Encaminhando DNS consultas externas para sua rede - Amazon Route 53
Configurar o encaminhamento de saídaValores especificados ao criar ou editar endpoints de saídaValores especificados ao criar ou editar regras

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Encaminhando DNS consultas externas para sua rede

Para encaminhar DNS consultas originadas em uma ou mais EC2 instâncias da Amazon VPCs para sua rede, você cria um endpoint de saída e uma ou mais regras:

Endpoint de saída

Para encaminhar DNS consultas de você VPCs para sua rede, você cria um endpoint de saída. Um endpoint de saída especifica os endereços IP dos quais as consultas se originam. Esses endereços IP, que você escolhe entre o intervalo de endereços IP disponíveis para vocêVPC, não são endereços IP públicos. Isso significa que, para cada endpoint de saída, você precisa conectá-lo VPC à sua rede usando uma AWS Direct Connect conexão, uma VPN conexão ou um gateway de tradução de endereço de rede (NAT). Observe que você pode usar o mesmo endpoint de saída para vários VPCs na mesma região ou criar vários endpoints de saída. Se você quiser que seu endpoint de saída seja usadoDNS64, você pode habilitar o DNS64 uso da Amazon Virtual Private Cloud. Para obter mais informações, consulte DNS64e NAT64 no Guia do VPC usuário da Amazon.

O IP de destino da regra do Route 53 Resolver é escolhido aleatoriamente pelo Resolver e não há preferência por um determinado IP de destino a qualquer outro. Se um IP de destino não responder à DNS solicitação encaminhada, o Resolvedor tentará novamente acessar um endereço IP aleatório entre o destino. IPs

Certifique-se de que todos os endereços IP de destino possam ser acessados a partir dos endpoints do Resolver. Se o Resolver não conseguir encaminhar DNS consultas de saída para nenhum IP de destino, isso poderá levar a tempos de DNS resolução estendidos.

Regras

Para especificar os nomes de domínio das consultas que você deseja encaminhar aos DNS resolvedores em sua rede, crie uma ou mais regras. Cada regra especifica um nome de domínio. Em seguida, você VPCs associa regras às quais deseja encaminhar consultas para sua rede.

Para obter mais informações, consulte os tópicos a seguir.

Configurar o encaminhamento de saída

Para configurar o Resolver para encaminhar DNS consultas originadas em você VPC para sua rede, execute os procedimentos a seguir.

Importante

Depois de criar um endpoint de saída, você deve criar uma ou mais regras e associá-las a uma ou mais. VPCs As regras especificam os nomes de domínio DNS das consultas que você deseja encaminhar para sua rede.

Para criar um endpoint de saída

  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Outbound endpoints (Endpoints de saída).

  3. Na barra de navegação, escolha a Região onde deseja criar um endpoint de saída.

  4. Escolha Create outbound endpoint (Criar endpoint de saída).

  5. Insira os valores aplicáveis. Para obter mais informações, consulte Valores especificados ao criar ou editar endpoints de saída.

  6. Escolha Criar.

    nota

    A criação de um endpoint de saída leva um ou dois minutos. Não é possível criar outro endpoint de saída antes que o primeiro seja criado.

  7. Crie uma ou mais regras para especificar os nomes de domínio das DNS consultas que você deseja encaminhar para sua rede. Para obter mais informações, consulte o próximo procedimento.

Para criar uma ou mais regras de encaminhamento, execute o procedimento a seguir.

Para criar regras de encaminhamento e associar as regras a uma ou mais VPCs

  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Regras.

  3. Na barra de navegação, escolha a região onde você quer criar a regra.

  4. Escolha Criar regra.

  5. Insira os valores aplicáveis. Para obter mais informações, consulte Valores especificados ao criar ou editar regras.

  6. Escolha Salvar.

  7. Para adicionar outra regra, repita as etapas de 4 a 6.

Valores especificados ao criar ou editar endpoints de saída

Ao criar ou editar um endpoint de saída, especifique os seguintes valores:

ID do Outpost

Se você estiver criando o endpoint para um resolvedor em um AWS Outposts VPC, esse é o AWS Outposts ID.

