuat aturan di setiap Wilayah.

 AWS Akun yang membuat aturan dapat berbagi aturan dengan AWS akun lain. Untuk informasi selengkapnya, lihat [Berbagi aturan Resolver dengan AWS akun lain dan menggunakan aturan bersama](resolver-rules-managing.md#resolver-rules-managing-sharing).

# Nama domain yang VPC Resolver membuat aturan sistem yang ditentukan secara otomatis
<a name="resolver-overview-forward-vpc-to-network-autodefined-rules"></a>

Resolver secara otomatis membuat aturan sistem yang ditentukan secara otomatis yang menentukan cara kueri untuk domain yang dipilih diselesaikan secara default:
+ Untuk zona yang di-hosting privat dan nama domain khusus Amazon EC2 (seperti compute.amazonaws.com dan compute.internal), aturan yang ditentukan secara otomatis memastikan bahwa zona privat dan instans EC2 terus menyelesaikan jika Anda membuat aturan penerusan bersyarat untuk nama domain yang kurang spesifik seperti "." (dot) atau "com".
+ Untuk nama domain yang dipesan publik (seperti localhost dan 10.in-addr.arpa), praktik terbaik DNS merekomendasikan agar kueri dijawab secara lokal, bukan diteruskan ke server nama publik. Lihat [RFC 6303, Zona DNS yang Dilayani Secara Lokal](https://tools.ietf.org/html/rfc6303).

**catatan**  
Jika Anda membuat aturan penerusan bersyarat untuk "." (dot) atau "com", kami sarankan agar Anda juga membuat aturan sistem untuk amazonaws.com. (Aturan sistem menyebabkan Resolver VPC menyelesaikan kueri DNS secara lokal untuk domain dan subdomain tertentu.) Membuat aturan sistem ini meningkatkan kinerja, mengurangi jumlah kueri yang diteruskan ke jaringan Anda, dan mengurangi biaya Resolver VPC.

Jika ingin menimpa aturan yang ditentukan secara otomatis, Anda dapat membuat aturan penerusan bersyarat untuk nama domain yang sama. 

Anda juga dapat menonaktifkan beberapa aturan yang ditentukan secara otomatis. Untuk informasi selengkapnya, lihat [Aturan penerusan untuk kueri DNS terbalik di VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns). 

VPC Resolver membuat aturan autodefined berikut.

**Aturan untuk zona yang di-hosting privat**  
Untuk setiap zona host pribadi yang Anda kaitkan dengan VPC, VPC Resolver membuat aturan dan mengaitkannya dengan VPC. Jika Anda mengaitkan zona host pribadi dengan beberapa VPCs, VPC Resolver mengaitkan aturan dengan yang sama. VPCs  
Aturan memiliki jenis **Teruskan**.

**Aturan untuk berbagai nama domain AWS internal**  
Semua aturan untuk nama domain internal di bagian ini memiliki jenis **Teruskan**. VPC Resolver meneruskan kueri DNS untuk nama domain ini ke server nama otoritatif untuk VPC.  
VPC Resolver membuat sebagian besar aturan ini saat Anda menyetel flag `enableDnsHostnames` untuk VPC. `true` VPC Resolver membuat aturan meskipun Anda tidak menggunakan titik akhir Resolver.
VPC Resolver membuat aturan yang ditentukan otomatis berikut dan mengaitkannya dengan VPC saat Anda menyetel flag untuk VPC ke: `enableDnsHostnames` `true`   
+ *Region-name*.compute.internal, misalnya, eu-west-1.compute.internal. Wilayah us-east-1 tidak menggunakan nama domain ini.
+ *Region-name*.menghitung. *amazon-domain-name*, misalnya, eu-west-1.compute.amazonaws.com atau cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. Wilayah us-east-1 tidak menggunakan nama domain ini.
+ ec2.internal. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.
+ compute-1.internal. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.
+ compute-1.amazonaws.com. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.
Aturan yang ditentukan otomatis berikut adalah untuk pencarian DNS terbalik untuk aturan yang dibuat oleh VPC Resolver saat Anda menyetel flag untuk VPC. `enableDnsHostnames` `true`  
+ 10.in-addr.arpa
+ 16.172.in-addr.arpa melalui 31.172.in-addr.arpa 
+ 168.192.in-addr.arpa
+ 254.169.254.169.in-addr.arpa
+ Aturan untuk setiap rentang CIDR untuk VPC. Misalnya, jika VPC yang memiliki rentang CIDR 10.0.0.0/23, VPC Resolver membuat aturan berikut: 
  + 0.0.10.in-addr.arpa
  + 1.0.10.in-addr.arpa
Aturan yang ditentukan secara otomatis berikut, untuk domain yang berhubungan dengan localhost, juga dibuat dan terkait dengan VPC ketika Anda mengatur bendera `enableDnsHostnames` untuk VPC ke `true`:  
+ localhost
+ localdomain
+ 127.in-addr.arpa
+ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
+ 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
VPC Resolver membuat aturan yang ditentukan otomatis berikut dan mengaitkannya dengan VPC Anda saat Anda menghubungkan VPC dengan VPC lain melalui gateway transit atau peering VPC, dan dengan dukungan DNS diaktifkan:  
+ Pencarian DNS terbalik untuk rentang alamat IP VPC peer, misalnya, 0.192.in-addr.arpa

  Jika Anda menambahkan blok IPv4 CIDR ke VPC, VPC Resolver menambahkan aturan yang ditentukan secara otomatis untuk rentang alamat IP baru.
+ Jika VPC lain berada di wilayah lain, nama domain berikut:
  + *Region-name*.compute.internal. Wilayah us-east-1 tidak menggunakan nama domain ini.
  + *Region-name*.menghitung. *amazon-domain-name*. Wilayah us-east-1 tidak menggunakan nama domain ini.
  + ec2.internal. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.
  + compute-1.amazonaws.com. Hanya Wilayah us-east-1 yang menggunakan nama domain ini.

**Aturan untuk semua domain lainnya**  
VPC Resolver menciptakan “.” (dot) aturan yang berlaku untuk semua nama domain yang tidak ditentukan sebelumnya dalam topik ini. Aturan “.” memiliki jenis **Recursive**, yang berarti bahwa aturan tersebut menyebabkan VPC Resolver bertindak sebagai resolver rekursif.

# Pertimbangan saat membuat titik akhir masuk dan keluar
<a name="resolver-choose-vpc"></a>

Sebelum Anda membuat titik akhir Resolver masuk dan keluar di AWS Wilayah, pertimbangkan masalah berikut.

**Topics**
+ [

## Jumlah titik akhir masuk dan keluar di setiap Wilayah
](#resolver-considerations-number-of-endpoints)
+ [

## Menggunakan VPC yang sama untuk titik akhir masuk dan keluar
](#resolver-considerations-same-vpc-inbound-outbound)
+ [

## Titik akhir masuk dan zona yang di-hosting privat
](#resolver-considerations-inbound-endpoint-private-zone)
+ [

## Peering VPC
](#resolver-considerations-vpc-peering)
+ [

## Alamat IP dalam subnet bersama
](#resolver-considerations-shared-subnets)
+ [

## Koneksi antara jaringan Anda dan titik akhir VPCs yang Anda buat
](#resolver-considerations-connection-between-network-and-vpcs)
+ [

## Ketika berbagi aturan, Anda juga berbagi titik akhir keluar
](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [

## Memilih protokol untuk titik akhir
](#resolver-endpoint-protocol-considerations)
+ [

## Menggunakan VPC Resolver yang dikonfigurasi untuk VPCs penyewaan instans khusus
](#resolver-considerations-dedicated-instance-tenancy)

## Jumlah titik akhir masuk dan keluar di setiap Wilayah
<a name="resolver-considerations-number-of-endpoints"></a>

Saat Anda ingin mengintegrasikan DNS untuk VPCs di AWS Wilayah dengan DNS untuk jaringan Anda, Anda biasanya memerlukan satu titik akhir masuk Resolver (untuk kueri DNS yang diteruskan ke Anda VPCs) dan satu titik akhir keluar (untuk kueri yang diteruskan dari jaringan Anda). VPCs Anda dapat membuat beberapa titik akhir masuk dan beberapa titik akhir keluar, tetapi satu titik akhir masuk atau keluar cukup untuk menangani kueri DNS untuk setiap arah masing-masing. Perhatikan hal-hal berikut:
+ Untuk setiap titik akhir Resolver, Anda menentukan dua atau lebih alamat IP di Availability Zone yang berbeda. Setiap alamat IP di titik akhir dapat menangani sejumlah besar kueri DNS per detik. (Untuk jumlah maksimum kueri saat ini per detik per alamat IP di titik akhir, lihat [Kuota pada Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver).) Jika Anda memerlukan VPC Resolver untuk menangani lebih banyak kueri, Anda dapat menambahkan lebih banyak alamat IP ke titik akhir yang ada alih-alih menambahkan titik akhir lain.
+ Penetapan harga VPC Resolver didasarkan pada jumlah alamat IP di titik akhir Anda dan pada jumlah kueri DNS yang diproses endpoint. Setiap titik akhir mencakup minimal dua alamat IP. Untuk informasi selengkapnya tentang harga Resolver VPC, lihat Harga [Amazon](https://aws.amazon.com/route53/pricing/) Route 53.
+ Setiap aturan menentukan titik akhir keluar tempat kueri DNS diteruskan. Jika Anda membuat beberapa titik akhir keluar di Wilayah AWS dan ingin mengaitkan beberapa atau semua aturan Resolver dengan setiap VPC, Anda perlu membuat beberapa salinan dari aturan.

## Menggunakan VPC yang sama untuk titik akhir masuk dan keluar
<a name="resolver-considerations-same-vpc-inbound-outbound"></a>

Anda dapat membuat titik akhir masuk dan keluar di VPC yang sama atau berbeda VPCs di Wilayah yang sama.

Untuk informasi selengkapnya, lihat [Praktik terbaik untuk Amazon Route 53](best-practices.md). 

## Titik akhir masuk dan zona yang di-hosting privat
<a name="resolver-considerations-inbound-endpoint-private-zone"></a>

Jika Anda ingin VPC Resolver menyelesaikan kueri DNS masuk menggunakan catatan di zona host pribadi, kaitkan zona host pribadi dengan VPC tempat Anda membuat titik akhir masuk. Untuk informasi tentang mengaitkan zona yang dihosting pribadi dengan VPCs, lihat[Bekerja dengan zona yang di-hosting privat](hosted-zones-private.md).

## Peering VPC
<a name="resolver-considerations-vpc-peering"></a>

Anda dapat menggunakan VPC apa pun di AWS Wilayah untuk titik akhir masuk atau keluar terlepas dari apakah VPC yang Anda pilih diintip dengan yang lain. VPCs Untuk informasi selengkapnya, lihat [Menyambungkan Amazon Virtual Private Cloud VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).

## Alamat IP dalam subnet bersama
<a name="resolver-considerations-shared-subnets"></a>

Ketika membuat titik akhir masuk atau keluar, Anda dapat menentukan alamat IP di subnet bersama hanya jika VPC dibuat oleh akun saat ini. Jika akun lain membuat VPC dan berbagi subnet di VPC dengan akun, Anda tidak dapat menentukan alamat IP di subnet tersebut. Untuk informasi selengkapnya tentang subnet bersama, lihat [Bekerja dengan berbagi VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) di Panduan *Pengguna Amazon VPC*.

