Resolver 的最佳实践 - Amazon Route 53

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Resolver 的最佳实践

本节提供了优化 Amazon Route 53 Resolver 的最佳实践,涵盖以下主题:

  1. 避免使用 Resolver 端点循环配置:

    • 确保同一 VPC 不会同时与 Resolver 规则及其入站端点相关联,从而防止路由循环。

    • 利用 AWS RAM 在账户之间共享 VPC,同时保持正确的路由配置。

    有关更多信息,请参阅 避免使用 Resolver 端点循环配置

  2. Resolver 端点扩展:

    • 实施根据连接状态允许通信的安全组规则,以减少连接跟踪开销

    • 遵循针对入站和出站 Resolver 端点的推荐安全组规则,最大程度地提高查询吞吐量。

    • 监控生成 DNS 流量的唯一 IP 地址和端口组合,避免出现容量限制。

    有关更多信息,请参阅 Resolver 端点扩展

  3. Resolver 端点的高可用性:

    • 创建入站端点,采用至少两个可用区中的 IP 地址以实现冗余。

    • 配置额外的网络接口,以确保维护或流量激增期间的可用性

    有关更多信息,请参阅 解析程序端点的高可用性

  4. 防止 DNS 区域步行攻击:

    • 注意潜在的 DNS 区域步行攻击,攻击者会试图从 DNSSEC 签名的 DNS 区域检索所有内容。

    • 如果您的端点因疑似区域步行而遇到限制,请联系 AWS Support 寻求帮助。

    有关更多信息,请参阅 DNS 区域步行

通过遵循这些最佳实践,就可以优化 Route 53 Resolver 部署的性能、可扩展性和安全性,从而确保为应用程序和资源提供可靠和高效的 DNS 解析。