Resolvendo DNS consultas entre VPCs e sua rede - Amazon Route 53
Como DNS os resolvedores em sua rede encaminham DNS consultas para os endpoints do Route 53 ResolverComo o endpoint do Route 53 Resolver encaminha DNS consultas de você para sua rede VPCsConsiderações ao criar endpoints de entrada e de saída

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Resolvendo DNS consultas entre VPCs e sua rede

O Resolver contém endpoints que você configura para responder DNS consultas de e para seu ambiente local.

nota

O encaminhamento de DNS consultas privadas para qualquer endereço VPC CIDR + 2 de seus DNS servidores locais não é suportado e pode causar resultados instáveis. Em vez disso, recomendamos o uso de um endpoint de entrada do Resolver.

Você também pode integrar a DNS resolução entre o Resolver e os DNS resolvedores em sua rede configurando regras de encaminhamento. Sua rede pode incluir qualquer rede acessível a partir da suaVPC, como a seguinte:

  • O VPC em si

  • Outro espiou VPC

  • Uma rede local conectada a AWS Direct Connect, a ou AWS a um gateway VPN de tradução (NAT) de endereço de rede

Antes de começar a encaminhar consultas, você cria pontos de extremidade de entrada e/ou saída do Resolver no conectado. VPC Esses endpoints fornecem um caminho para consultas de entrada ou saída:

Endpoint de entrada: os DNS resolvedores em sua rede podem encaminhar DNS consultas para o Route 53 Resolver por meio desse endpoint

Isso permite que seus DNS resolvedores resolvam facilmente nomes de domínio para AWS recursos como EC2 instâncias ou registros em uma zona hospedada privada do Route 53. Para obter mais informações, consulte Como DNS os resolvedores em sua rede encaminham DNS consultas para os endpoints do Route 53 Resolver.

Endpoint de saída: o Resolver encaminha condicionalmente consultas para resolvedores em sua rede por meio desse endpoint

Para encaminhar consultas selecionadas, você cria regras de resolução que especificam os nomes de domínio para DNS as consultas que você deseja encaminhar (como exemplo.com) e os endereços IP dos DNS resolvedores em sua rede para os quais você deseja encaminhar as consultas. Se uma consulta corresponder a várias regras (example.com, acme.example.com), o Resolver escolherá a regra com a correspondência mais específica (acme.example.com) e encaminhará a consulta aos endereços IP especificados nessa regra. Para obter mais informações, consulte Como o endpoint do Route 53 Resolver encaminha DNS consultas de você para sua rede VPCs.

Como a AmazonVPC, o Resolver é regional. Em cada região em que você temVPCs, você pode escolher se deseja encaminhar as consultas da sua VPCs para a sua rede (consultas de saída), da sua rede para a sua VPCs (consultas de entrada) ou ambas.

Você não pode criar endpoints do Resolver em um VPC que não seja de sua propriedade. Somente o VPC proprietário pode criar recursos VPC de nível superior, como endpoints de entrada.

nota

Ao criar um endpoint do Resolver, você não pode especificar um VPC que tenha o atributo de locação da instância definido como. dedicated Para obter mais informações, consulte Usando o Resolver em VPCs que estão configurados para locação de instâncias dedicadas.

Para usar o encaminhamento de entrada ou saída, você cria um endpoint Resolver no seu. VPC Como parte da definição de um endpoint, você especifica os endereços IP para os quais deseja encaminhar DNS as consultas de entrada ou os endereços IP dos quais deseja que as consultas de saída sejam originadas. Para cada endereço IP que você especificar, o Resolver cria automaticamente uma interface de rede VPC elástica.

O diagrama a seguir mostra o caminho de uma DNS consulta de um DNS resolvedor em sua rede para os endpoints do Route 53 Resolver.

Gráfico conceitual que mostra o caminho de uma DNS consulta de um DNS resolvedor em sua rede para os endpoints do Route 53 Resolver.

O diagrama a seguir mostra o caminho de uma DNS consulta de uma EC2 instância em uma de suas VPCs para um DNS resolvedor em sua rede.