## Koneksi antara jaringan Anda dan titik akhir VPCs yang Anda buat
<a name="resolver-considerations-connection-between-network-and-vpcs"></a>

Anda harus memiliki salah satu koneksi berikut antara jaringan Anda dan titik akhir VPCs yang Anda buat di:
+ **Titik akhir masuk** – Anda harus menyiapkan koneksi [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) atau [koneksi VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) antara jaringan Anda dan setiap VPC tempat Anda membuat titik akhir.
+ **Titik akhir keluar** – Anda harus menyiapkan koneksi [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), [koneksi VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html), atau [gateway penerjemahan alamat jaringan (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) antara jaringan Anda dan setiap VPC tempat Anda membuat jaringan.

## Ketika berbagi aturan, Anda juga berbagi titik akhir keluar
<a name="resolver-considerations-share-rules-share-outbound-endpoints"></a>

Saat membuat aturan, Anda menentukan titik akhir keluar yang ingin digunakan VPC Resolver untuk meneruskan kueri DNS ke jaringan Anda. Jika Anda membagikan aturan dengan AWS akun lain, Anda juga secara tidak langsung membagikan titik akhir keluar yang Anda tentukan dalam aturan. Jika Anda menggunakan lebih dari satu AWS akun untuk membuat VPCs di AWS Wilayah, Anda dapat melakukan hal berikut:
+ Buat satu titik akhir keluar di Wilayah.
+ Buat aturan menggunakan satu AWS akun.
+ Bagikan aturan dengan semua AWS akun yang dibuat VPCs di Wilayah.

Ini memungkinkan Anda untuk menggunakan satu titik akhir keluar di Wilayah untuk meneruskan kueri DNS ke jaringan Anda dari beberapa VPCs meskipun VPCs dibuat menggunakan akun yang berbeda. AWS 

## Memilih protokol untuk titik akhir
<a name="resolver-endpoint-protocol-considerations"></a>

Protokol endpoint menentukan bagaimana data ditransmisikan ke titik akhir masuk dan dari titik akhir keluar. Enkripsi query DNS untuk lalu lintas VPC tidak diperlukan karena setiap aliran paket pada jaringan secara individual diotorisasi terhadap aturan untuk memvalidasi sumber dan tujuan yang benar sebelum dikirim dan dikirim. Sangat tidak mungkin bagi informasi untuk secara sewenang-wenang melewati antar entitas tanpa secara khusus diberi wewenang oleh entitas pengirim dan penerima. Jika sebuah paket dialihkan ke tujuan tanpa aturan yang cocok dengannya, paket tersebut dijatuhkan. Untuk informasi selengkapnya, lihat [fitur VPC](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html).

Protokol yang tersedia adalah:
+ **Do53:** DNS melalui port 53. Data disampaikan dengan menggunakan VPC Resolver tanpa enkripsi tambahan. Meskipun data tidak dapat dibaca oleh pihak eksternal, data dapat dilihat di dalam AWS jaringan. Menggunakan UDP atau TCP untuk mengirim paket. Do53 terutama digunakan untuk lalu lintas di dalam dan di antara Amazon VPCs. Saat ini, ini adalah satu-satunya protokol yang tersedia untuk titik akhir masuk delegasi.
+ **DoH:** Data ditransmisikan melalui sesi HTTPS terenkripsi. DoH menambahkan tingkat keamanan tambahan di mana data tidak dapat didekripsi oleh pengguna yang tidak sah, dan tidak dapat dibaca oleh siapa pun kecuali penerima yang dituju. Tidak tersedia untuk titik akhir masuk delegasi.
+ **DOH-FIPS:** Data ditransmisikan melalui sesi HTTPS terenkripsi yang sesuai dengan standar kriptografi FIPS 140-2. Didukung hanya untuk titik akhir inbound. Untuk informasi lebih lanjut, lihat [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2). Tidak tersedia untuk titik akhir masuk delegasi.

Untuk titik akhir inbound tipe **Forward**, Anda dapat menerapkan protokol sebagai berikut:
+  Kombinasi Do53 dan DoH.
+ Kombinasi Do53 dan DoH-FIPS.
+ Do53 saja.
+ DoH saja.
+ DoH-FIPS saja.
+ Tidak ada, yang diperlakukan sebagai Do53.

Untuk titik akhir keluar, Anda dapat menerapkan protokol sebagai berikut:
+  Kombinasi Do53 dan DoH.
+ Do53 saja.
+ DoH saja.
+ Tidak ada, yang diperlakukan sebagai Do53.

Lihat juga [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir masuk](resolver-forwarding-inbound-queries-values.md) dan [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar](resolver-forwarding-outbound-queries-endpoint-values.md).

## Menggunakan VPC Resolver yang dikonfigurasi untuk VPCs penyewaan instans khusus
<a name="resolver-considerations-dedicated-instance-tenancy"></a>

Ketika membuat titik akhir Resolver, Anda tidak dapat menentukan VPC dengan [atribut penghunian instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) yang diatur ke `dedicated`. VPC Resolver tidak berjalan pada perangkat keras penyewa tunggal.

Anda masih dapat menggunakan VPC Resolver untuk menyelesaikan kueri DNS yang berasal dari VPC. Buat setidaknya satu VPC yang memiliki atribut penhunian instans yang diatur ke `default`, dan tentukan VPC tersebut ketika Anda membuat titik akhir masuk dan keluar.

Ketika membuat aturan penerusan, Anda dapat mengaitkannya dengan VPC apa pun, terlepas dari pengaturan untuk atribut penghunian instans.

# Ketersediaan dan penskalaan Route 53 VPC Resolver
<a name="resolver-availability-scaling"></a>

Route 53 VPC Resolver, berjalan di alamat Amazon VPC CIDR \$1 2 dan fd00:ec2: :253, tersedia secara default di semua, dan merespons secara rekursif kueri DNS untuk catatan publik, nama DNS khusus Amazon VPC, VPCs dan zona host pribadi Route 53. Ada dua komponen yang sangat tersedia, transparan bagi pengguna, yang membentuk Route 53 VPC Resolver: layanan Nitro Resolver dan armada Zonal Resolver. Layanan Nitro Resolver adalah layanan yang berjalan di kartu Nitro pada instance Nitro dan di Dom0 dalam instance generasi yang lebih tua, dan mengkonsumsi paket yang ditujukan ke Route 53 VPC Resolver secara lokal di server host. Untuk informasi selengkapnya, lihat [Desain Keamanan Sistem AWS Nitro](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html). 

Layanan Nitro Resolver membawa cache lokal yang dapat membantu mengurangi latensi dengan menanggapi kueri berulang yang dibuat dalam waktu singkat oleh sebuah instance. Ketika layanan Nitro Resolver menerima kueri yang tidak memiliki jawaban cache, ia meneruskan kueri ke armada Zonal Resolver, armada resolver yang sangat tersedia biasanya di Availability Zone yang sama dengan instance. Ketika ada kegagalan menangani kueri oleh server nama hulu atau komponen lain di jalur, layanan Nitro Resolver sering dapat menangani kegagalan ini secara transparan tanpa berdampak pada beban kerja yang berjalan pada instance. Selanjutnya, jika Resolver menemukan batas waktu kueri, koneksi yang ditolak, atau SERVFAILS dari server nama domain, Resolver dapat merespons dengan jawaban cache di luar nilai Time-To-Live (TTL) untuk meningkatkan ketersediaan. Pertanyaan antara layanan Nitro Resolver dan armada Zonal Resolver dibatasi pada jaringan yang dikontrol ketat di luar VPC pelanggan, yang tidak dapat diakses oleh pelanggan dan tunduk pada kontrol keamanan yang ketat. Dengan menangani pertanyaan antara layanan Nitro Resolver dan armada Zonal Resolver di luar VPC, pelanggan dicegah untuk mencegat kueri DNS di dalam VPC mereka. Kueri yang ditujukan untuk memberi nama server di luar AWS akan melintasi internet publik, yang berasal dari alamat IP publik milik armada Zonal Resolver. Kami tidak mendukung atribut EDNS0 -Client Subnet hari ini, yang berarti semua kueri yang ditujukan untuk server nama DNS publik tidak menyertakan informasi tentang alamat IP pelanggan asal. 

Layanan Nitro Resolver adalah bagian dari layanan Link-Local pada instance. Layanan Link-Local termasuk Route 53 VPC Resolver, Amazon Time Service (NTP), Layanan Metadata Instans (IMDS) dan Layanan Lisensi Windows (untuk instance Windows). Layanan ini diskalakan dengan setiap elastic network interface yang Anda buat di VPC Anda, dan setiap antarmuka jaringan memungkinkan 1024 paket per detik (PPS) yang ditujukan untuk layanan Link-Local. Paket yang melebihi batas ini ditolak. Anda dapat menentukan apakah Anda telah melampaui batas ini dari `linklocal_allowance_exceeded` nilai yang dikembalikan oleh ethtool. Untuk informasi selengkapnya tentang ethtool, lihat [Memantau performa jaringan untuk instans Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html) di Panduan Pengguna *Amazon EC2*. Metrik ini juga dapat dilaporkan ke CloudWatch metrik oleh CloudWatch Agen. Karena Resolver VPC Route 53 diimplementasikan per antarmuka jaringan, resolusi ini menskalakan dan menjadi lebih andal saat Anda menambahkan lebih banyak instance di lebih banyak Availability Zone. Tidak ada batasan agregat per-VPC pada jumlah kueri, sehingga Resolver VPC Route 53 dapat menskalakan dalam batas-batas VPC, yang secara inheren didasarkan pada penggunaan alamat jaringan (NAU). Untuk informasi selengkapnya, lihat [Penggunaan Alamat Jaringan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/network-address-usage.html) di *Panduan Pengguna Amazon Virtual Private Cloud*.

Diagram berikut menunjukkan ikhtisar tentang bagaimana Route 53 VPC Resolver menyelesaikan kueri DNS dalam Availability Zones.

