Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Cos'è Route 53 VPC Resolver?
Route 53 VPC Resolver risponde in modo ricorsivo alle query DNS provenienti da AWS risorse per record pubblici, nomi DNS specifici di Amazon VPC e zone private ospitate di Amazon Route 53 ed è disponibile per impostazione predefinita in tutti. VPCs
**Nota**
Route 53 VPC Resolver era precedentemente chiamato Route 53 Resolver, ma è stato rinominato quando è stato introdotto Route 53 Global Resolver.
Un Amazon VPC si connette a un VPC Resolver con un indirizzo IP VPC\$12. Questo indirizzo VPC\$12 si connette a un VPC Resolver all'interno di una zona di disponibilità.
Un VPC Resolver risponde automaticamente alle richieste DNS per:
+ Nomi dominio VPC locali per istanze EC2 (ad esempio ec2-192-0-2-44.compute-1.amazonaws.com).
+ Record in zone ospitate private (ad esempio acme.esempio.com).
+ Per i nomi di dominio pubblico, VPC Resolver esegue ricerche ricorsive su server di nomi pubblici su Internet.
Se disponi di carichi di lavoro che sfruttano sia le risorse locali che quelle locali, devi VPCs risolvere anche i record DNS ospitati in locale. Analogamente, queste risorse locali potrebbero dover risolvere i nomi ospitati su. AWS Tramite gli endpoint Resolver e le regole di inoltro condizionale, puoi risolvere le query DNS tra le tue risorse locali e creare una configurazione cloud ibrida tramite VPN o VPCs Direct Connect (DX). Nello specifico:
+ Gli endpoint di Resolver in entrata consentono query DNS al VPC dalla rete on-premise o da un altro VPC.
+ Gli endpoint di Resolver in uscita consentono query DNS al VPC dalla rete on-premise o da un altro VPC.
+ Le regole di Resolver consentono di creare una regola di inoltro per ogni nome dominio e specificare il nome del dominio per cui inoltrare query DNS dal VPC a un risolutore DNS on-premise e dalle risorse on-premise al VPC. Le regole vengono applicate direttamente al VPC e possono essere condivise tra più account.
Il diagramma seguente mostra la risoluzione DNS ibrida con endpoint di Resolver. Tieni presente che il diagramma è semplificato e mostra una sola zona di disponibilità.
![\[Grafico concettuale che mostra il percorso di una query DNS dal VPC allo storage dati locale tramite un endpoint in uscita Route 53 VPC Resolver e il percorso da un resolver DNS sull'endpoint in entrata di rete al VPC.\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/images/Resolver-routing.png)
Il diagramma illustra i passaggi seguenti:
**In uscita (frecce piene 1 5):**
1. Un'istanza Amazon EC2 deve risolvere una query DNS nel dominio internal.esempio.com. Il server DNS autorevole è collocato nel data center on-premise. Questa query DNS viene inviata al VPC\$12 nel VPC che si connette a VPC Resolver.
1. Una regola di inoltro VPC Resolver è configurata per inoltrare le query a internal.example.com nel data center locale.
1. La query viene inoltrata a un endpoint in uscita.
1. L'endpoint in uscita inoltra la query al resolver DNS locale tramite una connessione privata tra e il data center. AWS La connessione può essere rappresentata Direct Connect o rappresentata come un gateway privato AWS Site-to-Site VPN virtuale.
1. Il risolutore DNS locale on-premise risolve la query DNS per internal.esempio.com e restituisce la risposta all'istanza Amazon EC2 tramite lo stesso percorso a ritroso.
**In entrata (frecce tratteggiate a—d):**
1. Un client nel data center locale deve risolvere una query DNS su una risorsa per il dominio dev.example.com. AWS Invia la query al risolutore DNS locale on-premise.
1. Il risolutore DNS on-premise ha una regola di inoltro che indirizza le query a dev.esempio.com a un endpoint in entrata.
1. La query arriva all'endpoint in entrata tramite una connessione privata, ad esempio o, rappresentata come Direct Connect un gateway virtuale. AWS Site-to-Site VPN
1. L'endpoint in entrata invia la query a VPC Resolver e VPC Resolver risolve la query DNS per dev.example.com e restituisce la risposta al client tramite lo stesso percorso in senso inverso.
**Topics**
+ [Risoluzione VPCs delle query DNS tra e la rete](resolver-overview-DSN-queries-to-vpc.md)
+ [Disponibilità e scalabilità di Route 53 VPC Resolver](resolver-availability-scaling.md)
+ [Guida introduttiva a Route 53 VPC Resolver](resolver-getting-started.md)
+ [Inoltro delle query DNS in entrata al VPCs](resolver-forwarding-inbound-queries.md)
+ [Inoltro di query DNS in uscita alla rete](resolver-forwarding-outbound-queries.md)
+ [Tutorial sulle regole di delega del Resolver](outbound-delegation-tutorial.md)
+ [Abilitazione della convalida DNSSEC in Amazon Route 53](resolver-dnssec-validation.md)
# Risoluzione VPCs delle query DNS tra e la rete
Il VPC Resolver contiene gli endpoint configurati per rispondere alle query DNS da e verso l'ambiente locale.
**Nota**
L'inoltro di query DNS private a qualsiasi indirizzo VPC CIDR \$1 2 da server DNS locali o da altri server DNS VPC non è supportato e può causare risultati instabili. Ti consigliamo invece di utilizzare un endpoint in entrata del risolutore.
Puoi anche integrare la risoluzione DNS tra VPC Resolver e resolver DNS sulla tua rete configurando le regole di inoltro. *La rete* può includere qualsiasi rete raggiungibile dal VPC, ad esempio:
+ Il VPC stesso
+ Un altro VPC con peering
+ Una rete locale connessa a un gateway VPN o NAT (Network Address AWS Direct Connect Translation)
Prima di iniziare a inoltrare le query, crei gli endpoint in and/or uscita in entrata Resolver nel VPC connesso. Questi endpoint forniscono un percorso per le query in ingresso o in uscita:
**Endpoint in entrata: i resolver DNS sulla rete possono inoltrare le query DNS a Route 53 VPC Resolver tramite questo endpoint**
Esistono due tipi di endpoint in entrata, un endpoint in **entrata predefinito che inoltra verso indirizzi IP e un endpoint** di delega in **ingresso che delega** l'autorità per un sottodominio ospitato nella zona ospitata privata Route 53 al VPC Resolver Route 53. Gli endpoint in entrata consentono ai resolver DNS di risolvere facilmente i nomi di dominio per risorse come istanze o record EC2 in una zona ospitata privata di Route 53. AWS Per ulteriori informazioni, consulta [In che modo i resolver DNS sulla rete inoltrano le query DNS agli endpoint Resolver](resolver-overview-forward-network-to-vpc.md).
**Endpoint in uscita: VPC Resolver inoltra in modo condizionale le query ai resolver sulla rete tramite questo endpoint**
Per inoltrare le query selezionate, devi creare regole di Resolver che specifichino i nomi di dominio per le query DNS da inoltrare (ad esempio esempio.com) e gli indirizzi IP dei resolver DNS sulla rete ai quali inoltrare le query. Se una query corrisponde a più regole (example.com, acme.example.com), VPC Resolver sceglie la regola con la corrispondenza più specifica (acme.example.com) e inoltra la query agli indirizzi IP specificati in quella regola. ******Esistono tre tipi di regole: inoltro, sistema e delega.****** Per ulteriori informazioni, consulta [In che modo gli endpoint Resolver inoltrano le query DNS dall'utente alla rete VPCs](resolver-overview-forward-vpc-to-network.md).
Come Amazon VPC, VPC Resolver è regionale. In ogni regione in cui ti trovi VPCs, puoi scegliere se inoltrare le query dalla tua rete VPCs alla tua rete (query in uscita), dalla rete alle tue VPCs (query in entrata) o entrambe.
Non puoi creare endpoint Resolver in un VPC che non sono di tua proprietà. Solo il proprietario del VPC può creare risorse a livello di VPC, ad esempio gli endpoint in ingresso.
**Nota**
Quando crei un endpoint Resolver, non è possibile specificare un VPC con l'attributo di tenancy dell'istanza impostato su `dedicated`. Per ulteriori informazioni, consulta [Utilizzo di VPC Resolver in cui sono configurati per la VPCs tenancy delle istanze dedicate](resolver-choose-vpc.md#resolver-considerations-dedicated-instance-tenancy).
Per utilizzare l'inoltro in entrata o in uscita, crea un endpoint Resolver nel VPC. Come parte della definizione di un endpoint, si specificano gli indirizzi IP, o delega DNS, a cui inoltrare le query DNS in entrata o gli indirizzi IP da cui si desidera che provengano le query in uscita. Per ogni indirizzo IP e delega specificati, VPC Resolver crea automaticamente un'interfaccia di rete elastica VPC.
Il seguente diagramma mostra il percorso di una query DNS da un resolver DNS sulla rete agli endpoint di Resolver Route 53.
![\[Grafico concettuale che mostra il percorso di una query DNS da un resolver DNS sulla rete agli endpoint di Resolver Route 53.\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/images/Resolver-inbound-endpoint.png)
Il diagramma seguente mostra il percorso di una query DNS da un'istanza EC2 in uno dei tuoi VPCs a un resolver DNS sulla tua rete. Il dominio jyo.example.com utilizza una regola di inoltro, mentre il sottodominio ric.example.com ha delegato l'autorità di inoltro a VPC Resolver.
![\[Grafico concettuale che mostra il percorso di una query DNS dalla rete al Route 53 VPC Resolver.\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/images/Resolver-outbound-endpoint.png)
Per una panoramica delle interfacce di rete VPC, consulta [Interfaccia di rete elastica](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) nella *Guida per l'utente di Amazon VPC*.
**Argomenti**
+ [In che modo i resolver DNS sulla rete inoltrano le query DNS agli endpoint Resolver](resolver-overview-forward-network-to-vpc.md)
+ [In che modo gli endpoint Resolver inoltrano le query DNS dall'utente alla rete VPCs](resolver-overview-forward-vpc-to-network.md)
+ [Considerazioni per la creazione di endpoint in entrata e in uscita](resolver-choose-vpc.md)
# In che modo i resolver DNS sulla rete inoltrano le query DNS agli endpoint Resolver
Per inoltrare le query DNS dalla rete a Route 53 VPC Resolver, è necessario creare endpoint in entrata in una regione. AWS ****Esistono due categorie di endpoint in entrata, predefiniti e delegati.****
**Passaggi per la creazione di endpoint in entrata predefiniti**
1. Crei un endpoint Resolver in ingresso predefinito in un VPC e specifichi gli indirizzi IP a cui i resolver della rete inoltrano le query DNS, insieme a un gruppo di sicurezza VPC che include regole in entrata che consentono l'accesso TCP e UDP sulla porta 53. Per istruzioni, consulta [Configurazione dell’inoltro in entrata](resolver-forwarding-inbound-queries-configuring.md).
Per ogni indirizzo IP specificato per l'endpoint in ingresso, VPC Resolver crea un'interfaccia di rete elastica VPC nel VPC in cui è stato creato l'endpoint in ingresso.
1. Configura i resolver sulla rete in modo che inoltrino query DNS per i nomi di dominio applicabili agli indirizzi IP specificati nell'endpoint in entrata. Per ulteriori informazioni, consulta [Considerazioni per la creazione di endpoint in entrata e in uscita](resolver-choose-vpc.md).
**Ecco come VPC Resolver risolve le query DNS che provengono dalla tua rete tramite un endpoint in entrata predefinito:**
1. Un browser Web o un'altra applicazione sulla rete invia una query DNS per un nome di dominio che hai inoltrato a VPC Resolver.
1. Un resolver sulla rete inoltra la query agli indirizzi IP dell'endpoint in entrata.
1. L'endpoint in entrata inoltra la query a VPC Resolver.
1. VPC Resolver ottiene il valore applicabile per il nome di dominio nella query DNS, internamente o eseguendo una ricerca ricorsiva su server di nomi pubblici.
1. VPC Resolver restituisce il valore all'endpoint in entrata.
1. L'endpoint in entrata restituisce il valore al resolver sulla rete.
1. Il resolver sulla rete restituisce il valore all'applicazione.
1. Utilizzando il valore restituito da VPC Resolver, l'applicazione invia una richiesta, ad esempio una richiesta per un oggetto in un bucket Amazon S3.
**Passaggi per la creazione di endpoint di delega in entrata**
1. Si crea un endpoint di delega Resolver in ingresso in un VPC. Per istruzioni, consulta [Configurazione dell’inoltro in entrata](resolver-forwarding-inbound-queries-configuring.md).
Per ogni indirizzo IP specificato per l'endpoint in ingresso, VPC Resolver crea un'interfaccia di rete elastica VPC nel VPC in cui è stato creato l'endpoint in ingresso.
1. Puoi configurare i resolver sulla tua rete per delegare le query DNS per i nomi di dominio applicabili a VPC Resolver. Per i record Glue è necessario inserire gli indirizzi IP degli endpoint in entrata. Per ulteriori informazioni, consulta [Considerazioni per la creazione di endpoint in entrata e in uscita](resolver-choose-vpc.md).
