DNSVPCsRisoluzione delle interrogazioni tra e la rete - Amazon Route 53
In che modo i DNS resolver della rete inoltrano le DNS query agli endpoint Route 53 ResolverIn che modo l'endpoint Route 53 Resolver inoltra DNS le interrogazioni dall'utente alla rete VPCsConsiderazioni per la creazione di endpoint in entrata e in uscita

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

DNSVPCsRisoluzione delle interrogazioni tra e la rete

Il Resolver contiene endpoint configurati per rispondere alle DNS domande da e verso l'ambiente locale.

Nota

L'inoltro di DNS query private a qualsiasi indirizzo VPC CIDR +2 dai DNS server locali non è supportato e può causare risultati instabili. Ti consigliamo invece di utilizzare un endpoint in entrata del risolutore.

È inoltre possibile integrare la DNS risoluzione tra Resolver e resolver sulla rete configurando le regole di DNS inoltro. La tua rete può includere qualsiasi rete raggiungibile dal tuo, come la seguente: VPC

  • La stessa VPC

  • Un altro ha sbirciato VPC

  • Una rete locale connessa a un gateway di traduzione degli indirizzi AWS di AWS Direct Connect rete () NAT o a un gateway di traduzione degli indirizzi di rete VPN

Prima di iniziare a inoltrare le interrogazioni, create gli endpoint Resolver in entrata e/o in uscita nel sistema connesso. VPC Questi endpoint forniscono un percorso per le query in ingresso o in uscita:

Endpoint in entrata: DNS i resolver sulla rete possono inoltrare le query DNS a Route 53 Resolver tramite questo endpoint

Ciò consente ai DNS resolver di risolvere facilmente i nomi di dominio per AWS risorse come istanze o record in una zona ospitata privata di Route 53. EC2 Per ulteriori informazioni, consulta In che modo i DNS resolver della rete inoltrano le DNS query agli endpoint Route 53 Resolver.

Endpoint in uscita: il Resolver inoltra in modo condizionale le query ai resolver sulla rete tramite questo endpoint

Per inoltrare le query selezionate, create regole Resolver che specificano i nomi di dominio per le DNS query da inoltrare (ad esempio example.com) e gli indirizzi IP dei DNS resolver della rete a cui inoltrare le query. Se una query corrisponde a più regole (esempio.com, acme.esempio.com), il Resolver sceglie la regola con la corrispondenza più specifica (acme.esempio.com) e inoltra la query agli indirizzi IP specificati in quella regola. Per ulteriori informazioni, consulta In che modo l'endpoint Route 53 Resolver inoltra DNS le interrogazioni dall'utente alla rete VPCs.

Come AmazonVPC, Resolver è regionale. In ogni regione in cui ti troviVPCs, puoi scegliere se inoltrare le query dalla tua rete VPCs alla tua rete (query in uscita), dalla rete alla tua VPCs (query in entrata) o entrambe.

Non puoi creare endpoint Resolver in un dispositivo che non possiedi. VPC Solo il VPC proprietario può creare risorse a VPC livello di utente, come gli endpoint in entrata.

Nota

Quando crei un endpoint Resolver, non puoi specificarne uno con l'attributo di tenancy dell'VPCistanza impostato su. dedicated Per ulteriori informazioni, consulta Utilizzo di Resolver in quanto configurati per VPCs la tenancy di istanze dedicate.

Per utilizzare l'inoltro in entrata o in uscita, devi creare un endpoint Resolver nel tuo. VPC Come parte della definizione di un endpoint, specifichi gli indirizzi IP a cui inoltrare le query in entrata o gli indirizzi IP da cui desideri che provengano DNS le query in uscita. Per ogni indirizzo IP specificato, Resolver crea automaticamente un'interfaccia di rete VPC elastica.

Il diagramma seguente mostra il percorso di una DNS query da un DNS resolver sulla rete agli endpoint del Resolver Route 53.

Grafico concettuale che mostra il percorso di una DNS query da un DNS resolver sulla rete agli endpoint del Route 53 Resolver.

