本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建入站和出站端点的注意事项
<a name="resolver-choose-vpc"></a>

在 AWS 区域中创建入站和出站 Resolver 终端节点之前，请考虑以下问题。

**Topics**
+ [每个 区域中的入站和出站端点的数量](#resolver-considerations-number-of-endpoints)
+ [对入站和出站端点使用相同的 VPC](#resolver-considerations-same-vpc-inbound-outbound)
+ [入站端点和私有托管区域](#resolver-considerations-inbound-endpoint-private-zone)
+ [VPC 对等连接](#resolver-considerations-vpc-peering)
+ [共享子网中的 IP 地址](#resolver-considerations-shared-subnets)
+ [您的网络与您在其中创建端点的网络之间的连接 VPCs](#resolver-considerations-connection-between-network-and-vpcs)
+ [在共享规则时，您还会共享出站端点](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [选择用于端点的协议](#resolver-endpoint-protocol-considerations)
+ [使用配置为专用实例租用 VPCs 的 VPC 解析器](#resolver-considerations-dedicated-instance-tenancy)

## 每个 区域中的入站和出站端点的数量
<a name="resolver-considerations-number-of-endpoints"></a>

当你想将某个 AWS 区域的 DNS 与网络的 DNS 集成时，通常需要一个 Resolver 入站终端节点（用于你要转发到自己的 DNS 查询 VPCs）和一个出站终端节点（用于从你的网络转发 VPCs 到你的网络的查询）。 VPCs 您可以创建多个入站端点和多个出站端点，但一个端点足以处理各方向的 DNS 查询。注意以下几点：
+ 对于每个 Resolver 端点，您可以在不同的可用区中指定两个或更多 IP 地址。端点中的每个 IP 地址每秒可处理大量 DNS 查询。（有关针对端点中每个 IP 地址当前每秒处理的最大查询数，请参阅[Route 53 VPC 解析器的配额](DNSLimitations.md#limits-api-entities-resolver)）。如果您需要 VPC Resolver 来处理更多查询，则可以向现有终端节点添加更多 IP 地址，而不必添加其他终端节点。
+ VPC Resolver 的定价基于终端节点中的 IP 地址数量以及终端节点处理的 DNS 查询数量。每个端点包含至少两个 IP 地址。有关 VPC 解析器定价的更多信息，请参阅 [Amazon Route 53 定价](https://aws.amazon.com/route53/pricing/)。
+ 每个规则指定了 DNS 查询转发自的出站端点。如果您在 AWS 区域中创建了多个出站端点，并且您希望将部分或全部 Resolver 规则与每个 VPC 关联，则需要创建这些规则的多个副本。

## 对入站和出站端点使用相同的 VPC
<a name="resolver-considerations-same-vpc-inbound-outbound"></a>

您可以在同一 VPC 中创建入站和出站终端节点，也可以在同一区域的不同 VPCs VPC 中创建入站和出站终端节点。

有关更多信息，请参阅 [Amazon Route 53 的最佳实践](best-practices.md)。

## 入站端点和私有托管区域
<a name="resolver-considerations-inbound-endpoint-private-zone"></a>

如果您希望 VPC Resolver 使用私有托管区域中的记录解析入站 DNS 查询，请将私有托管区域与您在其中创建入站终端节点的 VPC 相关联。有关将私有托管区域与关联的信息 VPCs，请参阅[使用私有托管区](hosted-zones-private.md)。

## VPC 对等连接
<a name="resolver-considerations-vpc-peering"></a>

无论您选择的 VPC 是否与其他 VPCs VPC 对等，您都可以将 AWS 区域中的任何 VPC 用于入站或出站终端节点。有关更多信息，请参阅 [Amazon Virtual Private Cloud VPC 对等互联](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)。

## 共享子网中的 IP 地址
<a name="resolver-considerations-shared-subnets"></a>

创建入站或出站端点时，只有在当前账户创建了 VPC 时，才能在共享子网中指定 IP 地址。如果另一个账户创建 VPC 并与您的账户共享 VPC 中的子网，则您无法在该子网中指定 IP 地址。有关共享子网的更多信息，请参阅 *Amazon VPC 用户指南 VPCs*中的[使用共享](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)子网。