**Ecco come VPC Resolver risolve le query DNS che hanno origine sulla tua rete tramite un endpoint di delega in entrata:**
1. Come prerequisito, è necessario delegare il sottodominio ospitato nella zona ospitata privata dall'ambiente locale. Poiché si delega il sottodominio tramite l'endpoint di delega in entrata, si utilizzano gli indirizzi IP degli endpoint in entrata come record collanti per il sottodominio da delegare.
**Nota**
Potrebbe inoltre essere necessario includere i record Glue per assicurarsi che la query DNS sia risolvibile. Se deleghi un sottodominio a server di nomi che si trovano nella stessa zona del dominio principale, sono necessari i record Glue.
1. Un browser Web o un'altra applicazione sulla rete invia una query DNS per un nome di dominio che hai delegato al VPC Resolver.
1. Un resolver sulla rete inoltra la query agli indirizzi IP dell'endpoint in entrata.
1. L'endpoint in entrata delega la query a VPC Resolver.
1. VPC Resolver restituisce l'indirizzo alla AWS risorsa dalla zona ospitata privata all'endpoint in entrata.
1. L'endpoint in entrata restituisce il valore al resolver sulla rete.
1. Il resolver sulla rete restituisce il valore all'applicazione.
1. Utilizzando il valore restituito da VPC Resolver, l'applicazione invia una richiesta, ad esempio una richiesta per un oggetto in un bucket Amazon S3.
La creazione di un endpoint in entrata non modifica il comportamento di VPC Resolver, ma fornisce semplicemente un percorso da una posizione esterna alla rete a VPC Resolver. AWS
# In che modo gli endpoint Resolver inoltrano le query DNS dall'utente alla rete VPCs
Quando desideri inoltrare alla tua rete le query DNS dalle istanze EC2 di una o più istanze di una VPCs AWS regione, esegui i seguenti passaggi.
1. Si crea un endpoint Resolver in uscita in un VPC e si specificano diversi valori:
+ Il VPC nel quale vuoi che le query DNS passino in direzione dei resolver sulla rete.
+ Un [gruppo di sicurezza VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) che include regole in uscita che consentono l'accesso TCP e UDP sulla porta 53 (o sulla porta che stai utilizzando per le query DNS sulla tua rete)
Per ogni indirizzo IP specificato per l'endpoint in uscita, VPC Resolver crea un'interfaccia di rete elastica Amazon VPC nel VPC specificato. Per ulteriori informazioni, consulta [Considerazioni per la creazione di endpoint in entrata e in uscita](resolver-choose-vpc.md).
1. Crei una o più regole, che specificano i nomi di dominio delle query DNS che desideri delegare a VPC Resolver per l'inoltro o desideri che VPC Resolver inoltri ai resolver sulla tua rete. Per le regole di inoltro, specificate anche gli indirizzi IP dei resolver. Per ulteriori informazioni, consulta [Utilizzo di regole per controllare quali query vengono inoltrate alla rete](resolver-overview-forward-vpc-to-network-using-rules.md).
1. Associate ogni regola a quella VPCs per cui desiderate inoltrare le query DNS alla rete.
# Utilizzo di regole per controllare quali query vengono inoltrate alla rete
Le regole controllano quali query DNS inoltrano dall'endpoint Resolver ai resolver DNS sulla rete e a quali interrogazioni VPC Resolver risponde da solo.
Puoi categorizzare le regole in due modi. Un modo è basato su chi crea le regole:
+ **Regole autodefinite**: VPC Resolver crea automaticamente regole autodefinite e le associa alle tue. VPCs La maggior parte di queste regole si applica ai nomi di dominio AWS specifici per i quali VPC Resolver risponde alle domande. Per ulteriori informazioni, consulta [Nomi di dominio per i quali VPC Resolver crea regole di sistema autodefinite](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
+ **Regole personalizzate: puoi creare regole** personalizzate e associarle a. VPCs **Attualmente è possibile creare due tipi di regole personalizzate, regole di **inoltro condizionale, note anche come regole di inoltro**, e regole di delega.** Le regole di **inoltro** fanno sì che VPC Resolver inoltri le query DNS dall'utente VPCs agli indirizzi IP per i resolver DNS sulla rete.
Se crei una regola di inoltro per lo stesso dominio di una regola autodefinita, VPC Resolver inoltra le query per quel nome di dominio ai resolver DNS sulla tua rete in base alle impostazioni nella regola di inoltro.
**Le regole di delega** inoltrano le query DNS con i record di delega nella regola di delega che corrispondono ai record NS in risposta ai resolver della rete.
L'altro modo per categorizzare le regole è in base ai loro effetti:
+ **Regole di inoltro condizionali**: è possibile creare regole di inoltro condizionale (note anche come regole di inoltro) quando vuoi inoltrare query DNS per i nomi di dominio specificati ai resolver DNS sulla rete.
+ **Regole** di sistema: le regole di sistema fanno sì che VPC Resolver sovrascriva selettivamente il comportamento definito in una regola di inoltro. Quando crei una regola di sistema, VPC Resolver risolve le query DNS per sottodomini specifici che altrimenti verrebbero risolte dai resolver DNS sulla tua rete.
Per impostazione predefinita, le regole di inoltro valgono per un nome di dominio e per tutti i relativi sottodomini. Se vuoi inoltrare le query per un dominio a un resolver sulla rete ma non vuoi inoltrare query per alcuni sottodomini, devi creare una regola di sistema per i sottodomini. Ad esempio, se crei una regola di inoltro per esempio.com ma non vuoi inoltrare query per acme.esempio.com, devi creare una regola di sistema e specificare acme.esempio.com come nome di dominio.
+ **Regola **ricorsiva: VPC Resolver crea automaticamente una regola** ricorsiva denominata Internet Resolver.** Questa regola fa sì che Route 53 VPC Resolver agisca come resolver ricorsivo per tutti i nomi di dominio per i quali non hai creato regole personalizzate e per cui VPC Resolver non ha creato regole autodefinite. Per informazioni su come ignorare questo comportamento, consulta la sezione "Inoltrare tutte le query alla rete" più avanti in questo argomento.
Puoi creare regole personalizzate che si applicano a nomi di dominio specifici (i tuoi o la maggior parte dei nomi di dominio), ai nomi di AWS dominio pubblici o a tutti i nomi di dominio. AWS
**Inoltro di query per nomi di dominio specifici alla rete**
Per inoltrare query per un nome di dominio specifico, come esempio.com, alla rete, devi creare una regola e specificare il nome di dominio. Per le regole di **inoltro**, specificate anche gli indirizzi IP dei resolver DNS della rete a cui desiderate inoltrare le query oppure, per le regole di delega, create il record di **delega** per il quale desiderate delegare l'autorità ai resolver locali. Quindi associ ogni regola a quella per cui desideri inoltrare le query DNS alla tua rete. VPCs Ad esempio, è possibile creare regole separate per esempio.com, esempio.org ed esempio.net. È quindi possibile associare le regole a quelle di una AWS regione VPCs in qualsiasi combinazione.
**Inoltro di query per amazonaws.com alla rete**
Il nome di dominio amazonaws.com è il nome di dominio pubblico per AWS risorse come le istanze EC2 e i bucket S3. **Se desideri inoltrare le query relative a amazonaws.com alla tua rete, crea una regola, specifica amazonaws.com per il nome di dominio e specifica **Forward** o Delegation per il tipo di regola a seconda del metodo che desideri utilizzare.**
VPC Resolver non inoltra automaticamente le query DNS per alcuni sottodomini amazonaws.com anche se crei una regola di inoltro per amazonaws.com. Per ulteriori informazioni, consulta [Nomi di dominio per i quali VPC Resolver crea regole di sistema autodefinite](resolver-overview-forward-vpc-to-network-autodefined-rules.md). Per informazioni su come ignorare questo comportamento, consulta la sezione immediatamente successiva "Inoltrare tutte le query alla rete".
**Inoltrare tutte le query alla rete**
Se desideri inoltrare tutte le query alla tua rete, crea una regola, specifica «.» (punto) per il nome di dominio e associa la regola a quella VPCs per cui desideri inoltrare tutte le query DNS alla tua rete. VPC Resolver continua a non inoltrare tutte le query DNS alla rete perché l'utilizzo di un resolver DNS esterno comprometterebbe alcune funzionalità. AWS Ad esempio, alcuni nomi di AWS dominio interni hanno intervalli di indirizzi IP interni che non sono accessibili dall'esterno. AWS Per un elenco dei nomi di dominio per i quali le query non vengono inoltrate alla rete quando crei una regola per ".", consulta [Nomi di dominio per i quali VPC Resolver crea regole di sistema autodefinite](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
Tuttavia, le regole di sistema definite automaticamente per il DNS inverso possono essere disabilitate, consentendo alla regola «.» di inoltrare tutte le query DNS inverse alla rete. Per ulteriori informazioni su come disattivare le regole autodefinite, consultare [Regole di inoltro per le query DNS inverse in VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns).
Se vuoi provare a inoltrare query DNS per tutti i nomi di dominio alla rete, compresi i nomi di dominio esclusi dall'inoltro per impostazione predefinita, puoi creare una regola "." e procedere in uno dei seguenti modi:
+ Impostando il flag `enableDnsHostnames` per il VPC su `false`
+ Creando regole per i nomi di dominio elencati in [Nomi di dominio per i quali VPC Resolver crea regole di sistema autodefinite](resolver-overview-forward-vpc-to-network-autodefined-rules.md)
Se inoltri tutti i nomi di dominio alla tua rete, inclusi i nomi di dominio che VPC Resolver esclude quando crei una regola «.», alcune funzionalità potrebbero smettere di funzionare.
# In che modo VPC Resolver determina se il nome di dominio in una query corrisponde a qualche regola
Route 53 VPC Resolver confronta il nome di dominio nella query DNS con il nome di dominio nelle regole associate al VPC da cui ha avuto origine la query. VPC Resolver considera che i nomi di dominio corrispondano nei seguenti casi:
+ I nomi di dominio corrispondono esattamente
+ Il nome di dominio nella query è un sottodominio del nome di dominio nella regola
Ad esempio, se il nome di dominio nella regola è acme.example.com, VPC Resolver considera i seguenti nomi di dominio in una query DNS come una corrispondenza:
+ acme.esempio.com
+ zenith.acme.esempio.com
I seguenti nomi di dominio non sono una corrispondenza:
+ esempio.com
+ nadir.esempio.com
Se il nome di dominio in una query corrisponde al nome di dominio in più di una regola (ad esempio example.com e www.example.com), VPC Resolver indirizza le query DNS in uscita utilizzando la regola che contiene il nome di dominio più specifico (www.example.com).
# In che modo VPC Resolver determina dove inoltrare le query DNS
Quando un'applicazione eseguita su un'istanza EC2 in un VPC invia una query DNS, Route 53 VPC Resolver esegue i seguenti passaggi:
1. Il resolver controlla i nomi di dominio nelle regole.
Se il nome di dominio in una query corrisponde al nome di dominio in una regola di inoltro predefinita, VPC Resolver inoltra la query all'indirizzo IP specificato al momento della creazione dell'endpoint in uscita. L'endpoint in uscita inoltra quindi la query agli indirizzi IP dei resolver sulla rete, da te indicati al momento della creazione della regola.
Se il record di delega in risposta corrisponde alla regola di delega, il Resolver delega l'autorità ai resolver locali tramite l'endpoint in uscita associato alla regola di delega.
Per ulteriori informazioni, consulta [In che modo VPC Resolver determina se il nome di dominio in una query corrisponde a qualche regola](resolver-overview-forward-vpc-to-network-domain-name-matches.md).
1. L'endpoint di Resolver inoltre le query DNS in base alle impostazioni nella regola ".".
Se il nome di dominio in una query non corrisponde al nome di dominio in nessun'altra regola, VPC Resolver inoltra la query in base alle impostazioni nel file «» definito automaticamente. regola (punto). La regola del punto si applica a tutti i nomi di dominio ad eccezione di alcuni nomi di dominio AWS interni e nomi di record nelle zone ospitate private. Questa regola fa sì che VPC Resolver inoltri le query DNS ai name server pubblici se i nomi di dominio nelle query non corrispondono a nessun nome nelle regole di inoltro personalizzate. Se vuoi inoltrare tutte le query ai resolver DNS sulla rete, puoi creare una regola di inoltro personalizzata, specificare "." per il nome di dominio, specificare **Forwarding (Inoltro)** per **Type (Tipo)** e specificare gli indirizzi IP di questi resolver.
1. VPC Resolver restituisce la risposta all'applicazione che ha inviato la query.
# Utilizzo di regole in più regioni
Route 53 VPC Resolver è un servizio regionale, quindi gli oggetti creati in una AWS regione sono disponibili solo in quella regione. Per utilizzare la stessa regola in più di una regione, è necessario creare la regola in ciascuna regione.
L' AWS account che ha creato una regola può condividerla con altri account. AWS Per ulteriori informazioni, consulta [Condivisione delle regole del Resolver con altri AWS account e utilizzo di regole condivise](resolver-rules-managing.md#resolver-rules-managing-sharing).