Il diagramma seguente mostra il percorso di una DNS query da un'EC2istanza di uno dei tuoi a un resolver sulla tua VPCs rete. DNS

Grafico concettuale che mostra il percorso di una DNS query dalla rete al Route 53 Resolver.

Per una panoramica delle interfacce di VPC rete, consulta Interfacce di rete elastiche nella Amazon VPC User Guide.

Argomenti

In che modo i DNS resolver della rete inoltrano le DNS query agli endpoint Route 53 Resolver

Per inoltrare DNS le interrogazioni dalla rete agli endpoint Route 53 Resolver in una AWS regione, effettuate le seguenti operazioni:

  1. Si crea un endpoint in ingresso Route 53 Resolver in un VPC e si specificano gli indirizzi IP a cui i resolver della rete inoltrano le query. DNS

    Per ogni indirizzo IP specificato per l'endpoint in ingresso, Resolver crea un'interfaccia di rete VPC elastica nel punto in VPC cui è stato creato l'endpoint in entrata.

  2. I resolver sulla rete vengono configurati per inoltrare le DNS query relative ai nomi di dominio applicabili agli indirizzi IP specificati nell'endpoint in entrata. Per ulteriori informazioni, consulta Considerazioni per la creazione di endpoint in entrata e in uscita.

Ecco come Resolver risolve le interrogazioni che provengono dalla tua rete: DNS

  1. Un browser Web o un'altra applicazione sulla rete invia una DNS richiesta per un nome di dominio che hai inoltrato a Resolver.

  2. Un resolver sulla rete inoltra la query agli indirizzi IP dell'endpoint in entrata.

  3. L'endpoint in entrata inoltra la query a Resolver.

  4. Resolver ottiene il valore applicabile per il nome di dominio nella DNS query, internamente o eseguendo una ricerca ricorsiva nei nameserver pubblici.

  5. Il resolver restituisce il valore all'endpoint in entrata.

  6. L'endpoint in entrata restituisce il valore al resolver sulla rete.

  7. Il resolver sulla rete restituisce il valore all'applicazione.

  8. Utilizzando il valore restituito da Resolver, l'applicazione invia una HTTP richiesta, ad esempio una richiesta per un oggetto in un bucket Amazon S3.

La creazione di un endpoint in entrata non modifica il comportamento di Resolver, ma fornisce semplicemente un percorso da una posizione esterna alla rete a Resolver. AWS

In che modo l'endpoint Route 53 Resolver inoltra DNS le interrogazioni dall'utente alla rete VPCs

Per inoltrare alla rete DNS le interrogazioni dalle EC2 istanze di una o più istanze di una AWS regione, procedi VPCs nel seguente modo.

  1. Si crea un endpoint in uscita Route 53 Resolver in un e si specificano VPC diversi valori:

    • VPCQuello che vuoi che DNS le query passino attraverso il percorso verso i resolver della tua rete.

    • Gli indirizzi IP del tuo computer da VPC cui desideri che Resolver inoltri le richieste. DNS Per gli host della rete, questi sono gli indirizzi IP da cui provengono le DNS query.

    • Un gruppo VPCdi sicurezza

    Per ogni indirizzo IP specificato per l'endpoint in uscita, Resolver crea un'interfaccia Amazon VPC elastic network interface nella VPC modalità specificata. Per ulteriori informazioni, consulta Considerazioni per la creazione di endpoint in entrata e in uscita.

  2. Crei una o più regole che specificano i nomi di dominio delle DNS query che desideri che Resolver inoltri ai resolver sulla tua rete. Specifica anche gli indirizzi IP dei resolver. Per ulteriori informazioni, consulta Utilizzo di regole per controllare quali query vengono inoltrate alla rete.

  3. Associate ogni regola a quella VPCs per cui desiderate inoltrare le interrogazioni alla rete. DNS

Utilizzo di regole per controllare quali query vengono inoltrate alla rete

Le regole controllano quali DNS interrogazioni l'endpoint Route 53 Resolver inoltra ai DNS resolver sulla rete e a quali domande Resolver risponde da solo.

