將傳入DNS查詢轉送至您的 VPCs - Amazon Route 53
設定傳入轉送當您建立或編輯傳入端點時所指定的值

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將傳入DNS查詢轉送至您的 VPCs

若要將DNS查詢從網路轉送至 Resolver,您可以建立傳入端點。傳入端點會指定您要網路上DNS解析程式轉送DNS查詢的 IP 地址 (從 可用的 IP 地址範圍VPC)。這些 IP 地址不是公有 IP 地址,因此對於每個傳入端點,您需要使用 AWS Direct Connect 連線或VPN連線將 VPC連線到您的網路。

設定傳入轉送

若要建立傳入端點,請執行下列程序。

建立傳入端點

  1. 登入 AWS Management Console 並在 開啟 Route 53 主控台https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇 Inbound endpoints (傳入端點)

  3. 在導覽列上,選擇您要建立傳入端點的區域。

  4. 選擇 Create inbound endpoint (建立傳入端點)

  5. 輸入適用的值。如需詳細資訊,請參閱當您建立或編輯傳入端點時所指定的值

  6. 選擇 Create (建立)。

  7. 設定網路上的DNS解析器,將適用的DNS查詢轉送至傳入端點的 IP 地址。如需詳細資訊,請參閱DNS應用程式的文件。

當您建立或編輯傳入端點時所指定的值

當您建立或編輯傳入端點時,請指定下列值:

Outpost ID

如果您要在 上為解析程式建立端點 AWS Outposts VPC,則這是 AWS Outposts ID。

Endpoint name (端點名稱)

易記的名稱可讓您在儀表板中輕鬆找出傳入端點。

VPC 在區域名稱區域中

來自您網路的所有傳入DNS查詢都會在傳送至解析程式VPC的途中傳遞。

此端點的安全群組

您要用來控制此 存取權的一或多個安全群組的 IDVPC。您指定的安全群組必須包含一或多個傳入規則。傳入規則必須在連接埠 53 上允許 TCP和 UDP存取。您無法在建立端點之後變更此值。

某些安全群組規則會導致追蹤您的連線,而且傳入端點的每個 IP 地址每秒的整體查詢上限可能低至 1500。若要避免安全群組造成的連線追蹤,請參閱未追蹤連線

注意

若要新增多個安全群組,請使用 AWS CLI 命令 create-resolver-endpoint。如需詳細資訊,請參閱 create-resolver-endpoint

如需詳細資訊,請參閱 Amazon VPC使用者指南 中的 安全群組VPC

端點類型

端點類型可以是 IPv4、 IPv6或 雙堆疊 IP 地址。對於雙堆疊端點,端點將同時具有 IPv4和 IPv6 地址,而您網路上的DNS解析器可以轉送DNS查詢。

注意

基於安全考量,我們拒絕所有雙堆疊和 IPv6 IP 地址從公有網際網路直接存取IPv6流量。

IP 地址

您希望網路上的DNS解析程式轉送DNS查詢的 IP 地址。我們需要您至少指定兩個 IP 地址以供備援使用。注意下列事項:

多個可用區域

建議您至少在兩個可用區域中指定 IP 地址。您可以在那些或其他可用區域選擇性指定其他 IP 地址。

IP 地址和 Amazon VPC彈性網路介面

對於您指定的每個可用區域、子網路和 IP 地址組合,Resolver 會建立 Amazon VPC彈性網路介面。如需端點中每個 IP 地址目前每秒DNS查詢的最大數量,請參閱 Route 53 Resolver 的配額。如需每個彈性網路介面的定價的相關資訊,請參閱 Amazon Route 53 定價頁面上的「Amazon Route 53」。

注意

Resolver 端點具有私有 IP 地址。這些 IP 位址在端點的生命週期中不會變更。

針對每個 IP 地址,指定以下值。每個 IP 地址都必須位於VPC您在VPC區域名稱區域 中指定的可用區域中

可用區域

您希望DNS查詢在過程中傳遞至 的可用區域VPC。您指定的可用區域必須設定子網路。

子網路

子網路,其中包含您想要指派給解析器端點 的 IP 地址ENIs。這些是您傳送DNS查詢的地址。子網路必須有可用的 IP 地址。

子網路 IP 地址必須符合端點類型

IP 地址

您要轉送DNS查詢的 IP 地址。

選擇要讓 Resolver 從指定之子網路的可用 IP 地址當中為您選擇 IP 地址,還是您想要自己指定 IP 地址。

如果您選擇自行指定 IP 地址,請輸入 IPv4或 IPv6 地址,或同時輸入兩者。

通訊協定

端點協定確定如何將資料傳輸至傳入端點。根據所需的安全層級,選擇協定。

  • Do53: (預設值) 透過使用 Route 53 Resolver 轉送資料,而無需額外加密。雖然外部各方無法讀取資料,但可以在 AWS 網路內檢視資料。

  • DoH :資料會透過加密HTTPS工作階段傳輸。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。

  • DoH -FIPS:資料會透過符合 140-2 FIPS 密碼編譯標準的加密HTTPS工作階段傳輸。僅支援傳入端點。如需詳細資訊,請參閱 FIPS PUB 140-2

對於傳入端點,您可以按如下方式套用協定:

  • Do53 和 DOH 組合。

  • Do53 和 DoH -FIPS 組合。

  • 單獨 Do53。

  • 單獨 DoH。

  • DoH -FIPS 單獨。

  • 無,視為 Do53。

重要

您無法將傳入端點的通訊協定直接從 Do53 變更為 DoH 或 DoH -FIPS。這是為了防止依賴 Do53 的傳入流量突然中斷。若要將通訊協定從 Do53 變更為 DoH 或 DoH -FIPS,您必須先啟用 Do53 和 DoH ,或 Do53 和 DoH -FIPS,以確保所有傳入流量都已使用 DoH 通訊協定或 DoH - 傳輸到 FIPS,然後移除 Do53。

標籤

指定一或多個金鑰和對應的值。例如,您可以為 Key (金鑰) 指定 Cost center (成本中心),為 Value (值) 指定 456