# Nomi di dominio per i quali VPC Resolver crea regole di sistema autodefinite
Il resolver crea automaticamente regole di sistema autodefinite che definiscono la modalità predefinita utilizzata per risolvere le query per i domini selezionati:
+ Per le zone ospitate private e i nomi di dominio specifici per Amazon EC2 (come compute.amazonaws.com e compute.internal), le regole autodefinite assicurano che le tue zone ospitate private e le istanze EC2 continuino a risolversi se crei regole di inoltro condizionale per nomi di dominio meno specifici come "." (punto) o "com".
+ Per i nomi di dominio riservati pubblicamente (come localhost e 10.in-addr.arpa), le best practice DNS consigliano che le query vengano risposte a livello locale invece che inoltrate ai server di nomi pubblici. Consulta [RFC 6303, zone DNS servite localmente](https://tools.ietf.org/html/rfc6303).
**Nota**
Se crei una regola di inoltro condizionale per "." (punto) o "com", ti consigliamo di creare anche una regola di sistema per amazonaws.com. (Le regole di sistema fanno sì che VPC Resolver risolva localmente le query DNS per domini e sottodomini specifici.) La creazione di questa regola di sistema migliora le prestazioni, riduce il numero di query inoltrate alla rete e riduce i costi del VPC Resolver.
Se desideri sostituire una regola autodefinita, puoi creare una regola di inoltro condizionale per lo stesso nome di dominio.
Puoi anche disabilitare alcune delle regole definite automaticamente. Per ulteriori informazioni, consulta [Regole di inoltro per le query DNS inverse in VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns).
VPC Resolver crea le seguenti regole autodefinite.
**Regole per zone ospitate private**
Per ogni zona ospitata privata associata a un VPC, VPC Resolver crea una regola e la associa al VPC. Se associ la zona ospitata privata a più zone VPCs, VPC Resolver associa la regola alla stessa. VPCs
La regola è di tipo **Forward (Inoltro)**.
**Regole per vari nomi di dominio interni AWS **
Tutte le regole per i nomi di dominio interni in questa sezione sono di tipo **Forward**. VPC Resolver inoltra le query DNS per questi nomi di dominio ai name server autoritativi per il VPC.
VPC Resolver crea la maggior parte di queste regole quando si imposta il flag `enableDnsHostnames` per un VPC su. `true` VPC Resolver crea le regole anche se non utilizzi gli endpoint Resolver.
VPC Resolver crea le seguenti regole autodefinite e le associa a un VPC quando si imposta il flag per il VPC su: `enableDnsHostnames` `true`
+ *Region-name*.compute.internal, ad esempio eu-west-1.compute.internal. La regione us-east-1 non utilizza questo nome di dominio.
+ *Region-name*.calcolare. *amazon-domain-name*, ad esempio, eu-west-1.compute.amazonaws.com o cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. La regione us-east-1 non utilizza questo nome di dominio.
+ ec2.internal. Solo la regione us-east-1 utilizza questo nome di dominio.
+ compute-1.internal. Solo la regione us-east-1 utilizza questo nome di dominio.
+ compute-1.amazonaws.com. Solo la regione us-east-1 utilizza questo nome di dominio.
Le seguenti regole definite automaticamente servono per la ricerca DNS inversa delle regole che VPC Resolver crea quando si imposta il flag per il VPC su. `enableDnsHostnames` `true`
+ 10.in-addr.arpa
+ Da 16.172.in-addr.arpa a 31.172.in-addr.arpa
+ 168.192.in-addr.arpa
+ 254.169.254.169.in-addr.arpa
+ Regole di ciascuna delle gamme CIDR per il VPC. Ad esempio, se un VPC ha un intervallo CIDR di 10.0.0.0/23, VPC Resolver crea le seguenti regole:
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
Anche le seguenti regole autodefinite, per i domini correlati ai localhost, vengono create e associate a un VPC quando imposti il flag `enableDnsHostnames` per il VPC su `true`:
+ localhost
+ localdomain
+ 127.in-addr.arpa
+ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
+ 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
VPC Resolver crea le seguenti regole autodefinite e le associa al tuo VPC quando colleghi il VPC a un altro VPC tramite gateway di transito o peering VPC e con il supporto DNS abilitato:
+ La ricerca DNS inversa per gli intervalli di indirizzi IP del VPC in peering, ad esempio 0.192.in-addr.arpa
Se aggiungi un blocco IPv4 CIDR a un VPC, VPC Resolver aggiunge una regola definita automaticamente per il nuovo intervallo di indirizzi IP.
+ Se l'altro VPC si trova in un'altra regione, i seguenti nomi di dominio:
+ *Region-name*.compute.interno. La regione us-east-1 non utilizza questo nome di dominio.
+ *Region-name*.calcolare. *amazon-domain-name*. La regione us-east-1 non utilizza questo nome di dominio.
+ ec2.internal. Solo la regione us-east-1 utilizza questo nome di dominio.
+ compute-1.amazonaws.com. Solo la regione us-east-1 utilizza questo nome di dominio.
**Una regola per tutti gli altri domini**
VPC Resolver crea un «.» regola (punto) che si applica a tutti i nomi di dominio non specificati in precedenza in questo argomento. La regola «.» ha un tipo di **ricorsivo**, il che significa che la regola fa sì che VPC Resolver agisca come resolver ricorsivo.
# Considerazioni per la creazione di endpoint in entrata e in uscita
Prima di creare endpoint Resolver in entrata e in uscita in una AWS regione, considerate i seguenti problemi.
**Topics**
+ [Numero di endpoint in entrata e in uscita in ciascuna regione](#resolver-considerations-number-of-endpoints)
+ [Utilizzare lo stesso VPC per gli endpoint in entrata e in uscita](#resolver-considerations-same-vpc-inbound-outbound)
+ [Endpoint in entrata e zone ospitate private](#resolver-considerations-inbound-endpoint-private-zone)
+ [Peering VPC](#resolver-considerations-vpc-peering)
+ [Indirizzi IP nelle sottoreti condivise](#resolver-considerations-shared-subnets)
+ [Connessione tra la tua rete e VPCs quella in cui crei gli endpoint](#resolver-considerations-connection-between-network-and-vpcs)
+ [Quando si condividono le regole, si condividono anche gli endpoint in uscita](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [Scelta dei protocolli per gli endpoint](#resolver-endpoint-protocol-considerations)
+ [Utilizzo di VPC Resolver in cui sono configurati per la VPCs tenancy delle istanze dedicate](#resolver-considerations-dedicated-instance-tenancy)
## Numero di endpoint in entrata e in uscita in ciascuna regione
Quando desideri integrare il DNS di una AWS regione con il DNS della tua rete, VPCs in genere hai bisogno di un endpoint Resolver in entrata (per le query DNS che stai inoltrando alla tua VPCs) e un endpoint in uscita (per le query che stai inoltrando dalla tua rete). VPCs Puoi creare più endpoint in entrata e più endpoint in uscita, ma un endpoint in entrata o in uscita è sufficiente per gestire le query DNS per ogni rispettiva direzione. Tieni presente quanto segue:
+ Per ogni endpoint di Resolver, è necessario specificare due o più indirizzi IP in diverse zone di disponibilità. Ogni indirizzo IP in un endpoint è in grado di gestire un numero elevato di query DNS al secondo. (Per quanto riguarda il numero massimo di query al secondo per indirizzo IP in un endpoint, consulta [Quote sul Resolver VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)). Se hai bisogno di VPC Resolver per gestire più query, puoi aggiungere altri indirizzi IP all'endpoint esistente invece di aggiungere un altro endpoint.
+ I prezzi di VPC Resolver si basano sul numero di indirizzi IP negli endpoint e sul numero di query DNS elaborate dall'endpoint. Ogni endpoint include almeno due indirizzi IP. Per ulteriori informazioni sui prezzi di VPC Resolver, consulta i prezzi di [Amazon](https://aws.amazon.com/route53/pricing/) Route 53.
+ Ogni regola specifica l'endpoint in uscita da cui vengono inoltrate le query DNS. Se crei più endpoint in uscita in una regione AWS e desideri associare alcune o tutte le regole di Resolver a ogni VPC, è necessario creare più copie di tali regole.
## Utilizzare lo stesso VPC per gli endpoint in entrata e in uscita
È possibile creare endpoint in entrata e in uscita nello stesso VPC o in diversi VPCs punti della stessa regione.
Per ulteriori informazioni, consulta [Best practice per Amazon Route 53](best-practices.md).
## Endpoint in entrata e zone ospitate private
Se desideri che VPC Resolver risolva le query DNS in entrata utilizzando i record in una zona ospitata privata, associa la zona ospitata privata al VPC in cui hai creato l'endpoint in entrata. Per informazioni sull'associazione di zone ospitate private a, consulta. VPCs [Utilizzo delle zone ospitate private](hosted-zones-private.md)
## Peering VPC
Puoi utilizzare qualsiasi VPC in una AWS regione per un endpoint in entrata o in uscita indipendentemente dal fatto che il VPC scelto sia peerizzato con altri. VPCs Per ulteriori informazioni, consulta la sezione relativa al [peering Amazon Virtual Private Cloud (VPC)](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
## Indirizzi IP nelle sottoreti condivise
Quando si crea un endpoint in ingresso o in uscita, è possibile specificare un indirizzo IP in una subnet condivisa solo se l'account corrente ha creato il VPC. Se un altro account crea un VPC e condivide una subnet nel VPC con l'account, non è possibile specificare un indirizzo IP in tale subnet. Per ulteriori informazioni sulle sottoreti condivise, consulta [Working with shared VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) nella Amazon *VPC* User Guide.
## Connessione tra la tua rete e VPCs quella in cui crei gli endpoint
È necessario disporre di una delle seguenti connessioni tra la rete e VPCs quella in cui vengono creati gli endpoint:
+ **Endpoint in entrata**: devi configurare una connessione [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) o una [connessione VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) tra la tua rete e ciascun VPC per cui crei un endpoint in entrata o in uscita.
+ **Endpoint in uscita**: è necessario configurare una connessione [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), una [connessione VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) o un [gateway NAT (network address translation)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) tra la rete e ogni VPC per il quale è stato creato un endpoint in uscita.
## Quando si condividono le regole, si condividono anche gli endpoint in uscita
Quando crei una regola, specifichi l'endpoint in uscita che desideri che VPC Resolver utilizzi per inoltrare le query DNS alla tua rete. Se condividi la regola con un altro AWS account, condividi anche indirettamente l'endpoint in uscita specificato nella regola. Se hai utilizzato più di un AWS account per creare VPCs in una AWS regione, puoi fare quanto segue:
+ Creare un endpoint in uscita nella regione.
+ Crea regole utilizzando un solo AWS account.
+ Condividi le regole con tutti gli AWS account creati VPCs nella Regione.
Ciò consente di utilizzare un endpoint in uscita in una regione per inoltrare le query DNS alla rete da più utenti, VPCs anche se VPCs sono state create utilizzando account diversi. AWS
## Scelta dei protocolli per gli endpoint
I protocolli degli endpoint determinano il modo in cui i dati vengono trasmessi a un endpoint in entrata e da un endpoint in uscita. La crittografia delle query DNS per il traffico VPC non è necessaria perché ogni flusso di pacchetti nella rete viene autorizzato individualmente in base a una regola per convalidare l'origine e la destinazione corrette prima della sua trasmissione e consegna. È molto improbabile che le informazioni vengano trasmesse in modo arbitrario tra entità senza che siano specificamente autorizzate sia dall'entità trasmittente che da quella ricevente. Se viene indirizzato a una destinazione priva di una regola corrispondente, un pacchetto viene eliminato. Per ulteriori informazioni, consulta le [funzionalità del VPC](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html).
I protocolli disponibili sono:
+ **Do53:** DNS sulla porta 53. I dati vengono inoltrati utilizzando il VPC Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, possono essere visualizzati all'interno delle reti. AWS Utilizza UDP o TCP per inviare i pacchetti. Do53 viene utilizzato principalmente per il traffico all'interno e tra Amazon VPCs. Attualmente, questo è l'unico protocollo disponibile per la delega degli endpoint in entrata.
+ **DoH:** i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto. Non disponibile per gli endpoint in entrata con delega.
+ **DoH-FIPS:** i dati vengono trasmessi attraverso una sessione HTTPS crittografata conforme allo standard di crittografia FIPS 140-2. Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, consulta [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2). Non disponibile per gli endpoint in entrata con delega.
Per un endpoint in entrata di tipo **Forward**, puoi applicare i protocolli come segue:
+ Do53 e DoH in combinazione.
+ Do53 e DoH-FIPS in combinazione.
+ Do53 da solo.
+ DoH da solo.
+ DoH-FIPS da solo.
+ Nessuno, il che equivale a Do53.
Per un endpoint in uscita è possibile applicare i protocolli come segue:
+ Do53 e DoH in combinazione.
+ Do53 da solo.
+ DoH da solo.
+ Nessuno, il che equivale a Do53.
