本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是 Route 53 VPC Resolver?
Route 53 VPC Resolver 會以遞迴方式回應來自公開記錄、Amazon VPC 特定 DNS 名稱和 Amazon Route 53 私有託管區域的 AWS 資源的 DNS 查詢,且預設可在所有 VPCs 中使用。
**注意**
Route 53 VPC Resolver 先前稱為 Route 53 Resolver,但在引進 Route 53 Global Resolver 時重新命名。
Amazon VPC 會以 VPC\$12 IP 地址連線至 VPC 解析程式。此 VPC\$12 地址會連線至可用區域內的 VPC 解析程式。
VPC 解析程式會自動回答 DNS 查詢:
+ EC2 執行個體的本機 VPC 網域名稱 (例如,ec2-192-0-2-44.compute-1.amazonaws.com)。
+ 私有託管區域中的記錄 (例如,acme.example.com)。
+ 對於公有網域名稱,VPC Resolver 會對網際網路上的公有名稱伺服器執行遞迴查詢。
如果您的工作負載同時利用 VPC 和內部部署資源,則還需要解析內部部署託管的 DNS 記錄。同樣地,這些內部部署資源可能需要解析託管在其中的名稱 AWS。透過 Resolver 端點和條件式轉送規則,您可以解析內部部署資源與 VPC 之間的 DNS 查詢,以透過 VPN 或 Direct Connect (DX) 建立混合雲端設定。具體而言:
+ 傳入 Resolver 端點允許從內部部署網路或其他 VPC 向 VPC 進行 DNS 查詢。
+ 傳出 Resolver 端點允許從內部部署網路或其他 VPC 向 VPC 進行 DNS 查詢。
+ Resolver 規則可讓您為每個網域名稱建立一個轉送規則,並指定要將 DNS 查詢從 VPC 轉送至內部部署 DNS 解析器的網域名稱,以及從內部部署轉送至 VPC 的網域名稱。規則會直接套用至您的 VPC,並且可以在多個帳戶之間共用。
下圖顯示具有 Resolver 端點的混合式 DNS 解析。請注意,此圖表已簡化為僅顯示一個可用區域。
![\[概念圖顯示透過 Route 53 VPC Resolver 傳出端點從 VPC 到內部部署資料儲存的 DNS 查詢路徑,以及從網路傳入端點上 DNS 解析程式傳回 VPC 的路徑。\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/images/Resolver-routing.png)
此圖說明了下列步驟:
**傳出 (實心箭頭 1-5):**
1. Amazon EC2 執行個體需要將 DNS 查詢解析為 internal.example.com 的網域。授權 DNS 伺服器位於內部部署資料中心。此 DNS 查詢會傳送至連接到 VPC Resolver 的 VPC 中的 VPC\$12。
1. VPC Resolver 轉送規則設定為將查詢轉送至內部部署資料中心的 internal.example.com。
1. 查詢會轉送至傳出端點。
1. 傳出端點會透過 AWS 和資料中心之間的私有連線,將查詢轉送至內部部署 DNS 解析程式。連線可以是 Direct Connect 或 AWS Site-to-Site VPN,描述為虛擬私有閘道。
1. 內部部署 DNS 解析器會解析 internal.example.com 的 DNS 查詢,並透過相同的路徑反向傳回 Amazon EC2 執行個體的答案。
**傳入 (虛線箭頭 a–d):**
1. 內部部署資料中心的用戶端需要將 DNS 查詢解析為網域 dev.example.com AWS 的資源。它會將查詢傳送至內部部署 DNS 解析器。
1. 內部部署 DNS 解析器具有轉送規則,可將 dev.example.com 的查詢指向傳入端點。
1. 查詢會透過私有連線到達傳入端點,例如 Direct Connect 或 AWS Site-to-Site VPN,描述為虛擬閘道。
1. 傳入端點會將查詢傳送至 VPC Resolver,而 VPC Resolver 會解析 dev.example.com 的 DNS 查詢,並透過反向的相同路徑將答案傳回給用戶端。
**Topics**
+ [在 VPC 和您網路之間解析 DNS 查詢](resolver-overview-DSN-queries-to-vpc.md)
+ [Route 53 VPC Resolver 可用性和擴展](resolver-availability-scaling.md)
+ [開始使用 Route 53 VPC Resolver](resolver-getting-started.md)
+ [將傳入 DNS 查詢轉送到您的 VPC](resolver-forwarding-inbound-queries.md)
+ [將傳出 DNS 查詢轉送到您的網路](resolver-forwarding-outbound-queries.md)
+ [Resolver 委派規則教學課程](outbound-delegation-tutorial.md)
+ [在 Amazon Route 53 中啟用 DNSSEC 驗證](resolver-dnssec-validation.md)
# 在 VPC 和您網路之間解析 DNS 查詢
VPC Resolver 包含您設定的端點,以接聽對內部部署環境的 DNS 查詢。
**注意**
不支援從內部部署或其他 VPC DNS 伺服器轉送私有 DNS 查詢到任何 VPC CIDR \$1 2 地址,並可能導致不穩定的結果。建議您改為使用 Resolver 傳入端點。
您也可以設定轉送規則,在 VPC Resolver 與網路上的 DNS 解析程式之間整合 DNS 解析。*您的網路*可包含任何可從 VPC 連線的網路,例如以下項目:
+ VPC 本身
+ 另一個對等 VPC
+ AWS 使用 Direct Connect VPN 或網路位址轉譯 (NAT) 閘道連線至 的內部部署網路