Gráfico conceitual que mostra o caminho de uma DNS consulta da sua rede até o Route 53 Resolver.

Para uma visão geral das interfaces de VPC rede, consulte Interfaces de rede elásticas no Guia VPC do usuário da Amazon.

Tópicos

Como DNS os resolvedores em sua rede encaminham DNS consultas para os endpoints do Route 53 Resolver

Quando quiser encaminhar DNS consultas da sua rede para os endpoints do Route 53 Resolver em uma AWS região, execute as seguintes etapas:

  1. Você cria um endpoint de entrada do Route 53 Resolver em um VPC e especifica os endereços IP para os quais os resolvedores da sua rede DNS encaminham as consultas.

    Para cada endereço IP que você especifica para o endpoint de entrada, o Resolver cria uma interface de rede VPC elástica no local em VPC que você criou o endpoint de entrada.

  2. Você configura resolvedores em sua rede para encaminhar DNS consultas dos nomes de domínio aplicáveis aos endereços IP que você especificou no endpoint de entrada. Para obter mais informações, consulte Considerações ao criar endpoints de entrada e de saída.

Veja como o Resolver resolve DNS consultas originadas na sua rede:

  1. Um navegador da Web ou outro aplicativo em sua rede envia uma DNS consulta para um nome de domínio que você encaminhou para o Resolver.

  2. Um resolvedor na rede encaminha a consulta para os endereços IP no endpoint de entrada.

  3. O endpoint de entrada encaminha a consulta ao Resolver.

  4. O resolvedor obtém o valor aplicável para o nome de domínio na DNS consulta, internamente ou executando uma pesquisa recursiva em servidores de nomes públicos.

  5. O Resolver retorna o valor para o endpoint de entrada.

  6. O endpoint de entrada retorna o valor ao resolvedor na rede.

  7. O resolvedor na rede retorna o valor ao aplicativo.

  8. Usando o valor retornado pelo Resolver, o aplicativo envia uma HTTP solicitação, por exemplo, uma solicitação para um objeto em um bucket do Amazon S3.

A criação de um endpoint de entrada não altera o comportamento do Resolver, apenas fornece um caminho de um local fora da AWS rede até o Resolver.

Como o endpoint do Route 53 Resolver encaminha DNS consultas de você para sua rede VPCs

Quando quiser encaminhar DNS consultas das EC2 instâncias em uma ou mais VPCs em uma AWS região para sua rede, execute as etapas a seguir.

  1. Você cria um endpoint de saída do Route 53 Resolver em um VPC e especifica vários valores:

    • O VPC que você deseja que DNS as consultas passem até os resolvedores em sua rede.

    • Os endereços IP dos quais você deseja VPC que o Resolver encaminhe DNS as consultas. Para os hosts em sua rede, esses são os endereços IP dos quais DNS as consultas se originam.

    • Um grupo VPC de segurança

    Para cada endereço IP que você especifica para o endpoint de saída, o Resolver cria uma interface de rede VPC elástica da Amazon na VPC interface especificada por você. Para obter mais informações, consulte Considerações ao criar endpoints de entrada e de saída.

  2. Você cria uma ou mais regras, que especificam os nomes de domínio das DNS consultas que você deseja que o Resolver encaminhe aos resolvedores em sua rede. Especifique também os endereços IP dos resolvedores. Para obter mais informações, consulte Uso de regras para controlar quais consultas são encaminhadas para sua rede.

  3. Você associa cada regra à VPCs para a qual deseja encaminhar DNS consultas para sua rede.

Uso de regras para controlar quais consultas são encaminhadas para sua rede

As regras controlam quais DNS consultas o endpoint do Route 53 Resolver encaminha para os DNS resolvedores em sua rede e quais consultas o Resolver responde sozinho.

Você pode categorizar as regras de diversas maneiras. Uma delas é por quem as cria:

  • Regras autodefinidas — O resolvedor cria automaticamente regras autodefinidas e associa as regras às suas. VPCs A maioria dessas regras se aplica aos nomes de domínio AWS específicos para os quais o Resolver responde às consultas. Para obter mais informações, consulte Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas.