Consulta anche [Valori specificati durante la creazione o la modifica di endpoint in entrata](resolver-forwarding-inbound-queries-values.md) e [Valori specificati durante la creazione o la modifica degli endpoint in uscita](resolver-forwarding-outbound-queries-endpoint-values.md).
## Utilizzo di VPC Resolver in cui sono configurati per la VPCs tenancy delle istanze dedicate
Quando crei un endpoint Resolver, non è possibile specificare un VPC con l'[attributo di tenancy dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) impostato su `dedicated`. VPC Resolver non funziona su hardware single-tenant.
Puoi comunque utilizzare VPC Resolver per risolvere le query DNS che hanno origine in un VPC. Crea almeno un VPC che abbia l'attributo di tenancy dell'istanza impostato su `default` e specifica quel VPC al momento della creazione di endpoint in entrata e in uscita.
Quando si crea una regola di inoltro, è possibile associarla a qualsiasi VPC, indipendentemente dall'impostazione dell'attributo di tenancy dell'istanza.
# Disponibilità e scalabilità di Route 53 VPC Resolver
Route 53 VPC Resolver, in esecuzione sull'indirizzo Amazon VPC CIDR \$1 2 e fd00:ec2: :253, è disponibile per impostazione predefinita in tutti e risponde in modo ricorsivo alle query DNS per record pubblici VPCs, nomi DNS specifici di Amazon VPC e zone ospitate private di Route 53. Esistono due componenti ad alta disponibilità, trasparenti per gli utenti, che compongono il VPC Resolver Route 53: il servizio Nitro Resolver e la flotta Zonal Resolver. Il servizio Nitro Resolver è un servizio che viene eseguito nella scheda Nitro sulle istanze Nitro e in Dom0 nelle istanze di vecchia generazione e utilizza i pacchetti indirizzati al Resolver VPC Route 53 localmente sul server host. [Per ulteriori informazioni, consulta La progettazione della sicurezza del sistema Nitro. AWS](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html)
Il servizio Nitro Resolver include una cache locale che può aiutare a ridurre la latenza rispondendo a domande ripetute che vengono eseguite in un breve periodo di tempo da un'istanza. Quando il servizio Nitro Resolver riceve una query per la quale non dispone di una risposta memorizzata nella cache, inoltra la query al parco Resolver Zonal, un parco di resolver ad alta disponibilità che si trova in genere nella stessa zona di disponibilità dell'istanza. In caso di errori nella gestione delle query da parte dei name server upstream o di altri componenti del percorso, il servizio Nitro Resolver è spesso in grado di gestire questi errori in modo trasparente senza impatto sui carichi di lavoro in esecuzione sull'istanza. Inoltre, se il Resolver rileva timeout di query, connessioni rifiutate o SERVFAILS dai name server del dominio, può rispondere con una risposta memorizzata nella cache oltre il valore Time-To-Live (TTL) per migliorare la disponibilità. Le richieste tra il servizio Nitro Resolver e la flotta Zonal Resolver sono limitate a una rete strettamente controllata al di fuori del VPC del cliente, che è inaccessibile ai clienti e soggetta a rigorosi controlli di sicurezza. Gestendo le richieste tra il servizio Nitro Resolver e la flotta Zonal Resolver al di fuori del VPC, ai clienti viene impedito di intercettare le query DNS all'interno del proprio VPC. Le query destinate a denominare server esterni attraverseranno la rete Internet pubblica e provengono da indirizzi IP pubblici appartenenti alla flotta di AWS Zonal Resolver. Attualmente non supportiamo l'attributo EDNS0 -Client Subnet, il che significa che tutte le query destinate ai server di nomi DNS pubblici non includono informazioni sull'indirizzo IP del cliente di origine.
Il servizio Nitro Resolver fa parte dei servizi Link-Local dell'istanza. I servizi Link-Local includono Route 53 VPC Resolver, Amazon Time Service (NTP), Instance Metadata Service (IMDS) e Windows Licensing Service (per istanze Windows). Questi servizi si adattano a ogni interfaccia di rete elastica creata nel VPC e ogni interfaccia di rete consente 1024 pacchetti al secondo (PPS) destinati ai servizi Link-Local. I pacchetti che superano questo limite vengono rifiutati. È possibile determinare se è stato superato questo limite in base al `linklocal_allowance_exceeded` valore restituito da ethtool. Per ulteriori informazioni su ethtool, consulta [Monitora le prestazioni di rete per la tua istanza Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html) nella *Amazon EC2 User Guide*. Questa metrica può anche essere riportata ai CloudWatch parametri dall'agente. CloudWatch Poiché il Route 53 VPC Resolver è implementato per interfaccia di rete, è scalabile e diventa più affidabile man mano che si aggiungono più istanze in più zone di disponibilità. Non esiste un limite aggregato per VPC al numero di query, quindi il Route 53 VPC Resolver può scalare entro i limiti di un VPC, che è intrinsecamente basato sull'utilizzo degli indirizzi di rete (NAU). Per ulteriori informazioni, consulta [l'utilizzo degli indirizzi di rete per il tuo VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/userguide/network-address-usage.html) per l'*utente di Amazon Virtual Private Cloud*.
Il diagramma seguente mostra una panoramica di come Route 53 VPC Resolver risolve le query DNS all'interno delle zone di disponibilità.
![\[Grafico concettuale che mostra come Route 53 VPC Resolver risolve le query DNS all'interno delle zone di disponibilità.\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/images/Resolver-scale-availability2.png)
# Guida introduttiva a Route 53 VPC Resolver
La console Route 53 VPC Resolver include una procedura guidata che guida l'utente attraverso i seguenti passaggi per iniziare a usare VPC Resolver:
+ Creazione di endpoint: in entrata, in uscita o entrambi.
+ Per gli endpoint in uscita, crea una o più regole di inoltro, che specificano i nomi di dominio per i quali desideri instradare le query DNS alla rete.
+ Se hai creato un endpoint in uscita, seleziona il VPC al quale desideri associare le regole.
**Per configurare Route 53 VPC Resolver utilizzando la procedura guidata**
1. Accedi Console di gestione AWS e apri la console VPC Resolver all'indirizzo. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)
1. **Nella pagina **Welcome to Route 53 VPC Resolver**, scegli Configura endpoint.**
1. Nella barra di navigazione, selezionare la regione dove si desidera creare l'endpoint del resolver.
1. In **Basic configuration (Configurazione di base)**, sceglie la direzione in cui inoltrare le query DNS:
+ **In entrata e in uscita**: la procedura guidata guida l'utente attraverso le impostazioni che consentono sia di inoltrare le query DNS dai resolver della rete a VPC Resolver in un VPC, sia di inoltrare le query specificate (come example.com o example.net) da un VPC ai resolver sulla rete.
+ **Solo in entrata**: la procedura guidata guida l'utente attraverso le impostazioni che consentono di inoltrare le query DNS dai resolver sulla rete a VPC Resolver in un VPC.
+ **Outbound only (Solo in uscita)**: la procedura guidata ti introduce alle impostazioni che permettono di inoltrare query specifiche da un VPC ai resolver sulla rete.
1. Seleziona **Next (Successivo)**.
1. Se la scelta è stata **Inbound and outbound (In entrata e in uscita)** o **Inbound only (Solo in uscita)**, immettere i valori validi per la configurazione di un endpoint in entrata. Continua quindi con la fase 7. Per ulteriori informazioni, consulta [Valori specificati durante la creazione o la modifica di endpoint in entrata](resolver-forwarding-inbound-queries-values.md).
Se la scelta è stata **Outbound only (Solo in uscita)**, passa alla fase 7.
1. Inserisci i valori applicabili alla configurazione di un endpoint in uscita. Per ulteriori informazioni, consulta [Valori specificati durante la creazione o la modifica degli endpoint in uscita](resolver-forwarding-outbound-queries-endpoint-values.md).
1. Se la scelta è stata **Inbound and outbound (In entrata e in uscita)** o **Outbound only (Solo in uscita)**, inserisxci i valori validi per la creazione di una regola. Per ulteriori informazioni, consulta [Valori specificati durante la creazione o la modifica delle regole](resolver-forwarding-outbound-queries-rule-values.md).
1. Nella pagina **Review and create (Rivedi e crea)**, conferma che le impostazioni specificate nelle pagine precedenti sono corrette. Se necessario, seleziona **Edit (Modifica)** per la sezione applicabile e aggiornare le impostazioni. Quando si è soddisfatti delle impostazioni, seleziona **Submit (Invia)**.
**Nota**
La creazione di un endpoint in uscita richiede un paio di minuti. Non è possibile creare un altro endpoint in uscita fino a quando non viene creato il primo.
1. Se vuoi creare più regole, consulta [Gestione delle regole di inoltro](resolver-rules-managing.md).
1. Se hai creato un endpoint in entrata, configura i resolver DNS di rete in modo che inoltrino le query DNS applicabili agli indirizzi IP dell'endpoint in entrata. Per ulteriori informazioni, consulta la documentazione relativa alla tua applicazione DNS.
# Inoltro delle query DNS in entrata al VPCs
Per inoltrare le query DNS dalla rete a VPC Resolver, è necessario creare un endpoint in entrata. Un endpoint in ingresso specifica gli indirizzi IP (dall'intervallo di indirizzi IP disponibili per il VPC) a cui i resolver DNS devono inoltrare le query DNS. Questi indirizzi IP non sono indirizzi IP pubblici, quindi per ogni endpoint in entrata devi connettere il tuo VPC alla rete utilizzando una Direct Connect connessione o una connessione VPN.
Quando si implementa la delega in entrata, si delega l'autorità DNS per un sottodominio dall'infrastruttura DNS locale a VPC Resolver. Per configurare correttamente questa delega, è necessario utilizzare gli indirizzi IP dell'endpoint in entrata come record di colla (record NS) sul server dei nomi locale per il sottodominio da delegare. Ad esempio, se deleghi il sottodominio «aws.example.com» a VPC Resolver tramite un endpoint di delega in entrata con indirizzi IP 10.0.1.100 e 10.0.1.101, creerai record NS sul tuo server DNS locale che puntano «aws.example.com» a questi indirizzi IP. Ciò garantisce che le query DNS per il sottodominio delegato vengano instradate correttamente al VPC Resolver tramite l'endpoint in entrata, consentendo al VPC Resolver di rispondere con i record della zona ospitata privata associata.
# Configurazione dell’inoltro in entrata
Per creare un endpoint in entrata, procedi nel seguente modo.
**Per creare un endpoint in entrata.**
1. Accedi a Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Nel riquadro di navigazione, scegli **Inbound endpoints (Inbound in entrata)**.
1. Nella barra di navigazione, scegli la regione dove si desidera creare l'endpoint in entrata.
1. Sceglie **Create inbound endpoint (Crea endpoint in entrata)**.
1. Immetti i valori applicabili. Per ulteriori informazioni, consulta [Valori specificati durante la creazione o la modifica di endpoint in entrata](resolver-forwarding-inbound-queries-values.md).
1. Scegli **Create (Crea) **.
1. Configurare i resolver DNS di rete in modo che inoltrino le query DNS applicabili agli indirizzi IP dell'endpoint in entrata. Per ulteriori informazioni, consulta la documentazione relativa alla tua applicazione DNS.
# Valori specificati durante la creazione o la modifica di endpoint in entrata
Quando crei o modifichi un endpoint in entrata, devi specificare i seguenti valori:
**ID Outpost**
Se stai creando l'endpoint per un VPC Resolver su AWS Outposts un VPC, questo è l'ID. AWS Outposts
**Nome endpoint**
Un nome descrittivo che ti consenta di trovare facilmente un endpoint in entrata nel pannello di controllo.
**Categoria di endpoint**
****Scegli Predefinito o Delega.**** Quando la categoria è **impostata su Predefinita**, il resolver della rete inoltra le richieste DNS all'indirizzo IP dell'endpoint in entrata. Quando la categoria è **Delega**, l'autorità per un dominio viene delegata al VPC Resolver.
**VPC nella regione *region-name*.**
Tutte le query DNS in entrata dalla rete passano attraverso questo VPC fino a VPC Resolver.
**Gruppo di sicurezza per questo endpoint**
L'ID di uno o più gruppi di sicurezza che si desidera utilizzare per controllare l'accesso a questo VPC. Il gruppo di sicurezza specificato deve includere una o più regole in entrata. Le regole in entrata devono autorizzare l'accesso TCP e UDP sulla porta 53. Se si utilizza il protocollo DoH, sarà inoltre necessario consentire la porta 443 nel gruppo di sicurezza. Non è possibile modificare questo valore dopo aver creato l'endpoint.
Alcune regole del gruppo di sicurezza consentiranno il tracciamento della connessione e il numero massimo complessivo di query al secondo per indirizzo IP per un endpoint in entrata può essere pari a 1500. [Per evitare il tracciamento delle connessioni causato da un gruppo di sicurezza, vedi Connessioni non tracciate.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)
Per aggiungere più gruppi di sicurezza, usa il AWS CLI comando. `create-resolver-endpoint` Per ulteriori informazioni, consulta [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
Per ulteriori informazioni, consultare [Gruppi di sicurezza per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nella *Guida per l'utente di Amazon VPC*.