## 您的网络与您在其中创建端点的网络之间的连接 VPCs
<a name="resolver-considerations-connection-between-network-and-vpcs"></a>

您的网络与您在其中创建终端节点的 VPCs 网络之间必须有以下连接之一：
+ **入站端点** — 在您的网络与为其创建入站端点的各个 VPC 之间，您必须设置 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 连接或 [VPN 连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。
+ **出站端点** — 在您的网络与您为其创建出站端点的各个 VPC 之间，您必须设置 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 连接、[VPN 连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)或[网络地址转换 (NAT) 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。

## 在共享规则时，您还会共享出站端点
<a name="resolver-considerations-share-rules-share-outbound-endpoints"></a>

创建规则时，您可以指定希望 VPC 解析器用于将 DNS 查询转发到您的网络的出站终端节点。如果您与其他 AWS 账户共享该规则，则还会间接共享您在规则中指定的出站终端节点。如果您 VPCs 在一个 AWS 地区使用多个 AWS 账户进行创建，则可以执行以下操作：
+ 在该区域中创建一个出站端点。
+ 使用一个 AWS 账户创建规则。
+ 与在该地区创建 VPCs 的所有 AWS 账户共享规则。

这允许您使用一个区域中的一个出站终端节点将多个 DNS 查询转发到您的网络， VPCs 即使这些查询 VPCs 是使用不同的 AWS 账户创建的。

## 选择用于端点的协议
<a name="resolver-endpoint-protocol-considerations"></a>

端点协议决定如何将数据传输到入站端点和从出站端点传输数据。不需要加密 VPC 流量的 DNS 查询，因为网络上的每个数据包流都要根据规则单独授权，以便在传输和传送其之前验证正确的源和目标。未经传输实体和接收实体特别授权，信息基本上不可能在实体之间任意传递。如果将数据包路由到目标，但没有与之匹配的规则，则该数据包将被丢弃。有关更多信息，请参阅 [VPC 功能](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html)。

可用的协议包括：
+ **Do53：**端口 53 上的 DNS。使用 VPC 解析器中继数据，无需额外加密。虽然外部各方无法读取数据，但可以在 AWS 网络内查看。使用 UDP 或 TCP 发送数据包。Do53 主要用于亚马逊内部和亚马逊 VPCs之间的流量。目前，这是唯一可用于委托入站端点的协议。
+ **DoH：**通过加密的 HTTPS 会话传输数据。DoH 可提升安全性，其中未经授权的用户无法解密数据，并且除预期接收方外，任何人都无法读取数据。不适用于委托入站端点。
+ **DoH-FIPS：**通过符合 FIPS 140-2 加密标准的加密 HTTPS 会话传输数据。仅入站端点支持 有关更多信息，请参阅 [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)。不适用于委托入站端点。

对于**转发**类型的入站端点，可以按以下方式应用协议：
+  结合使用 Do53 和 DoH。
+ 结合使用 Do53 和 DoH-FIPS。
+ 单独使用 Do53。
+ 单独使用 DoH。
+ 单独使用 DoH-FIPS。
+ 无，即视为 Do53。

对于出站端点，可以按以下方式应用协议：
+  结合使用 Do53 和 DoH。
+ 单独使用 Do53。
+ 单独使用 DoH。
+ 无，即视为 Do53。

另请参阅 [创建或编辑入站端点时指定的值](resolver-forwarding-inbound-queries-values.md) 和 [创建或编辑出站端点时指定的值](resolver-forwarding-outbound-queries-endpoint-values.md)。

## 使用配置为专用实例租用 VPCs 的 VPC 解析器
<a name="resolver-considerations-dedicated-instance-tenancy"></a>

当您创建 Resolver 端点时，无法指定将[实例租赁属性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)设置为 `dedicated` 的 VPC。VPC 解析器不能在单租户硬件上运行。

您仍然可以使用 VPC 解析器来解析源于 VPC 的 DNS 查询。创建至少一个将实例租赁属性设置为 `default` 的 VPC，并在您创建入站和出站端点时指定该 VPC。

当您创建转发规则时，可以将其与任何 VPC 关联，不论实例租约属性的设置如何。