開始轉送查詢前,請在連線的 VPC 中建立 Resolver 傳入及 (或) 傳出端點。這些端點提供輸入或輸出查詢的路徑:
**傳入端點:您網路上的 DNS 解析程式可以透過此端點將 DNS 查詢轉送至 Route 53 VPC Resolver**
傳入端點有兩種類型:轉送至 IP 地址**的預設傳入端點**,以及將 Route 53 私有託管區域中託管子網域的授權委派至 Route 53 VPC Resolver 的**委派傳入端點**。傳入端點可讓您的 DNS 解析程式輕鬆解析 AWS 資源的網域名稱,例如 Route 53 私有託管區域中的 EC2 執行個體或記錄。如需詳細資訊,請參閱[您網路上的 DNS 解析程式如何將 DNS 查詢轉送至解析程式端點](resolver-overview-forward-network-to-vpc.md)。
**傳出端點:VPC Resolver 會透過此端點,有條件地將查詢轉送至您網路上的解析程式**
若要轉送選取的查詢,您可以建立 Resolver 規則,而該規則指定您想要轉送之 DNS 查詢的網域名稱 (如 example.com),以及您要轉送查詢至網路上哪個 DNS 解析程式的 IP 位址。如果查詢符合多項規則 (example.com、acme.example.com),VPC Resolver 會選擇最符合的規則 (acme.example.com),並將查詢轉送至您在該規則中指定的 IP 位址。規則有三種類型:**轉送**、**系統和****委派**。如需詳細資訊,請參閱[Resolver 端點如何將 DNS 查詢從您的 VPCs轉送到您的網路](resolver-overview-forward-vpc-to-network.md)。
如同 Amazon VPC,VPC Resolver 是區域性的。在有 VPC 的每個區域中,您可以選擇將查詢從 VPC 轉送到網路 (對外查詢)、從網路轉送至 VPC (傳入查詢),或兩者皆選。
您無法在非您擁有的 VPC 中建立 Resolver 端點。只有 VPC 擁有者可以建立 VPC 層級的資源,例如傳入端點。
**注意**
建立 Resolver 端點時,您無法指定執行個體租用屬性設定為 `dedicated` 的 VPC。如需詳細資訊,請參閱[在為專用執行個體租用設定的 VPCs中使用 VPC Resolver](resolver-choose-vpc.md#resolver-considerations-dedicated-instance-tenancy)。
若要使用傳入或傳出轉送,請在您的 VPC 中建立 Resolver 端點。作為端點定義的一部分,您可以指定您要轉送傳入 DNS 查詢的 IP 地址或 DNS 委派,或您要傳出查詢來源的 IP 地址。對於您指定的每個 IP 地址和委派,VPC Resolver 會自動建立 VPC 彈性網路介面。
下圖顯示 DNS 查詢從您網路上的 DNS 解析程式到達 Route 53 Resolver 端點的路徑。
![\[此概念圖片顯示 DNS 查詢從您網路上的 DNS 解析程式到達 Route 53 Resolver 端點的路徑。\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/images/Resolver-inbound-endpoint.png)
下圖顯示 DNS 查詢從其中一個 VPC 中的 EC2 執行個體到達您網路上的 DNS 解析程式的路徑。jyo.example.com 網域使用轉送規則,而 ric.example.com 子網域已將轉送授權委派給 VPC Resolver。
![\[概念圖,顯示 DNS 查詢從網路到 Route 53 VPC Resolver 的路徑。\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/images/Resolver-outbound-endpoint.png)
如需 VPC 網路介面的概觀,請參閱 *Amazon VPC 使用者指南*中的[彈性網路介面](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)。
**主題**
+ [您網路上的 DNS 解析程式如何將 DNS 查詢轉送至解析程式端點](resolver-overview-forward-network-to-vpc.md)
+ [Resolver 端點如何將 DNS 查詢從您的 VPCs轉送到您的網路](resolver-overview-forward-vpc-to-network.md)
+ [建立傳入和傳出端點時的注意事項](resolver-choose-vpc.md)
# 您網路上的 DNS 解析程式如何將 DNS 查詢轉送至解析程式端點
若要將 DNS 查詢從網路轉送至 Route 53 VPC Resolver,請在 區域中建立傳入端點 AWS 。傳入端點有兩種類別:**預設**和**委派**。
**建立預設傳入端點的步驟**
1. 您可以在 VPC 中建立預設解析程式傳入端點,並指定網路上解析程式轉送 DNS 查詢的 IP 地址,以及包含允許連接埠 53 上 TCP 和 UDP 存取的傳入規則的 VPC 安全群組。如需說明,請參閱 [設定傳入轉送](resolver-forwarding-inbound-queries-configuring.md)。
對於您為傳入端點指定的每個 IP 地址,VPC Resolver 會在您建立傳入端點的 VPC 中建立 VPC 彈性網路介面。
1. 您在網路上設定解析程式,將適用網域名稱的 DNS 查詢轉送至您在傳入端點中指定的 IP 地址。如需詳細資訊,請參閱[建立傳入和傳出端點時的注意事項](resolver-choose-vpc.md)。
**以下是 VPC Resolver 如何透過預設傳入端點解析源自於您網路上的 DNS 查詢:**
1. 您網路上的 Web 瀏覽器或其他應用程式會為您轉送至 VPC Resolver 的網域名稱提交 DNS 查詢。
1. 您網路上的解析程式會將查詢轉送至傳入端點的 IP 地址。
1. 傳入端點會將查詢轉送至 VPC Resolver。
1. VPC Resolver 在內部或透過對公有名稱伺服器執行遞迴查詢,取得 DNS 查詢中網域名稱的適用值。
