將傳出DNS查詢轉送至您的網路 - Amazon Route 53
設定傳出轉送當您建立或編輯傳出端點時所指定的值當您建立或編輯規則時所指定的值

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將傳出DNS查詢轉送至您的網路

若要將源自一個或多個網路中 Amazon EC2執行個體的DNS查詢轉送VPCs至您的網路,您可以建立傳出端點和一或多個規則:

傳出端點

若要將DNS查詢從 轉送VPCs至您的網路,您可以建立傳出端點。傳出端點會指定查詢的來源 IP 地址。您從 可用的 IP 地址範圍中選擇的 IP 地址VPC不是公有 IP 地址。這表示,對於每個傳出端點,您需要使用 AWS Direct Connect 連線、VPN連線或網路地址轉譯 (NAT) 閘道將 VPC連線至您的網路。請注意,您可以將相同的傳出端點用於相同區域中VPCs的多個,也可以建立多個傳出端點。如果您想要傳出端點使用 DNS64,您可以使用 DNS64 Amazon Virtual Private Cloud 啟用 。如需詳細資訊,請參閱 Amazon 使用者指南中的 DNS64和 NAT64 VPC

來自 Route 53 Resolver 規則的目標 IP 由 Resolver 隨機選擇,沒有偏好選擇特定的目標 IP。如果目標 IP 未回應轉送的DNS請求,解析程式將在目標 之間重試隨機 IP 地址IPs。

規則

若要指定要轉送至網路上DNS解析器的查詢網域名稱,您可以建立一或多個規則。每項規則指定一個網域名稱。然後,您將規則與您要將查詢轉送至網路VPCs的 建立關聯。

如需詳細資訊,請參閱下列主題:

設定傳出轉送

若要設定 Resolver 將源自 的DNS查詢轉送VPC至您的網路,請執行下列程序。

重要

建立傳出端點之後,您必須建立一或多個規則,並將其與一或多個 建立關聯VPCs。規則會指定您要轉送至網路的DNS查詢網域名稱。

建立傳出端點

  1. 登入 AWS Management Console 並在 開啟 Route 53 主控台https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇 Outbound endpoints (傳出端點)

  3. 在導覽列上,選擇您要建立傳出端點的區域。

  4. 選擇 Create outbound endpoint (建立傳出端點)

  5. 輸入適用的值。如需詳細資訊,請參閱當您建立或編輯傳出端點時所指定的值

  6. 選擇 Create (建立)。

    注意

    建立傳出端點需要幾分鐘。在第一個傳出端點建立完成前,您無法建立另一個。

  7. 建立一或多個規則,以指定您要轉送至網路之DNS查詢的網域名稱。如需詳細資訊,請參閱下一程序。

若要建立一或多項轉送規則,請執行以下程序。

建立轉送規則,並將規則與一或多個規則建立關聯 VPCs

  1. 登入 AWS Management Console 並在 開啟 Route 53 主控台https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇規則

  3. 在導覽列上,選擇您建立規則的區域。

  4. 選擇建立規則

  5. 輸入適用的值。如需詳細資訊,請參閱當您建立或編輯規則時所指定的值

  6. 選擇 Save (儲存)。

  7. 若要新增另一個規則,請重複步驟 4 至 6。

當您建立或編輯傳出端點時所指定的值

當您建立或編輯傳出端點時,請指定下列值:

Outpost ID

如果您在 上為解析程式建立端點 AWS Outposts VPC,則這是 AWS Outposts ID。

Endpoint name (端點名稱)

易記的名稱可讓您在儀表板中輕鬆找出傳出端點。

VPC 在區域名稱區域中

所有傳出DNS查詢都會在傳送至您網路VPC的途中通過。

此端點的安全群組

您要用來控制此 存取權的一或多個安全群組的 IDVPC。您指定的安全群組必須包含一或多項傳出規則。傳出規則必須允許 TCP和 UDP存取您用於網路上DNS查詢的連接埠。您無法在建立端點之後變更此值。

某些安全群組規則將導致追蹤您的連線,並可能影響從傳出端點到目標名稱伺服器的每秒最大查詢數。若要避免安全群組造成的連線追蹤,請參閱未追蹤連線

如需詳細資訊,請參閱 Amazon VPC使用者指南 中的 安全群組VPC

端點類型

端點類型可以是 IPv4、 IPv6或 雙堆疊 IP 地址。對於雙堆疊端點,端點將同時具有 IPv4和 IPv6地址,而您網路上的DNS解析器可以轉送DNS查詢。

注意

基於安全考量,我們拒絕所有雙堆疊和 IPv6 IP 地址直接存取公有網際網路的IPv6流量。

IP 地址

VPC 您希望 Resolver 在網路上將DNS查詢轉送至解析器的 中 IP 地址。這些不是網路上DNS解析程式的 IP 地址;當您建立與一或多個 相關聯的規則時,您可以指定解析程式 IP 地址VPCs。我們需要您至少指定兩個 IP 地址以供備援使用。

注意

Resolver 端點具有私有 IP 地址。這些 IP 位址在端點的生命週期中不會變更。

注意下列事項:

多個可用區域

建議您至少在兩個可用區域中指定 IP 地址。您可以在那些或其他可用區域選擇性指定其他 IP 地址。

IP 地址和 Amazon VPC彈性網路介面

對於您指定的每個可用區域、子網路和 IP 地址組合,Resolver 會建立 Amazon VPC彈性網路介面。如需端點中每個 IP 地址DNS每秒查詢的最大數量,請參閱 Route 53 Resolver 的配額。如需每個彈性網路介面的定價的相關資訊,請參閱 Amazon Route 53 定價頁面上的「Amazon Route 53」。

IP 地址的順序

您可以依任何順序指定 IP 地址。轉送DNS查詢時,Resolver 不會根據列出 IP 地址的順序選擇 IP 地址。

針對每個 IP 地址,指定以下值。每個 IP 地址都必須位於VPC您在VPC區域名稱區域 中指定的可用區域中

可用區域

您希望DNS查詢在路徑中傳遞至網路的可用區域。您指定的可用區域必須設定子網路。

子網路

包含您要DNS查詢從中發起到網路之 IP 地址的子網路。子網路必須有可用的 IP 地址。

子網路 IP 地址必須符合端點類型

IP 地址

您希望DNS查詢從 發出到網路的 IP 地址。

選擇要讓 Resolver 從指定之子網路的可用 IP 地址當中為您選擇 IP 地址,還是您想要自己指定 IP 地址。

如果您選擇自行指定 IP 地址,請輸入 IPv4或 IPv6地址,或同時輸入兩者。

通訊協定

端點協定確定如何從傳出端點傳輸資料。根據所需的安全層級,選擇協定。

  • Do53: (預設值) 透過使用 Route 53 Resolver 轉送資料,而無需額外加密。雖然外部各方無法讀取資料,但可以在 AWS 網路內檢視資料。

  • DoH :資料會透過加密HTTPS工作階段傳輸。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。

對於傳出端點,您可以按如下方式套用協定:

  • Do53 和 DOH 組合。

  • 單獨 Do53。

  • 單獨 DoH。

  • 無,視為 Do53。

標籤

指定一或多個金鑰和對應的值。例如,您可以為 Key (金鑰) 指定 Cost center (成本中心),為 Value (值) 指定 456

當您建立或編輯規則時所指定的值

當您建立或編輯轉送規則時,請指定下列值:

規則名稱

易記的名稱可讓您在儀表板中輕鬆找出規則。

規則類型

請選擇適用的值:

  • 轉送 – 當您想要將指定網域名稱的DNS查詢轉送至網路上的解析器時,請選擇此選項。

  • System (系統) – 當您希望 Resolver 選擇性地覆寫轉送規則中定義的行為時,請選擇此選項。當您建立系統規則時,Resolver 會解析網路上DNS解析者原本會解決的指定子網域的DNS查詢。

根據預設,轉送規則適用於網域名稱及其所有子網域。如果您想要將網域查詢轉送到網路的解析程式,但不想轉送某些子網域的查詢,您可以建立針對子網域的系統規則。例如,如果您為 example.com 建立了轉送規則,但不想轉送 acme.example.com 的查詢,您可以建立一項系統規則,並指定 acme.example.com 為網域名稱。

VPCs 使用此規則

VPCs 使用此規則轉送指定網域名稱或名稱的DNS查詢。您可以視需要將規則套用至 VPCs 。

網域名稱

DNS 此網域名稱的查詢會轉送到您在目標 IP 地址 中指定的 IP 地址。如需詳細資訊,請參閱Resolver 如何判斷查詢中的網域名稱是否符合任何規則

傳出端點

Resolver 透過您在此處指定的傳出端點,將DNS查詢轉送到您在目標 IP 地址 中指定的 IP 地址

目標 IP 地址

當DNS查詢符合您在網域名稱 中指定的名稱時,傳出端點會將查詢轉送到您在此處指定的 IP 地址。這些通常是您網路上DNS解析器的 IP 地址。

目標 IP 地址僅在 Rule type (規則類型) 值是 Forward (轉送) 時才可用。

指定 IPv4 或 IPv6 地址、通訊協定 ServerNameIndication ,以及您要用於端點的 。ServerNameIndication 僅適用於選取的通訊協定為 DoH 時。

不支援透過傳出端點解析網路上 DoH 解析器 FQDN 的目標 IP 地址。傳出端點需要網路上 DoH 解析程式的目標 IP 地址,才能將 DoH 查詢轉送至 。如果網路上的 DoH 解析器需要 FQDN TLSSNI和HTTP主機標頭中的 ,ServerNameIndication 則必須提供 。

ServerNameIndication

您要轉送查詢之 DoH 伺服器的伺服器名稱指示。這只會在通訊協定為 DoH 時使用。

標籤

指定一或多個金鑰和對應的值。例如,您可以為 Key (金鑰) 指定 Cost center (成本中心),為 Value (值) 指定 456

這些是 AWS Billing and Cost Management 提供組織 AWS 帳單的標籤。如需有關使用成本配置標籤的詳細資訊,請參閱 AWS Billing 使用者指南中的使用成本分配標籤