  • Regras personalizadas — Você cria regras personalizadas e associa as regras VPCs a. Atualmente, você pode criar apenas um tipo de regra personalizada, regras de encaminhamento condicional, também conhecidas como regras de encaminhamento. As regras de encaminhamento fazem com que o Resolver encaminhe DNS consultas de você VPCs para os endereços IP dos DNS resolvedores em sua rede.

    Se você criar uma regra de encaminhamento para o mesmo domínio de uma regra autodefinida, o Resolver encaminhará as consultas desse nome de domínio para os DNS resolvedores em sua rede com base nas configurações da regra de encaminhamento.

Outra maneira de categorizar as regras é pelo que elas fazem:

  • Regras de encaminhamento condicional — Você cria regras de encaminhamento condicional (também conhecidas como regras de encaminhamento) quando deseja encaminhar DNS consultas de nomes de domínio específicos para resolvedores em sua rede. DNS

  • Regras do sistema: as regras do sistema fazem com que o Resolver substitua de forma seletiva o comportamento definido em uma regra de encaminhamento. Quando você cria uma regra do sistema, o Resolver resolve DNS consultas para subdomínios específicos que, de outra forma, seriam resolvidas pelos DNS resolvedores em sua rede.

    Por padrão, o encaminhamento de regras se aplica a um nome de domínio e todos os seus subdomínios. Se quiser encaminhar consultas de um domínio para um resolvedor na rede, mas não quiser encaminhar as consultas de alguns subdomínios, crie uma regra de sistema para os subdomínios. Por exemplo, se você criar uma regra de encaminhamento para exemplo.com mas não quiser encaminhar consultas para acme.exemplo.com, crie uma regra de sistema e especifique acme.exemplo.com para o nome de domínio.

  • Regra recursiva: o Resolver cria automaticamente uma regra recursiva chamada Internet Resolver (Resolvedor de Internet). Essa regra faz com que o Resolver do Route 53 atue como um resolvedor recursivo para todos os nomes de domínio para os quais você não criou regras personalizadas e para os quais o Resolver não criou regras definidas automaticamente. Para obter informações sobre como substituir esse comportamento, consulte "Encaminhamento de todas as consultas para sua rede" mais adiante neste tópico.

Você pode criar regras personalizadas que se aplicam a nomes de domínio específicos (seus ou a maioria dos nomes de AWS domínio), a nomes de AWS domínios públicos ou a todos os nomes de domínio.

Encaminhamento de consultas de nomes de domínio específicos à rede

Para encaminhar consultas de um nome de domínio específico, como exemplo.com, à sua rede, crie uma regra e especifique esse nome de domínio. Você também especifica os endereços IP dos DNS resolvedores em sua rede para os quais deseja encaminhar as consultas. Em seguida, você associa cada regra à VPCs para a qual deseja encaminhar DNS consultas para sua rede. Por exemplo, crie regras separadas para exemplo.com, exemplo.org e exemplo.net. Em seguida, você pode associar as regras ao VPCs em uma AWS região em qualquer combinação.

Encaminhamento de consultas de amazonaws.com para sua rede

O nome de domínio amazonaws.com é o nome de domínio público para AWS recursos como EC2 instâncias e buckets S3. Se quiser encaminhar consultas de amazonaws.com à sua rede, crie uma regra, especifique amazonaws.com para o nome de domínio e especifique Forward (Encaminhar) para o tipo de regra.

nota

O Resolver não encaminha automaticamente DNS consultas para alguns subdomínios da amazonaws.com, mesmo que você crie uma regra de encaminhamento para a amazonaws.com. Para obter mais informações, consulte Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas. Para obter informações sobre como substituir esse comportamento, consulte "Encaminhamento de todas as consultas para sua rede" logo a seguir.