1. VPC Resolver 會將值傳回至傳入端點。
1. 傳入端點將值傳回您網路上的解析程式。
1. 您網路上的解析程式將值傳回應用程式。
1. 使用 VPC Resolver 傳回的值,應用程式會提交請求,例如 Amazon S3 儲存貯體中物件的請求。
**建立委派傳入端點的步驟**
1. 您可以在 VPC 中建立委派解析程式傳入端點。如需說明,請參閱 [設定傳入轉送](resolver-forwarding-inbound-queries-configuring.md)。
對於您為傳入端點指定的每個 IP 地址,VPC Resolver 會在您建立傳入端點的 VPC 中建立 VPC 彈性網路介面。
1. 您可以在網路上設定解析程式,將適用網域名稱的 DNS 查詢委派給 VPC Resolver。對於黏附記錄,您必須輸入傳入端點的 IP 地址。如需詳細資訊,請參閱[建立傳入和傳出端點時的注意事項](resolver-choose-vpc.md)。
**以下是 VPC Resolver 如何透過委派傳入端點解析源自您網路上的 DNS 查詢:**
1. 作為先決條件,您必須從內部部署委派在私有託管區域中託管的子網域。由於您要透過傳入委派端點委派子網域,因此您可以使用傳入端點 IP 地址做為要委派之子網域的黏附記錄。
**注意**
您可能還需要包含黏附記錄,以確保 DNS 查詢可解析。如果您將子網域委派給與父網域位於相同區域的名稱伺服器,則需要黏附記錄。
1. 您網路上的 Web 瀏覽器或其他應用程式會為您委派給 VPC Resolver 的網域名稱提交 DNS 查詢。
1. 您網路上的解析程式會將查詢轉送至傳入端點的 IP 地址。
1. 傳入端點會將查詢委派給 VPC Resolver。
1. VPC Resolver 會將地址 AWS 從私有託管區域傳回資源到傳入端點。
1. 傳入端點將值傳回您網路上的解析程式。
1. 您網路上的解析程式將值傳回應用程式。
1. 使用 VPC Resolver 傳回的值,應用程式會提交請求,例如 Amazon S3 儲存貯體中物件的請求。
建立傳入端點不會變更 VPC Resolver 的行為,只會提供從 AWS 網路外部位置到 VPC Resolver 的路徑。
# Resolver 端點如何將 DNS 查詢從您的 VPCs轉送到您的網路
當您想要將 DNS 查詢從 AWS 區域中一或多個 VPCs 中的 EC2 執行個體轉送到您的網路時,請執行下列步驟。
1. 您可以在 VPC 中建立解析程式傳出端點,並指定數個值:
+ 在前往網路解析程式途中,您希望 DNS 查詢通過的 VPC。
+ 包含傳出規則的 [VPC 安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html),允許連接埠 53 (或您用於網路上 DNS 查詢的連接埠) 上的 TCP 和 UDP 存取
對於您為傳出端點指定的每個 IP 地址,VPC Resolver 會在您指定的 VPC 中建立 Amazon VPC 彈性網路介面。如需詳細資訊,請參閱[建立傳入和傳出端點時的注意事項](resolver-choose-vpc.md)。
1. 您可以建立一或多個規則,指定您要委派給 VPC Resolver 轉送的 DNS 查詢網域名稱,或希望 VPC Resolver 轉送到您網路上的解析程式。對於轉送規則,您也可以指定解析程式的 IP 地址。如需詳細資訊,請參閱[使用規則來控制哪些查詢轉送到您的網路](resolver-overview-forward-vpc-to-network-using-rules.md)。
1. 建立每項規則與將 DNS 查詢轉送至網路之 VPC 的關聯。
# 使用規則來控制哪些查詢轉送到您的網路
規則會控制哪些 DNS 查詢解析程式端點轉送至您網路上的 DNS 解析程式,以及哪些查詢 VPC 解析程式自行回應。
有幾種方式可以分類規則。一種方法是以規則建立者為分類依據:
+ **自動定義規則** – VPC Resolver 會自動建立自動定義的規則,並將規則與您的 VPCs建立關聯。這些規則大多適用於 VPC Resolver 回答查詢 AWS的特定網域名稱。如需詳細資訊,請參閱[VPC Resolver 為 建立自動定義系統規則的網域名稱](resolver-overview-forward-vpc-to-network-autodefined-rules.md)。
+ **自訂規則** – 您建立自訂規則,並建立這些規則與 VPC 的關聯。目前,您可以建立兩種類型的自訂規則:**條件式轉送規則**,也稱為轉送規則和**委派規則**。**轉送**規則會導致 VPC Resolver 將 DNS 查詢從 VPCs 轉送到您網路上 DNS 解析程式的 IP 地址。
如果您為與自動定義規則相同的網域建立轉送規則,VPC Resolver 會根據轉送規則中的設定,將該網域名稱的查詢轉送至您網路上的 DNS 解析程式。
**委派規則**會使用委派規則中符合 NS 記錄的委派記錄轉送 DNS 查詢,以回應您網路上的解析程式。
另一個方法是依據操作內容分類規則:
+ **條件式轉送規則** – 當您想要將指定網域名稱的 DNS 查詢轉送到您網路的 DNS 解析程式時,建立條件式轉送規則 (也稱為轉送規則)。
+ **系統規則** – 系統規則會導致 VPC Resolver 選擇性地覆寫轉送規則中定義的行為。當您建立系統規則時,VPC Resolver 會解析指定子網域的 DNS 查詢,否則將由網路上的 DNS 解析程式解析。
根據預設,轉送規則適用於網域名稱及其所有子網域。如果您想要將網域查詢轉送到網路的解析程式,但不想轉送某些子網域的查詢,您可以建立針對子網域的系統規則。例如,如果您為 example.com 建立了轉送規則,但不想轉送 acme.example.com 的查詢,您可以建立一項系統規則,並指定 acme.example.com 為網域名稱。
+ **遞迴規則** – VPC Resolver 會自動建立名為 **Internet Resolver** 的遞迴規則。此規則會導致 Route 53 VPC Resolver 充當您未建立自訂規則且 VPC Resolver 未建立自動定義規則之任何網域名稱的遞迴解析程式。如需如何覆寫這種行為的資訊,請參閱本主題稍後的「將所有查詢轉送到您的網路」。
