本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立傳入和傳出端點時的注意事項
<a name="resolver-choose-vpc"></a>

在 AWS 區域中建立傳入和傳出解析程式端點之前，請考慮下列問題。

**Topics**
+ [每個 區域中的傳入和傳出端點數量](#resolver-considerations-number-of-endpoints)
+ [針對傳入和傳出端點使用相同的 VPC](#resolver-considerations-same-vpc-inbound-outbound)
+ [傳入端點和私有託管區域](#resolver-considerations-inbound-endpoint-private-zone)
+ [VPC 對等互連](#resolver-considerations-vpc-peering)
+ [共用子網路中的 IP 位址](#resolver-considerations-shared-subnets)
+ [在您的網路和您建立端點的 VPC 之間的連線](#resolver-considerations-connection-between-network-and-vpcs)
+ [當您共用規則時，您也會共用傳出端點](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [選擇端點的協定](#resolver-endpoint-protocol-considerations)
+ [在為專用執行個體租用設定的 VPCs中使用 VPC Resolver](#resolver-considerations-dedicated-instance-tenancy)

## 每個 區域中的傳入和傳出端點數量
<a name="resolver-considerations-number-of-endpoints"></a>

當您想要將 AWS 區域中 VPCs的 DNS 與網路的 DNS 整合時，通常需要一個解析程式傳入端點 （適用於轉送至 VPCs 的 DNS 查詢） 和一個傳出端點 （適用於從 VPCs至網路的查詢）。您可以建立多個傳入端點和多個傳出端點，但一個傳入或傳出端點就足夠處理每一相應方向的 DNS 查詢。注意下列事項：
+ 對於每個 Resolver 端點，您需要指定位於不同可用區域的兩個或更多個 IP 地址。端點中的每個 IP 地址每秒可以處理大量的 DNS 查詢。(如需了解端點中每個 IP 地址每秒的查詢次數的目前上限，請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。) 如果您需要 VPC Resolver 來處理更多查詢，您可以將更多 IP 地址新增至現有端點，而不是新增另一個端點。
+ VPC Resolver 定價是根據端點中的 IP 地址數量，以及端點處理的 DNS 查詢數量。每個端點包含至少兩個 IP 地址。如需 VPC Resolver 定價的詳細資訊，請參閱 [Amazon Route 53 定價](https://aws.amazon.com/route53/pricing/)。
+ 每個規則指定 DNS 查詢轉送自哪個傳出端點。如果您在 AWS 區域中建立多個傳出端點，並且想要將部分或全部 Resolver 規則與每個 VPC 建立關聯，您需要建立這些規則的多個副本。

## 針對傳入和傳出端點使用相同的 VPC
<a name="resolver-considerations-same-vpc-inbound-outbound"></a>

您可以在相同 VPC 中或相同區域中的不同 VPC 中建立傳入和傳出端點。

如需詳細資訊，請參閱[Amazon Route 53 的最佳實務](best-practices.md)。

## 傳入端點和私有託管區域
<a name="resolver-considerations-inbound-endpoint-private-zone"></a>

如果您希望 VPC Resolver 使用私有託管區域中的記錄來解析傳入 DNS 查詢，請將私有託管區域與您建立傳入端點的 VPC 建立關聯。如需有關將私有託管區域與 VPC 建立關聯的詳細資訊，請參閱 [使用私有託管區域](hosted-zones-private.md)。

## VPC 對等互連
<a name="resolver-considerations-vpc-peering"></a>

無論您選擇的 VPC 是否與其他 VPC 對等互連，您都可以將 AWS 區域中的任何 VPCs 用於傳入或傳出端點。如需詳細資訊，請參閱 [Amazon Virtual Private Cloud VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)。

## 共用子網路中的 IP 位址
<a name="resolver-considerations-shared-subnets"></a>

當您建立傳入或傳出端點時，只有在目前帳戶建立 VPC 時，才能在共用子網路中指定 IP 地址。如果另一個帳戶建立 VPC 並與您的帳戶共用 VPC 中的子網路，則您無法在該子網路中指定 IP 地址。如需共用子網路的詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[使用共用 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。

