View a markdown version of this page

创建或编辑入站端点时指定的值 - Amazon Route 53

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建或编辑入站端点时指定的值

创建或编辑入站端点时,您指定以下值:

前哨基地 ID

如果您要在 VPC 上为 VPC 解析器创建终端节点,则这是 AWS Outposts ID。 AWS Outposts

端点名称

可在控制面板上轻松找到入站端点的友好名称。

端点类别

选择默认委托。当类别为默认时,您网络上的解析程序会将 DNS 请求转发到入站端点的 IP 地址。当类别为 “托” 时,域的权限将委托给 VPC 解析器。

region-name 区域中的 VPC

来自您的网络的所有入站 DNS 查询都会在发往 VPC 解析器的途中通过此 VPC。

此端点的安全组

您希望用于控制对此 VPC 的访问的一个或多个安全组的 ID。所指定的安全组必须包含一个或多个入站规则。入站规则必须允许端口 53 上的 TCP 和 UDP 访问。如果您使用的是 DoH 协议,则还必须允许安全组中的端口 443。创建端点后,您无法更改此值。

某些安全组规则会导致连接受到跟踪,对于入站端点来说,每个 IP 地址在每秒内的最大查询总数可能低至 1500。为避免安全组导致的连接跟踪,请参阅未跟踪的连接

注意

要添加多个安全组,请使用 AWS CLI 命令create-resolver-endpoint。有关更多信息,请参阅 create-resolver-endpoint

有关更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全组

端点类型

端点类型可以是 IPv4、IPv6 或双堆栈 IP 地址。对于双堆栈端点,该端点将同时具有 IPv4 和 IPv6 地址,您的网络上的 DNS 解析程序可以将 DNS 查询转发到该地址。

注意

出于安全起见,我们拒绝所有双堆栈和 IPv6 IP 地址直接从公共互联网访问 IPv6 流量。

IP 地址

您希望网络上的 DNS 解析程序将 DNS 查询转发到的 IP 地址。您必须至少指定两个 IP 地址,以实现冗余配置。如果您创建了委托入站终端节点,请使用这些 IP 地址作为要将权限委托给 VPC Resolver 的子域的粘合 NS 记录。注意以下几点:

多个可用区域

我们建议您在至少两个可用区中指定 IP 地址。您可以选择在这些可用区或其他可用区中指定其他 IP 地址。

IP 地址和 Amazon VPC 弹性网络接口

对于您指定的可用区、子网和 IP 地址的每种组合,VPC 解析器都会创建一个 Amazon VPC 弹性网络接口。有关针对端点中每个 IP 地址当前每秒处理的最大 DNS 查询数,请参阅Route 53 VPC 解析器的配额。有关每个弹性网络接口定价的信息,请参阅 Amazon Route 53 定价页面上的“Amazon Route 53”。

注意

Resolver 端点具有私有 IP 地址。这些 IP 地址在端点的生命周期内不会发生变化。

对于每个 IP 地址,指定以下值。每个 IP 地址必须位于在 VPC in the region-name Region (<区域名称> 区域中的 VPC) 所指定 VPC 的可用区中。

可用区

希望 DNS 查询在到达您的 VPC 之前经过的可用区。您指定的可用区必须配置有子网。

子网

包含要分配给 Resolver 端点 ENI 的 IP 地址的子网。这些是您要发送 DNS 查询的地址。子网必须具有一个可用 IP 地址。

子网 IP 地址必须与端点类型相匹配。

IP 地址

您要分配到入站端点的 IP 地址。

选择是希望 VPC 解析器从指定子网中的可用 IP 地址中为您选择 IP 地址,还是要自己指定 IP 地址。

如果选择自行指定 IP 地址,请输入 IPv4 和/或 IPv6 地址。

协议

端点协议确定如何将数据传输到入站端点。根据所需的安全级别选择一个或多个协议。

  • Do53:(默认)使用 Route 53 VPC 解析器中继数据,无需额外加密。虽然外部各方无法读取数据,但可以在 AWS 网络内查看。这是目前唯一可用于委托入站端点类别的协议。

  • DoH:通过加密的 HTTPS 会话传输数据。DoH 可提升安全性,其中未经授权的用户无法解密数据,并且除预期接收方外,任何人都无法读取数据。

  • DoH-FIPS:数据通过符合 FIPS 140-2 加密标准的加密 HTTPS 会话传输。仅入站端点支持 有关更多信息,请参阅 FIPS PUB 140-2

    注意

    对于 DoH/DoH-FIPS 入站终端节点,存在已知问题,即在 VPC 解析器查询日志中发布的源 IP 不正确。

对于入站端点,可以按以下方式应用协议:

  • 结合使用 Do53 和 DoH。

  • Do53 然后组合使用 DoH-FIPS 。

  • 单独使用 Do53。

  • 单独使用 DoH。

  • DoH-FIPS 独自一人。

  • 无,即视为 Do53。

重要

您不能将入站终端节点的协议直接从仅 Do53 更改为仅 DoH,或者。 DoH-FIPS这是为了防止依赖于 Do53 的传入流量突然中断。要将协议从 Do53 更改为 DoH,或者 DoH-FIPS,必须先启用 Do53 和 DoH,或 Do53 和 DoH-FIPS,以确保所有传入流量都已传输到使用 DoH 协议或 DoH-FIPS,然后删除 Do53。

DNS64

启用 DNS64 以允许 VPC 解析器合成服务的 AAAA (IPv6) 记录。IPv4-only 当 IPv6-only 客户端查询没有 IPv6 地址的服务时,VPC 解析器通过在 IPv4 地址前面添加众所周知64:ff9b::/96的前缀来合成一个 IPv6 地址。这使通过入站端点发送查询的 IPv6-only客户端能够访问 IPv4-only服务。DNS64 与 NAT64 配合使用以提供完整的 IPv6-to-IPv4翻译。

有关更多信息,请参阅 Amazon VPC 用户指南中的 DNS64 和 NAT64

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456