您可以建立套用到特定網域名稱 (您的或大多數 AWS 網域名稱)、公有 AWS 網域名稱或所有網域名稱的自訂規則。
**將特定網域名稱的查詢轉送到您的網路**
若要將 example.com 等特定網域名稱的查詢轉送到您的網路,您可以建立一項規則,指定該網域名稱。針對**轉送**規則,您也可以在網路上指定要轉送查詢的 DNS 解析程式 IP 地址,或針對**委派**規則建立委派記錄,以便將授權委派給現場部署解析程式。然後,建立每項規則與將 DNS 查詢轉送至網路之 VPC 的關聯。例如,您可以分別為 example.com、example.org 和 example.net 建立規則。然後,您可以使用任何組合將規則與 AWS 區域中VPCs 建立關聯。
**將 amazonaws.com 的查詢轉送至您的網路**
網域名稱 amazonaws.com 是 EC2 執行個體和 S3 儲存貯體等 AWS 資源的公有網域名稱。如果您想要將 amazonaws.com 的查詢轉送至您的網路,請建立規則、為網域名稱指定 amazonaws.com,並根據您想要使用的方法為規則類型指定**轉送**或**委派**。
即使您為 amazonaws.com 建立轉送規則,VPC Resolver 也不會自動轉送某些 amazonaws.com 子網域的 DNS 查詢。如需詳細資訊,請參閱[VPC Resolver 為 建立自動定義系統規則的網域名稱](resolver-overview-forward-vpc-to-network-autodefined-rules.md)。如需如何覆寫這種行為的資訊,請參閱接下來的「將所有查詢轉送到您的網路」。
**將所有查詢轉送到您的網路**
如果您想要將所有查詢轉送至您的網路,您可以建立一項規則,指定「.」(點) 為網域名稱,並建立規則與將所有 DNS 查詢轉送至網路之 VPC 的關聯。VPC Resolver 仍然不會將所有 DNS 查詢轉送到您的網路,因為在 外部使用 DNS 解析程式 AWS 會中斷某些功能。例如,某些內部 AWS 網域名稱具有無法從 外部存取的內部 IP 地址範圍 AWS。如需建立「.」規則後無法將查詢轉送到您網路的網域名稱清單,請參閱 [VPC Resolver 為 建立自動定義系統規則的網域名稱](resolver-overview-forward-vpc-to-network-autodefined-rules.md)。
不過,您可以停用反向 DNS 的自動定義系統規則,讓「.」規則將所有反向 DNS 查詢轉送至您的網路。如需如何關閉自動定義之規則的詳細資訊,請參閱 [在 VPC Resolver 中轉送反向 DNS 查詢的規則](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns)。
如果您想要嘗試將所有網域名稱的 DNS 查詢轉送至您的網路,包括預設排除轉送的網域名稱,您可以建立「.」規則,然後執行下列一項操作:
+ 將 VPC 的 `enableDnsHostnames` 標記設為 `false`
+ 為[VPC Resolver 為 建立自動定義系統規則的網域名稱](resolver-overview-forward-vpc-to-network-autodefined-rules.md)列出的網域名稱建立規則
如果您將所有網域名稱轉送到您的網路,包括 VPC Resolver 在您建立 "." 規則時排除的網域名稱,某些功能可能會停止運作。
# VPC Resolver 如何判斷查詢中的網域名稱是否符合任何規則
Route 53 VPC Resolver 會將 DNS 查詢中的網域名稱與與與查詢來源之 VPC 相關聯的規則中的網域名稱進行比較。在下列情況下,VPC Resolver 會將網域名稱視為相符:
+ 網域名稱完全相符
+ 查詢中的網域名稱是規則中網域名稱的子網域
例如,如果規則中的網域名稱是 acme.example.com,VPC Resolver 會將 DNS 查詢中的下列網域名稱視為相符:
+ acme.example.com
+ zenith.acme.example.com
下列網域名稱不相符:
+ example。com
+ nadir.example.com
如果查詢中的網域名稱符合多個規則中的網域名稱 (例如 example.com 和 www.example.com),VPC Resolver 會使用包含最特定網域名稱 (www.example.com) 的規則來路由傳出 DNS 查詢。
# VPC Resolver 如何決定轉送 DNS 查詢的位置
當在 VPC 中的 EC2 執行個體上執行的應用程式提交 DNS 查詢時,Route 53 VPC Resolver 會執行下列步驟:
1. Resolver 檢查規則中的網域名稱。
如果查詢中的網域名稱符合預設轉送規則中的網域名稱,VPC Resolver 會將查詢轉送到您在建立傳出端點時指定的 IP 地址。然後傳出端點會將查詢轉送至您網路的解決程式 IP 地址,即您在建立規則時所指定的地址。
如果回應中的委派記錄符合委派規則,則解析程式會透過與委派規則相關聯的傳出端點,將授權委派給內部部署解析程式。
如需詳細資訊,請參閱[VPC Resolver 如何判斷查詢中的網域名稱是否符合任何規則](resolver-overview-forward-vpc-to-network-domain-name-matches.md)。
1. Resolver 端點根據「.」規則中的設定轉送 DNS 查詢。
如果查詢中的網域名稱與任何其他規則中的網域名稱不相符,VPC Resolver 會根據自動定義 "." (點) 規則中的設定轉送查詢。點規則適用於所有網域名稱,但私有託管區域中的某些 AWS 內部網域名稱和記錄名稱除外。如果查詢中的網域名稱不符合自訂轉送規則中的任何名稱,此規則會導致 VPC Resolver 將 DNS 查詢轉送至公有名稱伺服器。如果您想要將所有查詢轉送到網路上的 DNS 解析器,則可以建立自訂轉送規則,指定網域名稱為「.」,指定**類型**為 **Forwarding (轉送)**,並指定這些解析程式的 IP 地址。