![\[Grafik konseptual yang menunjukkan bagaimana Route 53 VPC Resolver menyelesaikan kueri DNS dalam Availability Zones.\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/images/Resolver-scale-availability2.png)


# Mulai menggunakan Route 53 VPC Resolver
<a name="resolver-getting-started"></a>

Konsol Resolver VPC Route 53 menyertakan wizard yang memandu Anda melalui langkah-langkah berikut untuk memulai dengan VPC Resolver:
+ Membuat titik akhir: masuk, keluar, atau keduanya.
+ Untuk titik akhir keluar, buat satu atau lebih aturan penerusan, yang menentukan nama domain yang kueri DNS-nya ingin Anda rutekan ke jaringan.
+ Jika Anda membuat titik akhir keluar, pilih VPC yang ingin Anda kaitkan dengan aturan.<a name="resolver-getting-started-procedure"></a>

**Untuk mengkonfigurasi Route 53 VPC Resolver menggunakan wizard**

1. Masuk ke Konsol Manajemen AWS dan buka konsol VPC Resolver di. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)

1. **Pada halaman **Selamat Datang di Route 53 VPC Resolver**, pilih Konfigurasi titik akhir.**

1. Pada bilah navigasi, pilih Wilayah tempat Anda ingin membuat titik akhir Resolver.

1. Di bawah **Konfigurasi dasar**, pilih arah yang Anda inginkan untuk meneruskan kueri DNS:
   + **Inbound dan outbound**: Wizard memandu Anda melalui pengaturan yang memungkinkan Anda meneruskan kueri DNS dari resolver di jaringan Anda ke VPC Resolver di VPC, dan meneruskan kueri tertentu (seperti example.com atau example.net) dari VPC ke resolver di jaringan Anda. 
   + **Inbound only**: Wizard memandu Anda melalui pengaturan yang memungkinkan Anda meneruskan kueri DNS dari resolver di jaringan Anda ke VPC Resolver dalam VPC.
   + **Keluar saja**: Wizard memandu Anda melalui pengaturan yang memungkinkan Anda meneruskan kueri yang ditentukan dari VPC ke penyelesai di jaringan.

1. Pilih **Berikutnya**.

1. Jika Anda memilih **Masuk dan keluar** atau **Masuk saja**, masukkan nilai yang berlaku untuk mengonfigurasi titik akhir masuk. Kemudian lanjutkan dengan langkah 7. Untuk informasi selengkapnya, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir masuk](resolver-forwarding-inbound-queries-values.md).

   Jika Anda memilih **Keluar saja**, lewati ke langkah 7.

1. Masukkan nilai yang berlaku untuk mengonfigurasi titik akhir keluar. Untuk informasi selengkapnya, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Jika Anda memilih **Masuk dan keluar** atau **Keluar saja**, masukkan nilai yang berlaku untuk membuat aturan. Untuk informasi selengkapnya, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit aturan](resolver-forwarding-outbound-queries-rule-values.md).

1. Pada halaman **Tinjau dan buat**, konfirmasikan pengaturan yang Anda tentukan pada halaman sebelumnya sudah benar. Jika perlu, pilih **Edit** untuk bagian yang berlaku, dan perbarui pengaturan. Setelah Anda puas dengan pengaturan, pilih **Kirim**.
**catatan**  
Membuat titik akhir keluar membutuhkan waktu satu atau dua menit. Anda tidak dapat membuat titik akhir keluar lain hingga yang pertama selesai dibuat.

1. Jika Anda ingin membuat lebih banyak aturan, lihat [Mengelola aturan penerusan](resolver-rules-managing.md).

1. Jika Anda membuat titik akhir keluar, konfigurasikan penyelesai DNS di jaringan guna meneruskan kueri DNS yang ada ke alamat IP untuk titik akhir masuk. Untuk informasi selengkapnya, lihat dokumentasi untuk aplikasi DNS.

# Meneruskan kueri DNS masuk ke VPCs
<a name="resolver-forwarding-inbound-queries"></a>

Untuk meneruskan kueri DNS dari jaringan Anda ke VPC Resolver, Anda membuat titik akhir masuk. Titik akhir masuk menentukan alamat IP (dari rentang alamat IP yang tersedia untuk VPC) yang Anda inginkan untuk diteruskan oleh penyelesai DNS di jaringan. Alamat IP tersebut bukan alamat IP publik, jadi untuk setiap titik akhir masuk, Anda perlu menghubungkan VPC Anda ke jaringan Anda menggunakan Direct Connect koneksi atau koneksi VPN.

Saat menerapkan delegasi masuk, Anda mendelegasikan otoritas DNS untuk subdomain dari infrastruktur DNS lokal ke VPC Resolver. Untuk mengonfigurasi delegasi ini dengan benar, Anda harus menggunakan alamat IP titik akhir masuk sebagai catatan lem (catatan NS) di server nama lokal untuk subdomain yang didelegasikan. Misalnya, jika Anda mendelegasikan subdomain “aws.example.com” ke VPC Resolver melalui titik akhir delegasi masuk dengan alamat IP 10.0.1.100 dan 10.0.1.101, Anda akan membuat catatan NS di server DNS lokal yang menunjuk “aws.example.com” ke alamat IP ini. Ini memastikan bahwa kueri DNS untuk subdomain yang didelegasikan dirutekan dengan benar ke Resolver VPC melalui titik akhir masuk, memungkinkan Resolver VPC merespons dengan catatan dari zona host pribadi terkait.

# Mengonfigurasi penerusan masuk
<a name="resolver-forwarding-inbound-queries-configuring"></a>

Untuk membuat titik akhir masuk, lakukan prosedur berikut.<a name="resolver-forwarding-inbound-queries-configuring-procedure"></a>

**Cara membuat titik akhir masuk**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Titik akhir masuk**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda ingin membuat titik akhir masuk.

1. Pilih **Buat titik akhir masuk**.

1. Masukkan nilai yang berlaku. Untuk informasi selengkapnya, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir masuk](resolver-forwarding-inbound-queries-values.md).

1. Pilih **Buat**.

1. Mengonfigurasi penyelesai DNS di jaringan guna meneruskan kueri DNS yang ada ke alamat IP untuk titik akhir masuk. Untuk informasi selengkapnya, lihat dokumentasi untuk aplikasi DNS.

# Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir masuk
<a name="resolver-forwarding-inbound-queries-values"></a>

Saat Anda membuat atau mengedit titik akhir masuk, tentukan nilai berikut:

**ID Outpost**  
Jika Anda membuat titik akhir untuk Resolver VPC di VPC, AWS Outposts ini adalah ID. AWS Outposts 

**Nama titik akhir**  
Nama ramah yang memudahkan Anda menemukan titik akhir masuk di dasbor.

**Kategori titik akhir**  
Pilih **Default** atau **Delegasi.** Jika kategorinya **Default**, resolver di jaringan Anda meneruskan permintaan DNS ke alamat IP titik akhir masuk. Ketika kategorinya adalah **Delegasi**, otoritas untuk domain didelegasikan ke Resolver VPC.

**VPC dalam Wilayah *region-name***  
Semua kueri DNS masuk dari jaringan Anda melewati VPC ini dalam perjalanan ke VPC Resolver.

**Grup keamanan untuk titik akhir ini**  
ID salah satu atau beberapa grup keamanan yang ingin Anda gunakan untuk mengendalikan akses ke VPC ini. Grup keamanan yang Anda tentukan harus menyertakan satu atau lebih aturan masuk. Aturan masuk harus mengizinkan akses TCP dan UDP di port 53. Jika Anda menggunakan protokol DoH, Anda juga harus mengizinkan port 443 di grup keamanan. Anda tidak dapat mengubah nilai ini setelah Anda membuat titik akhir.  
Beberapa aturan grup keamanan akan menyebabkan koneksi Anda dilacak dan kueri maksimum keseluruhan per detik per alamat IP untuk titik akhir masuk bisa serendah 1500. Untuk menghindari pelacakan koneksi yang disebabkan oleh grup keamanan, lihat Koneksi [yang tidak dilacak](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).  
Untuk menambahkan beberapa grup keamanan, gunakan AWS CLI perintah`create-resolver-endpoint`. Untuk informasi selengkapnya, lihat [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
Untuk informasi selengkapnya, lihat [Grup keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) di *Panduan pengguna Amazon VPC*.

**Tipe titik akhir**  
Jenis endpoint dapat berupa IPv4, IPv6, atau alamat IP dual-stack. Untuk titik akhir dual-stack, titik akhir akan memiliki keduanya IPv4 dan IPv6 alamat yang dapat diteruskan oleh resolver DNS Anda di jaringan Anda.   
Untuk alasan keamanan, kami menolak akses IPv6 lalu lintas langsung dari internet publik untuk semua alamat dual-stack dan IPv6 IP. 

**Alamat IP**  
Alamat IP tujuan penerusan kueri DNS yang dilakukan oleh penyelesai DNS di jaringan. Kami mengharuskan Anda untuk menentukan minimal dua alamat IP untuk redundansi. Jika Anda membuat titik akhir masuk delegasi, gunakan alamat IP ini sebagai catatan NS lem untuk subdomain yang ingin Anda delegasikan wewenangnya ke VPC Resolver. Perhatikan hal-hal berikut:    
**Beberapa Availability Zone**  
Kami menyarankan Anda menentukan alamat IP di setidaknya dua Availability Zone. Secara opsional Anda dapat menentukan alamat IP tambahan di Availability Zone tersebut atau lainnya.  
**Alamat IP dan antarmuka jaringan elastis Amazon VPC**  
Untuk setiap kombinasi Availability Zone, Subnet, dan alamat IP yang Anda tentukan, VPC Resolver membuat antarmuka elastis network Amazon VPC. Untuk jumlah maksimum kueri DNS saat ini per detik per alamat IP di titik akhir, lihat [Kuota pada Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver). Untuk informasi tentang harga untuk setiap elastic network interface, lihat “Amazon Route 53" di halaman [harga Amazon Route 53](https://aws.amazon.com/route53/pricing/). 
Titik akhir Resolver memiliki alamat IP pribadi. Alamat IP ini tidak akan berubah selama masa hidup titik akhir.
Untuk setiap alamat IP, tentukan nilai berikut. Setiap alamat IP harus berada dalam Availability Zone di VPC yang Anda tentukan di **VPC dalam Wilayah *region-name***.    
**Zona Ketersediaan**  
Availability Zone yang akan dilewati kueri DNS dalam perjalanan ke VPC Anda. Availability Zone yang Anda tentukan harus dikonfigurasi dengan subnet.  
**Subnet**  
Subnet yang berisi alamat IP yang ingin Anda tetapkan ke titik akhir Resolver Anda. ENIs Ini adalah alamat yang akan Anda kirimi kueri DNS. Subnet harus memiliki alamat IP yang tersedia.  
Alamat IP subnet harus sesuai dengan tipe **Endpoint**.  
**Alamat IP**  
Alamat IP yang ingin Anda tetapkan ke titik akhir masuk.  
Pilih apakah Anda ingin VPC Resolver memilih alamat IP untuk Anda dari antara alamat IP yang tersedia di subnet yang ditentukan, atau Anda ingin menentukan alamat IP sendiri.  
Jika Anda memilih untuk menentukan alamat IP sendiri, masukkan salah satu IPv4 atau IPv6 alamat, atau keduanya.

