Encaminhar consultas de DNS de saída para a rede - Amazon Route 53

Encaminhar consultas de DNS de saída para a rede

Para encaminhar consultas de DNS originadas em instâncias do Amazon EC2 em uma ou mais VPCs para a rede, crie um endpoint de saída e uma ou mais regras:

Endpoint de saída

Para encaminhar consultas de DNS das VPCs para a rede, crie um endpoint de saída. Um endpoint de saída especifica os endereços IP dos quais as consultas se originam. Esses endereços IP, que você escolhe no intervalo de endereços IP disponíveis para sua VPC, não são públicos. Isso significa que, para cada endpoint de saída, é necessário conectar a VPC à sua rede usando a conexão do AWS Direct Connect, uma conexão VPC ou um gateway de Conversão de endereços de rede (NAT). Observe que é possível usar o mesmo endpoint de saída para várias VPCs na mesma região ou criar vários endpoints de saída. Se quiser que seu endpoint de saída use DNS64, habilite o DNS64 usando a Amazon Virtual Private Cloud. Para obter mais informações, consulte DNS64 e NAT64, no Guia do usuário da Amazon VPC.

O IP de destino da regra do Route 53 Resolver é escolhido aleatoriamente pelo Resolver e não há preferência por um determinado IP de destino a qualquer outro. Se um IP de destino não responder a solicitação ao DNS encaminhada, o Resolver fará nova tentativa para um endereço IP aleatório dentre os IPs de destino.

Regras

Para especificar nomes de domínio das consultas que você deseja encaminhar para os resolvedores de DNS na rede, crie uma ou mais regras. Cada regra especifica um nome de domínio. Em seguida, associe as regras às VPCs para as quais você deseja encaminhar consultas para sua rede.

Para obter mais informações, consulte os tópicos a seguir.

Configurar o encaminhamento de saída

Para configurar o Resolver a fim de encaminhar consultas de DNS originadas em sua VPC para a rede, execute os procedimentos a seguir.

Importante

Depois de criar um endpoint de saída, é necessário criar uma ou mais regras e associá-las a uma ou mais VPCs. As regras especificam os nomes de domínio das consultas de DNS que você deseja encaminhar para sua rede.

Para criar um endpoint de saída
  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Outbound endpoints (Endpoints de saída).

  3. Na barra de navegação, escolha a Região onde deseja criar um endpoint de saída.

  4. Escolha Create outbound endpoint (Criar endpoint de saída).

  5. Insira os valores aplicáveis. Para ter mais informações, consulte Valores especificados ao criar ou editar endpoints de saída.

  6. Escolha Criar.

    nota

    A criação de um endpoint de saída leva um ou dois minutos. Não é possível criar outro endpoint de saída antes que o primeiro seja criado.

  7. Crie uma ou mais regras para especificar os nomes de domínio das consultas de DNS que deseja encaminhar à sua rede. Para obter mais informações, consulte o próximo procedimento.

Para criar uma ou mais regras de encaminhamento, execute o procedimento a seguir.

Para criar regras de encaminhamento e associá-las a uma ou mais VPCs
  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Regras.

  3. Na barra de navegação, escolha a região onde você quer criar a regra.

  4. Escolha Criar Regra.

  5. Insira os valores aplicáveis. Para ter mais informações, consulte Valores especificados ao criar ou editar regras.

  6. Escolha Salvar.

  7. Para adicionar outra regra, repita as etapas de 4 a 6.

Valores especificados ao criar ou editar endpoints de saída

Ao criar ou editar um endpoint de saída, especifique os seguintes valores:

ID do Outpost

Se você estiver criando o endpoint para um Resolver em uma VPC do AWS Outposts, esse será o ID do AWS Outposts.

Nome do endpoint

Um nome amigável que permite encontrar facilmente um endpoint de saída no painel.

VPC na Região region-name

Todas as consultas de DNS de saída fluirão por esta VPC a caminho de sua rede.