1. VPC Resolver 會將回應傳回給提交查詢的應用程式。
# 在多個區域中使用規則
Route 53 VPC Resolver 是一項區域服務,因此您在一個區域中建立的物件只能在該區域中 AWS 使用。若要在多個區域中使用相同的規則,您必須在每個區域中建立該規則。
建立規則 AWS 的帳戶可以與其他 AWS 帳戶共用規則。如需詳細資訊,請參閱[與其他 AWS 帳戶共用解析程式規則並使用共用規則](resolver-rules-managing.md#resolver-rules-managing-sharing)。
# VPC Resolver 為 建立自動定義系統規則的網域名稱
Resolver 會自動建立自動定義的系統規則,其中會定義如何解析所選網域的查詢:
+ 針對私有託管區域和 Amazon EC2 特定網域名稱 (如 compute.amazonaws.com 和 compute.internal),自動定義規則可確保您的私有託管區域和 EC2 執行個體繼續解析,前提是您為較少的特定域名 (如「.」(點) 或「com」) 建立條件轉送規則。
+ 針對公開預留網域名稱 (如 localhost 和 10.in-addr.arpa),DNS 最佳實務建議在本機解答查詢,不要將查詢轉送到公有名稱伺服器。請參閱 [RFC 6303,本機服務 DNS 區域](https://tools.ietf.org/html/rfc6303)。
**注意**
如果為「.」(點) 或「com」建立條件式轉送規則,建議您也為 amazonaws.com 建立系統規則。(系統規則會導致 VPC Resolver 在本機解析特定網域和子網域的 DNS 查詢。) 建立此系統規則可改善效能、減少轉送至網路的查詢數量,並減少 VPC Resolver 費用。
如果您想要覆寫自動定義的規則,則可以為相同的網域名稱建立條件式轉送規則。
您也可以停用某些自動定義的規則。如需詳細資訊,請參閱[在 VPC Resolver 中轉送反向 DNS 查詢的規則](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns)。
VPC Resolver 會建立下列自動定義的規則。
**私有託管區域的規則**
對於與 VPC 相關聯的每個私有託管區域,VPC Resolver 會建立規則並將其與 VPC 建立關聯。如果您將私有託管區域與多個 VPCs建立關聯,VPC Resolver 會將規則與相同的 VPCs建立關聯。
此規則的類型為 **Forward (轉送)**。
**各種 AWS 內部網域名稱的規則**
在本節中,所有內部網域名稱的規則類型都是 **Forward (轉送)**。VPC Resolver 會將這些網域名稱的 DNS 查詢轉送至 VPC 的授權名稱伺服器。
當您將 VPC 的 `enableDnsHostnames`旗標設定為 時,VPC Resolver 會建立大部分的這些規則`true`。即使您未使用解析程式端點,VPC Resolver 也會建立規則。
當您將 VPC 的 `enableDnsHostnames`旗標設定為 時,VPC Resolver 會建立下列自動定義的規則,並將其與 VPC 建立關聯`true`:
+ *區域名稱*.compute.internal,例如,eu-west-1.compute.internal。us-east-1 區域不使用此網域名稱。
+ *區域名稱*.compute.*amazon-domain-name*,例如,eu-west-1.compute.amazonaws.com 或 cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn。us-east-1 區域不使用此網域名稱。
+ ec2.internal。僅 us-east-1 區域使用此網域名稱。
+ compute-1.internal。僅 us-east-1 區域使用此網域名稱。
+ compute-1.amazonaws.com。僅 us-east-1 區域使用此網域名稱。
下列自動定義規則適用於 VPC Resolver 在您將 VPC 的 `enableDnsHostnames`旗標設定為 時所建立規則的反向 DNS 查詢`true`。
+ 10.in-addr.arpa
+ 16.172.in-addr.arpa 到 31.172.in-addr.arpa
+ 168.192.in-addr.arpa
+ 254.169.254.169.in-addr.arpa
+ VPC 的各個 CIDR 範圍的規則。例如,如果 CIDR 範圍為 10.0.0.0/23 的 VPC,VPC Resolver 會建立下列規則:
+ 0.0.10.in-addr-arpa
+ 1.0.10.in-addr-arpa
當您將 VPC 的 `enableDnsHostnames` 標記設定為 `true` 時,也會建立以下 localhost 相關網域的自動定義規則,及其與 VPC 的關聯:
+ localhost
+ localdomain
+ 127.in-addr.arpa
+ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
+ 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
當您透過傳輸閘道或 VPC 對等互連將 VPC 連線至另一個 VPC,並啟用 DNS 支援時,VPC Resolver 會建立下列自動定義的規則,並將其與您的 VPC 建立關聯:
+ 對等 VPC 的 IP 地址範圍反向 DNS 查詢,例如,0.192.in-addr.arpa
如果您將 IPv4 CIDR 區塊新增至 VPC,VPC Resolver 會為新的 IP 地址範圍新增自動定義規則。
+ 如果其他 VPC 位在另一個區域,則以下網域名稱:
+ *區域名稱*.compute.internal。us-east-1 區域不使用此網域名稱。
+ *區域名稱*.compute.*amazon 網域名稱*。us-east-1 區域不使用此網域名稱。