Nome do endpoint

Um nome amigável que permite encontrar facilmente um endpoint de saída no painel.

VPCna região com o nome da região

Todas as DNS consultas externas fluirão por isso VPC no caminho para sua rede.

Grupo de segurança para este endpoint

O ID de um ou mais grupos de segurança que você deseja usar para controlar o acesso a eleVPC. O grupo de segurança especificado deve incluir uma ou mais regras de saída. As regras de saída devem permitir TCP e UDP acessar a porta que você está usando para DNS consultas na sua rede. Não é possível alterar esse valor depois de criar um endpoint.

Algumas regras de grupo de segurança farão com que sua conexão seja rastreada e podem afetar o máximo de consultas por segundo do endpoint de saída para o servidor de nomes de destino. Para evitar rastreamento de conexão causado por um grupo de segurança, consulte Conexões não rastreadas.

Para obter mais informações, consulte Grupos de segurança para você VPC no Guia VPC do usuário da Amazon.

Tipo de endpoint

O tipo de endpoint pode ser um ou dois IPv4 endereços IPv6 IP de pilha dupla. Para um endpoint de pilha dupla, o endpoint terá um IPv6 endereço para o qual seu DNS resolvedor na rede poderá encaminhar a consulta. IPv4 DNS

nota

Por motivos de segurança, estamos negando acesso direto ao IPv6 tráfego da Internet pública para todos os endereços IP e de pilha dupla. IPv6

Endereços IP

Os endereços IP para os quais você deseja VPC que o Resolver encaminhe DNS consultas até os resolvedores em sua rede. Esses não são os endereços IP dos DNS resolvedores em sua rede; você especifica os endereços IP do resolvedor ao criar as regras que associa a um ou maisVPCs. Exigimos que você especifique um mínimo de dois endereços IP para redundância.

nota

O endpoint do Resolver tem um endereço IP privado. Esses endereços IP não mudarão ao longo da vida útil de um endpoint.

Observe o seguinte:

Várias zonas de disponibilidade

É recomendável especificar endereços IP em pelo menos duas zonas de disponibilidade. Opcionalmente, você pode especificar endereços IP adicionais nessas ou em outras zonas de disponibilidade.

Endereços IP e interfaces de rede VPC elástica da Amazon

Para cada combinação de zona de disponibilidade, sub-rede e endereço IP que você especificar, o Resolver cria uma interface de rede VPC elástica da Amazon. Para saber o número máximo atual de DNS consultas por segundo por endereço IP em um endpoint, consulte. Cotas no Route 53 Resolver Para obter informações sobre os preços de cada interface de rede elástica, consulte “Amazon Route 53”, na página de preços do Amazon Route 53.

Ordem dos endereços IP

É possível especificar endereços IP em qualquer ordem. Ao encaminhar DNS consultas, o Resolver não escolhe endereços IP com base na ordem em que os endereços IP estão listados.

Para cada endereço IP, especifique os valores a seguir. Cada endereço IP deve estar em uma zona de disponibilidade na VPC que você especificou VPCna região do nome da região.

Zona de disponibilidade

A zona de disponibilidade pela qual você deseja que DNS as consultas passem no caminho para sua rede. A zona de disponibilidade especificada deve ser configurada com uma sub-rede.

Sub-rede

A sub-rede que contém o endereço IP do qual você deseja que DNS as consultas sejam originadas no caminho para sua rede. A sub-rede deve ter um endereço IP disponível.

O endereço IP da sub-rede deve corresponder ao Tipo de endpoint.

Endereço IP

O endereço IP do qual você deseja que DNS as consultas sejam originadas no caminho para sua rede.

Decida se você quer que o Resolver escolha um endereço IP para você entre os endereços IP disponíveis na sub-rede especificada ou se quer especificar você mesmo o endereço IP.

Se você mesmo optar por especificar o endereço IP, insira um IPv6 endereço IPv4 ou ambos.

Protocolos

O protocolo do endpoint determina como os dados são transmitidos do endpoint de saída. Escolha um ou mais protocolos dependendo do nível de segurança necessário.