Grupo de segurança para este endpoint

O ID de um ou mais grupos de segurança que deseja usar para controlar o acesso a essa VPC. O grupo de segurança especificado deve incluir uma ou mais regras de saída. As regras de saída devem permitir o acesso TCP e UDP na porta que você está usando para consultas de DNS na rede. Não é possível alterar esse valor depois de criar um endpoint.

Algumas regras de grupo de segurança farão com que sua conexão seja rastreada e podem afetar o máximo de consultas por segundo do endpoint de saída para o servidor de nomes de destino. Para evitar rastreamento de conexão causado por um grupo de segurança, consulte Conexões não rastreadas.

Para mais informações, consulte Grupos de segurança para a VPC no Guia do usuário da Amazon VPC.

Tipo de endpoint

O tipo de endpoint pode ser endereços IP IPv4, IPv6 ou de pilha dupla. Para um endpoint de pilha dupla, o endpoint terá endereços IPv4 e IPv6 para os quais o resolver de DNS na rede pode encaminhar a consulta ao DNS.

nota

Por motivos de segurança, estamos negando o acesso direto ao tráfego IPv6 à Internet pública para todos os endereços IP IPv6 e de pilha dupla.

Endereços IP

Os endereços IP da VPC para os quais você quer que o Resolver encaminhe consultas de DNS em direção dos resolvedores em sua rede. Esses não são os endereços IP dos resolvedores de DNS em sua rede. Especifique esses endereços IP de resolvedor ao criar as regras que você associa a uma ou mais VPCs. Exigimos que você especifique um mínimo de dois endereços IP para redundância.

nota

O endpoint do Resolver tem um endereço IP privado. Esses endereços IP não mudarão ao longo da vida útil de um endpoint.

Observe o seguinte:

Várias zonas de disponibilidade

É recomendável especificar endereços IP em pelo menos duas zonas de disponibilidade. Opcionalmente, você pode especificar endereços IP adicionais nessas ou em outras zonas de disponibilidade.

Endereços IP e interfaces de rede elástica da Amazon VPC

Para cada combinação de zona de disponibilidade, sub-rede e endereço IP que você especificar, o Resolver criará uma interface de rede elástica da Amazon VPC. Para saber o atual número máximo de consultas de DNS por segundo por endereço IP em um endpoint, consulte Cotas no Route 53 Resolver. Para obter informações sobre os preços de cada interface de rede elástica, consulte “Amazon Route 53”, na página de preços do Amazon Route 53.

Ordem dos endereços IP

É possível especificar endereços IP em qualquer ordem. Ao encaminhar consultas DNS, o Resolver não escolhe endereços IP com base na ordem em que os endereços IP estão listados.

Para cada endereço IP, especifique os valores a seguir. Cada endereço IP deve estar em uma zona de disponibilidade na VPC especificada em VPC na região region-name (nome da região).

Availability Zone (zona de disponibilidade)

A zona de disponibilidade pela qual você deseja que as consultas de DNS passem a caminho de sua rede. A zona de disponibilidade especificada deve ser configurada com uma sub-rede.

Sub-rede

A sub-rede que contém o endereço IP do qual você deseja que as consultas de DNS sejam originadas a caminho de sua rede. A sub-rede deve ter um endereço IP disponível.

O endereço IP da sub-rede deve corresponder ao Tipo de endpoint.

Endereço IP

O endereço IP do qual você deseja que as consultas de DNS sejam originadas a caminho de sua rede.

Decida se você quer que o Resolver escolha um endereço IP para você entre os endereços IP disponíveis na sub-rede especificada ou se quer especificar você mesmo o endereço IP.

Se decidir especificar você mesmo o endereço IP, insira um endereço IPv4 ou IPv6, ou ambos.

Protocolos

O protocolo do endpoint determina como os dados são transmitidos do endpoint de saída. Escolha um ou mais protocolos dependendo do nível de segurança necessário.

  • Do53: (padrão) os dados são retransmitidos usando o Route 53 Resolver sem criptografia adicional. Embora os dados não possam ser lidos por terceiros, eles podem ser visualizados nas redes da AWS.