+ ec2.internal。僅 us-east-1 區域使用此網域名稱。
+ compute-1.amazonaws.com。僅 us-east-1 區域使用此網域名稱。
**所有其他網域的規則**
VPC Resolver 會建立 "." (點) 規則,套用至本主題稍早未指定的所有網域名稱。「.」規則具有**一種遞迴**類型,這表示規則會導致 VPC Resolver 充當遞迴解析程式。
# 建立傳入和傳出端點時的注意事項
在 AWS 區域中建立傳入和傳出解析程式端點之前,請考慮下列問題。
**Topics**
+ [每個 區域中的傳入和傳出端點數量](#resolver-considerations-number-of-endpoints)
+ [針對傳入和傳出端點使用相同的 VPC](#resolver-considerations-same-vpc-inbound-outbound)
+ [傳入端點和私有託管區域](#resolver-considerations-inbound-endpoint-private-zone)
+ [VPC 對等互連](#resolver-considerations-vpc-peering)
+ [共用子網路中的 IP 位址](#resolver-considerations-shared-subnets)
+ [在您的網路和您建立端點的 VPC 之間的連線](#resolver-considerations-connection-between-network-and-vpcs)
+ [當您共用規則時,您也會共用傳出端點](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [選擇端點的協定](#resolver-endpoint-protocol-considerations)
+ [在為專用執行個體租用設定的 VPCs中使用 VPC Resolver](#resolver-considerations-dedicated-instance-tenancy)
## 每個 區域中的傳入和傳出端點數量
當您想要將 AWS 區域中 VPCs的 DNS 與網路的 DNS 整合時,通常需要一個解析程式傳入端點 (適用於轉送至 VPCs DNS 查詢) 和一個傳出端點 (適用於從 VPCs至網路的查詢)。您可以建立多個傳入端點和多個傳出端點,但一個傳入或傳出端點就足夠處理每一相應方向的 DNS 查詢。注意下列事項:
+ 對於每個 Resolver 端點,您需要指定位於不同可用區域的兩個或更多個 IP 地址。端點中的每個 IP 地址每秒可以處理大量的 DNS 查詢。(如需了解端點中每個 IP 地址每秒的查詢次數的目前上限,請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。) 如果您需要 VPC Resolver 來處理更多查詢,您可以將更多 IP 地址新增至現有端點,而不是新增另一個端點。
+ VPC Resolver 定價是根據端點中的 IP 地址數量,以及端點處理的 DNS 查詢數量。每個端點包含至少兩個 IP 地址。如需 VPC Resolver 定價的詳細資訊,請參閱 [Amazon Route 53 定價](https://aws.amazon.com/route53/pricing/)。
+ 每個規則指定 DNS 查詢轉送自哪個傳出端點。如果您在 AWS 區域中建立多個傳出端點,並且想要將部分或全部 Resolver 規則與每個 VPC 建立關聯,您需要建立這些規則的多個副本。
## 針對傳入和傳出端點使用相同的 VPC
您可以在相同 VPC 中或相同區域中的不同 VPC 中建立傳入和傳出端點。
如需詳細資訊,請參閱[Amazon Route 53 的最佳實務](best-practices.md)。
## 傳入端點和私有託管區域
如果您希望 VPC Resolver 使用私有託管區域中的記錄來解析傳入 DNS 查詢,請將私有託管區域與您建立傳入端點的 VPC 建立關聯。如需有關將私有託管區域與 VPC 建立關聯的詳細資訊,請參閱 [使用私有託管區域](hosted-zones-private.md)。
## VPC 對等互連
無論您選擇的 VPC 是否與其他 VPC 對等互連,您都可以將 AWS 區域中的任何 VPCs 用於傳入或傳出端點。如需詳細資訊,請參閱 [Amazon Virtual Private Cloud VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)。
## 共用子網路中的 IP 位址
當您建立傳入或傳出端點時,只有在目前帳戶建立 VPC 時,才能在共用子網路中指定 IP 地址。如果另一個帳戶建立 VPC 並與您的帳戶共用 VPC 中的子網路,則您無法在該子網路中指定 IP 地址。如需共用子網路的詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[使用共用 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。
## 在您的網路和您建立端點的 VPC 之間的連線
在您的網路和您建立端點的 VPC 之間,您必須有以下其中一個連線:
+ **傳入端點** – 您必須在網路和每個建立了傳入端點的 VPC 間設定 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 連線或 [VPN 連接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。
+ **傳出端點** – 在您的網路和您建立傳出端點的每個 VPC 之間,您必須設定 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 連線、[VPN 連接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)或[網路位址轉譯 (NAT) 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。