## 在您的網路和您建立端點的 VPC 之間的連線
<a name="resolver-considerations-connection-between-network-and-vpcs"></a>

在您的網路和您建立端點的 VPC 之間，您必須有以下其中一個連線：
+ **傳入端點** – 您必須在網路和每個建立了傳入端點的 VPC 間設定 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 連線或 [VPN 連接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。
+ **傳出端點** – 在您的網路和您建立傳出端點的每個 VPC 之間，您必須設定 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 連線、[VPN 連接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)或[網路位址轉譯 (NAT) 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。

## 當您共用規則時，您也會共用傳出端點
<a name="resolver-considerations-share-rules-share-outbound-endpoints"></a>

建立規則時，您可以指定您希望 VPC Resolver 用來將 DNS 查詢轉送至網路的傳出端點。如果您與其他 AWS 帳戶共用規則，也會間接共用您在規則中指定的傳出端點。如果您使用多個 AWS 帳戶在 AWS 區域中建立 VPCs，您可以執行下列動作：
+ 在該區域中建立一個傳出端點。
+ 使用一個 AWS 帳戶建立規則。
+ 與在 區域中建立 VPCs的所有 AWS 帳戶共用規則。

這可讓您使用區域中的一個傳出端點，從多個 VPCs 將 DNS 查詢轉送至您的網路，即使 VPCs是使用不同的 AWS 帳戶建立。

## 選擇端點的協定
<a name="resolver-endpoint-protocol-considerations"></a>

端點協定確定如何將資料傳輸至傳入端點以及從傳出端點傳輸資料。不需要加密 VPC 流量的 DNS 查詢，因為網路上的每個封包流程都根據規則個別授權，以在傳輸和交付之前驗證正確的來源和目的地。未同時經傳輸和接收實體明確授權，資訊在實體之間任意傳遞的可能性極小。如果封包路由至目的地時沒有與其相符的規則，則此封包會捨棄。如需詳細資訊，請參閱 [VPC 功能](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html)。

可用的通訊協定包括：
+ **Do53：**透過連接埠 53 的 DNS。使用 VPC Resolver 轉送資料，無需額外加密。雖然外部方無法讀取資料，但可以在 AWS 網路中檢視。使用 UDP 或 TCP 傳送封包。Do53 主要用於 Amazon VPC 內部和之間的流量。目前，這是唯一可用於委派傳入端點的通訊協定。
+ **DoH：**透過加密的 HTTPS 工作階段傳輸資料。DoH 新增了額外的安全層級，未經授權的使用者無法解密資料，並且除預期收件人之外的任何人都無法讀取資料。不適用於委派傳入端點。
+ **DoH-FIPS：**透過符合 FIPS 140-2 密碼編譯標準的加密 HTTPS 工作階段傳輸資料。僅支援傳入端點。如需詳細資訊，請參閱 [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)。不適用於委派傳入端點。

對於**轉送**類型的傳入端點，您可以套用通訊協定，如下所示：
+  Do53 和 DOH 組合。
+ Do53 和 DoH-FIPS 組合。
+ 單獨 Do53。
+ 單獨 DoH。
+ 單獨 DoH-FIPS。
+ 無，視為 Do53。

對於傳出端點，您可以按如下方式套用協定：
+  Do53 和 DOH 組合。
+ 單獨 Do53。
+ 單獨 DoH。
+ 無，視為 Do53。

另請參閱 [當您建立或編輯傳入端點時所指定的值](resolver-forwarding-inbound-queries-values.md) 和 [當您建立或編輯傳出端點時所指定的值](resolver-forwarding-outbound-queries-endpoint-values.md)。

## 在為專用執行個體租用設定的 VPCs中使用 VPC Resolver
<a name="resolver-considerations-dedicated-instance-tenancy"></a>

建立 Resolver 端點時，您無法指定[執行個體租用屬性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)設定為 `dedicated` 的 VPC。VPC Resolver 不會在單一租用戶硬體上執行。

您仍然可以使用 VPC Resolver 來解析源自 VPC 的 DNS 查詢。至少建立一個執行個體租用屬性設為 `default` 的 VPC ，並在建立傳入和傳出端點時指定該 VPC。

當您建立轉送規則時，可以將其與任何 VPC 建立關聯，無論該執行個體租用屬性的設定為何。