Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Inoltro di query DNS in uscita alla rete

PDF
RSS
Modalità Focus
Inoltro di query DNS in uscita alla rete - Amazon Route 53
Configurazione dell'inoltro in uscitaValori specificati durante la creazione o la modifica degli endpoint in uscitaValori specificati durante la creazione o la modifica delle regole

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per inoltrare alla tua rete le query DNS che provengono da EC2 istanze Amazon in una o più VPCs istanze, crei un endpoint in uscita e una o più regole:

Endpoint in uscita

Per inoltrare le query DNS dalla tua rete VPCs alla tua rete, crei un endpoint in uscita. Un endpoint in uscita specifica gli indirizzi IP da cui provengono le query. Tali indirizzi IP, che scegli dall'intervallo di indirizzi IP disponibili per il VPC, non sono indirizzi IP pubblici. Ciò significa che, per ogni endpoint in uscita, è necessario connettere il VPC alla rete mediante una connessione AWS Direct Connect , una connessione VPC o un gateway NAT (Network Address Translation). Tieni presente che puoi utilizzare lo stesso endpoint in uscita per più endpoint VPCs nella stessa regione oppure puoi creare più endpoint in uscita. Se desideri utilizzare il tuo endpoint in uscita DNS64, puoi abilitare DNS64 l'utilizzo di Amazon Virtual Private Cloud. Per ulteriori informazioni, consulta DNS64 e NAT64 consulta la Amazon VPC User Guide.

L'IP di destinazione in base alla regola Route 53 Resolver viene scelto a caso da Resolver e non vi è alcuna preferenza nella scelta di un particolare IP di destinazione rispetto all'altro. Se un IP di destinazione non risponde alla richiesta DNS inoltrata, il Resolver riproverà a inserire un indirizzo IP casuale tra i destinatari. IPs

Assicurati che tutti gli indirizzi IP di destinazione siano raggiungibili dagli endpoint Resolver. Se Resolver non è in grado di inoltrare le query DNS in uscita a nessuno degli IP di destinazione, ciò può portare a tempi di risoluzione DNS prolungati.

Regolamento

Per specificare i nomi di dominio delle query che desideri inoltrare ai resolver DNS sulla rete, è necessario creare una o più regole. Ogni regola specifica un nome di dominio. Quindi associ le regole alle quali desideri inoltrare VPCs le query alla tua rete.

Per ulteriori informazioni, consulta i seguenti argomenti:

Configurazione dell'inoltro in uscita

Per configurare Resolver in modo che inoltri query DNS che hanno origine nel VPC alla rete, procedi nel seguente modo.

Importante

Dopo aver creato un endpoint in uscita, è necessario creare una o più regole e associarle a una o più. VPCs Le regole specificano i nomi di dominio delle query DNS che desideri inoltrare alla rete.

Per creare un endpoint in uscita

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo. https://console.aws.amazon.com/route53/

  2. Nel riquadro di navigazione, seleziona Outbound endpoints (Endpoint in uscita).

  3. Nella barra di navigazione, seleziona la regione dove si desidera creare l'endpoint in uscita.

  4. Scegli Create outbound endpoint (Crea endpoint in uscita).

  5. Immetti i valori applicabili. Per ulteriori informazioni, consulta Valori specificati durante la creazione o la modifica degli endpoint in uscita.

  6. Scegli Create (Crea) .

    Nota

    La creazione di un endpoint in uscita richiede un paio di minuti. Non è possibile creare un altro endpoint in uscita fino a quando non viene creato il primo.

  7. Creare una o più regole per specificare i nomi di dominio delle query DNS che si desidera inoltrare ai resolver DNS sulla rete. Per ulteriori informazioni, consulta la procedura successiva.

Per creare una o più regole di inoltro, procedere nel seguente modo.

Per creare regole di inoltro e associarle a una o più regole VPCs

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo. https://console.aws.amazon.com/route53/

  2. Nel pannello di navigazione, scegli Rules (Regole).

  3. Nella barra di navigazione, scegli la regione dove hai creato la regola.

  4. Scegli Create rule (Crea regola).

  5. Immetti i valori applicabili. Per ulteriori informazioni, consulta Valori specificati durante la creazione o la modifica delle regole.

