将出站DNS查询转发到您的网络 - Amazon Route 53
配置出站转发创建或编辑出站端点时指定的值创建或编辑规则时指定的值

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将出站DNS查询转发到您的网络

要将来自一个或多个 Amazon EC2 实例的DNS查询转发VPCs到您的网络,您需要创建一个出站终端节点和一条或多条规则:

出站端点

要将您的DNS查询转发VPCs到您的网络,您需要创建一个出站终端节点。出站端点指定发起查询的 IP 地址。您从可用的 IP 地址范围内选择的这些 IP 地址不是公有 IP 地址。VPC这意味着,对于每个出站端点,您需要使用 AWS Direct Connect 连接、连接或网络地址转换 (NAT) 网关将您的网络连接到您的网络。VPC VPN请注意,您可以为同一区域的多个VPCs出站终端节点使用相同的出站终端节点,也可以创建多个出站终端节点。如果您希望使用您的出站终端节点DNS64,则可以DNS64使用 Amazon Virtual Private Cloud 启用。有关更多信息,请参阅 Amazon VPC 用户指南NAT64中的DNS64和

Route 53 Resolver 规则中的目标 IP 由 Resolver 随机选择,其在选择特定目标 IP 上没有偏好。如果目标 IP 未响应转发的DNS请求,则解析器将重试目标中的随机 IP 地址。IPs

确保所有目标 IP 地址都可以从解析器端点访问。如果 Resolver 无法将出站DNS查询转发到任何目标 IP,则可能会导致解DNS析时间延长。

规则

要指定要转发给网络上DNS解析者的查询的域名,您需要创建一个或多个规则。每个规则指定一个域名。然后,您可以将规则与要将VPCs查询转发到您的网络的规则相关联。

有关更多信息,请参阅以下主题:

配置出站转发

要将 Resolver 配置为将来自您的DNS查询转发VPC到您的网络,请执行以下步骤。

重要

创建出站终端节点后,必须创建一个或多个规则并将其与一个或多个规则相关联VPCs。规则指定您要转发到您的网络的DNS查询的域名。

创建出站端点

  1. 登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Outbound endpoints (出站端点)

  3. 在导航栏上,选择您要在其中创建出站端点的区域。

  4. 选择 Create outbound endpoint (创建出站端点)

  5. 输入适用的值。有关更多信息,请参阅 创建或编辑出站端点时指定的值

  6. 选择创建

    注意

    创建出站端点仅需一两分钟。在第一个出站端点创建完成之前,您无法创建另一个出站端点。

  7. 创建一条或多条规则来指定要转发到网络的DNS查询的域名。有关该过程的更多信息,请参阅接下来的步骤。

要创建一个或多个转发规则,请执行以下步骤。

创建转发规则并将这些规则与一个或多个规则关联 VPCs

  1. 登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择规则

  3. 在导航栏上,选择您想要在其中创建规则的区域。

  4. 选择创建规则

  5. 输入适用的值。有关更多信息,请参阅 创建或编辑规则时指定的值

  6. 选择保存

  7. 要添加其它规则,请重复步骤 4 到 6。

创建或编辑出站端点时指定的值

创建或编辑出站端点时,您指定以下值:

Outpost ID

如果您要在上为解析器创建终端节点 AWS Outposts VPC,则这是 AWS Outposts ID。

端点名称

可在控制面板上轻松找到出站端点的友好名称。

VPC在区域名称区域

所有出站DNS查询都将在通往您的网络的VPC途中流经此处。

此端点的安全组

您要用来控制访问权限的一个或多个安全组的 ID VPC。所指定的安全组必须包含一个或多个出站规则。出站规则必须允许TCP并UDP访问您在网络上用于DNS查询的端口。创建端点后,您无法再更改此值。

某些安全组规则会导致连接受到跟踪,并可能影响每秒内从出站端点到目标名称服务器发出的最大查询次数。为避免安全组导致的连接跟踪,请参阅未跟踪的连接

有关更多信息,请参阅 Amazon VPC 用户指南VPC中的适用于您的安全组

端点类型

端点类型可以是IPv4IPv6、或双栈 IP 地址。对于双栈终端节点,该终端节点将同时包含IPv4和IPv6地址,您的网络上的DNS解析器可以将DNS查询转发到该地址。

注意

出于安全考虑,我们拒绝所有双栈和 IPv6 IP 地址的直接IPv6流量访问公共互联网。

IP 地址

您VPC希望解析器在将DNS查询转发给您网络上的解析器时向其转发的 IP 地址。这些不是网络上DNS解析器的 IP 地址;您在创建与一个或多个关联的规则时指定解析器 IP 地址。VPCs您必须至少指定两个 IP 地址,以实现冗余配置。

注意

Resolver 端点具有私有 IP 地址。这些 IP 地址在端点的生命周期内不会发生变化。

请注意以下几点:

多个可用区域

我们建议您在至少两个可用区中指定 IP 地址。您可以选择在这些可用区或其他可用区中指定其他 IP 地址。

IP 地址和 Amazon VPC 弹性网络接口

对于您指定的可用区、子网和 IP 地址的每种组合,Resolver 都会创建一个 Amazon VPC 弹性网络接口。有关终端节点中每个 IP 地址每秒的最大DNS查询数,请参阅Route 53 Resolver 的配额。有关每个弹性网络接口定价的信息,请参阅 Amazon Route 53 定价页面上的“Amazon Route 53”。

IP 地址的顺序

您可以按任意顺序指定 IP 地址。转发DNS查询时,Resolver 不会根据 IP 地址的列出顺序选择 IP 地址。

对于每个 IP 地址,指定以下值。每个 IP 地址都必须位于您在区域名称区域VPC中指定的可用区中。VPC

可用区

您希望DNS查询在进入网络的途中经过的可用区。您指定的可用区必须配置有子网。

子网

子网,其中包含您希望在进入网络的途中进行DNS查询的 IP 地址。子网必须具有一个可用 IP 地址。

子网 IP 地址必须与端点类型相匹配。

IP 地址

在进入网络的途中,您希望从中发起DNS查询的 IP 地址。

选择您希望 Resolver 从指定子网的可用 IP 地址中为您选择一个 IP 地址,还是希望自行指定 IP 地址。

如果您选择自己指定 IP 地址,请输入IPv4或IPv6地址,或同时输入两者。

协议

端点协议决定如何从出站端点传输数据。根据所需的安全级别选择一个或多个协议。

  • Do53:(默认)使用 Route 53 Resolver 中继数据,无需额外加密。虽然外部各方无法读取数据,但可以在 AWS 网络内查看该数据。

  • DoH:数据通过加密HTTPS会话传输。DoH 可提升安全性,其中未经授权的用户无法解密数据,并且除预期接收方外,任何人都无法读取数据。

对于出站端点,可以按以下方式应用协议:

  • 结合使用 Do53 和 DoH。

  • 单独使用 Do53。

  • 单独使用 DoH。

  • 无,即视为 Do53。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456

创建或编辑规则时指定的值

创建或编辑转发规则时,您指定以下值:

Rule name(规则名称)

通过友好名称可在控制面板上轻松找到规则。

Rule type

选择适用的值:

  • 转发-当您想要将对指定域名的DNS查询转发给网络上的解析器时,请选择此选项。

  • 系统 — 当您希望 Resolver 选择地覆盖转发规则中定义的行为时,请选择此选项。创建系统规则时,Resolver 会解析对指定子域名的DNS查询,否则这些查询将由网络上的DNS解析器解析。

默认情况下,转发规则会应用到一个域名及其所有子域。如果您希望将对某个域的查询转发到您网络上的解析程序,但不想为某些子域转发查询,则为这些子域创建系统规则。例如,如果您为 example.com 创建一个转发规则,但不希望转发针对 acme.example.com 的查询,则可以创建系统规则,为域名指定 acme.example.com。

VPCs那些使用这条规则的人

使用VPCs此规则转发对指定域名或名称的DNS查询。您可以根据需要将规则应用于VPCs任意数量。

域名

DNS对此域名的查询会转发到您在目标 IP 地址中指定的 IP 地址。有关更多信息,请参阅 Resolver 如何确定查询中的域名是否与任何规则匹配

出站端点

解析器通过您在此处指定的出站终端节点将DNS查询转发到您在目标 IP 地址中指定的 IP 地址。

目标 IP 地址

当DNS查询与您在名中指定的名称相匹配时,出站终端节点会将查询转发到您在此处指定的 IP 地址。这些通常是您网络上DNS解析器的 IP 地址。

Target IP addresses (目标 IP 地址) 仅在 Rule type (规则类型) 的值为 Forward (转发) 时可用。

指定IPv4要用于终端节点IPv6的地址、协议和 ServerNameIndication 协议。 ServerNameIndication 仅当所选协议为 DoH 时才适用。

不支持通过出站终端节点解析您网络上的 DoH 解析器的目标 IP 地址。FQDN出站端点需要有网络上 DoH 解析程序的目标 IP 地址才能转发 DoH 查询。如果您网络上的 DoH 解析器需要HTTP主机标头FQDN中的 TLSSNI,ServerNameIndication 则必须提供。

ServerNameIndication

想要转发查询的目标 DoH 服务器的服务器名称指示。此选项仅用于协议为 DoH 的情况。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456

这些是 AWS Billing and Cost Management 用于整理 AWS 账单的标签。有关对成本分配使用标签的更多信息,请参阅 AWS Billing 用户指南中的使用成本分配标签