**Protokol**  
Protokol endpoint menentukan bagaimana data ditransmisikan ke titik akhir inbound. Pilih satu atau beberapa protokol sesuai tingkat keamanan yang dibutuhkan.  
+ **Do53:** (Default) Data diteruskan menggunakan Route 53 VPC Resolver tanpa enkripsi tambahan. Meskipun data tidak dapat dibaca oleh pihak eksternal, data dapat dilihat di dalam AWS jaringan. Ini adalah satu-satunya protokol yang saat ini tersedia untuk kategori titik akhir masuk **Delegasi**.
+ **DoH:** Data ditransmisikan melalui sesi HTTPS terenkripsi. DoH menambahkan tingkat keamanan tambahan di mana data tidak dapat didekripsi oleh pengguna yang tidak sah, dan tidak dapat dibaca oleh siapa pun kecuali penerima yang dituju.
+ **DOH-FIPS:** Data ditransmisikan melalui sesi HTTPS terenkripsi yang sesuai dengan standar kriptografi FIPS 140-2. Didukung hanya untuk titik akhir inbound. Untuk informasi lebih lanjut, lihat [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2).
**catatan**  
Untuk titik akhir masuk DOH/DOH-FIPS, ada masalah yang diketahui dengan IP sumber yang salah yang diterbitkan dalam pencatatan kueri VPC Resolver.
Untuk titik akhir masuk, Anda dapat menerapkan protokol sebagai berikut:  
+  Kombinasi Do53 dan DoH.
+ Kombinasi Do53 dan DoH-FIPS.
+ Do53 saja.
+ DoH saja.
+ DoH-FIPS saja.
+ Tidak ada, yang diperlakukan sebagai Do53.
 Anda tidak dapat mengubah protokol titik akhir masuk secara langsung dari hanya Do53 menjadi hanya DoH, atau DOH-FIP. Ini untuk mencegah gangguan mendadak pada lalu lintas masuk yang bergantung pada Do53. Untuk mengubah protokol dari Do53 ke DoH, atau DoH-FIP, Anda harus terlebih dahulu mengaktifkan Do53 dan DoH, atau Do53 dan DoH-FIP, untuk memastikan bahwa semua lalu lintas yang masuk telah ditransfer menggunakan protokol DoH, atau DoH-FIP, dan kemudian menghapus Do53.

**Tanda**  
Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan **Pusat biaya** untuk **Kunci** dan menentukan **456** untuk **Nilai**.

# Mengelola titik akhir masuk
<a name="resolver-forwarding-inbound-queries-managing"></a>

Untuk mengelola titik akhir masuk, lakukan prosedur yang berlaku.

**Topics**
+ [

## Melihat dan mengedit titik akhir masuk
](#resolver-forwarding-inbound-queries-managing-viewing)
+ [

## Melihat status titik akhir masuk
](#resolver-forwarding-inbound-queries-managing-viewing-status)
+ [

## Menghapus titik akhir masuk
](#resolver-forwarding-inbound-queries-managing-deleting)

## Melihat dan mengedit titik akhir masuk
<a name="resolver-forwarding-inbound-queries-managing-viewing"></a>

Untuk melihat dan mengedit pengaturan titik akhir masuk, lakukan prosedur berikut.<a name="resolver-forwarding-inbound-queries-managing-viewing-procedure"></a>

**Cara melihat dan mengedit pengaturan untuk titik akhir masuk**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Titik akhir masuk**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat titik akhir masuk.

1. Pilih opsi untuk titik akhir yang pengaturannya ingin Anda lihat atau edit.

1. Pilih **Tampilkan detail** atau **Edit**.

   Untuk informasi tentang nilai titik akhir masuk, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir masuk](resolver-forwarding-inbound-queries-values.md).

1. Jika Anda memilih **Edit**, masukkan nilai yang berlaku, dan pilih **Simpan**.

## Melihat status titik akhir masuk
<a name="resolver-forwarding-inbound-queries-managing-viewing-status"></a>

Untuk melihat status titik akhir masuk, lakukan prosedur berikut.<a name="resolver-forwarding-inbound-queries-managing-viewing-status-procedure"></a>

**Cara melihat status titik akhir masuk**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Titik akhir masuk**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat titik akhir masuk. Kolom **Status** berisi salah satu nilai berikut:  
**Membuat**  
VPC Resolver membuat dan mengonfigurasi satu atau lebih antarmuka jaringan VPC Amazon untuk titik akhir ini.  
**Operasional**  
Antarmuka jaringan VPC Amazon untuk titik akhir ini dikonfigurasi dengan benar dan dapat meneruskan kueri DNS masuk atau keluar antara jaringan Anda dan VPC Resolver.  
**Memperbarui**  
VPC Resolver mengaitkan atau memisahkan satu atau lebih antarmuka jaringan dengan titik akhir ini.  
**Memulihkan otomatis**  
VPC Resolver mencoba memulihkan satu atau lebih antarmuka jaringan yang terkait dengan titik akhir ini. Selama proses pemulihan, titik akhir berfungsi dengan kapasitas terbatas karena batas jumlah kueri DNS per alamat IP (per antarmuka jaringan). Untuk batas saat ini, lihat [Kuota pada Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver).  
**Diperlukan tindakan**  
Titik akhir ini tidak sehat, dan VPC Resolver tidak dapat memulihkannya secara otomatis. Untuk mengatasi masalah, kami sarankan Anda memeriksa setiap alamat IP yang dikaitkan dengan titik akhir. Untuk setiap alamat IP yang tidak tersedia, tambahkan alamat IP lain, lalu hapus alamat IP yang tidak tersedia. (Titik akhir harus selalu menyertakan setidaknya dua alamat IP.) Status **Diperlukan tindakan** dapat memiliki berbagai penyebab. Berikut adalah dua penyebab umum:  
   + Satu atau lebih antarmuka jaringan yang terkait dengan titik akhir dihapus menggunakan Amazon VPC.
   + Antarmuka jaringan tidak dapat dibuat karena beberapa alasan yang berada di luar kendali VPC Resolver.  
**Menghapus**  
VPC Resolver menghapus titik akhir ini dan antarmuka jaringan terkait.

## Menghapus titik akhir masuk
<a name="resolver-forwarding-inbound-queries-managing-deleting"></a>

Untuk menghapus titik akhir masuk, lakukan prosedur berikut.

**penting**  
Jika Anda menghapus titik akhir masuk, kueri DNS dari jaringan Anda tidak lagi diteruskan ke VPC Resolver di VPC yang Anda tentukan di titik akhir. <a name="resolver-forwarding-inbound-queries-managing-deleting-procedure"></a>

**Cara menghapus titik akhir masuk**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Titik akhir masuk**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat titik akhir masuk.

1. Pilih opsi untuk titik akhir yang ingin Anda hapus.

1. Pilih **Hapus**.

1. Untuk mengonfirmasi bahwa Anda ingin menghapus titik akhir, masukkan nama titik akhir dan pilih **Kirim**.

# Meneruskan kueri DNS keluar ke jaringan Anda
<a name="resolver-forwarding-outbound-queries"></a>

Untuk meneruskan kueri DNS yang berasal dari instans Amazon EC2 di satu atau beberapa VPCs ke jaringan Anda, Anda membuat titik akhir keluar dan satu atau beberapa aturan:

**Titik akhir keluar**  
Untuk meneruskan kueri DNS dari jaringan Anda VPCs ke jaringan Anda, Anda membuat titik akhir keluar. Titik akhir keluar menentukan alamat IP tempat kueri berasal. Alamat IP tersebut, yang Anda pilih dari kisaran alamat IP yang tersedia untuk VPC, bukanlah alamat IP publik. Ini berarti bahwa, untuk setiap titik akhir keluar, Anda perlu menghubungkan VPC ke jaringan menggunakan koneksi Direct Connect , koneksi VPN, atau gateway penerjemahan alamat jaringan (NAT). Perhatikan bahwa Anda dapat menggunakan titik akhir keluar yang sama untuk beberapa VPCs di Wilayah yang sama, atau Anda dapat membuat beberapa titik akhir keluar. Jika ingin titik akhir keluar digunakan DNS64, Anda dapat mengaktifkan DNS64 menggunakan Amazon Virtual Private Cloud. Untuk informasi selengkapnya, lihat [DNS64 dan NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-nat64-dns64) di *Panduan Pengguna Amazon VPC*.  
IP target dari aturan Resolver VPC dipilih secara acak oleh VPC Resolver dan tidak ada preferensi untuk memilih IP target tertentu di atas yang lain. Jika IP target tidak menanggapi permintaan DNS yang diteruskan, Resolver VPC akan mencoba lagi ke alamat IP acak di antara target. IPs  
Pastikan bahwa semua alamat IP target dapat dijangkau dari titik akhir Resolver. Jika VPC Resolver tidak dapat meneruskan kueri DNS keluar ke salah satu IP target, itu dapat menyebabkan waktu resolusi DNS diperpanjang. 

**Aturan**  
Untuk menentukan nama domain kueri yang ingin diteruskan ke penyelesai DNS di jaringan Anda, buatlah satu atau lebih aturan. Setiap aturan penerusan menentukan satu nama domain. Anda kemudian mengaitkan aturan dengan VPCs yang ingin Anda teruskan kueri ke jaringan Anda.   
Aturan delegasi keluar mengikuti prinsip delegasi tertentu yang berbeda dari aturan penerusan standar. Saat Anda membuat aturan delegasi, VPC Resolver mengevaluasi catatan delegasi dalam aturan terhadap catatan NS dalam respons DNS untuk menentukan apakah delegasi harus terjadi. Resolver VPC akan mendelegasikan wewenang ke resolver lokal Anda hanya jika ada kecocokan antara konfigurasi aturan delegasi dan catatan NS aktual yang ditampilkan dalam respons DNS. Tidak seperti aturan penerusan yang mengarahkan kueri berdasarkan pencocokan nama domain, aturan delegasi menghormati rantai delegasi DNS dan hanya diaktifkan ketika server nama otoritatif dalam respons cocok dengan konfigurasi delegasi.  
Untuk informasi selengkapnya, lihat topik berikut:  
+ [Private hosted zones that have overlapping namespaces](hosted-zone-private-considerations.md#hosted-zone-private-considerations-private-overlapping)
+ [Private hosted zones and Route 53 VPC Resolver rules](hosted-zone-private-considerations.md#hosted-zone-private-considerations-resolver-rules)

# Mengonfigurasi penerusan keluar
<a name="resolver-forwarding-outbound-queries-configuring"></a>

Untuk mengonfigurasi Resolver VPC untuk meneruskan kueri DNS yang berasal dari VPC Anda ke jaringan Anda, lakukan prosedur berikut.

**penting**  
Setelah Anda membuat titik akhir keluar, Anda harus membuat satu atau beberapa aturan dan mengaitkannya dengan satu atau lebih. VPCs Untuk menentukan nama domain kueri DNS yang ingin diteruskan ke jaringan Anda.<a name="resolver-forwarding-outbound-queries-configuring-create-endpoint-procedure"></a>

**Cara membuat titik akhir keluar**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Titik akhir keluar**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda ingin membuat titik akhir keluar.

1. Pilih **Buat titik akhir keluar**.

1. Masukkan nilai yang berlaku. Untuk informasi selengkapnya, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Pilih **Buat**.
**catatan**  
Membuat titik akhir keluar membutuhkan waktu satu atau dua menit. Anda tidak dapat membuat titik akhir keluar lain hingga yang pertama selesai dibuat.

1. Membuat satu atau lebih aturan untuk menentukan nama domain kueri DNS yang ingin diteruskan ke jaringan Anda. Untuk informasi selengkapnya, lihat prosedur berikutnya.

Untuk membuat satu atau lebih aturan penerusan, lakukan prosedur berikut.<a name="resolver-forwarding-outbound-queries-configuring-create-rule-procedure"></a>

**Untuk membuat aturan penerusan dan mengaitkan aturan dengan satu atau lebih VPCs**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Aturan**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda ingin membuat aturan.

