本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 教程：创建你的第一个 Route 53 全球解析器
<a name="gr-getting-started"></a>

本入门指南演示了 Route 53 Global Resolver 的基本组件，并可选择创建简单的 DNS 过滤设置。本教程涵盖了核心概念，但不包括客户机配置、日志记录或私有域解析等生产要求。

完成后，您将获得基本的 Route 53 全球解析器设置，该设置可以过滤 DNS 查询并阻止恶意域。

以下各节介绍如何使用 Route 53 全球解析器快速开始使用 DNS 安全和筛选。

## 先决条件
<a name="gr-getting-started-prerequisites"></a>

在使用 Route 53 Global Resolver 之前，您需要一个 AWS 帐户和相应的权限才能访问、查看和编辑 Route 53 全球解析器组件。您的系统管理员必须完成中的步骤[为 Route 53 Global Resolver 设置账户访问权限](gr-setting-up.md)，然后返回本教程。

## 步骤 1：创建全局解析器
<a name="gr-getting-started-step1"></a>

首先，创建一个全球解析器实例，然后选择它将运行的 AWS 区域。

1. 打开 Route 53 全球解析器控制台，网址为[https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/)。

1. 选择 “**创建全局解析器**”。

1. 在 “**名称**” 中，输入全球解析器的描述性名称。

1. 在**描述**中，可以选择输入描述。

1. 对于**区域**，选择两个或更多要 AWS 区域 在其中实例化全局解析器。选择离客户端最近的区域，以获得最佳性能。

1. 对于 **IP 地址类型**，请选择此解析器的 IP 地址类型。
   + **IPv4**-仅包括 IPv4 地址。
   + **Dualstack**-包括 IPv4 和地址。 IPv6 

1. （可选）添加标签以帮助组织和管理您的资源。

1. 选择 “**创建全局解析器**”。

您将立即收到任播 IPv4 地址，您的客户可以使用这些地址来联系解析器。全局解析器创建过程需要几分钟才能完成，地址才会起作用。

## 步骤 2：创建 DNS 视图并配置身份验证
<a name="gr-getting-started-step2"></a>

创建 DNS 视图以组织您的客户端，并使用 IP 访问源配置身份验证。本教程使用基于 IP 的身份验证。您也可以将访问令牌用于卫生部/交通部协议。

1. 在 Route 53 全球解析器控制台中，选择您的全局解析器。

1. 选择**创建 DNS 视图**。

1. 在**名称**中，输入您的 DNS 视图的描述性名称。

1. 在**描述**中，可以选择输入描述。

1. 选择**创建 DNS 视图**。

1. 创建 DNS 视图后，选择**访问源**，然后选择**创建访问源**。

1. 对于 **CIDR 阻止**，请输入您的客户机的 IP 地址范围（例如，`203.0.113.0/24`）。

1. 对于**协议**，请选择 **Do53**（端口 53 上的 DNS）进行基本设置。

1. 选择 “**创建访问源规则”**。

## 步骤 3：配置 DNS 过滤规则（可选）
<a name="gr-getting-started-step3"></a>

设置基本的 DNS 过滤规则以阻止对恶意域的访问。

1. 在 DNS 视图中，选择**防火墙规则**，然后选择**创建防火墙规则**。

1. 在**名称**中，输入规则的描述性名称。

1. 对于 “**优先级**”，输入`100`（数字越小优先级越高）。

1. 在 “**操作”** 中，选择 “**屏蔽**”。

1. 对于**域列表类型**，请选择**AWS 托管域列表**。

1. 在 “**托管域列表” 中**，选择 “**恶意软件**AmazonGuardDutyThreatList**和僵尸网络命令与控制**” 以阻止已知的恶意域（您可以添加其他托管列表或稍后创建自定义列表）。

1. 选择**创建防火墙规则**。

## 第 4 步：测试您的配置
<a name="gr-getting-started-step4"></a>

测试您的 Route 53 全局解析器配置是否正常运行。

1. 在您配置的 CIDR 范围内的客户端计算机上，使用全局解析器提供的任播 IP 地址测试 DNS 解析：

   ```
   nslookup example.com <anycast-ip-address>
   ```

1. 验证合法域名是否能正确解析。

1. 测试被屏蔽的域名是否被正确过滤。您可以创建包含测试域的自定义域名列表，以验证您的防火墙规则是否正常运行。有关托管域列表的更多信息，请参阅[托管域列表](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-managed-domain-lists.html)。

1. 查看 Route 53 全球解析器控制台，了解查询日志和筛选活动。

有关全面的测试程序和故障排除，请参阅 *Route 53 全球解析器故障排除*。

## 步骤 5：监控 DNS 活动
<a name="gr-getting-started-step5"></a>

为您的 DNS 活动配置日志记录。

1. 选择可观测性区域。

1. 选择查询日志的目的地。

有关全面的测试程序和故障排除，请参阅 R *oute 53 Global Resolver 的测试和故障排除*。

## 步骤 6：清理（可选）
<a name="gr-getting-started-cleanup"></a>

如果您创建此配置是出于测试目的，并且不想继续使用 Route 53 Global Resolver，请清理资源以避免持续收费。

1. 在 Route 53 全球解析器控制台中，删除您创建的所有防火墙规则。

1. 删除您创建的所有访问源规则。

1. 删除 DNS 视图。

1. 删除全局解析器。

**重要**  
删除这些资源将停止任何配置为使用这些资源的客户机的 DNS 解析。在删除解析器或移除访问规则之前，请更新您的客户端配置。

## 后续步骤
<a name="gr-getting-started-next-steps"></a>

现在您已经有了基本的 Route 53 全局解析器配置，您可以探索其他功能：
+ 将客户端设备配置为使用您的解析器（生产时需要）。更新您的客户端 DNS 设置，以使用全局解析程序提供的任播 IP 地址。
+ 设置日志记录以进行监控和满足合规性（建议用于生产）。配置到亚马逊 CloudWatch、亚马逊 S3 或 Amazon Data Firehose 的日志以进行监控和分析。有关更多信息，请参阅 [使用 Route 53 全球解析器监控 DNS 活动和性能](gr-monitoring.md)。
+ 为内部域配置私有托管区域转发（如果您有私有 AWS 资源，则为必填项）。有关更多信息，请参阅*使用私有托管区域*。
+ 使用 DNS-over-HTTPS (DoH) 或 DNS-over-TLS (DoT) 设置加密的 DNS 连接。有关更多信息，请参阅*配置加密 DNS*。
+ 创建自定义域列表和高级筛选规则。有关更多信息，请参阅 *DNS 筛选*。