Inoltro di richieste DNS in entrata al tuo VPCs - Amazon Route 53
Configurazione dell'inoltro in entrataValori specificati durante la creazione o la modifica di endpoint in entrata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inoltro di richieste DNS in entrata al tuo VPCs

Per inoltrare le query DNS dalla rete a Resolver, è necessario creare un endpoint in entrata. Un endpoint in ingresso specifica gli indirizzi IP (dall'intervallo di indirizzi IP disponibili per il VPC) a cui i resolver DNS devono inoltrare le query DNS. Questi indirizzi IP non sono indirizzi IP pubblici, quindi per ogni endpoint in entrata devi connettere il tuo VPC alla rete utilizzando una AWS Direct Connect connessione o una connessione VPN.

Configurazione dell'inoltro in entrata

Per creare un endpoint in entrata, procedi nel seguente modo.

Per creare un endpoint in entrata.

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo. https://console.aws.amazon.com/route53/

  2. Nel riquadro di navigazione, scegli Inbound endpoints (Inbound in entrata).

  3. Nella barra di navigazione, scegli la regione dove si desidera creare l'endpoint in entrata.

  4. Sceglie Create inbound endpoint (Crea endpoint in entrata).

  5. Immetti i valori applicabili. Per ulteriori informazioni, consulta Valori specificati durante la creazione o la modifica di endpoint in entrata.

  6. Scegli Create (Crea) .

  7. Configurare i resolver DNS di rete in modo che inoltrino le query DNS applicabili agli indirizzi IP dell'endpoint in entrata. Per ulteriori informazioni, consulta la documentazione relativa alla tua applicazione DNS.

Valori specificati durante la creazione o la modifica di endpoint in entrata

Quando crei o modifichi un endpoint in entrata, devi specificare i seguenti valori:

ID Outpost

Se stai creando l'endpoint per un Resolver su un AWS Outposts VPC, questo è l'ID. AWS Outposts

Nome endpoint

Un nome descrittivo che ti consenta di trovare facilmente un endpoint in entrata nel pannello di controllo.

VPC nella regione region-name.

Tutte le query DNS in entrata dalla rete passano per questo VPC in direzione di Resolver.

Gruppo di sicurezza per questo endpoint

L'ID di uno o più gruppi di sicurezza che si desidera utilizzare per controllare l'accesso a questo VPC. Il gruppo di sicurezza specificato deve includere una o più regole in entrata. Le regole in entrata devono autorizzare l'accesso TCP e UDP sulla porta 53. Non puoi modificare questo valore dopo avere creato l’endpoint.

Alcune regole del gruppo di sicurezza consentiranno il tracciamento della connessione e il numero massimo complessivo di query al secondo per indirizzo IP per un endpoint in ingresso può essere pari a 1500. Per evitare il tracciamento delle connessioni causato da un gruppo di sicurezza, vedi Connessioni non tracciate.

Nota

Per aggiungere più gruppi di sicurezza, usa il AWS CLI comando. create-resolver-endpoint Per ulteriori informazioni, consulta create-resolver-endpoint

Per ulteriori informazioni, consultare Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

Tipo di endpoint

Il tipo di endpoint può essere uno o più IPv4 indirizzi IPv6 IP dual-stack. Per un endpoint dual-stack, l'endpoint avrà entrambi gli IPv6 indirizzi a cui il resolver DNS sulla rete IPv4 può inoltrare la query DNS.

Nota

Per motivi di sicurezza, stiamo negando l'accesso diretto al IPv6 traffico dalla rete Internet pubblica a tutti gli indirizzi IP e dual-stack. IPv6

Indcirizzi IP

Gli indirizzi IP a cui vuoi che i resolver DNS sulla rete inoltrino le query DNS. Richiediamo di specificare un minimo di due indirizzi IP per la ridondanza. Tieni presente quanto segue:

Zone di disponibilità multiple

Consigliamo di specificare indirizzi IP in almeno due zone di disponibilità. È anche possibile specificare facoltativamente ulteriori indirizzi IP in quelle o in altre zone di disponibilità.

Indirizzi IP e interfacce di rete elastiche di Amazon VPC

Per ogni combinazione di zona di disponibilità, sottorete e indirizzo IP specificata, Resolver crea un'interfaccia di rete elastica di Amazon VPC. Per quanto riguarda il numero massimo di query DNS al secondo per ogni indirizzo IP in un endpoint, consulta Quote relative a Route 53 Resolver. Per informazioni sui prezzi per ogni interfaccia di rete elastica, consulta "Amazon Route 53" nella Pagina dei prezzi di Amazon Route 53.

Nota

L'endpoint del risolutore ha un indirizzo IP privato. Questi indirizzi IP non cambieranno nel corso della vita di un endpoint.

Per ogni indirizzo IP, specifica i seguenti valori. Ogni indirizzo IP deve trovarsi in una zona di disponibilità del VPC specificato in VPC in the region-name Region (VPC nella regione region-name).

Zona di disponibilità

La zona di disponibilità nella quale desideri che le query DNS passino in direzione del VPC. La zona di disponibilità specificata deve essere configurata con una sottorete.

Sottorete

La sottorete che contiene gli indirizzi IP che desiderate assegnare al vostro endpoint Resolver. ENIs Questi sono gli indirizzi a cui invierai le query DNS. La sottorete deve avere a disposizione un indirizzo IP.

L'indirizzo IP della sottorete deve corrispondere al Tipo di endpoint.

Indirizzo IP

L'indirizzo IP al quale desideri inoltrare le query DNS.

Scegli se vuoi che sia Resolver a scegliere un indirizzo IP per tuo conto tra gli indirizzi IP disponibili nella sottorete specificata o se vuoi specificare personalmente l'indirizzo IP.

Se scegli di specificare tu stesso l'indirizzo IP, inserisci un IPv6 indirizzo IPv4 or o entrambi.

Protocolli

Il protocollo dell'endpoint determina il modo in cui i dati vengono trasmessi all'endpoint in entrata. Scegli uno o più protocolli, a seconda del livello di sicurezza necessario.

  • Do53: (impostazione predefinita) i dati vengono inoltrati utilizzando Route 53 Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, è possibile visualizzarli all'interno delle reti AWS .

  • DoH: i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.

  • DoH-FIPS: i dati vengono trasmessi attraverso una sessione HTTPS crittografata conforme allo standard di crittografia FIPS 140-2. Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, consulta FIPS PUB 140-2.

    Nota

    Per gli endpoint in entrata DOH/DOH-FIPS, esiste un problema noto a causa della pubblicazione di un IP di origine errato nella registrazione delle query di Route 53 Resolver.

Per un endpoint in entrata, è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 e DoH-FIPS in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • DoH-FIPS da solo.

  • Nessuno, il che equivale a Do53.

Importante

Non è possibile modificare il protocollo di un endpoint in entrata direttamente dal solo Do53 al solo DoH o DoH-FIPS. Ciò serve a prevenire un'interruzione improvvisa del traffico in entrata basato su Do53. Per modificare il protocollo da Do53 a DoH o DoH-FIPS, devi innanzitutto abilitare sia Do53 che DoH oppure Do53 e DoH-FIPS, per garantire che tutto il traffico in entrata sia passato all'uso del protocollo DoH o DoH-FIPS, e quindi rimuovere il protocollo Do53.

Tag

Specifica una o più chiavi e i relativi valori. Ad esempio, è possibile specificare Cost center (Centro di costo) per Key (Chiave) e specificare 456 per Value (Valore).