1. Pilih **Buat aturan**.

1. Masukkan nilai yang berlaku. Untuk informasi selengkapnya, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit aturan](resolver-forwarding-outbound-queries-rule-values.md).

1. Pilih **Simpan**.

1. Untuk menambahkan aturan lain, ulangi langkah 4 hingga 6. 

# Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar
<a name="resolver-forwarding-outbound-queries-endpoint-values"></a>

Saat Anda membuat atau mengedit titik akhir keluar, tentukan nilai berikut:

**ID Outpost**  
Jika Anda membuat titik akhir untuk Resolver VPC di VPC, AWS Outposts ini adalah ID. AWS Outposts 

**Nama titik akhir**  
Nama ramah yang memudahkan Anda menemukan titik akhir keluar di dasbor.

**VPC dalam Wilayah *region-name***  
Semua kueri DNS keluar akan mengalir melalui VPC ini dalam perjalanan ke jaringan Anda.

**Grup keamanan untuk titik akhir ini**  
ID salah satu atau beberapa grup keamanan yang ingin Anda gunakan untuk mengendalikan akses ke VPC ini. Grup keamanan yang Anda tentukan harus menyertakan satu atau lebih aturan keluar. Aturan keluar harus mengizinkan akses TCP dan UDP di port yang Anda gunakan untuk kueri DNS di jaringan. Anda tidak dapat mengubah nilai ini setelah membuat titik akhir.   
Beberapa aturan grup keamanan akan menyebabkan koneksi Anda dilacak dan berpotensi memengaruhi kueri maksimum per detik dari titik akhir keluar ke server nama target Anda. Untuk menghindari pelacakan koneksi yang disebabkan oleh grup keamanan, lihat Koneksi [yang tidak dilacak](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).  
Untuk informasi selengkapnya, lihat [Grup keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) di *Panduan pengguna Amazon VPC*.

**Tipe titik akhir**  
Jenis endpoint dapat berupa IPv4, IPv6, atau alamat IP dual-stack. Untuk titik akhir dual-stack, titik akhir akan memiliki keduanya IPv4 dan IPv6 alamat yang dapat diteruskan oleh resolver DNS Anda di jaringan Anda.   
Untuk alasan keamanan, kami menolak akses IPv6 lalu lintas langsung ke internet publik untuk semua alamat dual-stack dan IPv6 IP.

**Alamat IP**  
Alamat IP di VPC Anda yang Anda inginkan VPC Resolver untuk meneruskan kueri DNS dalam perjalanan ke resolver di jaringan Anda. Ini bukan alamat IP dari resolver DNS di jaringan Anda; Anda menentukan alamat IP resolver saat Anda membuat aturan yang Anda kaitkan dengan satu atau lebih. VPCs Kami mengharuskan Anda untuk menentukan minimal dua alamat IP untuk redundansi.   
Titik akhir Resolver memiliki alamat IP pribadi. Alamat IP ini tidak akan berubah selama masa hidup titik akhir.
Perhatikan hal-hal berikut:    
**Beberapa Availability Zone**  
Kami menyarankan Anda menentukan alamat IP di setidaknya dua Availability Zone. Secara opsional Anda dapat menentukan alamat IP tambahan di Availability Zone tersebut atau lainnya.  
**Alamat IP dan antarmuka jaringan elastis Amazon VPC**  
Untuk setiap kombinasi Availability Zone, Subnet, dan alamat IP yang Anda tentukan, VPC Resolver membuat antarmuka elastis network Amazon VPC. Untuk jumlah maksimum kueri DNS saat ini per detik per alamat IP di titik akhir, lihat [Kuota pada Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver). Untuk informasi tentang harga untuk setiap elastic network interface, lihat “Amazon Route 53" di halaman [harga Amazon Route 53](https://aws.amazon.com/route53/pricing/).  
**Urutan alamat IP**  
Anda dapat menentukan alamat IP dalam urutan apa pun. Saat meneruskan kueri DNS, VPC Resolver tidak memilih alamat IP berdasarkan urutan alamat IP yang tercantum.
Untuk setiap alamat IP, tentukan nilai berikut. Setiap alamat IP harus berada dalam Availability Zone di VPC yang Anda tentukan di **VPC dalam Wilayah *region-name***.    
**Zona Ketersediaan**  
Availability Zone yang akan dilewati kueri DNS dalam perjalanan ke jaringan Anda. Availability Zone yang Anda tentukan harus dikonfigurasi dengan subnet.  
**Subnet**  
Subnet yang berisi alamat IP tempat kueri DNS berasal dari dalam perjalanan ke jaringan Anda. Subnet harus memiliki alamat IP yang tersedia.  
Alamat IP subnet harus sesuai dengan tipe **Endpoint**.  
**Alamat IP**  
Alamat IP tempat kueri DNS berasal dari dalam perjalanan ke jaringan Anda.  
Pilih apakah Anda ingin VPC Resolver memilih alamat IP untuk Anda dari antara alamat IP yang tersedia di subnet yang ditentukan, atau Anda ingin menentukan alamat IP sendiri.  
Jika Anda memilih untuk menentukan alamat IP sendiri, masukkan IPv6 alamat IPv4 atau, atau keduanya.

**Protokol**  
Protokol titik akhir menentukan bagaimana data ditransmisikan dari titik akhir keluar. Pilih satu atau beberapa protokol sesuai tingkat keamanan yang dibutuhkan.  
+ **Do53:** (Default) Data diteruskan menggunakan Route 53 VPC Resolver tanpa enkripsi tambahan. Meskipun data tidak dapat dibaca oleh pihak eksternal, data dapat dilihat di dalam AWS jaringan.
+ **DoH:** Data ditransmisikan melalui sesi HTTPS terenkripsi. DoH menambahkan tingkat keamanan tambahan di mana data tidak dapat didekripsi oleh pengguna yang tidak sah, dan tidak dapat dibaca oleh siapa pun kecuali penerima yang dituju.
Untuk titik akhir keluar, Anda dapat menerapkan protokol sebagai berikut:  
+  Kombinasi Do53 dan DoH.
+ Do53 saja.
+ DoH saja.
+ Tidak ada, yang diperlakukan sebagai Do53.

**Tanda**  
Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan **Pusat biaya** untuk **Kunci** dan menentukan **456** untuk **Nilai**.

# Nilai yang Anda tentukan ketika membuat atau mengedit aturan
<a name="resolver-forwarding-outbound-queries-rule-values"></a>

Saat Anda membuat atau mengedit aturan penerusan, tentukan nilai berikut:

**Nama aturan**  
Nama ramah yang memudahkan Anda menemukan aturan di dasbor.

**Jenis aturan**  
Pilih nilai yang sesuai:  
+ **Teruskan** – Pilih opsi ini ketika Anda ingin meneruskan kueri DNS untuk nama domain tertentu ke penyelesai di jaringan.
+ **Delegasi** — Pilih opsi ini ketika Anda ingin mendelegasikan otoritas untuk subdomain, yang dihosting di zona host pribadi, ke resolver lokal Anda (atau ke Resolver VPC di VPC lain).
+ **Sistem** — Pilih opsi ini jika Anda ingin VPC Resolver secara selektif mengganti perilaku yang ditentukan dalam aturan penerusan. Saat Anda membuat aturan sistem, VPC Resolver menyelesaikan kueri DNS untuk subdomain tertentu yang akan diselesaikan oleh penyelesai DNS di jaringan Anda.
Secara default, aturan penerusan berlaku untuk nama domain dan semua subdomainnya. Jika Anda ingin meneruskan kueri untuk domain ke penyelesai di jaringan tetapi Anda tidak ingin meneruskan kueri untuk beberapa subdomain, buatlah aturan sistem untuk subdomain. Misalnya, jika Anda membuat aturan penerusan untuk example.com tetapi tidak ingin meneruskan kueri untuk acme.example.com, buatlah aturan sistem dan tentukan acme.example.com untuk nama domain.

**Catatan delegasi — hanya untuk aturan delegasi**  
Kueri DNS yang mach ke domain ini diteruskan ke resolver di jaringan Anda.  
Sebagai prasyarat untuk aturan delegasi, Anda harus membuat catatan NS di zona host pribadi, saat menggunakan zona host pribadi untuk delegasi keluar Catatannya adalah: NS - Server nama untuk didelegasikan melalui titik akhir keluar Resolver dengan aturan delegasi. Untuk informasi selengkapnya, lihat [Tipe catatan NS](ResourceRecordTypes.md#NSFormat).

**VPCs yang menggunakan aturan ini**  
 VPCs Yang menggunakan aturan ini untuk meneruskan kueri DNS untuk nama domain tertentu atau nama. Anda dapat menerapkan aturan untuk VPCs sebanyak yang Anda inginkan.

**Nama domain — hanya untuk aturan penerusan**  
Kueri DNS untuk nama domain ini diteruskan ke alamat IP yang ditentukan dalam **Alamat IP target**. Misalnya, Anda dapat menentukan domain tertentu (example.com), domain tingkat atas (com), atau titik (.) untuk meneruskan semua kueri DNS. Untuk informasi selengkapnya, lihat [Bagaimana VPC Resolver menentukan apakah nama domain dalam kueri cocok dengan aturan apa pun](resolver-overview-forward-vpc-to-network-domain-name-matches.md).

**Titik akhir keluar**  
**VPC Resolver meneruskan kueri DNS melalui titik akhir keluar yang Anda tentukan di sini ke alamat IP yang Anda tentukan di alamat IP Target.**

**Alamat IP target**  
Jika kueri DNS cocok dengan nama domain yang Anda tentukan dalam **Nama domain**, titik akhir keluar meneruskan kueri ke alamat IP yang Anda tentukan di sini. Biasanya, ini adalah alamat IP penyelesai DNS pada jaringan Anda.  
**Alamat IP target** tersedia hanya ketika nilai **Jenis aturan** adalah **Teruskan**.  
Tentukan IPv4 atau IPv6 alamat, protokol, dan yang ingin ServerNameIndication Anda gunakan untuk titik akhir. ServerNameIndication hanya berlaku jika protokol yang dipilih adalah DoH.  
Menyelesaikan alamat IP target FQDN dari resolver DoH di jaringan Anda melalui titik akhir keluar tidak didukung. Titik akhir keluar memerlukan alamat IP target resolver DoH di jaringan Anda untuk meneruskan kueri DoH ke. Jika resolver DoH di jaringan Anda membutuhkan FQDN di TLS SNI dan di header Host HTTP, harus disediakan. ServerNameIndication 

**ServerNameIndication**  
Indikasi Nama Server server DoH yang ingin Anda teruskan kueri. Ini hanya digunakan jika Protokol adalah DoH.

**Tanda**  
Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan **Pusat biaya** untuk **Kunci** dan menentukan **456** untuk **Nilai**.  
Ini adalah tag yang AWS Manajemen Penagihan dan Biaya menyediakan untuk mengatur AWS tagihan Anda. Untuk informasi selengkapnya tentang penggunaan tanda untuk alokasi biaya, lihat [Menggunakan tanda alokasi biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dalam *Panduan Pengguna AWS Billing *.