  6. Seleziona Save (Salva.

  7. Per aggiungere un'altra regola, ripetere le fasi da 4 a 6.

Valori specificati durante la creazione o la modifica degli endpoint in uscita

Quando crei o modifichi un endpoint in uscita, devi specificare i seguenti valori:

ID Outpost

Se stai creando l'endpoint per un Resolver su un AWS Outposts VPC, questo è l'ID. AWS Outposts

Nome endpoint

Un nome descrittivo che ti consenta di trovare facilmente un endpoint in uscita.

VPC nella regione region-name.

Tutte le query DNS in uscita passeranno attraverso questo VPC in direzione della rete.

Gruppo di sicurezza per questo endpoint

L'ID di uno o più gruppi di sicurezza che si desidera utilizzare per controllare l'accesso a questo VPC. Il gruppo di sicurezza specificato deve includere una o più regole in uscita. Le regole in uscita devono consentire l'accesso TCP e UDP sulla porta che si sta utilizzando per le query DNS nella rete. Non è possibile modificare questo valore dopo avere creato un endpoint.

Alcune regole del gruppo di sicurezza consentiranno il tracciamento della connessione e potrebbero influire sul numero massimo di query al secondo dall'endpoint in uscita al nameserver di destinazione. Per evitare il tracciamento delle connessioni causato da un gruppo di sicurezza, vedi Connessioni non tracciate.

Per ulteriori informazioni, consultare Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

Tipo di endpoint

Il tipo di endpoint può essere uno o due indirizzi IP IPv4 o IPv6 dual-stack. Per un endpoint dual-stack, l'endpoint avrà entrambi gli IPv6 indirizzi a cui il resolver DNS sulla rete IPv4 può inoltrare la query DNS.

Nota

Per motivi di sicurezza, stiamo negando l'accesso diretto al IPv6 traffico Internet pubblico per tutti gli indirizzi IP e dual-stack. IPv6

Indirizzi IP

Gli indirizzi IP nel VPC ai quali desideri che Resolver inoltri le query DNS in direzione dei resolver sulla rete. Questi non sono gli indirizzi IP dei resolver DNS sulla rete; gli indirizzi IP dei resolver vengono specificati quando si creano le regole che si associano a una o più regole. VPCs Richiediamo di specificare un minimo di due indirizzi IP per la ridondanza.

Nota

L'endpoint del risolutore ha un indirizzo IP privato. Questi indirizzi IP non cambieranno nel corso della vita di un endpoint.

Tieni presente quanto segue:

Zone di disponibilità multiple

Consigliamo di specificare indirizzi IP in almeno due zone di disponibilità. È anche possibile specificare facoltativamente ulteriori indirizzi IP in quelle o in altre zone di disponibilità.

Indirizzi IP e interfacce di rete elastiche di Amazon VPC

Per ogni combinazione di zona di disponibilità, sottorete e indirizzo IP specificata, Resolver crea un'interfaccia di rete elastica di Amazon VPC. Per quanto riguarda il numero massimo di query DNS al secondo per ogni indirizzo IP in un endpoint, consulta Quote relative a Route 53 Resolver. Per informazioni sui prezzi per ogni interfaccia di rete elastica, consulta "Amazon Route 53" nella Pagina dei prezzi di Amazon Route 53.

Ordine degli indirizzi IP

È possibile specificare gli indirizzi IP in qualsiasi ordine. Quando si inoltrano le query DNS, Resolver non sceglie gli indirizzi IP in base all'ordine in cui sono elencati.

Per ogni indirizzo IP, specifica i seguenti valori. Ogni indirizzo IP deve trovarsi in una zona di disponibilità del VPC specificato in VPC in the region-name Region (VPC nella regione region-name).

Zona di disponibilità

La zona di disponibilità nella quale desideri che le query DNS passino in direzione della rete. La zona di disponibilità specificata deve essere configurata con una sottorete.

Sottorete

La sottorete contenente l'indirizzo IP dal quale desideri provengano le query DNS verso la rete. La sottorete deve avere a disposizione un indirizzo IP.

L'indirizzo IP della sottorete deve corrispondere al Tipo di endpoint.

Indirizzo IP

L'indirizzo IP dal quale desideri provengano le query DNS verso la rete.

Scegli se vuoi che sia Resolver a scegliere un indirizzo IP per tuo conto tra gli indirizzi IP disponibili nella sottorete specificata o se vuoi specificare personalmente l'indirizzo IP.