**Tipo di endpoint**
Il tipo di endpoint può essere uno o più IPv4 indirizzi IPv6 IP dual-stack. Per un endpoint dual-stack, l'endpoint avrà entrambi gli IPv6 indirizzi a cui il resolver DNS sulla rete IPv4 può inoltrare la query DNS.
Per motivi di sicurezza, stiamo negando l'accesso diretto al IPv6 traffico dalla rete Internet pubblica a tutti gli indirizzi IP e dual-stack. IPv6
**Indcirizzi IP**
Gli indirizzi IP a cui vuoi che i resolver DNS sulla rete inoltrino le query DNS. Richiediamo di specificare un minimo di due indirizzi IP per la ridondanza. Se hai creato un endpoint di delega in entrata, usa questi indirizzi IP come record NS collante per il sottodominio per il quale desideri delegare l'autorità a VPC Resolver. Tenere presente quanto segue:
**Zone di disponibilità multiple**
Consigliamo di specificare indirizzi IP in almeno due zone di disponibilità. È anche possibile specificare ulteriori indirizzi IP in quelle o in altre zone di disponibilità.
**Indirizzi IP e interfacce di rete elastiche di Amazon VPC **
Per ogni combinazione di zona di disponibilità, sottorete e indirizzo IP specificata, VPC Resolver crea un'interfaccia di rete elastica Amazon VPC. Per quanto riguarda il numero massimo di query DNS al secondo per ogni indirizzo IP in un endpoint, consulta [Quote sul Resolver VPC Route 53](DNSLimitations.md#limits-api-entities-resolver). Per informazioni sui prezzi per ogni interfaccia di rete elastica, consulta "Amazon Route 53" nella [Pagina dei prezzi di Amazon Route 53](https://aws.amazon.com/route53/pricing/).
L'endpoint del risolutore ha un indirizzo IP privato. Questi indirizzi IP non cambieranno nel corso della vita di un endpoint.
Per ogni indirizzo IP, specifica i seguenti valori. Ogni indirizzo IP deve trovarsi in una zona di disponibilità del VPC specificato in **VPC in the *region-name* Region (VPC nella regione region-name)**.
**Zona di disponibilità**
La zona di disponibilità nella quale desideri che le query DNS passino in direzione del VPC. La zona di disponibilità specificata deve essere configurata con una sottorete.
**Sottorete**
La sottorete che contiene gli indirizzi IP che desideri assegnare all'endpoint Resolver. ENIs Questi sono gli indirizzi a cui invierai le query DNS. La sottorete deve avere a disposizione un indirizzo IP.
L'indirizzo IP della sottorete deve corrispondere al **Tipo di endpoint**.
**IP address (Indirizzo IP)**
L'indirizzo IP che desideri assegnare agli endpoint in entrata.
Scegli se vuoi che VPC Resolver scelga un indirizzo IP per te tra gli indirizzi IP disponibili nella sottorete specificata o se desideri specificare tu stesso l'indirizzo IP.
Se scegli di specificare tu stesso l'indirizzo IP, inserisci un IPv6 indirizzo IPv4 or o entrambi.
**Protocolli**
Il protocollo dell'endpoint determina il modo in cui i dati vengono trasmessi all'endpoint in entrata. Scegliete uno o più protocolli, a seconda del livello di sicurezza necessario.
+ **Do53:** (impostazione predefinita) I dati vengono inoltrati utilizzando il VPC Resolver Route 53 senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, possono essere visualizzati all'interno delle reti. AWS Questo è l'unico protocollo attualmente disponibile per la categoria di endpoint in entrata **Delegation**.
+ **DoH:** i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.
+ **DoH-FIPS:** i dati vengono trasmessi attraverso una sessione HTTPS crittografata conforme allo standard di crittografia FIPS 140-2. Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, consulta [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2).
**Nota**
Per gli endpoint in entrata DOH/DOH-FIPS, esiste un problema noto a causa della pubblicazione di un IP di origine errato nella registrazione delle query di VPC Resolver.
Per un endpoint in entrata, è possibile applicare i protocolli come segue:
+ Do53 e DoH in combinazione.
+ Do53 e DoH-FIPS in combinazione.
+ Do53 da solo.
+ DoH da solo.
+ DoH-FIPS da solo.
+ Nessuno, il che equivale a Do53.
Non è possibile modificare il protocollo di un endpoint in entrata direttamente dal solo Do53 al solo DoH o DoH-FIPS. Ciò serve a prevenire un'interruzione improvvisa del traffico in entrata basato su Do53. Per modificare il protocollo da Do53 a DoH o DoH-FIPS, devi innanzitutto abilitare sia Do53 che DoH oppure Do53 e DoH-FIPS, per garantire che tutto il traffico in entrata sia passato all'uso del protocollo DoH o DoH-FIPS, e quindi rimuovere il protocollo Do53.
**Tag**
Specificare una o più chiavi e i valori corrispondenti. Ad esempio, è possibile specificare **Cost center (Centro di costo)** per **Key (Chiave)** e specificare **456** per **Value (Valore)**.
# Gestione degli endpoint in entrata
Per gestire gli endpoint in entrata, esegui la procedura applicabile.
**Topics**
+ [Visualizzazione e modifica degli endpoint in entrata](#resolver-forwarding-inbound-queries-managing-viewing)
+ [Visualizzazione dello stato degli endpoint in entrata](#resolver-forwarding-inbound-queries-managing-viewing-status)
+ [Eliminazione degli endpoint in entrata](#resolver-forwarding-inbound-queries-managing-deleting)
## Visualizzazione e modifica degli endpoint in entrata
Per visualizzare e modificare le impostazioni di un endpoint in entrata, procedi nel seguente modo.
**Per visualizzare e modificare le impostazioni di un endpoint in entrata.**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Nel riquadro di navigazione, scegli **Inbound endpoints (Inbound in entrata)**.
1. Nella barra di navigazione, selezionare la regione dove è stato creato l'endpoint in entrata.
1. Scegliere l'opzione per l'endpoint di cui si desidera visualizzare o modificare le impostazioni.
1. Scegliere **View details (Visualizza dettagli)** o **Edit (Modifica)**.
Per informazioni sui valori per gli endpoint in entrata, consulta [Valori specificati durante la creazione o la modifica di endpoint in entrata](resolver-forwarding-inbound-queries-values.md).
1. Se si sceglie **Edit (Modifica)**, immettere i valori applicabili e selezionare **Save (Salva)**.
## Visualizzazione dello stato degli endpoint in entrata
Per visualizzare lo stato di un endpoint in entrata, eseguire la procedura seguente.
**Per visualizzare lo stato di un endpoint in entrata**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Nel riquadro di navigazione, scegli **Inbound endpoints (Inbound in entrata)**.
1. Nella barra di navigazione, selezionare la regione dove è stato creato l'endpoint in entrata. La colonna **Status (Stato)** contiene uno dei seguenti valori:
**Creazione in corso**
VPC Resolver sta creando e configurando una o più interfacce di rete Amazon VPC per questo endpoint.
**Operational**
Le interfacce di rete Amazon VPC per questo endpoint sono configurate correttamente e sono in grado di passare query DNS in entrata o in uscita tra la rete e VPC Resolver.
**Aggiornamento in corso**
VPC Resolver associa o dissocia una o più interfacce di rete con questo endpoint.
**Auto recovering**
VPC Resolver sta tentando di ripristinare una o più interfacce di rete associate a questo endpoint. Durante il processo di ripristino, l'endpoint funziona con capacità limitata a causa del limite del numero di query DNS per indirizzo IP (per interfaccia di rete). Per il limite corrente, consulta [Quote sul Resolver VPC Route 53](DNSLimitations.md#limits-api-entities-resolver).
**Action needed**
Questo endpoint non è integro e VPC Resolver non è in grado di ripristinarlo automaticamente. Per risolvere il problema, si consiglia di verificare ciascun indirizzo IP associato all’endpoint. Per ogni indirizzo IP non disponibile, aggiungere un altro indirizzo IP e quindi eliminare l’indirizzo IP non disponibile. (Un endpoint deve sempre includere almeno due indirizzi IP). Un stato di **Action needed (Operazione necessaria)** può avere una serie di cause. Ecco due cause comuni:
+ Una o più interfacce di rete associate con l’endpoint sono state eliminate tramite Amazon VPC.
+ Non è stato possibile creare l’interfaccia di rete per motivi al di fuori del controllo di VPC Resolver.
**Eliminazione in corso**
VPC Resolver sta eliminando questo endpoint e le interfacce di rete associate.
## Eliminazione degli endpoint in entrata
Per eliminare un endpoint in entrata, procedi nel seguente modo.
**Importante**
Se elimini un endpoint in entrata, le query DNS dalla rete non vengono più inoltrate a VPC Resolver nel VPC che hai specificato nell'endpoint.
**Per eliminare un endpoint in entrata**
1. Accedi e apri la console Route 53 all'indirizzo. Console di gestione AWS [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel riquadro di navigazione, scegli **Inbound endpoints (Inbound in entrata)**.
1. Nella barra di navigazione, selezionare la regione dove è stato creato l'endpoint in entrata.
1. Selezionare l'opzione per l'endpoint che si desidera eliminare.
1. Scegli **Elimina**.
1. Per confermare che si desidera eliminare l'endpoint, immettere il nome dell'endpoint e scegliere **Submit (Invia)**.
# Inoltro di query DNS in uscita alla rete
Per inoltrare alla tua rete le query DNS che hanno origine su istanze Amazon EC2 in una o VPCs più istanze, crei un endpoint in uscita e una o più regole:
**Endpoint in uscita**
Per inoltrare le query DNS dalla tua rete VPCs alla tua rete, crei un endpoint in uscita. Un endpoint in uscita specifica gli indirizzi IP da cui provengono le query. Tali indirizzi IP, che scegli dall'intervallo di indirizzi IP disponibili per il VPC, non sono indirizzi IP pubblici. Ciò significa che, per ogni endpoint in uscita, è necessario connettere il VPC alla rete mediante una connessione Direct Connect , una connessione VPC o un gateway NAT (Network Address Translation). Tieni presente che puoi utilizzare lo stesso endpoint in uscita per più endpoint VPCs nella stessa regione oppure puoi creare più endpoint in uscita. Se desideri utilizzare il tuo endpoint in uscita DNS64, puoi abilitare DNS64 l'utilizzo di Amazon Virtual Private Cloud. Per ulteriori informazioni, consulta [DNS64 e NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-nat64-dns64) consulta la *Amazon VPC User Guide*.
L'IP di destinazione della regola VPC Resolver viene scelto a caso da VPC Resolver e non vi è alcuna preferenza nella scelta di un particolare IP di destinazione rispetto all'altro. Se un IP di destinazione non risponde alla richiesta DNS inoltrata, il VPC Resolver riproverà a inserire un indirizzo IP casuale tra la destinazione. IPs
Assicurati che tutti gli indirizzi IP di destinazione siano raggiungibili dagli endpoint Resolver. Se VPC Resolver non è in grado di inoltrare le query DNS in uscita a nessuno degli IP di destinazione, può portare a tempi di risoluzione DNS prolungati.
**Regole**
Per specificare i nomi di dominio delle query che desideri inoltrare ai resolver DNS sulla rete, è necessario creare una o più regole. Ogni regola di inoltro specifica un nome di dominio. Quindi associ le regole a quelle VPCs per cui desideri inoltrare le query alla tua rete.
Le regole di delega in uscita seguono principi di delega specifici che differiscono dalle regole di inoltro standard. Quando si crea una regola di delega, VPC Resolver valuta i record di delega nella regola rispetto ai record NS nelle risposte DNS per determinare se la delega debba avvenire. Il VPC Resolver delegherà l'autorità ai tuoi resolver locali solo quando c'è una corrispondenza tra la configurazione della regola di delega e i record NS effettivi restituiti nella risposta DNS. A differenza delle regole di inoltro che reindirizzano le query in base alla corrispondenza dei nomi di dominio, le regole di delega rispettano la catena di delega DNS e si attivano solo quando i name server autoritativi nella risposta corrispondono alla configurazione di delega.
Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Private hosted zones that have overlapping namespaces](hosted-zone-private-considerations.md#hosted-zone-private-considerations-private-overlapping)
+ [Private hosted zones and Route 53 VPC Resolver rules](hosted-zone-private-considerations.md#hosted-zone-private-considerations-resolver-rules)
# Configurazione dell'inoltro in uscita
Per configurare VPC Resolver per inoltrare alla rete le query DNS provenienti dal VPC, esegui le seguenti procedure.
**Importante**
Dopo aver creato un endpoint in uscita, è necessario creare una o più regole e associarle a una o più. VPCs Le regole specificano i nomi di dominio delle query DNS che desideri inoltrare alla rete.
**Per creare un endpoint in uscita**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel riquadro di navigazione, seleziona **Outbound endpoints (Endpoint in uscita)**.
1. Nella barra di navigazione, seleziona la regione dove si desidera creare l'endpoint in uscita.
1. Scegli **Create outbound endpoint (Crea endpoint in uscita)**.
1. Immetti i valori applicabili. Per ulteriori informazioni, consulta [Valori specificati durante la creazione o la modifica degli endpoint in uscita](resolver-forwarding-outbound-queries-endpoint-values.md).
