本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為 Amazon Route 53 運作狀態檢查設定路由器和防火牆規則
<a name="dns-failover-router-firewall-rules"></a>

當 Route 53 檢查端點的運作狀態時，會將 HTTP、HTTPS 或 TCP 請求傳送給您在建立運作狀態檢查時指定的 IP 地址和連接埠。若要讓運作狀態檢查成功，您的路由器和防火牆規則必須允許來自 Route 53 運作狀態檢查程式所使用 IP 地址的傳入流量。

如需 Route 53 運作狀態檢查程式、Route 53 名稱伺服器和其他 AWS 服務的目前 IP 地址清單，請參閱[Amazon Route 53 伺服器的 IP 地址範圍](route-53-ip-addresses.md)。

在 Amazon EC2 中，安全群組會作為防火牆。如需詳細資訊，請參閱[《Amazon EC2 使用者指南》中的 Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。若要設定安全群組以允許 Route 53 運作狀態檢查，您可以允許來自每個 IP 地址範圍的傳入流量，也可以使用 AWS受管字首清單。 *Amazon EC2 * 

若要使用 AWS受管字首清單，請修改安全群組以允許來自 的傳入流量`com.amazonaws.<region>.route53-healthchecks`，其中 `<region> `是 Amazon EC2 執行個體或資源 AWS 區域 的 。如果您使用 Route 53 運作狀態檢查來檢查 IPv6 端點，您也應該允許來自 `com.amazonaws.<region>.ipv6.route53-healthchecks` 的傳入流量。

如需 AWS受管字首清單的詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用 AWS受管字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)。

**重要**  
當您將 IP 地址新增至允許的 IP 地址清單時，請為您建立運作狀態檢查時指定的每個 AWS 區域新增 CIDR 範圍內的所有 IP 地址，以及全域 CIDR 範圍。您可能會看到運作狀態檢查請求只來自區域中的一個 IP 地址。不過，該 IP 地址可能隨時改變為該區域的另一個 IP 地址。  
 如果您想要確定同時包含目前和較舊的運作狀態檢查程式 IP 地址，請將所有 /26 和 /18 IP 地址範圍新增至允許清單。如需完整清單，請參閱 *AWS 一般參考* 中的 [AWS IP 地址範圍](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。  
當您將 AWS受管字首清單新增至傳入安全群組時，會自動新增所有必要的範圍。