本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# VPC Resolver 的最佳實務
本節提供最佳化 Amazon Route 53 VPC Resolver 的最佳實務,涵蓋下列主題:
1. **使用解析程式端點避免迴圈組態:**
+ 確保相同的 VPC 未與解析程式規則及其傳入端點建立關聯,以防止路由迴圈。
+ 利用 AWS RAM 跨帳戶共用 VPCs同時維護適當的路由組態。
如需詳細資訊,請參閱[避免對 Resolver 端點使用迴圈組態](best-practices-resolver-endpoints.md)
1. **擴展解析程式端點:**
+ 實作安全群組規則,以允許以連線狀態為基礎的流量減少連線追蹤開銷
+ 遵循傳入和傳出解析程式端點的建議安全群組規則,將查詢輸送量最大化。
+ 監控產生 DNS 流量的唯一 IP 地址和連接埠組合,以避免容量限制。
如需詳細資訊,請參閱[Resolver 端點擴展](best-practices-resolver-endpoint-scaling.md)
1. **Resolver 端點的高可用性:**
+ 在至少兩個可用區域中建立 IP 地址的傳入端點以進行備援。
+ 佈建其他網路介面,以確保在維護或流量激增期間可用性
如需詳細資訊,請參閱[Resolver 端點的高可用性](best-practices-resolver-endpoint-high-availability.md)
1. **防止 DNS 區域行走攻擊:**
+ 請注意潛在的 DNS 區域行走攻擊,攻擊者會嘗試從 DNSSEC 簽署的 DNS 區域擷取所有內容。
+ 如果您的端點因為可疑的區域行走而遇到限流,請聯絡 AWS Support 尋求協助。
如需詳細資訊,請參閱[DNS 區域遍歷](best-practices-resolver-zone-walking.md)
透過遵循這些最佳實務,您可以最佳化 VPC Resolver 部署的效能、可擴展性和安全性,確保應用程式和資源的可靠且有效率 DNS 解析。
# 避免對 Resolver 端點使用迴圈組態
請勿將相同的 VPC 與 Resolver 規則及其傳入端點建立關聯 (無論是端點的直接目標,還是透過內部部署 DNS 伺服器)。當 Resolver 規則中的傳出端點指向與規則共用 VPC 的傳入端點時,可能會造成迴圈,其中查詢會持續在傳入端點和傳出端點之間傳遞。
轉送規則仍然可以使用 AWS Resource Access Manager () 與其他 帳戶共用的其他 VPCs 建立關聯AWS RAM。與樞紐或中央 VPC 相關聯的私有託管區域仍會從查詢解析到傳入端點,因為轉送解析程式規則不會變更此解決方案。
# Resolver 端點擴展
Resolver 端點安全群組使用連線追蹤來來收集傳入和流出端點的相關資訊。每個端點截面都有可以追蹤的連線數目上限,而且大量的 DNS 查詢可能會超過連線數,引發調節和查詢丟失。連線追蹤是監控流經安全群組 (SGs) 之流量狀態 AWS的預設行為。在 SGs 中使用連線追蹤將降低流量的輸送量,不過,您可以實作未追蹤的連線,以減少額外負荷並改善效能。如需詳細資訊,請參閱[未追蹤連線](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)。
如果使用限制性安全群組規則強制執行連線追蹤,或透過 Network Load Balancer 路由查詢 (請參閱[自動追蹤連線](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking)),端點的每個 IP 地址每秒的整體查詢上限可能低至 1500。
**傳入解析程式端點的傳入和傳出安全群組規則建議**
****
|
|
| **傳入規則** |
| --- |
| 通訊協定類型 | 連接埠號碼 | 來源 IP |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
| **輸出規則** |
| --- |
| 通訊協定類型 | 連接埠號碼 | 目標 IP |
| TCP | All | 0.0.0.0/0 |
| UDP | All | 0.0.0.0/0 |
**傳出解析程式端點的傳入和傳出安全群組規則建議**
****
|
|
| **傳入規則** |
| --- |
| 通訊協定類型 | 連接埠號碼 | 來源 IP |
| TCP | All | 0.0.0.0/0 |
| UDP | All | 0.0.0.0/0 |
| **輸出規則** |
| --- |
| 通訊協定類型 | 連接埠號碼 | 目標 IP |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
**注意**
**安全群組連接埠需求:**
**傳入端點**需要輸入規則,允許連接埠 53 上的 TCP 和 UDP 從網路接收 DNS 查詢。輸出規則可以允許所有連接埠,因為端點可能需要回應來自各種來源連接埠的查詢。
**傳出端點**需要輸出規則,允許 TCP 和 UDP 存取您用於網路上 DNS 查詢的連接埠。連接埠 53 如上述範例所示,因為它是最常見的 DNS 連接埠,但您的網路可能會使用不同的連接埠。輸入規則可以允許所有連接埠容納來自 DNS 伺服器的回應。
**傳入 Resolver 端點**
對於使用傳入 Resolver 端點的用戶端,如果您有超過 40,000 個唯一 IP 地址和連接埠組合產生 DNS 流量,彈性網路介面的容量就將受到影響。
# Resolver 端點的高可用性
當您建立 VPC Resolver 傳入端點時,Route 53 會要求您建立至少兩個 IP 地址,以便網路上的 DNS 解析程式將查詢轉送到這些地址。您也應該在至少兩個可用區域中指定 IP 地址以進行備援。
如果您需要多個始終可用的彈性網路介面端點,建議您至少建立一個超過所需的網路介面,以確保有額外的容量可用於處理可能的流量激增。額外的網路介面也可確保維護或升級等維修作業期間的可用性。
如需詳細資訊,請參閱此詳細的部落格文章:[如何使用 Resolver 端點和 實現 DNS 高可用性](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-achieve-dns-high-availability-with-route-53-resolver-endpoints/)[當您建立或編輯傳入端點時所指定的值](resolver-forwarding-inbound-queries-values.md)。
# DNS 區域遍歷
DNS 區域遍歷攻擊會嘗試從 DNSEC 簽署的 DNS 區域取得所有內容。如果 VPC Resolver 團隊偵測到流量模式符合在端點上行走 DNS 區域時產生的流量模式,服務團隊會調節端點上的流量。因此,您可能會觀察到高百分比的 DNS 查詢逾時。
如果您觀察到端點上的容量降低,並且認為端點已錯誤地進行調節,請前往 https://console.aws.amazon.com/support/home\$1/ 建立支援案例。