本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon Route 53 运行状况检查配置路由器和防火墙规则
<a name="dns-failover-router-firewall-rules"></a>

Route 53 在检查端点的运行状况时会向您在创建运行状况检查时指定的 IP 地址和端口发送 HTTP、HTTPS 或 TCP 请求。为使运行状况检查成功，您的路由器和防火墙规则必须允许来自 Route 53 运行状况检查程序所使用 IP 地址的入站流量。

有关 Route 53 运行状况检查器、Route 53 域名服务器和其他 AWS 服务的当前 IP 地址列表，请参阅[Amazon Route 53 服务器的 IP 地址范围](route-53-ip-addresses.md)。

在 Amazon EC2 中，安全组充当防火墙。有关更多信息，请参阅 [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) *用户指南中的 Amazon EC2* 安全组。要将您的安全组配置为允许 Route 53 运行状况检查，您可以允许来自每个 IP 地址范围的入站流量，也可以使用 AWS托管前缀列表。

要使用 AWS托管前缀列表，请修改您的安全组以允许来自`com.amazonaws.<region>.route53-healthchecks`您的Amazon EC2实例或资源的入站流量。`<region> ` AWS 区域 如果您使用 Route 53 运行状况检查来检查 IPv6 终端节点，则还应允许来自的入站流量`com.amazonaws.<region>.ipv6.route53-healthchecks`。

有关 AWS托管前缀列表的更多信息，请参阅 Amazon *VPC 用户*指南中的使用[AWS托管前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)。

**重要**  
将 IP 地址添加到允许的 IP 地址列表时，请添加您在创建运行状况检查时指定的每个 AWS 区域的 CIDR 范围内的所有 IP 地址以及全局 CIDR 范围。您可能会看到运行状况检查请求仅来自某个区域中的一个 IP 地址。但是，该 IP 地址随时可能更改为该区域的另一个 IP 地址。  
 如果要确保同时包含当前和较旧的运行状况检查程序 IP 地址，请将 ALL /26 和 /18 IP 地址范围添加到允许列表中。有关完整列表，请参阅《AWS 一般参考》**中的 [AWS IP 地址范围](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。  
当您将 AWS-managed 前缀列表添加到入站安全组时，它会自动添加所有必要的范围。