Encaminhamento de todas as consultas para sua rede

Se você quiser encaminhar todas as consultas para sua rede, crie uma regra e especifique “.” (ponto) para o nome do domínio e associe a regra à VPCs para a qual você deseja encaminhar todas as DNS consultas para sua rede. O resolvedor ainda não encaminha todas DNS as consultas para sua rede porque usar um DNS resolvedor externo AWS quebraria algumas funcionalidades. Por exemplo, alguns nomes de AWS domínio internos têm intervalos de endereços IP internos que não podem ser acessados de fora AWS. Para obter uma lista dos nomes de domínio para os quais as consultas não são encaminhadas à sua rede ao criar uma regra para ".", consulte Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas.

No entanto, as regras do sistema autodefinidas para reversão DNS podem ser desativadas, permitindo que a regra “.” encaminhe todas as DNS consultas reversas para sua rede. Para saber mais sobre como desativar as regras definidas automaticamente, consulte Regras de encaminhamento para DNS consultas reversas no Resolver.

Se você quiser tentar encaminhar DNS consultas de todos os nomes de domínio para sua rede, incluindo os nomes de domínio que estão excluídos do encaminhamento por padrão, você pode criar uma regra “.” e fazer o seguinte:

Importante

Se você encaminhar todos os nomes de domínio para sua rede, incluindo os nomes de domínio excluídos pelo Resolver ao criar uma regra “.”, alguns recursos poderão parar de funcionar.

Como o Resolver determina se o nome do domínio em uma consulta corresponde a uma regra

O Route 53 Resolver compara o nome de domínio na DNS consulta com o nome de domínio nas regras associadas às quais VPC a consulta foi originada. O Resolver considera os nomes de domínio para corresponder nos seguintes casos:

  • Os nomes de domínio correspondem exatamente

  • O nome de domínio na consulta é um subdomínio do nome de domínio na regra

Por exemplo, se o nome de domínio na regra for acme.example.com, o Resolver considera que os seguintes nomes de domínio em uma DNS consulta são iguais:

  • acme.example.com

  • zenith.acme.example.com

Os nome de domínio a seguir não correspondem:

  • exemplo.com

  • nadir.exemplo.com

Se o nome de domínio em uma consulta corresponder ao nome de domínio em mais de uma regra (como exemplo.com e www.exemplo.com), o Resolver roteará DNS as consultas externas usando a regra que contém o nome de domínio mais específico (www.exemplo.com).

Como o Resolver determina para onde encaminhar as DNS consultas

Quando um aplicativo executado em uma EC2 instância em um VPC envia uma DNS consulta, o Route 53 Resolver executa as seguintes etapas:

  1. O resolvedor verifica os nomes de domínio em regras.

    Se o nome de domínio em uma consulta corresponder ao nome de domínio em uma regra, o Resolver encaminhará a consulta ao endereço IP especificado durante a criação do endpoint de saída. Em seguida, o endpoint de saída encaminha a consulta aos endereços IP dos resolvedores na rede, especificados durante a criação da regra.

    Para obter mais informações, consulte Como o Resolver determina se o nome do domínio em uma consulta corresponde a uma regra.

  2. O endpoint do resolvedor encaminha DNS as consultas com base nas configurações da regra “.”.

    Se o nome de domínio em uma consulta não corresponder ao nome do domínio em qualquer outra regra, o Resolver encaminhará a consulta com base nas configurações da regra de “.” (ponto) autodefinida. A regra de pontos se aplica a todos os nomes de domínio, exceto alguns nomes de domínio AWS internos e nomes de registros em zonas hospedadas privadas. Essa regra faz com que o Resolver encaminhe DNS consultas para servidores de nomes públicos se os nomes de domínio nas consultas não corresponderem a nenhum nome em suas regras de encaminhamento personalizadas. Se quiser encaminhar todas as consultas para os DNS resolvedores em sua rede, você pode criar uma regra de encaminhamento personalizada, especificar “.” para o nome do domínio, especificar Encaminhamento para Tipo e especificar os endereços IP desses resolvedores.