Puoi categorizzare le regole in due modi. Un modo è basato su chi crea le regole:

  • Regole definite automaticamente: Resolver crea automaticamente regole autodefinite e le associa alle tue. VPCs La maggior parte di queste regole si applica ai nomi di dominio AWS specifici per i quali Resolver risponde alle domande. Per ulteriori informazioni, consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite.

  • Regole personalizzate: crei regole personalizzate e le associ a. VPCs Al momento è possibile creare solo un tipo di regole personalizzate, le regole di inoltro condizionale, anche dette regole di inoltro. Le regole di inoltro fanno sì che Resolver inoltri DNS le query dall'utente VPCs agli indirizzi IP dei resolver sulla rete. DNS

    Se crei una regola di inoltro per lo stesso dominio come regola definita automaticamente, Resolver inoltra le query per quel nome di dominio ai resolver della tua rete in base alle impostazioni della regola di inoltro. DNS

L'altro modo per categorizzare le regole è in base ai loro effetti:

  • Regole di inoltro condizionale: si creano regole di inoltro condizionale (note anche come regole di inoltro) quando si desidera inoltrare le query per nomi di dominio specifici ai resolver della rete. DNS DNS

  • Regole di sistema: le regole di sistema fanno sì che Resolver sostituisca in modo selettivo il comportamento definito in una regola di inoltro. Quando crei una regola di sistema, Resolver risolve le query per sottodomini specifici che altrimenti verrebbero risolte dai resolver della DNS tua rete. DNS

    Per impostazione predefinita, le regole di inoltro valgono per un nome di dominio e per tutti i relativi sottodomini. Se vuoi inoltrare le query per un dominio a un resolver sulla rete ma non vuoi inoltrare query per alcuni sottodomini, devi creare una regola di sistema per i sottodomini. Ad esempio, se crei una regola di inoltro per esempio.com ma non vuoi inoltrare query per acme.esempio.com, devi creare una regola di sistema e specificare acme.esempio.com come nome di dominio.

  • Regola ricorsiva: Resolver crea automaticamente una regola ricorsiva denominata Resolver di Internet. Questa regola consente a Route 53 Resolver di funzionare come resolver ricorsivo per tutti i nomi di dominio per i quali non sono state create regole personalizzate e per i quali Resolver non ha creato regole autodefinite. Per informazioni su come ignorare questo comportamento, consulta la sezione "Inoltrare tutte le query alla rete" più avanti in questo argomento.

Puoi creare regole personalizzate che si applicano a nomi di dominio specifici (i tuoi o la maggior parte dei nomi di dominio), ai nomi di AWS dominio pubblici o a tutti i nomi di dominio. AWS

Inoltro di query per nomi di dominio specifici alla rete

Per inoltrare query per un nome di dominio specifico, come esempio.com, alla rete, devi creare una regola e specificare il nome di dominio. È inoltre necessario specificare gli indirizzi IP dei DNS resolver della rete a cui inoltrare le query. Quindi associ ogni regola a quella VPCs per cui desideri inoltrare le DNS interrogazioni alla tua rete. Ad esempio, è possibile creare regole separate per esempio.com, esempio.org ed esempio.net. È quindi possibile associare le regole VPCs a una AWS regione in qualsiasi combinazione.

Inoltro di query per amazonaws.com alla rete

Il nome di dominio amazonaws.com è il nome di dominio pubblico per AWS risorse come EC2 istanze e bucket S3. Se vuoi inoltrare le query per amazonaws.com alla rete, crea una regola, specifica amazonaws.com come nome di dominio e specifica Forward (Inoltro) per il tipo di regola.

Nota

Resolver non inoltra automaticamente le DNS query per alcuni sottodomini di amazonaws.com anche se crei una regola di inoltro per amazonaws.com. Per ulteriori informazioni, consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite. Per informazioni su come ignorare questo comportamento, consulta la sezione immediatamente successiva "Inoltrare tutte le query alla rete".