Se scegli di specificare tu stesso l'indirizzo IP, inserisci un IPv4 indirizzo o entrambi. IPv6

Protocolli

Il protocollo dell'endpoint determina il modo in cui i dati vengono trasmessi dall'endpoint in uscita. Scegli uno o più protocolli, a seconda del livello di sicurezza necessario.

  • Do53: (impostazione predefinita) i dati vengono inoltrati utilizzando Route 53 Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, è possibile visualizzarli all'interno delle reti AWS .

  • DoH: i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.

Per un endpoint in uscita è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • Nessuno, il che equivale a Do53.

Tag

Specifica una o più chiavi e i relativi valori. Ad esempio, è possibile specificare Cost center (Centro di costo) per Key (Chiave) e specificare 456 per Value (Valore).

Valori specificati durante la creazione o la modifica delle regole

Quando crei o modifichi una regola di inoltro, devi specificare i seguenti valori:

Nome regola

Un nome descrittivo che ti consenta di trovare facilmente una regola nel pannello di controllo.

Tipo di regola

Scegli il valore applicabile:

  • Inoltra: scegli questa opzione se desideri inoltrare query DNS per un nome di dominio specifico ai resolver sulla rete.

  • Sistema: scegli questa opzione se desideri che Resolver sostituisca il comportamento definito in una regola di inoltro. Quando crei una regola di sistema, Resolver risolve le query DNS per sottodomini specificati che altrimenti verrebbero risolti dai resolver DNS sulla rete.

Per impostazione predefinita, le regole di inoltro valgono per un nome di dominio e per tutti i relativi sottodomini. Se vuoi inoltrare le query per un dominio a un resolver sulla rete ma non vuoi inoltrare query per alcuni sottodomini, devi creare una regola di sistema per i sottodomini. Ad esempio, se crei una regola di inoltro per esempio.com ma non vuoi inoltrare query per acme.esempio.com, devi creare una regola di sistema e specificare acme.esempio.com come nome di dominio.

VPCs che usano questa regola

VPCs Che utilizzano questa regola per inoltrare le query DNS per il nome o i nomi di dominio specificati. Puoi applicare una regola a VPCs quante ne vuoi.

Nome dominio

Le query DNS per questo nome dominio vengono inoltrate agli indirizzi IP specificati in Indirizzi IP target. Per ulteriori informazioni, consulta Come Resolver determina se il nome di dominio in una query corrisponde alle regole.

Endpoint in uscita

Resolver inoltra le query DNS tramite l'endpoint in uscita qui specificato agli indirizzi IP specificati in Indirizzi IP di destinazione.

Indirizzi IP target

Quando una query DNS corrisponde al nome specificato in Domain name (Nome dominio), l'endpoint in uscita inoltra la query agli indirizzi IP che specifichi qui. In genere questi sono gli indirizzi IP dei resolver DNS sulla rete.

Target IP addresses (Indirizzi IP target) è disponibile solo quando il valore di Rule type (Tipo regola) è Forward (Inoltro).

IPv4 Specificate IPv6 gli indirizzi, i protocolli e che ServerNameIndication desiderate utilizzare per l'endpoint. ServerNameIndication è applicabile solo quando il protocollo selezionato è DoH.

La risoluzione dell'indirizzo IP di destinazione del nome di dominio completo di un resolver DoH sulla rete tramite l'endpoint in uscita non è supportata. Gli endpoint in uscita richiedono l'indirizzo IP di destinazione del resolver DoH sulla rete a cui inoltrare le query DoH. Se il resolver DoH sulla rete richiede l'FQDN nell'SNI TLS e nell'intestazione HTTP Host, deve essere fornito. ServerNameIndication

ServerNameIndication

L'indicazione del nome del server DoH a cui si desidera inoltrare le interrogazioni. Viene utilizzata solo se il protocollo è DoH.

Tag

Specifica una o più chiavi e i relativi valori. Ad esempio, è possibile specificare Cost center (Centro di costo) per Key (Chiave) e specificare 456 per Value (Valore).

Questi sono i tag che AWS Billing and Cost Management consentono di organizzare la AWS bolletta. Per ulteriori informazioni sull'utilizzo dei tag per l'allocazione dei costi, consulta Uso dei tag per l'allocazione dei costi nella AWS Billing Guida per l'utente.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.