## 當您共用規則時,您也會共用傳出端點
建立規則時,您可以指定您希望 VPC Resolver 用來將 DNS 查詢轉送至網路的傳出端點。如果您與其他 AWS 帳戶共用規則,也會間接共用您在規則中指定的傳出端點。如果您使用多個 AWS 帳戶在 AWS 區域中建立 VPCs,您可以執行下列動作:
+ 在該區域中建立一個傳出端點。
+ 使用一個 AWS 帳戶建立規則。
+ 與在 區域中建立 VPCs的所有 AWS 帳戶共用規則。
這可讓您使用區域中的一個傳出端點,從多個 VPCs 將 DNS 查詢轉送至您的網路,即使 VPCs是使用不同的 AWS 帳戶建立。
## 選擇端點的協定
端點協定確定如何將資料傳輸至傳入端點以及從傳出端點傳輸資料。不需要加密 VPC 流量的 DNS 查詢,因為網路上的每個封包流程都根據規則個別授權,以在傳輸和交付之前驗證正確的來源和目的地。未同時經傳輸和接收實體明確授權,資訊在實體之間任意傳遞的可能性極小。如果封包路由至目的地時沒有與其相符的規則,則此封包會捨棄。如需詳細資訊,請參閱 [VPC 功能](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html)。
可用的通訊協定包括:
+ **Do53:**透過連接埠 53 的 DNS。使用 VPC Resolver 轉送資料,無需額外加密。雖然外部方無法讀取資料,但可以在 AWS 網路中檢視資料。使用 UDP 或 TCP 傳送封包。Do53 主要用於 Amazon VPC 內部和之間的流量。目前,這是可用於委派傳入端點的唯一通訊協定。
+ **DoH:**透過加密的 HTTPS 工作階段傳輸資料。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。不適用於委派傳入端點。
+ **DoH-FIPS:**透過符合 FIPS 140-2 密碼編譯標準的加密 HTTPS 工作階段傳輸資料。僅支援傳入端點。如需詳細資訊,請參閱 [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)。不適用於委派傳入端點。
對於 **Forward** 類型的傳入端點,您可以套用通訊協定,如下所示:
+ Do53 和 DOH 組合。
+ Do53 和 DoH-FIPS 組合。
+ 單獨 Do53。
+ 單獨 DoH。
+ 單獨 DoH-FIPS。
+ 無,視為 Do53。
對於傳出端點,您可以按如下方式套用協定:
+ Do53 和 DOH 組合。
+ 單獨 Do53。
+ 單獨 DoH。
+ 無,視為 Do53。
另請參閱 [當您建立或編輯傳入端點時所指定的值](resolver-forwarding-inbound-queries-values.md) 和 [當您建立或編輯傳出端點時所指定的值](resolver-forwarding-outbound-queries-endpoint-values.md)。
## 在為專用執行個體租用設定的 VPCs中使用 VPC Resolver
建立 Resolver 端點時,您無法指定[執行個體租用屬性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)設定為 `dedicated` 的 VPC。VPC Resolver 不會在單一租用戶硬體上執行。
您仍然可以使用 VPC Resolver 來解析源自 VPC 的 DNS 查詢。至少建立一個執行個體租用屬性設為 `default` 的 VPC ,並在建立傳入和傳出端點時指定該 VPC。
當您建立轉送規則時,可以將其與任何 VPC 建立關聯,無論該執行個體租用屬性的設定為何。
# Route 53 VPC Resolver 可用性和擴展
Route 53 VPC Resolver,在 Amazon VPC CIDR \$1 2 地址和 fd00:ec2::253 上執行,預設可在所有 VPCs 中使用,並以遞迴方式回應公有記錄、Amazon VPC 特定 DNS 名稱和 Route 53 私有託管區域的 DNS 查詢。有兩個高度可用的元件,對使用者來說是透明的,構成 Route 53 VPC Resolver:Nitro Resolver 服務和區域解析器機群。Nitro Resolver Service 是一項服務,可在 Nitro 執行個體上的 Nitro 卡和舊版執行個體中的 Dom0 中執行,並使用在本機主機伺服器上傳送至 Route 53 VPC Resolver 的封包。如需詳細資訊,請參閱 [AWS Nitro 系統的安全設計](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html)。
Nitro Resolver 服務具有本機快取,可透過回應執行個體在短時間內進行的重複查詢,協助減少延遲。當 Nitro Resolver 服務收到沒有快取答案的查詢時,會將查詢轉送至區域解析程式機群,這是一個高度可用的解析程式機群,通常與執行個體位於相同的可用區域中。當透過上游名稱伺服器或路徑中的其他元件處理查詢失敗時,Nitro Resolver 服務通常能夠透明地處理這些失敗,而不會影響執行個體上執行的工作負載。此外,如果解析程式從網域的名稱伺服器遇到查詢逾時、拒絕連線或 SERVFAILS,可能會回應超出Time-To-Live(TTL) 值的快取答案,以改善可用性。Nitro Resolver 服務與區域解析程式機群之間的查詢僅限於客戶 VPC 之外的嚴格控制網路,客戶無法存取該網路並受到嚴格的安全控制。透過處理 Nitro Resolver 服務與 VPC 外部區域解析程式機群之間的查詢,可防止客戶攔截 VPC 內的 DNS 查詢。目的地為 外部名稱伺服器的查詢 AWS 將周遊公有網際網路,源自屬於區域解析程式機群的公有 IP 地址。我們目前不支援 EDNS0-Client子網路屬性,這表示目的地為公有 DNS 名稱伺服器的所有查詢不包含原始客戶 IP 地址的相關資訊。