Inoltrare tutte le query alla rete

Se desideri inoltrare tutte le query alla tua rete, crea una regola, specifica «.» (punto) per il nome di dominio e associa la regola a quella VPCs per cui desideri inoltrare tutte le DNS query alla tua rete. Resolver continua a non inoltrare tutte le DNS query alla rete perché l'utilizzo di un DNS resolver esterno comprometterebbe alcune funzionalità. AWS Ad esempio, alcuni nomi di AWS dominio interni hanno intervalli di indirizzi IP interni che non sono accessibili dall'esterno di. AWS Per un elenco dei nomi di dominio per i quali le query non vengono inoltrate alla rete quando crei una regola per ".", consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite.

Tuttavia, le regole di sistema autodefinite per l'inversione DNS possono essere disabilitate, consentendo alla regola «.» di inoltrare tutte le DNS query inverse alla rete. Per ulteriori informazioni su come disattivare le regole autodefinite, consultare Regole di inoltro per le DNS interrogazioni inverse in Resolver.

Se vuoi provare a inoltrare le DNS query per tutti i nomi di dominio alla tua rete, inclusi i nomi di dominio che sono esclusi dall'inoltro per impostazione predefinita, puoi creare una regola «.» ed eseguire una delle seguenti operazioni:

Importante

Se inoltri tutti i nomi di dominio alla rete, compresi i nomi di dominio esclusi dal Resolver quando crei una regola ".", alcune funzionalità potrebbero smettere di funzionare.

Come Resolver determina se il nome di dominio in una query corrisponde alle regole

Route 53 Resolver confronta il nome di dominio nella DNS query con il nome di dominio nelle regole associate a quello da cui ha avuto origine VPC la query. Resolver considera che i nomi di dominio corrispondano nei seguenti casi:

  • I nomi di dominio corrispondono esattamente

  • Il nome di dominio nella query è un sottodominio del nome di dominio nella regola

Ad esempio, se il nome di dominio nella regola è acme.example.com, Resolver considera i seguenti nomi di dominio in una query come una corrispondenza: DNS

  • acme.esempio.com

  • zenith.acme.esempio.com

I seguenti nomi di dominio non sono una corrispondenza:

  • esempio.com

  • nadir.esempio.com

Se il nome di dominio in una query corrisponde al nome di dominio in più di una regola (ad esempio example.com e www.example.com), Resolver indirizza le query in uscita DNS utilizzando la regola che contiene il nome di dominio più specifico (www.example.com).

In che modo DNS Resolver determina dove inoltrare le interrogazioni

Quando un'applicazione eseguita su un'EC2istanza in un VPC invia una DNS query, Route 53 Resolver esegue i seguenti passaggi:

  1. Il resolver controlla i nomi di dominio nelle regole.

    Se il nome di dominio in una query corrisponde al nome di dominio in una regola, Resolver inoltra la query all'indirizzo IP specificato al momento della creazione dell'endpoint in uscita. L'endpoint in uscita inoltra quindi la query agli indirizzi IP dei resolver sulla rete, da te indicati al momento della creazione della regola.

    Per ulteriori informazioni, consulta Come Resolver determina se il nome di dominio in una query corrisponde alle regole.

  2. Resolver Endpoint inoltra le DNS interrogazioni in base alle impostazioni della regola «.».

    Se il nome di dominio in una query non corrisponde al nome di dominio in qualsiasi altra regola, Resolver inoltra la query in base alle impostazione nella regola autodefinita "." (punto). La regola del punto si applica a tutti i nomi di dominio ad eccezione di alcuni nomi di dominio AWS interni e nomi di record nelle zone ospitate private. Questa regola fa sì che Resolver inoltri DNS le query ai name server pubblici se i nomi di dominio nelle query non corrispondono a nessun nome nelle regole di inoltro personalizzate. Se desideri inoltrare tutte le query ai DNS resolver della tua rete, puoi creare una regola di inoltro personalizzata, specificare «.» per il nome di dominio, specificare Forwarding for Type e specificare gli indirizzi IP di tali resolver.

