As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Melhores práticas para o VPC Resolver
Esta seção fornece as melhores práticas para otimizar o Amazon Route 53 VPC Resolver, abordando os seguintes tópicos:
1. **Evitar configurações em loop com os endpoints do Resolver:**
+ Previna loops de roteamento certificando-se de que a mesma VPC não seja associada a uma regra do Resolver e ao endpoint de entrada dessa regra.
+ Utilize AWS RAM para compartilhar VPCs entre contas e, ao mesmo tempo, manter as configurações de roteamento adequadas.
Para obter mais informações, consulte [Evite configurações de loop com endpoints do Resolver](best-practices-resolver-endpoints.md).
1. **Escalar endpoints do Resolver:**
+ Implemente regras de grupo de segurança que permitam tráfego com base no estado da conexão para reduzir a sobrecarga de rastreamento de conexão
+ Siga as regras de grupo de segurança recomendadas para endpoints de entrada e saída do Resolver para maximizar o throughput das consultas.
+ Monitore as combinações exclusivas de endereço IP e porta que geram tráfego de DNS para evitar limitações de capacidade.
Para obter mais informações, consulte [Escalabilidade de endpoints do Resolver](best-practices-resolver-endpoint-scaling.md).
1. **Alta disponibilidade de endpoints do Resolver:**
+ Crie endpoints de entrada com endereços IP em, pelo menos, duas zonas de disponibilidade para garantir redundância.
+ Provisione interfaces de rede adicionais para garantir a disponibilidade durante a manutenção ou os picos de tráfego
Para obter mais informações, consulte [Alta disponibilidade de endpoints do Resolver](best-practices-resolver-endpoint-high-availability.md).
1. **Prevenir ataques de deslocamento de zona DNS:**
+ Fique alerta a possíveis ataques de deslocamento de zona DNS, nos quais invasores tentam recuperar todo o conteúdo de zonas DNS assinadas por DNSSEC.
+ Se seus endpoints sofrerem limitação devido à suspeita de caminhada por zona, entre em contato com o AWS Support para obter ajuda.
Para obter mais informações, consulte [Deslocamento de zona DNS](best-practices-resolver-zone-walking.md).
Seguindo essas melhores práticas, você pode otimizar o desempenho, a escalabilidade e a segurança de suas implantações do VPC Resolver, garantindo uma resolução de DNS confiável e eficiente para seus aplicativos e recursos.
# Evite configurações de loop com endpoints do Resolver
Não associe a mesma VPC a uma regra do Resolver e seu endpoint de entrada (seja um destino direto do endpoint, seja por meio de um servidor DNS on-premises). Quando o endpoint de saída em uma regra do Resolver apontar para um endpoint de entrada que compartilha uma VPC com a regra, ele pode causar um loop em que a consulta é transmitida continuamente entre os endpoints de entrada e de saída.
A regra de encaminhamento ainda pode ser associada a outras VPCs que são compartilhadas com outras contas usando AWS Resource Access Manager (AWS RAM). Zonas hospedadas privadas associadas ao hub, ou a uma VPC central, ainda serão resolvidas de consultas para endpoints de entrada porque uma regra do resolvedor de encaminhamento não altera essa resolução.
# Escalabilidade de endpoints do Resolver
Os grupos de segurança de endpoint do Resolver usam o acompanhamento da conexão para coletar informações sobre o tráfego de entrada e saída dos endpoints. Cada interface do endpoint tem um número máximo de conexões que podem ser rastreadas, e um alto volume de consultas de DNS pode exceder as conexões e causar controle de utilização e perda de consulta. O rastreamento de conexão AWSé o comportamento padrão para monitorar o estado do tráfego que flui pelos grupos de segurança (SGs). Usar o rastreamento de conexão SGs reduzirá a taxa de transferência do tráfego, no entanto, você pode implementar conexões não rastreadas para reduzir a sobrecarga e melhorar o desempenho. Para obter mais informações, consulte [Conexões não rastreadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).