1. Scegli **Create (Crea) **.
**Nota**
La creazione di un endpoint in uscita richiede un paio di minuti. Non è possibile creare un altro endpoint in uscita fino a quando non viene creato il primo.
1. Creare una o più regole per specificare i nomi di dominio delle query DNS che si desidera inoltrare ai resolver DNS sulla rete. Per ulteriori informazioni, consulta la procedura successiva.
Per creare una o più regole di inoltro, procedere nel seguente modo.
**Per creare regole di inoltro e associarle a una o più regole VPCs**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel pannello di navigazione, scegli **Rules (Regole)**.
1. Nella barra di navigazione, scegli la regione dove hai creato la regola.
1. Scegli **Create rule (Crea regola)**.
1. Immetti i valori applicabili. Per ulteriori informazioni, consulta [Valori specificati durante la creazione o la modifica delle regole](resolver-forwarding-outbound-queries-rule-values.md).
1. Seleziona **Save (Salva**.
1. Per aggiungere un'altra regola, ripetere le fasi da 4 a 6.
# Valori specificati durante la creazione o la modifica degli endpoint in uscita
Quando crei o modifichi un endpoint in uscita, devi specificare i seguenti valori:
**ID Outpost**
Se stai creando l'endpoint per un VPC Resolver su AWS Outposts un VPC, questo è l'ID. AWS Outposts
**Nome endpoint**
Un nome descrittivo che ti consenta di trovare facilmente un endpoint in uscita.
**VPC nella regione *region-name*.**
Tutte le query DNS in uscita passeranno attraverso questo VPC in direzione della rete.
**Gruppo di sicurezza per questo endpoint**
L'ID di uno o più gruppi di sicurezza che si desidera utilizzare per controllare l'accesso a questo VPC. Il gruppo di sicurezza specificato deve includere una o più regole in uscita. Le regole in uscita devono consentire l'accesso TCP e UDP sulla porta che si sta utilizzando per le query DNS nella rete. Non è possibile modificare questo valore dopo avere creato un endpoint.
Alcune regole dei gruppi di sicurezza consentiranno il tracciamento della connessione e potrebbero influire sul numero massimo di query al secondo dall'endpoint in uscita al nameserver di destinazione. [Per evitare il tracciamento delle connessioni causato da un gruppo di sicurezza, vedi Connessioni non tracciate.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)
Per ulteriori informazioni, consultare [Gruppi di sicurezza per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nella *Guida per l'utente di Amazon VPC*.
**Tipo di endpoint**
Il tipo di endpoint può essere uno o due indirizzi IP IPv4 o IPv6 dual-stack. Per un endpoint dual-stack, l'endpoint avrà entrambi gli IPv6 indirizzi a cui il resolver DNS sulla rete IPv4 può inoltrare la query DNS.
Per motivi di sicurezza, stiamo negando l'accesso diretto al IPv6 traffico Internet pubblico per tutti gli indirizzi IP e dual-stack. IPv6
**Indcirizzi IP**
Gli indirizzi IP del tuo VPC a cui desideri che VPC Resolver inoltri le query DNS lungo il percorso verso i resolver della tua rete. Questi non sono gli indirizzi IP dei resolver DNS sulla rete; gli indirizzi IP dei resolver vengono specificati quando si creano le regole da associare a una o più regole. VPCs Richiediamo di specificare un minimo di due indirizzi IP per la ridondanza.
L'endpoint del risolutore ha un indirizzo IP privato. Questi indirizzi IP non cambieranno nel corso della vita di un endpoint.
Tenere presente quanto segue:
**Zone di disponibilità multiple**
Consigliamo di specificare indirizzi IP in almeno due zone di disponibilità. È anche possibile specificare ulteriori indirizzi IP in quelle o in altre zone di disponibilità.
**Indirizzi IP e interfacce di rete elastiche di Amazon VPC **
Per ogni combinazione di zona di disponibilità, sottorete e indirizzo IP specificata, VPC Resolver crea un'interfaccia di rete elastica Amazon VPC. Per quanto riguarda il numero massimo di query DNS al secondo per ogni indirizzo IP in un endpoint, consulta [Quote sul Resolver VPC Route 53](DNSLimitations.md#limits-api-entities-resolver). Per informazioni sui prezzi per ogni interfaccia di rete elastica, consulta "Amazon Route 53" nella [Pagina dei prezzi di Amazon Route 53](https://aws.amazon.com/route53/pricing/).
**Ordine degli indirizzi IP**
È possibile specificare gli indirizzi IP in qualsiasi ordine. Quando inoltra le query DNS, VPC Resolver non sceglie gli indirizzi IP in base all'ordine in cui sono elencati gli indirizzi IP.
Per ogni indirizzo IP, specifica i seguenti valori. Ogni indirizzo IP deve trovarsi in una zona di disponibilità del VPC specificato in **VPC in the *region-name* Region (VPC nella regione region-name)**.
**Zona di disponibilità**
La zona di disponibilità nella quale desideri che le query DNS passino in direzione della rete. La zona di disponibilità specificata deve essere configurata con una sottorete.
**Sottorete**
La sottorete contenente l'indirizzo IP dal quale desideri provengano le query DNS verso la rete. La sottorete deve avere a disposizione un indirizzo IP.
L'indirizzo IP della sottorete deve corrispondere al **Tipo di endpoint**.
**IP address (Indirizzo IP)**
L'indirizzo IP dal quale desideri provengano le query DNS verso la rete.
Scegli se vuoi che VPC Resolver scelga un indirizzo IP per te tra gli indirizzi IP disponibili nella sottorete specificata o se desideri specificare tu stesso l'indirizzo IP.
Se scegli di specificare tu stesso l'indirizzo IP, inserisci un IPv6 indirizzo IPv4 o entrambi.
**Protocolli**
Il protocollo dell'endpoint determina il modo in cui i dati vengono trasmessi dall'endpoint in uscita. Scegliete uno o più protocolli, a seconda del livello di sicurezza necessario.
+ **Do53:** (impostazione predefinita) I dati vengono inoltrati utilizzando il VPC Resolver Route 53 senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, è possibile visualizzarli all'interno delle reti AWS .
+ **DoH:** i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.
Per un endpoint in uscita è possibile applicare i protocolli come segue:
+ Do53 e DoH in combinazione.
+ Do53 da solo.
+ DoH da solo.
+ Nessuno, il che equivale a Do53.
**Tag**
Specificare una o più chiavi e i valori corrispondenti. Ad esempio, è possibile specificare **Cost center (Centro di costo)** per **Key (Chiave)** e specificare **456** per **Value (Valore)**.
# Valori specificati durante la creazione o la modifica delle regole
Quando crei o modifichi una regola di inoltro, devi specificare i seguenti valori:
**Nome regola**
Un nome descrittivo che ti consenta di trovare facilmente una regola nel pannello di controllo.
**Tipo di regola**
Scegli il valore applicabile:
+ **Inoltra**: scegli questa opzione se desideri inoltrare query DNS per un nome di dominio specifico ai resolver sulla rete.
+ **Delega**: scegli questa opzione quando desideri delegare l'autorità per un sottodominio, ospitato in una zona ospitata privata, al tuo resolver locale (o a un risolutore VPC su un altro VPC).
+ **Sistema**: scegli questa opzione se desideri che VPC Resolver sovrascriva selettivamente il comportamento definito in una regola di inoltro. Quando crei una regola di sistema, VPC Resolver risolve le query DNS per sottodomini specifici che altrimenti verrebbero risolte dai resolver DNS sulla tua rete.
Per impostazione predefinita, le regole di inoltro valgono per un nome di dominio e per tutti i relativi sottodomini. Se vuoi inoltrare le query per un dominio a un resolver sulla rete ma non vuoi inoltrare query per alcuni sottodomini, devi creare una regola di sistema per i sottodomini. Ad esempio, se crei una regola di inoltro per esempio.com ma non vuoi inoltrare query per acme.esempio.com, devi creare una regola di sistema e specificare acme.esempio.com come nome di dominio.
**Record di delega: solo per le regole dei delegati**
Le query DNS che corrispondono a questo dominio vengono inoltrate ai resolver della rete.
Come prerequisito per una regola di delega, è necessario creare record NS nella zona ospitata privata, quando si utilizza la zona ospitata privata per la delega in uscita. Il record è: NS - Nameservers da delegare tramite l'endpoint Resolver in uscita con regola delegata. Per ulteriori informazioni, consulta [Tipo di record NS](ResourceRecordTypes.md#NSFormat).
**VPCs che usano questa regola**
VPCs Che utilizzano questa regola per inoltrare le query DNS per il nome o i nomi di dominio specificati. Puoi applicare una regola a VPCs quante ne vuoi.
**Nome di dominio: solo per la regola di inoltro**
Le query DNS per questo nome dominio vengono inoltrate agli indirizzi IP specificati in **Indirizzi IP target**. Ad esempio, puoi specificare un dominio specifico (example.com), un dominio di primo livello (com) o un punto (.) per inoltrare tutte le query DNS. Per ulteriori informazioni, consulta [In che modo VPC Resolver determina se il nome di dominio in una query corrisponde a qualche regola](resolver-overview-forward-vpc-to-network-domain-name-matches.md).
**Endpoint in uscita**
**VPC Resolver inoltra le query DNS tramite l'endpoint in uscita specificato qui agli indirizzi IP specificati negli indirizzi IP di destinazione.**
**Indirizzi IP target**
Quando una query DNS corrisponde al nome specificato in **Domain name (Nome dominio)**, l'endpoint in uscita inoltra la query agli indirizzi IP che specifichi qui. In genere questi sono gli indirizzi IP dei resolver DNS sulla rete.
**Target IP addresses (Indirizzi IP target)** è disponibile solo quando il valore di **Rule type (Tipo regola)** è **Forward (Inoltro)**.
IPv4 Specificate IPv6 gli indirizzi e i protocolli che desiderate utilizzare per l'endpoint ServerNameIndication . ServerNameIndication è applicabile solo quando il protocollo selezionato è DoH.
La risoluzione dell'indirizzo IP di destinazione del nome di dominio completo di un resolver DoH sulla rete tramite l'endpoint in uscita non è supportata. Gli endpoint in uscita necessitano dell'indirizzo IP di destinazione del resolver DoH sulla rete a cui inoltrare le query DoH. Se il resolver DoH sulla rete richiede l'FQDN nell'SNI TLS e nell'intestazione HTTP Host, deve essere fornito. ServerNameIndication
**ServerNameIndication**
L'indicazione del nome del server DoH a cui si desidera inoltrare le interrogazioni. Viene utilizzata solo se il protocollo è DoH.
**Tag**
Specificare una o più chiavi e i valori corrispondenti. Ad esempio, è possibile specificare **Cost center (Centro di costo)** per **Key (Chiave)** e specificare **456** per **Value (Valore)**.
Questi sono i tag che Gestione dei costi e fatturazione AWS consentono di organizzare la AWS bolletta. Per ulteriori informazioni sull'utilizzo dei tag per l'allocazione dei costi, consulta [Uso dei tag per l'allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *Guida per l'utente di AWS Billing *.
# Gestione degli endpoint in uscita
Per gestire gli endpoint in uscita, esegui la procedura applicabile.
**Topics**
+ [Visualizzazione e modifica degli endpoint in uscita](#resolver-forwarding-outbound-queries-managing-viewing)
+ [Visualizzazione dello stato degli endpoint in uscita](#resolver-forwarding-outbound-queries-managing-viewing-status)
+ [Eliminazione degli endpoint in uscita](#resolver-forwarding-outbound-queries-managing-deleting)
## Visualizzazione e modifica degli endpoint in uscita
Per visualizzare e modificare le impostazioni di un endpoint in uscita, procedi nel seguente modo.
**Per visualizzare e modificare le impostazioni di un endpoint in uscita.**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Nel riquadro di navigazione, seleziona **Outbound endpoints (Endpoint in uscita)**.
1. Nella barra di navigazione, selezionare la regione dove è stato creato l'endpoint in uscita.
1. Scegliere l'opzione per l'endpoint di cui si desidera visualizzare o modificare le impostazioni.
1. Scegliere **View details (Visualizza dettagli)** o **Edit (Modifica)**.
Per informazioni sui valori per gli endpoint in uscita, consulta [Valori specificati durante la creazione o la modifica degli endpoint in uscita](resolver-forwarding-outbound-queries-endpoint-values.md).
1. Se si sceglie **Edit (Modifica)**, immettere i valori applicabili, quindi selezionare **Save (Salva)**.
## Visualizzazione dello stato degli endpoint in uscita
Per visualizzare lo stato di un endpoint in uscita, eseguire la procedura seguente.
**Per visualizzare lo stato di un endpoint in uscita**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Nel riquadro di navigazione, seleziona **Outbound endpoints (Endpoint in uscita)**.
1. Nella barra di navigazione, selezionare la regione dove è stato creato l'endpoint in uscita. La colonna **Status (Stato)** contiene uno dei seguenti valori:
**Creazione in corso**
VPC Resolver sta creando e configurando una o più interfacce di rete Amazon VPC per questo endpoint.