  3. Resolver restituisce la risposta all'applicazione che ha inviato la query.

Utilizzo di regole in più regioni

Route 53 Resolver è un servizio regionale, quindi gli oggetti creati in una AWS regione sono disponibili solo in quella regione. Per utilizzare la stessa regola in più di una regione, è necessario creare la regola in ciascuna regione.

L' AWS account che ha creato una regola può condividerla con altri AWS account. Per ulteriori informazioni, consulta Condivisione delle regole del Resolver con altri AWS account e utilizzo di regole condivise.

Nomi di dominio per cui Resolver crea regole di sistema autodefinite

Il resolver crea automaticamente regole di sistema autodefinite che definiscono la modalità predefinita utilizzata per risolvere le query per i domini selezionati:

  • Per le zone ospitate private e per i nomi di dominio EC2 specifici di Amazon (come compute.amazonaws.com e compute.internal), le regole definite automaticamente assicurano che le zone e le EC2 istanze ospitate private continuino a risolversi se crei regole di inoltro condizionale per nomi di dominio meno specifici come «.» (dot) o «com».

  • Per i nomi di dominio riservati pubblicamente (come localhost e 10.in-addr.arpa), le DNS migliori pratiche consigliano di rispondere alle domande localmente anziché essere inoltrate a server di nomi pubblici. RFCVedere DNS 6303, Zone servite localmente.

Nota

Se crei una regola di inoltro condizionale per "." (punto) o "com", ti consigliamo di creare anche una regola di sistema per amazonaws.com. (Le regole di sistema fanno sì che Resolver risolva localmente DNS le query per domini e sottodomini specifici.) La creazione di questa regola di sistema migliora le prestazioni, riduce il numero di query che vengono inoltrate alla rete e riduce i costi di Resolver.

Se desideri sostituire una regola autodefinita, puoi creare una regola di inoltro condizionale per lo stesso nome di dominio.

Puoi anche disabilitare alcune delle regole definite automaticamente. Per ulteriori informazioni, consulta Regole di inoltro per le DNS interrogazioni inverse in Resolver.

Il resolver crea le seguenti regole autodefinite.

Regole per zone ospitate private

Per ogni zona ospitata privata associata a unaVPC, Resolver crea una regola e la associa a. VPC Se associ la zona ospitata privata a più zoneVPCs, Resolver associa la regola alla stessa. VPCs

La regola è di tipo Forward (Inoltro).

Regole per vari nomi di dominio interni AWS

Tutte le regole per i nomi di dominio interni in questa sezione sono di tipo Forward. Resolver inoltra DNS le query per questi nomi di dominio ai name server autorevoli per. VPC

Nota

Resolver crea la maggior parte di queste regole quando si imposta il flag for a. enableDnsHostnames VPC true Resolver crea le regole anche se non utilizzi endpoint Resolver.

Resolver crea le seguenti regole autodefinite e le associa a a VPC quando imposti il flag per: enableDnsHostnames VPC true

  • Region-name.compute.internal, ad esempio eu-west-1.compute.internal. La regione us-east-1 non utilizza questo nome di dominio.

  • Region-name.calcolare. amazon-domain-name, ad esempio, eu-west-1.compute.amazonaws.com o cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. La regione us-east-1 non utilizza questo nome di dominio.

  • ec2.internal. Solo la regione us-east-1 utilizza questo nome di dominio.

  • compute-1.internal. Solo la regione us-east-1 utilizza questo nome di dominio.

  • compute-1.amazonaws.com. Solo la regione us-east-1 utilizza questo nome di dominio.