# Mengelola titik akhir keluar
<a name="resolver-forwarding-outbound-queries-managing"></a>

Untuk mengelola titik akhir keluar, lakukan prosedur yang berlaku.

**Topics**
+ [

## Melihat dan mengedit titik akhir keluar
](#resolver-forwarding-outbound-queries-managing-viewing)
+ [

## Melihat status titik akhir keluar
](#resolver-forwarding-outbound-queries-managing-viewing-status)
+ [

## Menghapus titik akhir keluar
](#resolver-forwarding-outbound-queries-managing-deleting)

## Melihat dan mengedit titik akhir keluar
<a name="resolver-forwarding-outbound-queries-managing-viewing"></a>

Untuk melihat dan mengedit pengaturan titik akhir keluar, lakukan prosedur berikut.<a name="resolver-forwarding-outbound-queries-managing-viewing-procedure"></a>

**Cara melihat dan mengedit pengaturan untuk titik akhir keluar**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Titik akhir keluar**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat titik akhir keluar.

1. Pilih opsi untuk titik akhir yang pengaturannya ingin Anda lihat atau edit.

1. Pilih **Tampilkan detail** atau **Edit**.

   Untuk informasi tentang nilai titik akhir keluar, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Jika Anda memilih **Edit**, masukkan nilai yang berlaku, lalu pilih **Simpan**.

## Melihat status titik akhir keluar
<a name="resolver-forwarding-outbound-queries-managing-viewing-status"></a>

Untuk melihat status titik akhir keluar, lakukan prosedur berikut.<a name="resolver-forwarding-outbound-queries-managing-viewing-status-procedure"></a>

**Cara melihat status titik akhir keluar**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Titik akhir keluar**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat titik akhir keluar. Kolom **Status** berisi salah satu nilai berikut:  
**Membuat**  
VPC Resolver membuat dan mengonfigurasi satu atau lebih antarmuka jaringan VPC Amazon untuk titik akhir ini.  
**Operasional**  
Antarmuka jaringan VPC Amazon untuk titik akhir ini dikonfigurasi dengan benar dan dapat meneruskan kueri DNS masuk atau keluar antara jaringan Anda dan VPC Resolver.  
**Memperbarui**  
VPC Resolver mengaitkan atau memisahkan satu atau lebih antarmuka jaringan dengan titik akhir ini.  
**Memulihkan otomatis**  
VPC Resolver mencoba memulihkan satu atau lebih antarmuka jaringan yang terkait dengan titik akhir ini. Selama proses pemulihan, titik akhir berfungsi dengan kapasitas terbatas karena batas jumlah kueri DNS per alamat IP (per antarmuka jaringan). Untuk batas saat ini, lihat [Kuota pada Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver).  
**Diperlukan tindakan**  
Titik akhir ini tidak sehat, dan VPC Resolver tidak dapat memulihkannya secara otomatis. Untuk mengatasi masalah, kami sarankan Anda memeriksa setiap alamat IP yang dikaitkan dengan titik akhir. Untuk setiap alamat IP yang tidak tersedia, tambahkan alamat IP lain, lalu hapus alamat IP yang tidak tersedia. (Titik akhir harus selalu menyertakan setidaknya dua alamat IP.) Status **Diperlukan tindakan** dapat memiliki berbagai penyebab. Berikut adalah dua penyebab umum:  
   + Satu atau lebih antarmuka jaringan yang terkait dengan titik akhir dihapus menggunakan Amazon VPC.
   + Antarmuka jaringan tidak dapat dibuat karena beberapa alasan yang berada di luar kendali VPC Resolver.  
**Menghapus**  
VPC Resolver menghapus titik akhir ini dan antarmuka jaringan terkait.

## Menghapus titik akhir keluar
<a name="resolver-forwarding-outbound-queries-managing-deleting"></a>

Sebelum Anda dapat menghapus titik akhir, Anda harus terlebih dahulu menghapus aturan apa pun yang terkait dengan VPC.

Untuk menghapus titik akhir keluar, lakukan prosedur berikut.

**penting**  
Jika Anda menghapus titik akhir keluar, VPC Resolver berhenti meneruskan kueri DNS dari VPC ke jaringan Anda untuk aturan yang menentukan titik akhir keluar yang dihapus.<a name="resolver-forwarding-outbound-queries-managing-deleting-procedure"></a>

**Cara menghapus titik akhir keluar**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Titik akhir keluar**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat titik akhir keluar.

1. Pilih opsi untuk titik akhir yang ingin Anda hapus.

1. Pilih **Hapus**.

1. Untuk mengonfirmasi bahwa Anda ingin menghapus titik akhir, masukkan nama titik akhir, lalu pilih **Kirim**.

# Mengelola aturan penerusan
<a name="resolver-rules-managing"></a>

Jika Anda ingin VPC Resolver meneruskan kueri untuk nama domain tertentu ke jaringan Anda, Anda membuat satu aturan penerusan untuk setiap nama domain dan menentukan nama domain yang ingin Anda teruskan kueri.

**Topics**
+ [

## Melihat dan mengedit aturan penerusan
](#resolver-rules-managing-viewing)
+ [

## Membuat aturan penerusan
](#resolver-rules-managing-creating-rules)
+ [

## Menambahkan aturan untuk pencarian terbalik
](#add-reverse-lookup)
+ [

## Mengaitkan aturan penerusan dengan VPC
](#resolver-rules-managing-associating-rules)
+ [

## Memisahkan aturan penerusan dari VPC
](#resolver-rules-managing-disassociating-rules)
+ [

## Berbagi aturan Resolver dengan AWS akun lain dan menggunakan aturan bersama
](#resolver-rules-managing-sharing)
+ [

## Menghapus aturan penerusan
](#resolver-rules-managing-deleting)
+ [

## Aturan penerusan untuk kueri DNS terbalik di VPC Resolver
](#resolver-automatic-forwarding-rules-reverse-dns)

## Melihat dan mengedit aturan penerusan
<a name="resolver-rules-managing-viewing"></a>

Untuk melihat dan mengedit aturan penerusan, lakukan prosedur berikut.<a name="resolver-rules-managing-viewing-procedure"></a>

**Cara melihat dan mengedit pengaturan untuk aturan penerusan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Aturan**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat aturan.

1. Pilih opsi untuk aturan yang pengaturannya ingin Anda lihat atau edit.

1. Pilih **Tampilkan detail** atau **Edit**.

   Untuk informasi tentang nilai aturan penerusan, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit aturan](resolver-forwarding-outbound-queries-rule-values.md).

1. Jika Anda memilih **Edit**, masukkan nilai yang berlaku, lalu pilih **Simpan**.

## Membuat aturan penerusan
<a name="resolver-rules-managing-creating-rules"></a>

Untuk membuat satu atau lebih aturan penerusan, lakukan prosedur berikut.<a name="resolver-rules-managing-creating-rules-procedure"></a>

**Untuk membuat aturan penerusan dan mengaitkan aturan dengan satu atau lebih VPCs**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Aturan**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda ingin membuat aturan.

1. Pilih **Buat aturan**.

1. Masukkan nilai yang berlaku. Untuk informasi selengkapnya, lihat [Nilai yang Anda tentukan ketika membuat atau mengedit aturan](resolver-forwarding-outbound-queries-rule-values.md).

1. Pilih **Simpan**.

1. Untuk menambahkan aturan lain, ulangi langkah 4 hingga 6. 

## Menambahkan aturan untuk pencarian terbalik
<a name="add-reverse-lookup"></a>

Jika perlu mengontrol pencarian terbalik di VPC, Anda dapat menambahkan aturan ke titik akhir keluar penyelesai.

**Cara membuat aturan pencarian terbalik**

1. Ikuti langkah-langkah dalam prosedur sebelumnya, hingga langkah 5.

1. Saat Anda menentukan aturan, masukkan catatan PTR untuk alamat IP yang Anda inginkan untuk aturan penerusan pencarian terbalik.

   Misalnya, jika Anda perlu meneruskan pencarian untuk alamat di kisaran 10.0.0.0/23, masukkan dua aturan:
   + 0.0.10.in-addr.arpa
   + 1.0.10.in-addr.arpa

   Setiap alamat IP dalam subnet tersebut akan direferensikan sebagai subdomain dari catatan PTR tersebut—misalnya, 10.0.1.161 akan memiliki alamat pencarian terbalik 161.1.0.10.in-addr.arpa, yang merupakan subdomain dari 1.0.10.in-addra.arpa.

1. Tentukan server untuk meneruskan pencarian ini.

1. Tambahkan aturan ini ke titik akhir penyelesai keluar Anda.

Perhatikan bahwa menyalakan `enableDNSHostNames` untuk VPC Anda secara otomatis akan menambahkan catatan PTR. Lihat [Apa itu Route 53 VPC Resolver?](resolver.md). Prosedur sebelumnya diperlukan hanya jika Anda ingin secara eksplisit menentukan penyelesai bagi kisaran IP yang diberikan—misalnya, ketika meneruskan kueri ke server Direktori Aktif.

## Mengaitkan aturan penerusan dengan VPC
<a name="resolver-rules-managing-associating-rules"></a>

Setelah Anda membuat aturan penerusan, Anda harus mengaitkan aturan dengan satu atau lebih. VPCs Aturan hanya akan berfungsi setelah dikaitkan dengan VPC. Saat Anda mengaitkan aturan dengan VPC, VPC Resolver mulai meneruskan kueri DNS untuk nama domain yang ditentukan dalam aturan ke resolver DNS yang Anda tentukan dalam aturan. Kueri melewati titik akhir keluar yang Anda tentukan saat membuat aturan.<a name="resolver-rules-managing-associating-procedure"></a>

**Untuk mengaitkan aturan penerusan dengan satu atau lebih VPCs**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Aturan**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat aturan.

1. Pilih nama aturan yang ingin Anda kaitkan dengan satu atau lebih VPCs.

1. Pilih **Kaitkan VPC**.

1. Di bawah **VPCs itu gunakan aturan ini**, pilih aturan VPCs yang ingin Anda kaitkan dengan aturan tersebut.

1. Pilih **Tambahkan**.

## Memisahkan aturan penerusan dari VPC
<a name="resolver-rules-managing-disassociating-rules"></a>

Anda memisahkan aturan penerusan dari VPC dalam keadaan berikut:
+ Untuk kueri DNS yang berasal dari VPC ini, Anda ingin VPC Resolver menghentikan penerusan kueri untuk nama domain yang ditentukan dalam aturan ke jaringan Anda. 
+ Anda ingin menghapus aturan penerusan. Jika aturan saat ini dikaitkan dengan satu atau lebih VPCs, Anda harus memisahkan aturan dari semua VPCs sebelum Anda dapat menghapusnya.

Jika Anda ingin memisahkan aturan penerusan dari satu atau lebih VPCs, lakukan prosedur berikut.<a name="resolver-rules-managing-disassociating-procedure"></a>

**Cara memisahkan aturan penerusan dari VPC**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Aturan**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat aturan.