  • DoH: os dados são transmitidos em uma sessão HTTPS criptografada. O DoH adiciona mais um nível de segurança em que os dados não podem ser descriptografados por usuários não autorizados e não podem ser lidos por ninguém, a não ser pelo destinatário pretendido.

Para um endpoint de saída, você pode aplicar os protocolos da seguinte maneira:

  • Do53 e DoH combinados.

  • D53 sozinho.

  • DoH sozinho.

  • Nenhum, o que é tratado como Do53.

Tags

Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o Cost center (Centro de custo) para Key (Chave) e especificar 456 para Value (Valor).

Valores especificados ao criar ou editar regras

Ao criar ou editar uma regra de encaminhamento, especifique os seguintes valores:

Nome da regra

Um nome amigável que permita encontrar facilmente uma regra no painel.

Tipo de regra

Escolha o valor aplicável:

  • Forward (Encaminhar): escolha essa opção quando quiser encaminhar consultas de DNS de um nome de domínio especificado para resolvedores em sua rede.

  • System (Sistema): escolha essa opção quando quiser que o Resolver substitua seletivamente o comportamento definido em uma regra de encaminhamento. Ao criar uma regra de sistema, o Resolver resolve consultas de DNS de subdomínios especificados que, de outra forma, seriam resolvidas por resolvedores de DNS na rede.

Por padrão, o encaminhamento de regras se aplica a um nome de domínio e todos os seus subdomínios. Se quiser encaminhar consultas de um domínio para um resolvedor na rede, mas não quiser encaminhar as consultas de alguns subdomínios, crie uma regra de sistema para os subdomínios. Por exemplo, se você criar uma regra de encaminhamento para exemplo.com mas não quiser encaminhar consultas para acme.exemplo.com, crie uma regra de sistema e especifique acme.exemplo.com para o nome de domínio.

VPCs que usam esta regra

As VPCs que usam essa regra para encaminhar consultas de DNS para o nome ou nomes de domínio especificados. É possível aplicar uma regra a quantas VPCs você quiser.

Nome de domínio

As consultas de DNS desse nome de domínio são encaminhadas para os endereços IP especificados em Target IP addresses (Endereços IP de destino). Para ter mais informações, consulte Como o Resolver determina se o nome do domínio em uma consulta corresponde a uma regra.

Endpoint de saída

O Resolver encaminha consultas de DNS pelo endpoint de saída especificado aqui aos endereços IP especificados em Target IP addresses (Endereços IP de destino).

Endereços IP de destino

Quando uma consulta de DNS corresponde ao nome especificado em Domain name (Nome do domínio), o endpoint de saída encaminha a consulta para os endereços IP especificados aqui. Normalmente, são os endereços IP dos resolvedores de DNS em sua rede.

Target IP addresses (Endereços IP de destino) está disponível apenas quando o valor de Rule type (Tipo de regra) for Forward (Encaminhar).

Especifique os endereços IPv4 ou IPv6, os protocolos e o ServerNameIndication que você deseja usar para o endpoint. ServerNameIndication só é aplicável quando o protocolo selecionado é DoH.

Resolver um endereço IP de destino do FQDN de um resolvedor DoH em sua rede pelo endpoint de saída não é compatível. Os endpoints de saída precisam do endereço IP de destino do resolvedor DoH em sua rede para encaminhar as consultas DoH. Se o resolvedor DoH em sua rede precisar de FQDN na TLS SNI e no cabeçalho de host HTTP, ServerNameIndication deverá ser fornecido.

ServerNameIndication

A indicação do nome de servidor do servidor DoH para o qual você deseja encaminhar as consultas. Isso só é usado se o protocolo for DoH.

Tags

Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o Cost center (Centro de custo) para Key (Chave) e especificar 456 para Value (Valor).

Estas são as tags que o AWS Billing and Cost Management fornece para organizar sua fatura da AWS. Para obter mais informações sobre como usar tags para alocação de custos, consulte Como usar tags de alocação de custo no Manual do usuário do AWS Billing.