Le seguenti regole definite automaticamente servono per la ricerca inversa delle regole che Resolver crea quando si imposta il flag per to. DNS enableDnsHostnames VPC true

  • 10.in-addr.arpa

  • Da 16.172.in-addr.arpa a 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Regole per ciascuno degli intervalli per. CIDR VPC Ad esempio, se un VPC ha un CIDR intervallo di 10.0.0.0/23, Resolver crea le seguenti regole:

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Le seguenti regole definite automaticamente, per i domini relativi a localhost, vengono inoltre create e associate a a quando si imposta il flag per: VPC enableDnsHostnames VPC true

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver crea le seguenti regole autodefinite e le associa alle tue VPC quando le connetti a un altro VPC tramite gateway di transito o peering e VPC con il supporto abilitato: VPC DNS

  • La DNS ricerca inversa per gli intervalli di indirizzi IP del peer, ad esempio VPC 0.192.in-addr.arpa

    Se aggiungi un IPv4 CIDR blocco a, Resolver aggiunge una regola definita automaticamente per il nuovo VPC intervallo di indirizzi IP.

  • Se l'altro VPC si trova in un'altra regione, i seguenti nomi di dominio:

    • Region-name.compute.internal. La regione us-east-1 non utilizza questo nome di dominio.

    • Region-name.calcolare. amazon-domain-name. La regione us-east-1 non utilizza questo nome di dominio.

    • ec2.internal. Solo la regione us-east-1 utilizza questo nome di dominio.

    • compute-1.amazonaws.com. Solo la regione us-east-1 utilizza questo nome di dominio.

Una regola per tutti gli altri domini

Resolver crea una regola "." (punto) valida per tutti i nomi di dominio non specificati prima in questo argomento. La regola "." è di tipo ricorsivo, il che significa che fa in modo che Resolver agisca da resolver ricorsivo.

Considerazioni per la creazione di endpoint in entrata e in uscita

Prima di creare endpoint Resolver in entrata e in uscita in una AWS regione, considerate i seguenti problemi.

Numero di endpoint in entrata e in uscita in ciascuna regione

Quando desideri eseguire l'integrazione DNS per gli utenti di una AWS regione con DNS la tua rete, VPCs in genere hai bisogno di un endpoint Resolver in ingresso (per DNS le query che stai inoltrando alla tuaVPCs) e un endpoint in uscita (per le query che stai inoltrando dalla tua rete). VPCs È possibile creare più endpoint in entrata e più endpoint in uscita, ma un endpoint in entrata o in uscita è sufficiente per gestire le DNS query per ogni rispettiva direzione. Tieni presente quanto segue:

  • Per ogni endpoint di Resolver, è necessario specificare due o più indirizzi IP in diverse zone di disponibilità. Ogni indirizzo IP in un endpoint può gestire un numero elevato di query al secondo. DNS (Per quanto riguarda il numero massimo di query al secondo per indirizzo IP in un endpoint, consulta Quote relative a Route 53 Resolver). Se è necessario che Resolver gestisca più query, invece di aggiungere un altro endpoint puoi aggiungere altri indirizzi IP all'endpoint esistente.

  • I prezzi di Resolver si basano sul numero di indirizzi IP negli endpoint e sul numero di DNS query elaborate dall'endpoint. Ogni endpoint include almeno due indirizzi IP. Per ulteriori informazioni sui prezzi di Resolver, consulta Prezzi di Amazon Route 53.

  • Ogni regola specifica l'endpoint in uscita da cui vengono inoltrate le query. DNS Se crei più endpoint in uscita in una AWS regione e desideri associare alcune o tutte le regole Resolver a ciascunoVPC, devi creare più copie di tali regole.

Utilizzo dello stesso VPC per gli endpoint in entrata e in uscita

È possibile creare endpoint in entrata e in uscita nella stessa regione VPC o in modo diverso. VPCs

Per ulteriori informazioni, consulta Best practice per Amazon Route 53.

Endpoint in entrata e zone ospitate private

Se desideri che Resolver risolva DNS le query in entrata utilizzando i record in una zona ospitata privata, associa la zona ospitata privata a VPC quella in cui hai creato l'endpoint in entrata. Per informazioni sull'associazione di zone ospitate private a, consulta. VPCs Utilizzo delle zone ospitate private

VPCpeering

È possibile utilizzare qualsiasi dispositivo VPC in una AWS regione per un endpoint in entrata o in uscita indipendentemente dal fatto VPC che l'endpoint scelto sia collegato ad altri. VPCs Per ulteriori informazioni, consulta Amazon Virtual Private Cloud VPC Peering.