  3. O Resolver retorna a resposta à aplicação que enviou a consulta.

Usar regras em várias regiões

O Route 53 Resolver é um serviço regional, portanto, os objetos que você cria em uma AWS região estão disponíveis somente nessa região. Para usar a mesma regra em mais de uma Região, é necessário criar a regra em cada Região.

A AWS conta que criou uma regra pode compartilhar a regra com outras AWS contas. Para obter mais informações, consulte Compartilhamento de regras do Resolvedor com outras AWS contas e uso de regras compartilhadas.

Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas

O resolvedor cria automaticamente regras de sistema autodefinidas que definem como as consultas de domínios selecionados são resolvidas por padrão:

  • Para zonas hospedadas privadas e para nomes de domínio EC2 específicos da Amazon (como compute.amazonaws.com e compute.internal), as regras autodefinidas garantem que suas zonas e EC2 instâncias hospedadas privadas continuem a ser resolvidas se você criar regras de encaminhamento condicional para nomes de domínio menos específicos, como “”. (ponto) ou “com”.

  • Para nomes de domínio reservados publicamente (como localhost e 10.in-addr.arpa), as DNS melhores práticas recomendam que as consultas sejam respondidas localmente em vez de serem encaminhadas para servidores de nomes públicos. Consulte RFC6303, Zonas atendidas DNS localmente.

nota

Se você criar uma regra de encaminhamento condicional para "." (ponto) ou "com", recomendamos que também crie uma regra de sistema para amazonaws.com. (As regras do sistema fazem com que o Resolver resolva localmente DNS consultas para domínios e subdomínios específicos.) A criação dessa regra de sistema melhora a performance, reduz o número de consultas que são encaminhadas para sua rede e reduz os encargos do Resolver.

Se desejar substituir uma regra autodefinida, você poderá criar uma regra de encaminhamento condicional para o mesmo nome de domínio.

Também é possível desabilitar algumas das regras definidas automaticamente. Para obter mais informações, consulte Regras de encaminhamento para DNS consultas reversas no Resolver.

O resolvedor cria as seguintes regras autodefinidas.

Regras para zonas hospedadas privadas

Para cada zona hospedada privada que você associa a umaVPC, o Resolver cria uma regra e a associa aoVPC. Se você associar a zona hospedada privada a váriasVPCs, o Resolver associará a regra à mesmaVPCs.

A regra tem o tipo Forward (Encaminhar).

Regras para vários nomes de domínio AWS internos

Todas as regras para os nomes de domínio internos nesta seção são do tipo Forward (Encaminhar). O resolvedor encaminha DNS as consultas desses nomes de domínio para os servidores de nomes autorizados do. VPC

nota

O Resolver cria a maioria dessas regras quando você define o enableDnsHostnames sinalizador VPC para umtrue. O Resolver cria as regras mesmo se você não estiver usando endpoints do Resolver.

O Resolver cria as seguintes regras autodefinidas e as associa a uma VPC quando você define o enableDnsHostnames sinalizador para oVPC: true

  • Region-name.compute.internal, por exemplo, eu-west-1.compute.internal. A região us-east-1 não usa este nome de domínio.

  • Region-name.computar.amazon-domain-name, por exemplo, eu-west-1.compute.amazonaws.com ou cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. A região us-east-1 não usa este nome de domínio.

  • ec2.internal. Somente a região us-east-1 usa este nome de domínio.

  • compute-1.internal. Somente a região us-east-1 usa este nome de domínio.

  • compute-1.amazonaws.com. Somente a região us-east-1 usa este nome de domínio.

As seguintes regras autodefinidas são para a DNS pesquisa inversa das regras que o Resolver cria quando você define o enableDnsHostnames sinalizador para VPC o. true

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa por meio de 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Regras para cada um dos CIDR intervalos doVPC. Por exemplo, se a tiver um VPC CIDR intervalo de 10.0.0.0/23, o Resolver cria as seguintes regras:

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

As seguintes regras autodefinidas, para domínios relacionados ao host local, também são criadas e associadas a um VPC quando você define o sinalizador para oenableDnsHostnames: VPC true

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

O Resolver cria as seguintes regras autodefinidas e as associa às suas VPC quando você as conecta a VPC outra VPC por meio de gateway de trânsito ou VPC emparelhamento e com DNS o suporte ativado:

  • A DNS pesquisa inversa dos intervalos de endereços IP VPC do par, por exemplo, 0.192.in-addr.arpa

    Se você adicionar um IPv4 CIDR bloco a umVPC, o Resolver adicionará uma regra autodefinida para o novo intervalo de endereços IP.