Se o rastreamento de conexões for imposto por meio de regras restritivas de grupo de segurança ou se as consultas forem roteadas pelo Network Load Balancer (consulte [Conexões rastreadas automaticamente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking)), o máximo geral de consultas por segundo por endereço IP para um endpoint pode ser tão baixo quanto 1.500.
**Recomendações sobre regras de grupo de segurança de entrada e saída para o endpoint de entrada do Resolver**
****
|
|
| **Regras de entrada** |
| --- |
| Tipo de protocolo | Número da porta | IP de origem |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
| **Regras de saída** |
| --- |
| Tipo de protocolo | Número da porta | IP de destino |
| TCP | Todos | 0.0.0.0/0 |
| UDP | Todos | 0.0.0.0/0 |
**Recomendações sobre regras de grupo de segurança de entrada e saída para o endpoint de saída do Resolver**
****
|
|
| **Regras de entrada** |
| --- |
| Tipo de protocolo | Número da porta | IP de origem |
| TCP | Todos | 0.0.0.0/0 |
| UDP | Todos | 0.0.0.0/0 |
| **Regras de saída** |
| --- |
| Tipo de protocolo | Número da porta | IP de destino |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
**nota**
**Porta do grupo de segurança: requisitos necessários:**
Os **endpoints de entrada** exigem regras de entrada que permitam que o TCP e o UDP na porta 53 recebam consultas ao DNS da sua rede. Regras de saída podem permitir todas as portas, pois o endpoint pode precisar responder às consultas de várias portas de origem.
**Endpoints de saída** exigem regras de saída que permitam o acesso via TCP e UDP às portas que você está usando para consultas ao DNS na sua rede. A porta 53 é mostrada no exemplo acima porque é a porta de DNS mais comum, mas sua rede pode usar portas diferentes. Regras de entrada podem permitir que todas as portas acomodem as respostas dos seus servidores de DNS.
**Endpoints do Resolver de entrada**
Para clientes que usam um endpoint do Resolver de entrada, a capacidade da interface de rede elástica será afetada se você tiver mais de 40.000 combinações exclusivas de endereços IP e portas gerando o tráfego DNS.
# Alta disponibilidade de endpoints do Resolver
Quando você cria seus endpoints de entrada do VPC Resolver, o Route 53 exige que você crie pelo menos dois endereços IP para os quais os resolvedores de DNS da sua rede encaminharão as consultas. Também é necessário especificar o endereço IP em pelo menos duas zonas de disponibilidade para obter redundância.
Se você precisar que mais de um endpoint da interface de rede elástica esteja disponível o tempo todo, recomendamos que você crie pelo menos uma interface de rede a mais do que a necessária, para garantir que você tenha capacidade adicional disponível para lidar com possíveis picos de tráfego. A interface de rede adicional também garante a disponibilidade durante as operações de serviço, como manutenção ou atualizações.
Para obter mais informações, consulte este artigo detalhado do blog: [Como obter alta disponibilidade de DNS com endpoints Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-achieve-dns-high-availability-with-route-53-resolver-endpoints/) e. [Valores especificados ao criar ou editar endpoints de entrada](resolver-forwarding-inbound-queries-values.md)
# Deslocamento de zona DNS
Um ataque de deslocamento de zona DNS tenta obter todo o conteúdo de zonas DNS assinadas pelo DNSSEC. Se a equipe do VPC Resolver detectar um padrão de tráfego que corresponda aos gerados quando as zonas DNS são percorridas em seu endpoint, a equipe de serviço limitará o tráfego em seu endpoint. Como consequência, você pode observar uma porcentagem alta de suas consultas de DNS expirando.
Se você observar uma capacidade reduzida em seus endpoints e acreditar que o endpoint foi controlado erroneamente, acesse home\$1/ para https://console.aws.amazon.com/support/ criar um caso de suporte.