  • Do53: (padrão) os dados são retransmitidos usando o Route 53 Resolver sem criptografia adicional. Embora os dados não possam ser lidos por terceiros, eles podem ser visualizados nas redes da AWS .

  • DoH: Os dados são transmitidos por uma HTTPS sessão criptografada. O DoH adiciona mais um nível de segurança em que os dados não podem ser descriptografados por usuários não autorizados e não podem ser lidos por ninguém, a não ser pelo destinatário pretendido.

Para um endpoint de saída, você pode aplicar os protocolos da seguinte maneira:

  • Do53 e DoH combinados.

  • D53 sozinho.

  • DoH sozinho.

  • Nenhum, o que é tratado como Do53.

Tags

Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o Cost center (Centro de custo) para Key (Chave) e especificar 456 para Value (Valor).

Valores especificados ao criar ou editar regras

Ao criar ou editar uma regra de encaminhamento, especifique os seguintes valores:

Nome da regra

Um nome amigável que permita encontrar facilmente uma regra no painel.

Tipo de regra

Escolha o valor aplicável:

  • Encaminhar — Escolha essa opção quando quiser encaminhar DNS consultas para um nome de domínio especificado para resolvedores em sua rede.

  • System (Sistema): escolha essa opção quando quiser que o Resolver substitua seletivamente o comportamento definido em uma regra de encaminhamento. Quando você cria uma regra do sistema, o Resolver resolve DNS consultas para subdomínios específicos que, de outra forma, seriam resolvidas pelos DNS resolvedores em sua rede.

Por padrão, o encaminhamento de regras se aplica a um nome de domínio e todos os seus subdomínios. Se quiser encaminhar consultas de um domínio para um resolvedor na rede, mas não quiser encaminhar as consultas de alguns subdomínios, crie uma regra de sistema para os subdomínios. Por exemplo, se você criar uma regra de encaminhamento para exemplo.com mas não quiser encaminhar consultas para acme.exemplo.com, crie uma regra de sistema e especifique acme.exemplo.com para o nome de domínio.

VPCsque usam essa regra

Os VPCs que usam essa regra para encaminhar DNS consultas para o nome ou nomes de domínio especificados. Você pode aplicar uma regra a VPCs quantos quiser.

Nome de domínio

DNSas consultas para esse nome de domínio são encaminhadas para os endereços IP especificados em Endereços IP de destino. Para obter mais informações, consulte Como o Resolver determina se o nome do domínio em uma consulta corresponde a uma regra.

Endpoint de saída

O resolvedor encaminha DNS as consultas por meio do endpoint de saída que você especifica aqui para os endereços IP especificados em Endereços IP de destino.

Endereços IP de destino

Quando uma DNS consulta corresponde ao nome especificado em Nome do domínio, o endpoint de saída encaminha a consulta para os endereços IP especificados aqui. Normalmente, esses são os endereços IP dos DNS resolvedores em sua rede.

Target IP addresses (Endereços IP de destino) está disponível apenas quando o valor de Rule type (Tipo de regra) for Forward (Encaminhar).

Especifique IPv4 nossos IPv6 endereços, os protocolos ServerNameIndication que você deseja usar para o endpoint. ServerNameIndication é aplicável somente quando o protocolo selecionado é DoH.

A resolução do endereço IP de destino FQDN de um resolvedor DoH em sua rede pelo endpoint de saída não é suportada. Os endpoints de saída precisam do endereço IP de destino do resolvedor DoH em sua rede para encaminhar as consultas DoH. Se o resolvedor DoH em sua rede precisar do cabeçalho FQDN in the TLS SNI and in the HTTP Host, ServerNameIndication deverá ser fornecido.

ServerNameIndication

A indicação do nome de servidor do servidor DoH para o qual você deseja encaminhar as consultas. Isso só é usado se o protocolo for DoH.

Tags

Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o Cost center (Centro de custo) para Key (Chave) e especificar 456 para Value (Valor).

Essas são as etiquetas AWS Billing and Cost Management que permitem organizar sua AWS fatura. Para obter mais informações sobre como usar tags para alocação de custos, consulte Como usar tags de alocação de custo no Manual do usuário do AWS Billing .