  • Se o outro VPC estiver em outra região, os seguintes nomes de domínio:

    • Region-name.compute.internal. A região us-east-1 não usa este nome de domínio.

    • Region-name.computar.amazon-domain-name. A região us-east-1 não usa esse nome de domínio.

    • ec2.internal. Somente a região us-east-1 usa este nome de domínio.

    • compute-1.amazonaws.com. Somente a região us-east-1 usa este nome de domínio.

Uma regra para todos os outros domínios

O Resolver cria uma regra “.” (ponto) que se aplica a todos os nomes de domínio que não foram especificados anteriormente neste tópico. A regra “.” é do tipo Recursive (Recursiva), o que significa que a regra faz com que o Resolver atue como um resolvedor recursivo.

Considerações ao criar endpoints de entrada e de saída

Antes de criar endpoints do Resolver de entrada e saída em uma AWS região, considere os seguintes problemas.

Número de endpoints de entrada e saída em cada região da

Quando você deseja fazer a integração DNS entre uma VPCs AWS região e sua rede, normalmente precisa de um endpoint de entrada do Resolver (para DNS consultas que você está encaminhando para a suaVPCs) e um endpoint de saída (para consultas que você está encaminhando da sua para a sua rede). DNS VPCs Você pode criar vários endpoints de entrada e vários endpoints de saída, mas um endpoint de entrada ou saída é suficiente para lidar com as consultas em cada direção respectiva. DNS Observe o seguinte:

  • Para cada endpoint do Resolver, você especifica dois ou mais endereços IP em diferentes zonas de disponibilidade. Cada endereço IP em um endpoint pode lidar com um grande número de DNS consultas por segundo. (Para saber o atual número máximo de consultas por segundo por endereço IP em um endpoint, consulte Cotas no Route 53 Resolver.) Se precisa que o Resolver processe mais consultas, você pode adicionar mais endereços IP ao seu endpoint existente em vez de adicionar outro endpoint.

  • O preço do resolvedor é baseado no número de endereços IP em seus endpoints e no número de DNS consultas que o endpoint processa. Cada endpoint inclui um mínimo de dois endereços IP. Para obter mais informações sobre o preço do Resolver, consulte Preço do Amazon Route 53.

  • Cada regra especifica o endpoint de saída do qual DNS as consultas são encaminhadas. Se você criar vários endpoints de saída em uma AWS região e quiser associar algumas ou todas as regras do Resolver a cada umVPC, precisará criar várias cópias dessas regras.

Usando o mesmo VPC para endpoints de entrada e saída

Você pode criar endpoints de entrada e saída na mesma região VPC ou VPCs em diferentes.

Para obter mais informações, consulte Práticas recomendadas do Amazon Route 53.

Endpoints de entrada e zonas hospedadas privadas

Se você quiser que o Resolver resolva DNS consultas de entrada usando registros em uma zona hospedada privada, associe a zona hospedada privada à zona em VPC que você criou o endpoint de entrada. Para obter informações sobre como associar zonas hospedadas privadas comVPCs, consulteTrabalhar com zonas hospedadas privadas.

VPCespiando

Você pode usar qualquer um VPC em uma AWS região para um endpoint de entrada ou saída, independentemente de o VPC que você escolher estar emparelhado com outro. VPCs Para obter mais informações, consulte Amazon Virtual Private Cloud VPC Peering.

Endereços IP em sub-redes compartilhadas

Ao criar um endpoint de entrada ou saída, você pode especificar um endereço IP em uma sub-rede compartilhada somente se a conta atual tiver criado o. VPC Se outra conta criar uma VPC e compartilhar uma sub-rede VPC com sua conta, você não poderá especificar um endereço IP nessa sub-rede. Para obter mais informações sobre sub-redes compartilhadas, consulte Como trabalhar com o compartilhado VPCs no Guia VPC do usuário da Amazon.