1. Pilih nama aturan yang ingin Anda pisahkan dari satu atau lebih VPCs.

1. Pilih opsi untuk VPC yang ingin Anda pisahkan dari aturan.

1. Pilih **Pisahkan**.

1. Ketik **disassociate** untuk mengonfirmasi.

1. Pilih **Kirim**.

## Berbagi aturan Resolver dengan AWS akun lain dan menggunakan aturan bersama
<a name="resolver-rules-managing-sharing"></a>

Anda dapat membagikan aturan Resolver yang Anda buat menggunakan satu AWS akun dengan akun lain AWS . Untuk berbagi aturan, konsol Resolver VPC Route 53 terintegrasi dengan Resource Access Manager. AWS Untuk informasi lebih lanjut tentang Resource Access Manager, lihat [Panduan Pengguna Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Perhatikan hal-hal berikut:

**Mengaitkan aturan bersama dengan VPCs**  
Jika AWS akun lain telah membagikan satu atau beberapa aturan dengan akun Anda, Anda dapat mengaitkan aturan dengan cara yang sama seperti Anda mengaitkan aturan yang Anda buat dengan akun Anda VPCs. VPCs Untuk informasi selengkapnya, lihat [Mengaitkan aturan penerusan dengan VPC](#resolver-rules-managing-associating-rules).

**Menghapus atau membatalkan berbagi aturan**  
Jika Anda berbagi aturan dengan akun lain dan kemudian menghapus aturan atau berhenti membagikannya, dan jika aturan dikaitkan dengan satu atau lebih VPCs, Route 53 VPC Resolver mulai memproses kueri DNS untuk mereka VPCs berdasarkan aturan yang tersisa. Perilaku akan sama seperti jika Anda memisahkan aturan dari VPC.  
Jika aturan dibagikan ke Unit Organisasi (OU) dan akun di OU dipindahkan ke OU yang berbeda, semua asosiasi dengan aturan bersama ke VPC apa pun di akun akan dihapus. Namun, jika aturan Resolver VPC sudah dibagikan dengan OU tujuan, maka asosiasi VPC akan tetap utuh dan tidak akan dipisahkan.

**Jumlah maksimum aturan dan pengaitan**  
Ketika akun membuat aturan dan membagikannya dengan satu atau beberapa akun lain, jumlah maksimum aturan per AWS Wilayah berlaku untuk akun yang membuat aturan.  
Ketika akun yang dibagikan aturan mengaitkan aturan dengan satu atau lebih VPCs, jumlah maksimum asosiasi antara aturan dan VPCs per Wilayah berlaku untuk akun tempat aturan tersebut dibagikan.  
Untuk kuota Resolver VPC saat ini, lihat. [Kuota pada Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)

**Izin**  
Untuk berbagi aturan dengan AWS akun lain, Anda harus memiliki izin untuk menggunakan [PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html)tindakan tersebut.

**Pembatasan pada AWS akun tempat aturan dibagikan**  
Akun yang dibagikan aturan tidak dapat mengubah atau menghapus aturan. 

**Penandaan**  
Hanya akun yang membuat aturan yang dapat menambahkan, menghapus, atau melihat tanda pada aturan.

Untuk melihat status berbagi aturan saat ini (termasuk akun yang membagikan aturan atau akun tempat aturan dibagikan), dan untuk berbagi aturan dengan akun lain, lakukan prosedur berikut.<a name="resolver-rules-managing-sharing-procedure"></a>

**Untuk melihat status berbagi dan berbagi aturan dengan AWS akun lain**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Aturan**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat aturan.

   Kolom **Status berbagi** menampilkan status berbagi aturan saat ini yang dibuat oleh akun saat ini atau yang dibagikan dengan akun saat ini:
   + **Tidak dibagikan**: AWS Akun saat ini membuat aturan, dan aturan tidak dibagikan dengan akun lain.
   + **Dibagikan oleh saya**: Akun saat ini membuat aturan dan membagikannya dengan satu atau beberapa akun.
   + **Dibagikan dengan saya**: Akun saat ini membuat aturan dan membagikannya dengan akun saat ini.

1. Pilih nama aturan dengan informasi berbagi yang ingin Anda tampilkan atau yang ingin Anda bagikan dengan akun lain.

   Pada *rule name* halaman **Aturan:**, nilai di bawah **Pemilik** menampilkan ID akun yang membuat aturan. Itu adalah akun saat ini kecuali nilai **Status berbagi** adalah **Dibagikan dengan saya**. Dalam hal ini, **Pemilik** adalah akun yang membuat aturan dan membagikannya dengan akun saat ini.

1. Pilih **Bagikan** untuk melihat informasi tambahan atau berbagi aturan dengan akun lain. Halaman di konsol Resource Access Manager muncul, tergantung pada nilai **Status berbagi**:
   + **Tidak dibagikan**: Halaman **Buat berbagi sumber daya** akan muncul. Untuk informasi tentang cara berbagi aturan dengan akun lain, OU, atau organisasi, lompat ke langkah 6.
   + **Dibagikan oleh saya**: Halaman **Sumber daya bersama** menampilkan aturan dan sumber daya lain yang dimiliki oleh akun saat ini dan dibagikan dengan akun lain.
   + **Dibagikan dengan saya**: Halaman **Sumber daya bersama** menampilkan aturan dan sumber daya lain yang dimiliki oleh akun lain dan dibagikan dengan akun saat ini.

1. Untuk berbagi aturan dengan AWS akun lain, OU, atau organisasi, tentukan nilai-nilai berikut.
**catatan**  
Anda tidak dapat memperbarui pengaturan berbagi. Jika ingin mengubah salah satu pengaturan berikut, Anda harus membagikan ulang aturan dengan pengaturan baru lalu menghapus pengaturan berbagi yang lama.  
**Deskripsi**  
Masukkan deskripsi singkat yang membantu Anda mengingat alasan Anda berbagi aturan.  
**Sumber daya**  
Pilih kotak centang untuk aturan yang ingin Anda bagikan.  
**Pengguna utama**  
Masukkan nomor AWS akun, nama OU, atau nama organisasi.  
**Tanda**  
Tentukan satu atau lebih kunci dan nilai yang sesuai. Misalnya, Anda dapat menentukan **Pusat biaya** untuk **Kunci** dan menentukan **456** untuk **Nilai**.  
Ini adalah tag yang AWS Manajemen Penagihan dan Biaya menyediakan untuk mengatur AWS tagihan Anda; Anda juga dapat menggunakan tag untuk tujuan lain. Untuk informasi selengkapnya tentang penggunaan tanda untuk alokasi biaya, lihat [Menggunakan tanda alokasi biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dalam *Panduan Pengguna AWS Billing *.

## Menghapus aturan penerusan
<a name="resolver-rules-managing-deleting"></a>

Untuk menghapus aturan penerusan, lakukan prosedur berikut.

Perhatikan hal-hal berikut:
+ Jika aturan penerusan dikaitkan dengan salah satu VPCs, Anda harus memisahkan aturan dari VPCs sebelum Anda dapat menghapus aturan. Untuk informasi selengkapnya, lihat [Memisahkan aturan penerusan dari VPC](#resolver-rules-managing-disassociating-rules).
+ Anda tidak dapat menghapusaturan **Resolver Internet** default, yang memiliki nilai **Rekursif** untuk **Jenis**. Aturan ini menyebabkan Route 53 VPC Resolver bertindak sebagai resolver rekursif untuk nama domain apa pun yang tidak Anda buat aturan kustom dan VPC Resolver tidak membuat aturan yang ditentukan secara otomatis. Untuk informasi selengkapnya tentang cara aturan dikategorikan, lihat [Menggunakan aturan untuk mengontrol kueri yang diteruskan ke jaringan Anda](resolver-overview-forward-vpc-to-network-using-rules.md).<a name="resolver-rules-managing-deleting-procedure"></a>

**Cara menghapus aturan penerusan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Aturan**.

1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat aturan.

1. Pilih opsi untuk aturan yang ingin Anda hapus.

1. Pilih **Hapus**.

1. Untuk mengonfirmasi bahwa Anda ingin menghapus aturan, masukkan nama aturan dan pilih **Kirim**.

## Aturan penerusan untuk kueri DNS terbalik di VPC Resolver
<a name="resolver-automatic-forwarding-rules-reverse-dns"></a>

Ketika `enableDnsHostnames` dan `enableDnsSupport` diatur ke `true` untuk virtual private cloud (VPC) dari Amazon VPC, VPC Resolver secara otomatis membuat aturan sistem yang ditentukan secara otomatis untuk kueri DNS terbalik. Untuk informasi selengkapnya tentang setelan ini, lihat [atribut DNS di VPC Anda di](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) Panduan Pengembang *Amazon VPC*.

Aturan penerusan untuk kueri DNS terbalik sangat berguna untuk layanan seperti SSH atau Active Directory, yang memiliki opsi untuk mengautentikasi pengguna dengan melakukan pencarian DNS terbalik untuk alamat IP dari mana pelanggan mencoba untuk terhubung ke sumber daya. Untuk informasi selengkapnya tentang aturan sistem yang ditentukan secara otomatis, lihat[Nama domain yang VPC Resolver membuat aturan sistem yang ditentukan secara otomatis](resolver-overview-forward-vpc-to-network-autodefined-rules.md). 

Anda dapat menonaktifkan aturan ini dan memodifikasi semua kueri DNS terbalik sehingga, misalnya, diteruskan ke server nama lokal Anda untuk resolusi.

Setelah Anda mematikan aturan otomatis, buat aturan untuk meneruskan kueri sesuai kebutuhan ke sumber daya lokal Anda. Untuk informasi selengkapnya tentang cara mengelola aturan penerusan, lihat. [Mengelola aturan penerusan](#resolver-rules-managing)<a name="resolver-automatic-reverse-rules-disable-procedure"></a>

**Untuk mematikan aturan yang ditentukan secara otomatis**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, di bawah **VPC** Resolver **VPCs**pilih, lalu pilih ID VPC.

1. Di bawah **Aturan yang ditentukan otomatis untuk resolusi DNS terbalik**, batalkan centang pada kotak centang. Jika kotak centang sudah tidak dipilih, Anda dapat memilihnya untuk mengaktifkan resolusi DNS terbalik yang ditentukan secara otomatis.

Untuk yang terkait APIs, lihat Konfigurasi [VPC Resolver](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration). APIs

# Tutorial aturan delegasi penyelesai
<a name="outbound-delegation-tutorial"></a>

 Aturan delegasi memungkinkan Resolver VPC mencapai server nama yang meng-host zona yang didelegasikan melalui titik akhir keluar yang ditentukan. Sementara aturan penerusan menginformasikan Resolver VPC untuk meneruskan kueri DNS ke server nama yang cocok dengan domain yang ditentukan melalui titik akhir keluar, aturan delegasi menginformasikan VPC Resolver untuk mencapai server nama yang didelegasikan melalui titik akhir keluar yang ditentukan saat catatan NS yang didelegasikan dikembalikan. VPC Resolver mengirimkan kueri ke server nama yang didelegasikan saat catatan NS dalam respons DNS cocok dengan nama domain yang ditentukan dalam catatan delegasi. 