**Operational**
Le interfacce di rete Amazon VPC per questo endpoint sono configurate correttamente e sono in grado di passare query DNS in entrata o in uscita tra la rete e VPC Resolver.
**Aggiornamento in corso**
VPC Resolver associa o dissocia una o più interfacce di rete con questo endpoint.
**Auto recovering**
VPC Resolver sta tentando di ripristinare una o più interfacce di rete associate a questo endpoint. Durante il processo di ripristino, l'endpoint funziona con capacità limitata a causa del limite del numero di query DNS per indirizzo IP (per interfaccia di rete). Per il limite corrente, consulta [Quote sul Resolver VPC Route 53](DNSLimitations.md#limits-api-entities-resolver).
**Action needed**
Questo endpoint non è integro e VPC Resolver non è in grado di ripristinarlo automaticamente. Per risolvere il problema, si consiglia di verificare ciascun indirizzo IP associato all’endpoint. Per ogni indirizzo IP non disponibile, aggiungere un altro indirizzo IP e quindi eliminare l’indirizzo IP non disponibile. (Un endpoint deve sempre includere almeno due indirizzi IP). Un stato di **Action needed (Operazione necessaria)** può avere una serie di cause. Ecco due cause comuni:
+ Una o più interfacce di rete associate con l’endpoint sono state eliminate tramite Amazon VPC.
+ Non è stato possibile creare l’interfaccia di rete per motivi al di fuori del controllo di VPC Resolver.
**Eliminazione in corso**
VPC Resolver sta eliminando questo endpoint e le interfacce di rete associate.
## Eliminazione degli endpoint in uscita
Prima di poter eliminare un endpoint, devi prima eliminare tutte le regole associate a un VPC.
Per eliminare un endpoint in uscita, procedi nel seguente modo.
**Importante**
Se elimini un endpoint in uscita, VPC Resolver interrompe l'inoltro delle query DNS dal tuo VPC alla rete per le regole che specificano l'endpoint in uscita eliminato.
**Per eliminare un endpoint in uscita**
1. Accedi e apri la console Route 53 all'indirizzo. Console di gestione AWS [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel riquadro di navigazione, seleziona **Outbound endpoints (Endpoint in uscita)**.
1. Nella barra di navigazione, selezionare la regione dove è stato creato l'endpoint in uscita.
1. Selezionare l'opzione per l'endpoint che si desidera eliminare.
1. Scegli **Elimina**.
1. Per confermare che si desidera eliminare l'endpoint, immettere il nome dell'endpoint, quindi scegliere **Submit (Invia)**.
# Gestione delle regole di inoltro
Se desideri che VPC Resolver inoltri le query per nomi di dominio specifici alla tua rete, crei una regola di inoltro per ogni nome di dominio e specifichi il nome del dominio per il quale desideri inoltrare le query.
**Topics**
+ [Visualizzazione e modifica delle regole di inoltro](#resolver-rules-managing-viewing)
+ [Creazione delle regole di inoltro](#resolver-rules-managing-creating-rules)
+ [Aggiunta di regole per la ricerca inversa](#add-reverse-lookup)
+ [Associazione di regole di inoltro a un VPC](#resolver-rules-managing-associating-rules)
+ [Rimozione dell’associazione di regole di inoltro da un VPC](#resolver-rules-managing-disassociating-rules)
+ [Condivisione delle regole del Resolver con altri AWS account e utilizzo di regole condivise](#resolver-rules-managing-sharing)
+ [Eliminazione delle regole di inoltro](#resolver-rules-managing-deleting)
+ [Regole di inoltro per le query DNS inverse in VPC Resolver](#resolver-automatic-forwarding-rules-reverse-dns)
## Visualizzazione e modifica delle regole di inoltro
Per visualizzare e modificare le impostazioni di una regola di inoltro, procedi nel seguente modo.
**Per visualizzare e modificare le impostazioni di una regola di inoltro**
1. Accedi e apri la console Route 53 all' Console di gestione AWS indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel riquadro di navigazione, scegli **Regole**.
1. Nella barra di navigazione, selezionare la regione dove è stata creata la regola.
1. Scegliere l'opzione per la regola di cui si desidera visualizzare o modificare le impostazioni.
1. Scegliere **View details (Visualizza dettagli)** o **Edit (Modifica)**.
Per informazioni sui valori per le regole di inoltro, consulta [Valori specificati durante la creazione o la modifica delle regole](resolver-forwarding-outbound-queries-rule-values.md).
1. Se si sceglie **Edit (Modifica)**, immettere i valori applicabili, quindi selezionare **Save (Salva)**.
## Creazione delle regole di inoltro
Per creare una o più regole di inoltro, procedere nel seguente modo.
**Per creare regole di inoltro e associarle a una o più regole VPCs**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel pannello di navigazione, scegli **Rules (Regole)**.
1. Nella barra di navigazione, scegli la regione dove hai creato la regola.
1. Scegli **Create rule (Crea regola)**.
1. Immetti i valori applicabili. Per ulteriori informazioni, consulta [Valori specificati durante la creazione o la modifica delle regole](resolver-forwarding-outbound-queries-rule-values.md).
1. Seleziona **Save (Salva**.
1. Per aggiungere un'altra regola, ripetere le fasi da 4 a 6.
## Aggiunta di regole per la ricerca inversa
Se è necessario controllare le ricerche inverse nel VPC, è possibile aggiungere regole all'endpoint del resolver in uscita.
**Come creare la regola di ricerca inversa**
1. Segui le fasi descritte nella procedura precedente, fino alla fase 5.
1. Quando specifichi la regola, specifica il record PTR per l'indirizzo o gli indirizzi IP per i quali desideri una regola di inoltro di ricerca inversa.
Ad esempio, se è necessario inoltrare ricerche per indirizzi nell'intervallo 10.0.0.0/23, specifica due regole:
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
Qualsiasi indirizzo IP in tali sottoreti verrà considerato come sottodominio di tali registri PTR. Ad esempio, 10.0.1.161 avrà un indirizzo di ricerca inversa 161.1.0.10.in-addr.apra, che è un sottodominio di 1.0.10.in-addra.apra.
1. Specifica il server a cui inoltrare queste ricerche.
1. Aggiungi queste regole all'endpoint del resolver in uscita.
Tieni presente che l'attivazione di `enableDNSHostNames` per il VPC aggiunge automaticamente i record PTR. Per informazioni, consulta [Cos'è Route 53 VPC Resolver?](resolver.md). La procedura precedente è necessaria solo se si desidera specificare esplicitamente un resolver per determinati intervalli IP, ad esempio quando si inoltrano query a un server Active Directory.
## Associazione di regole di inoltro a un VPC
Dopo aver creato una regola di inoltro, devi associarla a una o più regole. VPCs Le regole saranno valide solo dopo essere state associate a un VPC. Quando associ una regola a un VPC, VPC Resolver inizia a inoltrare le query DNS per il nome di dominio specificato nella regola ai resolver DNS specificati nella regola. Le query passano per l'endpoint in uscita specificato al momento della creazione della regola.
**Per associare una regola di inoltro a una o più VPCs**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel riquadro di navigazione, scegli **Regole**.
1. Nella barra di navigazione, selezionare la regione dove è stata creata la regola.
1. Scegli il nome della regola che desideri associare a una o più regole VPCs.
1. Scegli **Associa VPC**.
1. In base VPCs a **questa regola**, scegli la regola a VPCs cui desideri associare la regola.
1. Scegliere **Aggiungi**.
## Rimozione dell’associazione di regole di inoltro da un VPC
Viene rimossa l'associazione di una regola di inoltro da un VPC nei seguenti casi:
+ Per le query DNS che hanno origine in questo VPC, desideri che VPC Resolver interrompa l'inoltro delle query per il nome di dominio specificato nella regola alla tua rete.
+ Vuoi eliminare la regola di inoltro. Se una regola è attualmente associata a una o più regole VPCs, è necessario dissociarla da tutte prima di poterla eliminare. VPCs
Se si desidera dissociare una regola di inoltro da una o più regole VPCs, eseguire la procedura seguente.
**Per rimuovere l'associazione di una regola di inoltro da un VPC**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel riquadro di navigazione, scegli **Regole**.
1. Nella barra di navigazione, selezionare la regione dove è stata creata la regola.
1. Scegli il nome della regola da cui desideri dissociare da una o più VPCs regole.
1. Scegliere l'opzione per il VPC da cui si desidera annullare l'associazione della regola.
1. Scegli **Dissocia**.
1. Digitare **disassociate (annulla associazione)** per confermare.
1. Seleziona **Invia**.
## Condivisione delle regole del Resolver con altri AWS account e utilizzo di regole condivise
Puoi condividere le regole Resolver che hai creato utilizzando un AWS account con altri account. AWS Per condividere le regole, la console Route 53 VPC Resolver si integra con Resource Access Manager. AWS Per ulteriori informazioni su Resource Access Manager, consulta la [Guida per l'utente a Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Tenere presente quanto segue:
**Associazione di regole condivise con VPCs**
Se un altro AWS account ha condiviso una o più regole con il tuo account, puoi associare le regole VPCs allo stesso modo in cui associ le regole che hai creato al tuo VPCs. Per ulteriori informazioni, consulta [Associazione di regole di inoltro a un VPC](#resolver-rules-managing-associating-rules).
**Eliminazione di una regola o rimozione della condivisione**
Se condividi una regola con altri account e poi elimini la regola o interrompi la condivisione e se la regola era associata a uno o più VPCs, Route 53 VPC Resolver inizia a elaborare le query DNS per quelle VPCs in base alle regole rimanenti. Il comportamento è la stesso di quando si rimuove l'associazione della regola dal VPC.
Se una regola viene condivisa con un'unità organizzativa (OU) e un account nell'unità organizzativa viene spostato in un'altra OU, tutte le associazioni con la regola condivisa a qualsiasi VPC nell'account verranno eliminate. Tuttavia, se la regola VPC Resolver era già condivisa con l'unità organizzativa di destinazione, l'associazione VPC rimarrà intatta e non verrà dissociata.
**Numero massimo di regole e associazioni**
Quando un account crea una regola e la condivide con uno o più altri account, il numero massimo di regole per AWS regione si applica all'account che ha creato la regola.
Quando un account con cui è condivisa una regola associa la regola a uno o più VPCs, il numero massimo di associazioni tra le regole e VPCs per regione si applica all'account con cui la regola è condivisa.
Per le quote correnti di VPC Resolver, vedere. [Quote sul Resolver VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)
**Permissions**
Per condividere una regola con un altro AWS account, è necessario disporre dell'autorizzazione per utilizzare l'azione. [PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html)
**Restrizioni sull' AWS account con cui è condivisa una regola**
L'account con cui si condivide una regola non può modificare né eliminare la regola.
**Assegnazione di tag**
Solo l'account che ha creato una regola può aggiungere, eliminare o visualizzare i tag della regola.
Per visualizzare lo stato di condivisione corrente di una regola (incluso l'account che ha condiviso la regola o l'account con cui la regola è condivisa) e per condividere regole con un altro account, procedi nel seguente modo.
**Per visualizzare lo stato di condivisione e le regole di condivisione con un altro AWS account**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Nel riquadro di navigazione, scegli **Regole**.
1. Nella barra di navigazione, selezionare la regione dove è stata creata la regola.
La colonna **Sharing status (Stato condivisione)** mostra l'attuale stato delle regole create dall'account attuale o condivise con l'account attuale.
+ **Non condivisa**: l' AWS account corrente ha creato la regola e la regola non è condivisa con altri account.
+ **Condivisa da me**: l'attuale account ha creato la regola e l'ha condivisa con uno o più account.
+ **Condivisa con me**: un altro account ha creato la regola e l'ha condivisa con l'account attuale.
1. Scegliere il nome della regola di cui si desidera visualizzare le informazioni di condivisione o che si desidera condividere con un altro account.
Nella *rule name* pagina **Regola:**, il valore in **Proprietario** mostra l'ID dell'account che ha creato la regola. Questo è l'account attuale, a meno che il valore di **Sharing status (Stato di condivisione)** non sia **Shared with me (Condivisa con me)**. In questo caso, il **Owner (Proprietario)** è l'account che ha creato la regola e l'ha condivisa con l'account attuale.
1. Selezionare **Share (Condividi)** per visualizzare ulteriori informazioni o per condividere la regola con un altro account. Viene visualizzata una pagina nella console Resource Access Manager, a seconda del valore di **Sharing status (Stato di condivisione)**:
+ **Non condivisa**: viene visualizzata la pagina **Create resource share (Crea condivisione risorsa)**. Per ulteriori informazioni su come condividere la regola con un altro account, UO o organizzazione, passa alla fase 6.
+ **Condivisa da me**: la pagina **Shared resources (Risorse condivise)** mostra le regole e le altre risorse di proprietà dell'account attuale e condivise con altri account.
+ **Condivisa con me**: la pagina **Shared resources (Risorse condivise)** mostra le regole e le altre risorse di proprietà di altri account e condivise con l'account attuale.
1. Per condividere una regola con un altro AWS account, unità organizzativa o organizzazione, specifica i seguenti valori.