Indirizzi IP nelle sottoreti condivise

Quando crei un endpoint in entrata o in uscita, puoi specificare un indirizzo IP in una sottorete condivisa solo se l'account corrente ha creato il. VPC Se un altro account crea una sottorete VPC e la condivide VPC con il tuo account, non puoi specificare un indirizzo IP in quella sottorete. Per ulteriori informazioni sulle sottoreti condivise, consulta Working with shared VPCs nella Amazon VPC User Guide.

Connessione tra la tua rete e VPCs quella in cui crei gli endpoint

È necessario disporre di una delle seguenti connessioni tra la rete e VPCs quella in cui vengono creati gli endpoint:

Quando si condividono le regole, si condividono anche gli endpoint in uscita

Quando crei una regola, specifichi l'endpoint in uscita che desideri che Resolver utilizzi per inoltrare le query alla tua rete. DNS Se condividi la regola con un altro AWS account, condividi anche indirettamente l'endpoint in uscita specificato nella regola. Se hai utilizzato più di un AWS account per creare VPCs in una AWS regione, puoi fare quanto segue:

  • Creare un endpoint in uscita nella regione.

  • Crea regole utilizzando un solo AWS account.

  • Condividi le regole con tutti gli AWS account creati VPCs nella Regione.

Ciò consente di utilizzare un endpoint in uscita in una regione per inoltrare DNS query alla rete da più utenti, VPCs anche se VPCs sono stati creati utilizzando account diversi. AWS

Scelta dei protocolli per gli endpoint

I protocolli degli endpoint determinano il modo in cui i dati vengono trasmessi a un endpoint in entrata e da un endpoint in uscita. La crittografia DNS delle query per il VPC traffico non è necessaria perché ogni flusso di pacchetti sulla rete è autorizzato individualmente in base a una regola che prevede la convalida della fonte e della destinazione corrette prima della trasmissione e della consegna. È molto improbabile che le informazioni vengano trasmesse in modo arbitrario tra entità senza che siano specificamente autorizzate sia dall'entità trasmittente che da quella ricevente. Se viene indirizzato a una destinazione priva di una regola corrispondente, un pacchetto viene eliminato. Per ulteriori informazioni, consulta le funzionalità. VPC

I protocolli disponibili sono:

  • Do53: DNS sulla porta 53. I dati vengono inoltrati utilizzando Route 53 Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, possono essere visualizzati all'interno delle AWS reti. Utilizza uno UDP o TCP l'altro per inviare i pacchetti. Do53 viene utilizzato principalmente per il traffico all'interno e tra AmazonVPCs.

  • DoH: i dati vengono trasmessi tramite una sessione crittografataHTTPS. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.

  • DoH-FIPS: i dati vengono trasmessi tramite una HTTPS sessione crittografata conforme allo standard crittografico 140-2. FIPS Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, vedere 140-2. FIPS PUB

Per un endpoint in entrata, è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 e DoH- FIPS in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • DoH- da solo. FIPS

  • Nessuno, il che equivale a Do53.

Per un endpoint in uscita è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • Nessuno, il che equivale a Do53.

Consulta anche Valori specificati durante la creazione o la modifica di endpoint in entrata e Valori specificati durante la creazione o la modifica degli endpoint in uscita.

Utilizzo di Resolver in quanto configurati per VPCs la tenancy di istanze dedicate

Quando si crea un endpoint Resolver, non è possibile specificarne uno con l'attributo di tenancy dell'VPCistanza impostato su. dedicated Resolver non viene eseguito su hardware a tenant singolo.

Puoi comunque utilizzare Resolver per risolvere DNS le interrogazioni che hanno origine in un. VPC Createne almeno una VPC con l'attributo di tenancy dell'istanza impostato su e default specificatelo VPC quando create gli endpoint in entrata e in uscita.

Quando crei una regola di inoltro, puoi associarla a qualsiasi regolaVPC, indipendentemente dall'impostazione dell'attributo di tenancy dell'istanza.