## Langkah-langkah Menggunakan delegasi keluar titik akhir Resolver
<a name="delegation-steps"></a>

1. Buat titik akhir keluar Resolver di VPC tempat Anda ingin kueri DNS berasal dari resolver di jaringan Anda. 

   Anda dapat menggunakan API berikut atau perintah CLI:
   + [`CreateResolverEndpoint`API](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html)
   + [`create-resolver-endpoint`CLI](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)

1. Buat satu atau beberapa aturan delegasi, yang menentukan nama domain yang kueri harus didelegasikan ke jaringan Anda melalui titik akhir keluar yang ditentukan.

   Contoh pembuatan aturan delegasi dengan CLI:

   ```
   aws route53resolver create-resolver-rule \
   --region REGION \
   --creator-request-id delegateruletest \
   --delegation-record example.com \
   --name delegateruletest \
   --rule-type DELEGATE \
   --resolver-endpoint-id outbound endpoint ID
   ```

1. Kaitkan aturan delegasi dengan yang VPCs Anda inginkan kueri untuk didelegasikan.

   Anda dapat menggunakan API berikut atau perintah CLI:
   + [AssociateResolverRule](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_AssociateResolverRule.html)API.
   + [associate-resolver-rules](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/associate-resolver-rule.html)Perintah CLI.

## Jenis delegasi yang didukung oleh titik akhir keluar Resolver
<a name="delegation-types"></a>

VPC Resolver mendukung dua jenis delegasi keluar:
+ Rutekan 53 zona host pribadi ke delegasi keluar VPC Resolver:

   Mendelegasikan sub-domain dari zona host pribadi ke server DNS lokal atau zona yang dihosting publik di internet menggunakan delegasi keluar. Delegasi keluar ini memungkinkan Anda untuk membagi pengelolaan catatan DNS Anda antara zona host pribadi dan zona yang didelegasikan. Delegasi dapat dilakukan dengan atau tanpa catatan lem di zona host pribadi berdasarkan pengaturan DNS Anda.Untuk informasi lebih lanjut lihat. [Zona host pribadi untuk keluar](#phz-to-outbound-delegation) 
+ VPC Resolver keluar ke delegasi keluar:

   Mendelegasikan subdomain dari server DNS lokal Anda ke server lokal lain di lokasi yang sama atau berbeda menggunakan delegasi keluar ke luar. Ini mirip dengan mendelegasikan dari zona host pribadi ke titik akhir keluar, tempat Anda dapat mendelegasikan ke zona yang dihosting di server nama lokal Anda. Untuk mengetahui informasi selengkapnya, lihat [Keluar ke outbound](#outbound-to-outbound-delegation). 

### Rutekan 53 zona host pribadi ke konfigurasi contoh delegasi keluar VPC Resolver
<a name="phz-to-outbound-delegation"></a>

 Mari kita asumsikan pengaturan DNS di mana zona host induk dihosting di zona host pribadi Route 53 di VPC Amazon dan subdomain didelegasikan ke server nama yang dihosting di Eropa, Asia, dan Amerika Utara. Semua kueri DNS dilewatkan melalui VPC Resolver. 

Ikuti langkah-langkah contoh untuk mengonfigurasi zona host pribadi dan Resolver VPC Anda.

**Konfigurasikan zona host pribadi untuk delegasi keluar**

1. Untuk pengaturan zona yang dihosting pribadi:

   Zona yang dihosting orang tua: `hr.example.com`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   eu.hr.example.com IN NS ns1.eu.hr.example.com.
   apac.hr.example.com IN NS ns2.apac.hr.example.com.
   na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation
   
   ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
   ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
   ```

1. Untuk server nama lokal di wilayah lokal Eropa:
   + Zona yang Dihosting: `eu.hr.example.com` NS IP: `10.0.0.30`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN eu.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.eu.hr.example.com IN A 1.2.3.4
   ```

1. Untuk server nama lokal di wilayah lokal Asia:

   Zona yang Dihosting:`apac.hr.example.com`, `10.0.0.40`

   Server nama apac dapat mendelegasikan subdomain ke server nama lain.

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN apac.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.apac.hr.example.com IN A 5.6.7.8
   engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
   sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
   ns1.engineering.apac.hr.example.com IN A 10.0.0.80
   ns2.sales.apac.hr.example.com IN A 10.0.0.90
   ```

   Zona yang Dihosting:`engineering.apac.hr.example.com`, `10.0.0.80`

   ```
   $TTL 86400 ; 24 hours
   $ORIGIN engineering.apac.hr.example.com
   @ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
   @ 1D IN NS @
   test.engineering.apac.hr.example.com IN A 1.1.1.1
   ```

1. Untuk server nama lokal di wilayah lokal Amerika Utara:

   Zona yang Dihosting: `na.hr.example.net` NS IP: `10.0.0.50`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN na.hr.example.net
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   ns3.na.hr.example.net. IN A 10.0.0.50
   test.na.hr.example.com  IN A 9.10.11.12
   ```

**Pengaturan VPC Resolver**
+ Untuk Resolver VPC, Anda perlu menyiapkan satu aturan penerusan dan dua aturan delegasi:

  **Aturan maju**

  1. Untuk meneruskan catatan out-of-zone delegasi, sehingga Route 53 VPC Resolver mengetahui IP dari NS yang didelegasikan untuk meneruskan permintaan awal.

     nama domain: target-ips: `hr.example.net` `10.0.0.50`

  **Aturan delegasi**

  1. Aturan delegasi untuk delegasi dalam zona:

     catatan delegasi: `hr.example.com`

  1. Aturan delegasi untuk delegasi di luar zona:

     catatan delegasi: `hr.example.net`

### Konfigurasi contoh delegasi keluar ke luar
<a name="outbound-to-outbound-delegation"></a>

 Alih-alih memiliki zona host induk di VPC Amazon, mari kita asumsikan pengaturan DNS di mana zona host induk berada di lokasi lokal pusat dan subdomain sedang didelegasikan ke server nama yang dihosting di Eropa, Asia, dan Amerika Utara. Semua kueri DNS dilewatkan melalui VPC Resolver. 

Ikuti contoh langkah untuk mengonfigurasi DNS lokal dan Resolver VPC Anda.

**Konfigurasikan DNS di lokasi**

1. Untuk server nama lokal di wilayah lokal pusat:
   + **Zona yang dihosting orang tua:** `hr.example.com`

     Zona yang Dihosting`hr.example.com`, NS IP: `10.0.0.20`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   eu.hr.example.com IN NS ns1.eu.hr.example.com.
   apac.hr.example.com IN NS ns2.apac.hr.example.com.
   na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation
   
   ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
   ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
   ```

1.  Untuk server nama lokal di wilayah lokal Eropa (konfigurasi untuk server nama Eropa, Asia, dan Amerika Utara sama dengan zona host pribadi ke delegasi keluar):
   + Zona yang Dihosting: `eu.hr.example.com` NS IP: `10.0.0.30`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN eu.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.eu.hr.example.com IN A 1.2.3.4
   ```

1. Untuk server nama lokal di wilayah lokal Asia:

   Zona yang Dihosting:`apac.hr.example.com`, `10.0.0.40`

   Server nama apac dapat mendelegasikan subdomain ke server nama lain.

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN apac.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.apac.hr.example.com IN A 5.6.7.8
   engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
   sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
   ns1.engineering.apac.hr.example.com IN A 10.0.0.80
   ns2.sales.apac.hr.example.com IN A 10.0.0.90
   ```

   Zona yang Dihosting:`engineering.apac.hr.example.com`, `10.0.0.80`

   ```
   $TTL 86400 ; 24 hours
   $ORIGIN engineering.apac.hr.example.com
   @ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
   @ 1D IN NS @
   test.engineering.apac.hr.example.com IN A 1.1.1.1
   ```

1. Untuk server nama lokal di wilayah lokal Amerika Utara:

   Zona yang Dihosting: `na.hr.example.net` NS IP: `10.0.0.50`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN na.hr.example.net
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   ns3.na.hr.example.net. IN A 10.0.0.50
   test.na.hr.example.com  IN A 9.10.11.12
   ```

**Pengaturan VPC Resolver**
+ Untuk Resolver VPC, Anda perlu mengatur aturan penerusan dan aturan delegasi:

  **Aturan maju**

  1. Untuk meneruskan permintaan awal sehingga kueri akan diteruskan ke zona `hr.example.com` host induk di lokasi pusat:

     nama domain: target-ips: `hr.example.com` `10.0.0.20`

  1. Untuk meneruskan catatan out-of-zone delegasi, sehingga VPC Resolver mengetahui alamat IP server nama yang didelegasikan untuk meneruskan permintaan awal:

     nama domain: target-ips: `hr.example.net` `10.0.0.50`

  **Aturan delegasi**

  1. Aturan delegasi untuk delegasi dalam zona:

     catatan delegasi: `hr.example.com`

  1. Aturan Delegasi untuk delegasi di luar zona:

     catatan delegasi: `hr.example.net`

# Mengaktifkan validasi DNSSEC di Amazon Route 53
<a name="resolver-dnssec-validation"></a>

Saat Anda mengaktifkan validasi DNSSEC untuk virtual private cloud (VPC) di Amazon Route 53, tanda tangan DNSSEC diperiksa secara kriptografis untuk memastikan bahwa respons tidak dirusak. Anda mengaktifkan validasi DNSSEC di halaman detail VPC. 

Validasi DNSSEC diterapkan oleh VPC Resolver ke nama yang ditandatangani publik saat melakukan resolusi DNS rekursif. 

Namun, jika Resolver VPC meneruskan ke resolver DNS lain, resolver tersebut melakukan resolusi DNS rekursif dan, oleh karena itu, juga harus menerapkan validasi DNSSEC.

**penting**  
Mengaktifkan validasi DNSSEC dapat memengaruhi resolusi DNS untuk data DNS publik dari sumber daya AWS dalam VPC, yang dapat mengakibatkan pemadaman. Perhatikan bahwa mengaktifkan atau menonaktifkan validasi DNSSEC dapat memakan waktu beberapa menit. 

**catatan**  
Pada saat ini, Route 53 VPC Resolver di VPC Anda (alias AmazonProvided DNS) mengabaikan bit header DO (DNSSEC OK) EDNS dan bit CD (Checking Disabled) dalam kueri DNS. Jika Anda telah mengonfigurasi DNSSEC, ini berarti bahwa sementara VPC Resolver melakukan validasi DNSSEC, DNSSEC tidak mengembalikan catatan DNSSEC atau mengatur bit AD dalam respons. Oleh karena itu, melakukan validasi DNSSEC Anda sendiri saat ini tidak didukung oleh VPC Resolver. Jika Anda perlu melakukan ini, Anda harus melakukan resolusi DNS rekursif Anda sendiri.<a name="resolver-dnssec-validation-procedure"></a>

**Cara mengaktifkan validasi DNSSEC untuk VPC**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, di bawah **VPC Resolver**, pilih. **VPCs**

1. Di bawah **validasi DNSSEC**, pilih kotak centang. Jika kotak centang sudah dipilih, Anda dapat menghapusnya untuk menonaktifkan validasi DNSSEC.

   Perhatikan bahwa mengaktifkan atau menonaktifkan validasi DNSSEC dapat memakan waktu beberapa menit.