Conexão entre sua rede e VPCs aquela em que você cria endpoints

Você deve ter uma das seguintes conexões entre sua rede e aquela em VPCs que você cria endpoints:

Quando compartilha regras, você também compartilha endpoints de saída

Ao criar uma regra, você especifica o endpoint de saída que deseja que o Resolver use para encaminhar DNS consultas para sua rede. Se você compartilhar a regra com outra AWS conta, também compartilhará indiretamente o endpoint de saída especificado na regra. Se você usou mais de uma AWS conta para criar VPCs em uma AWS região, você pode fazer o seguinte:

  • Crie um endpoint de saída na região.

  • Crie regras usando uma AWS conta.

  • Compartilhe as regras com todas as AWS contas criadas VPCs na região.

Isso permite que você use um endpoint de saída em uma região para encaminhar DNS consultas de vários para sua rede, VPCs mesmo que VPCs tenham sido criados usando contas diferentes. AWS

Escolher protocolos para os endpoints

Os protocolos dos endpoints determinam como os dados são transmitidos para um endpoint de entrada e de um endpoint de saída. A criptografia de DNS consultas de VPC tráfego não é necessária porque cada fluxo de pacotes na rede é autorizado individualmente de acordo com uma regra para validar a origem e o destino corretos antes de serem transmitidos e entregues. A troca arbitrária de informações entre entidades sem a autorização específica da entidade transmissora e da entidade receptora é extremamente improvável. Se um pacote for roteado para um destino sem que haja uma regra correspondente, ele será descartado. Para obter mais informações, consulte VPCrecursos.

Os protocolos disponíveis são:

  • Do53: DNS pela porta 53. Os dados são retransmitidos usando o Route 53 Resolver sem criptografia adicional. Embora os dados não possam ser lidos por terceiros, eles podem ser visualizados nas AWS redes. Usa um UDP ou TCP para enviar os pacotes. O Do53 é usado principalmente para tráfego dentro e entre a AmazonVPCs.

  • DoH: Os dados são transmitidos por uma HTTPS sessão criptografada. O DoH adiciona mais um nível de segurança em que os dados não podem ser descriptografados por usuários não autorizados e não podem ser lidos por ninguém, a não ser pelo destinatário pretendido.

  • DoH-FIPS: Os dados são transmitidos por uma HTTPS sessão criptografada compatível com o padrão criptográfico FIPS 140-2. Compatível apenas com endpoints de entrada. Para obter mais informações, consulte FIPSPUB140-2.

Para um endpoint de entrada, você pode aplicar os protocolos da seguinte maneira:

  • Do53 e DoH combinados.

  • Do53 e DoH- FIPS em combinação.

  • D53 sozinho.

  • DoH sozinho.

  • DoH- FIPS sozinho.

  • Nenhum, o que é tratado como Do53.

Para um endpoint de saída, você pode aplicar os protocolos da seguinte maneira:

  • Do53 e DoH combinados.

  • D53 sozinho.

  • DoH sozinho.

  • Nenhum, o que é tratado como Do53.

Consulte também Valores especificados ao criar ou editar endpoints de entrada e Valores especificados ao criar ou editar endpoints de saída.

Usando o Resolver em VPCs que estão configurados para locação de instâncias dedicadas

Ao criar um endpoint do Resolver, você não pode especificar um VPC que tenha o atributo de locação da instância definido como. dedicated O Resolver não é executado no hardware de locação única.

Você ainda pode usar o Resolver para resolver DNS consultas originadas em um. VPC Crie pelo menos um VPC que tenha o atributo de locação da instância definido como e especifique isso VPC ao criar endpoints de entrada e saída. default

Ao criar uma regra de encaminhamento, você pode associá-la a qualquer umaVPC, independentemente da configuração do atributo de locação da instância.