**Nota**
Non è possibile aggiornare le impostazioni di condivisione. Se vuoi modificare una delle seguenti impostazioni, devi ricondividere una regola con le nuove impostazioni e rimuovere le precedenti impostazioni di condivisione.
**Description**
Inserisci una breve descrizione che ti aiuta a ricordare perché hai condiviso la regola.
**Resources**
Seleziona la casella di controllo per la regola che vuoi condividere.
**Principali**
Immettere il numero di AWS account, il nome dell'unità organizzativa o il nome dell'organizzazione.
**Tag**
Specificare una o più chiavi e i valori corrispondenti. Ad esempio, è possibile specificare **Cost center (Centro di costo)** per **Key (Chiave)** e specificare **456** per **Value (Valore)**.
Questi sono i tag che Gestione dei costi e fatturazione AWS consentono di organizzare la AWS fattura; è possibile utilizzare anche i tag per altri scopi. Per ulteriori informazioni sull'utilizzo dei tag per l'allocazione dei costi, consulta [Uso dei tag per l'allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *Guida per l'utente di AWS Billing *.
## Eliminazione delle regole di inoltro
Per eliminare una regola di inoltro, procedi nel seguente modo.
Tenere presente quanto segue:
+ Se la regola di inoltro è associata a una regola VPCs, è necessario dissociarla dalla regola VPCs prima di poter eliminare la regola. Per ulteriori informazioni, consulta [Rimozione dell’associazione di regole di inoltro da un VPC](#resolver-rules-managing-disassociating-rules).
+ Non è possibile eliminare la regola predefinita **Internet Resolver** che ha un valore **Recursive (Ricorsivo)** per **Type (Tipo)**. Questa regola fa sì che Route 53 VPC Resolver agisca come resolver ricorsivo per tutti i nomi di dominio per i quali non hai creato regole personalizzate e per cui VPC Resolver non ha creato regole autodefinite. Per ulteriori informazioni su come sono classificate le regole, consulta [Utilizzo di regole per controllare quali query vengono inoltrate alla rete](resolver-overview-forward-vpc-to-network-using-rules.md).
**Per eliminare una regola di inoltro**
1. Accedi e apri la console Route 53 all'indirizzo. Console di gestione AWS [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel riquadro di navigazione, scegli **Regole**.
1. Nella barra di navigazione, selezionare la regione dove è stata creata la regola.
1. Selezionare l'opzione per la regola che si desidera eliminare.
1. Scegli **Elimina**.
1. Per confermare che si desidera eliminare la regola, immettere il nome della regola e scegliere **Submit (Invia)**.
## Regole di inoltro per le query DNS inverse in VPC Resolver
Quando `enableDnsSupport` sono impostate `enableDnsHostnames` le impostazioni `true` per un cloud privato virtuale (VPC) da Amazon VPC, VPC Resolver crea automaticamente regole di sistema definite automaticamente per le query DNS inverse. Per ulteriori informazioni su queste impostazioni, consulta [Attributi DNS nel VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) nella *Guida per gli sviluppatori di Amazon VPC*.
Le regole di inoltro per le query DNS inverse sono particolarmente utili per servizi come SSH o Active Directory, che hanno la possibilità di autenticare gli utenti eseguendo una ricerca DNS inversa per l'indirizzo IP da cui un cliente sta tentando di connettersi a una risorsa. Per ulteriori informazioni sulle regole di sistema definite automaticamente, consulta [Nomi di dominio per i quali VPC Resolver crea regole di sistema autodefinite](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
È possibile disattivare queste regole e modificare tutte le query DNS inverse in modo che vengano, ad esempio, inoltrate ai server dei nomi locali per la risoluzione.
Dopo aver disattivato le regole automatiche, crea regole per inoltrare le query secondo necessità alle risorse locali. Per ulteriori informazioni su come gestire le regole di inoltro, consulta [Gestione delle regole di inoltro](#resolver-rules-managing).
**Per disattivare le regole definite automaticamente**
1. Accedi e apri la console Route 53 all'indirizzo. Console di gestione AWS [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel pannello di navigazione, in **VPC Resolver scegli **VPCs**, quindi** scegli un ID VPC.
1. In **Regole autodefinite per la risoluzione DNS inversa**, deselezionare la casella di controllo. Se la casella di controllo è già deselezionata, è possibile selezionarla per attivare la risoluzione DNS inversa definita automaticamente.
Per informazioni correlate APIs, consulta la configurazione di [VPC Resolver](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration). APIs
# Tutorial sulle regole di delega del Resolver
La regola di delega consente al VPC Resolver di raggiungere i name server che ospitano la zona delegata tramite l'endpoint in uscita specificato. Mentre la regola di inoltro informa il VPC Resolver di inoltrare le query DNS ai name server che corrispondono al dominio specificato tramite l'endpoint in uscita, la regola di delega informa VPC Resolver di raggiungere i name server delegati tramite l'endpoint in uscita specificato quando vengono restituiti i record NS delegati. VPC Resolver invia una query ai name server delegati quando i record NS nella risposta DNS corrispondono al nome di dominio specificato nel record di delega.
## Passaggi per utilizzare la delega in uscita dell'endpoint Resolver
1. Crea un endpoint Resolver in uscita nel VPC da cui desideri che le query DNS provengano verso i resolver della tua rete.
Puoi utilizzare la seguente API o il comando CLI:
+ [API di `CreateResolverEndpoint`](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html)
+ [CLI `create-resolver-endpoint`](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
1. Create una o più regole di delega, che specificano i nomi di dominio per i quali le query devono essere delegate alla rete tramite l'endpoint in uscita specificato.
Esempio di creazione di regole di delega con CLI:
```
aws route53resolver create-resolver-rule \
--region REGION \
--creator-request-id delegateruletest \
--delegation-record example.com \
--name delegateruletest \
--rule-type DELEGATE \
--resolver-endpoint-id outbound endpoint ID
```
1. Associate la regola di delega a quella VPCs per cui desiderate che le interrogazioni vengano delegate.
Puoi utilizzare la seguente API o il comando CLI:
+ [AssociateResolverRule](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_AssociateResolverRule.html)API.
+ [associate-resolver-rules](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/associate-resolver-rule.html)Comando CLI.
## Tipi di delega supportati dall'endpoint in uscita Resolver
VPC Resolver supporta due tipi di delega in uscita:
+ Indirizza 53 dalla zona ospitata privata alla delegazione in uscita di VPC Resolver:
Delega un sottodominio da una zona ospitata privata a un server DNS locale o a una zona ospitata pubblica su Internet utilizzando la delega in uscita. Questa delega in uscita consente di suddividere la gestione dei record DNS tra la zona ospitata privata e la zona delegata. La delega può essere effettuata con o senza colla record nella zona ospitata privata in base alla configurazione DNS. Per ulteriori informazioni, vedere. [Da zona ospitata privata a zona in uscita](#phz-to-outbound-delegation)
+ Delega da uscita a uscita da VPC Resolver:
Delega un sottodominio dal server DNS locale a un altro server locale in una posizione uguale o diversa utilizzando la delega in uscita a quella in uscita. È simile alla delega da una zona ospitata privata a un endpoint in uscita, in cui è possibile delegare una zona ospitata sul server dei nomi locale. Per ulteriori informazioni, consulta [Da uscita a uscita](#outbound-to-outbound-delegation).
### Esempio di configurazione della delega in uscita di Route 53 dalla zona ospitata privata a VPC Resolver
Supponiamo una configurazione DNS in cui la zona ospitata principale sia ospitata in una zona ospitata privata Route 53 in un Amazon VPC e i sottodomini vengano delegati ai name server ospitati in Europa, Asia e Nord America. Tutte le query DNS vengono passate attraverso il VPC Resolver.
Segui i passaggi di esempio per configurare la tua zona ospitata privata e il VPC Resolver.
**Configura la zona ospitata privata per la delega in uscita**
1. Per la configurazione della zona ospitata privata:
Zona ospitata dai genitori: `hr.example.com`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
```
1. Per il name server locale nell'area locale europea:
+ Zona ospitata: IP `eu.hr.example.com` NS: `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. Per il name server locale nella regione locale dell'Asia:
Zona ospitata:, `apac.hr.example.com` `10.0.0.40`
Il name server apac può delegare il sottodominio ad altri name server.
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
Zona ospitata:, `engineering.apac.hr.example.com` `10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. Per il name server locale nell'area locale del Nord America:
Zona ospitata: IP `na.hr.example.net` NS: `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**Configurazione VPC Resolver**
+ Per il VPC Resolver devi impostare una regola di inoltro e due regole di delega:
**Regola avanzata**
1. Per inoltrare il record di out-of-zone delega, in modo che il Route 53 VPC Resolver conosca l'IP del NS delegato per inoltrare la richiesta iniziale.
`hr.example.net`nome-dominio: target-ips: `10.0.0.50`
**Regole di delega**
1. Regola di delega per la delega in zona:
registrazione della delega: `hr.example.com`
1. Regola di delega per la delega fuori zona:
registrazione della delega: `hr.example.net`
### Esempio di configurazione della delega da uscita a quella in uscita
Invece di avere la zona ospitata principale in un Amazon VPC, ipotizziamo una configurazione DNS in cui la zona ospitata principale si trova nella posizione centrale locale e i sottodomini vengono delegati ai name server ospitati in Europa, Asia e Nord America. Tutte le query DNS vengono passate attraverso il VPC Resolver.
Segui i passaggi di esempio per configurare il tuo DNS locale e il VPC Resolver.
**Configura il DNS locale**
1. Per il name server locale nell'area centrale locale:
+ **Zona ospitata principale:** `hr.example.com`
Zona ospitata`hr.example.com`, IP NS: `10.0.0.20`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
```
1. Per il name server locale nell'area locale Europa (la configurazione per i name server di nome Europa, Asia e Nord America è la stessa della zona ospitata privata con delega in uscita):
+ Zona ospitata: IP NS: `eu.hr.example.com` `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. Per il name server locale nella regione locale dell'Asia:
Zona ospitata:, `apac.hr.example.com` `10.0.0.40`
Il name server apac può delegare il sottodominio ad altri name server.
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
Zona ospitata:, `engineering.apac.hr.example.com` `10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. Per il name server locale nell'area locale del Nord America:
Zona ospitata: IP `na.hr.example.net` NS: `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**Configurazione VPC Resolver**
+ Per il VPC Resolver devi impostare regole di inoltro e regole di delega:
**Regole di inoltro**
1. Per inoltrare la richiesta iniziale in modo che le richieste vengano inoltrate alla zona `hr.example.com` ospitata principale nella posizione centrale:
nome `hr.example.com` di dominio: target-ips: `10.0.0.20`
1. Per inoltrare il record di out-of-zone delega, in modo che il VPC Resolver conosca l'indirizzo IP del name server delegato per inoltrare la richiesta iniziale:
nome-dominio: target-ips: `hr.example.net` `10.0.0.50`
**Regole di delega**
1. Regola di delega per la delega in zona:
record di delega: `hr.example.com`
1. Regola di delega per la delega fuori zona:
verbale della delegazione: `hr.example.net`
# Abilitazione della convalida DNSSEC in Amazon Route 53
Quando abiliti la convalida DNSSEC per un Virtual Private Cloud (VPC) in Amazon Route 53 Resolver, le firme DNSSEC vengono controllate crittograficamente per garantire che la risposta non sia stata manomessa. È possibile abilitare la convalida DNSSEC nella pagina dei dettagli del VPC.
La convalida DNSSEC viene applicata da VPC Resolver ai nomi pubblici con firma quando esegue una risoluzione DNS ricorsiva.
Tuttavia, se il VPC Resolver esegue l'inoltro a un altro resolver DNS, tale resolver esegue una risoluzione DNS ricorsiva e, pertanto, deve applicare anche la convalida DNSSEC.
**Importante**
L'abilitazione della convalida DNSSEC può influire sulla risoluzione DNS per i record DNS pubblici dalle risorse AWS in un VPC, che potrebbe causare un'interruzione. L'attivazione o la disattivazione della convalida DNSSEC può richiedere alcuni minuti.
**Nota**
Al momento, il Route 53 VPC Resolver nel VPC (noto anche come AmazonProvided DNS) ignora il bit di intestazione EDNS DO (DNSSEC OK) e il bit CD (Checking Disabled) nella query DNS. Se hai configurato DNSSEC, ciò significa che, sebbene il VPC Resolver esegua la convalida DNSSEC, non restituisce record DNSSEC né imposta il bit AD nella risposta. Pertanto, l'esecuzione della propria convalida DNSSEC non è attualmente supportata dal VPC Resolver. Se ne hai bisogno, dovrai eseguire la tua risoluzione DNS ricorsiva.
**Come abilitare la convalida DNSSEC per un VPC**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Nel pannello di navigazione, in **VPC Resolver**, scegli. **VPCs**
1. In **Convalida DNSSEC**, seleziona la casella di controllo. Se la casella di controllo è già selezionata, puoi deselezionarla e disabilitare la convalida DNSSEC.
L'attivazione o la disattivazione della convalida DNSSEC può richiedere alcuni minuti.