Resolver 的最佳實務 - Amazon Route 53

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Resolver 的最佳實務

本節提供最佳化 Amazon Route 53 Resolver 的最佳實務,涵蓋下列主題:

  1. 避免使用解析器端點的迴圈組態:

    • 通過確保相同VPC的路由循環不與解析器規則及其入站端點相關聯,以防止路由循環。

    • 利 AWS RAM 用VPCs跨帳戶共享,同時保持適當的路由配置。

    如需詳細資訊,請參閱 避免對 Resolver 端點使用迴圈組態

  2. 調整解析器端點的比例:

    • 實施允許基於連接狀態的流量的安全組規則,以減少連接跟踪開銷

    • 遵循輸入和輸出解析器端點的建議安全群組規則,以最大化查詢輸送量。

    • 監控產生DNS流量的唯一 IP 位址和連接埠組合,以避免容量限制。

    如需詳細資訊,請參閱 Resolver 端點擴展

  3. 解析器端點的高可用性:

    • 使用至少兩個可用區域中的 IP 位址建立輸入端點,以提供備援。

    • 佈建額外的網路介面,以確保維護或流量激增期間的可用性

    如需詳細資訊,請參閱 Resolver 端點的高可用性

  4. 防止DNS區域行走攻擊:

    • 請注意潛在的DNS區域行走攻擊,攻擊者會嘗試從 DNSSEC-signed DNS 區域擷取所有內容。

    • 如果您的端點因為可疑的區域行走而遭遇限制,請聯絡 Support 部門尋求 AWS 協助。

    如需詳細資訊,請參閱 DNS區域步行

透過遵循這些最佳實務,您可以最佳化 Route 53 解析器部署的效能、可擴充性和安全性,確保DNS解決應用程式和資源的可靠且有效率。