Nitro Resolver 服務是執行個體上連結本機服務的一部分。Link-Local 服務包括 Route 53 VPC Resolver、Amazon Time Service (NTP)、Instance Metadata Service (IMDS) 和 Windows Licensing Service (適用於 Windows 執行個體)。這些服務會隨著您在 VPC 中建立的每個彈性網路界面而擴展,而且每個網路界面每秒允許 1024 個封包 (PPS),以連結本機服務為目標。超過此限制的封包會遭到拒絕。您可以判斷您是否已從 ethtool 傳回`linklocal_allowance_exceeded`的值中超過此限制。如需 ethtool 的詳細資訊,請參閱《[Amazon EC2 使用者指南》中的監控 Amazon EC2 執行個體的網路效能](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html)。 *Amazon EC2 * CloudWatch Agent 也可以將此指標報告給 CloudWatch 指標。由於 Route 53 VPC Resolver 是依網路介面實作,當您在更多可用區域中新增更多執行個體時,它會擴展並變得更可靠。查詢數量沒有每個 VPC 彙總限制,因此 Route 53 VPC Resolver 可以在 VPC 的邊界內進行擴展,這本質上是以網路位址用量 (NAU) 為基礎。如需詳細資訊,請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的 [VPC 的網路位址用量](https://docs.aws.amazon.com/vpc/latest/userguide/network-address-usage.html)。
下圖顯示 Route 53 VPC Resolver 如何在可用區域內解析 DNS 查詢的概觀。
![\[概念圖顯示 Route 53 VPC Resolver 如何解析可用區域內的 DNS 查詢。\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/images/Resolver-scale-availability2.png)
# 開始使用 Route 53 VPC Resolver
Route 53 VPC Resolver 主控台包含精靈,可引導您完成下列步驟以開始使用 VPC Resolver:
+ 建立端點:傳入、傳出或兩者。
+ 對於傳出端點,建立一或多個轉送規則,其會針對您要路由 DNS 查詢到網路來指定網域名稱。
+ 如果您建立傳出端點,請選擇您想要與規則建立關聯的 VPC。
**使用精靈設定 Route 53 VPC Resolver**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/) 的 VPC Resolver 主控台。
1. 在**歡迎使用 Route 53 VPC Resolver** 頁面上,選擇**設定端點**。
1. 在導覽列上,選擇您要建立解析程式端點的區域。
1. 在 **Basic configuration (基本組態)** 下,選擇您希望轉送 DNS 查詢的方向:
+ **傳入和傳出**:精靈會引導您完成設定,讓您將 DNS 查詢從網路上的解析程式轉送到 VPC 解析程式,並將指定的查詢 (例如 example.com 或 example.net) 從 VPC 轉送到網路上的解析程式。
+ **僅限傳入**:精靈會引導您完成設定,讓您將 DNS 查詢從網路上的解析程式轉送到 VPC 中的 VPC Resolver。
+ **Outbound only (僅傳出)**:精靈會引導您完成設定,讓您將指定的查詢從 VPC 轉送至您網路的解析程式。
1. 選擇**下一步**。
1. 如果您選擇 **Inbound and outbound (傳入和傳出)** 或 **Inbound only (僅傳入)**,請輸入適當的值以設定傳入端點。然後繼續執行步驟 7。如需詳細資訊,請參閱[當您建立或編輯傳入端點時所指定的值](resolver-forwarding-inbound-queries-values.md)。
如果選擇 **Outbound only (僅傳出)**,請跳到步驟 7。
1. 輸入適當的值以設定傳出端點。如需詳細資訊,請參閱[當您建立或編輯傳出端點時所指定的值](resolver-forwarding-outbound-queries-endpoint-values.md)。
1. 如果您選擇 **Inbound and outbound (傳入和傳出)** 或 **Outbound only (僅傳出)**,請輸入適當的值以建立規則。如需詳細資訊,請參閱[當您建立或編輯規則時所指定的值](resolver-forwarding-outbound-queries-rule-values.md)。
1. 在 **Review and create (檢閱和建立)** 頁面中,確認您在前幾頁指定的設定值是正確的。如有必要,請針對適用的部分選擇 **Edit (編輯)**,並且更新設定。當您滿意設定時,請選擇 **Submit (提交)**。
**注意**
建立傳出端點需要幾分鐘。在第一個傳出端點建立完成前,您無法建立另一個。
1. 如要建立多項規則,請參閱 [管理轉送規則](resolver-rules-managing.md)。
1. 您已建立傳入端點,請在您的網路上設定 DNS 解析程式,將適當的 DNS 查詢轉送至您傳入端點的 IP 地址。如需詳細資訊,請參閱 DNS 應用程式文件。
# 將傳入 DNS 查詢轉送到您的 VPC
若要將 DNS 查詢從網路轉送至 VPC Resolver,您可以建立傳入端點。傳入端點會指定您希望網路上的 DNS 解析器將 DNS 查詢轉送到哪些 IP 地址 (從可用的 IP 地址範圍到您的 VPC)。這些 IP 地址不是公有 IP 地址,因此對於每個傳入端點,您需要使用 Direct Connect 連線或 VPN 連線將 VPC 連線到您的網路。
實作傳入委派時,您要將子網域的 DNS 授權從內部部署 DNS 基礎設施委派給 VPC Resolver。若要正確設定此委派,您必須針對要委派的子網域,使用傳入端點的 IP 地址做為現場部署名稱伺服器上的黏附記錄 (NS 記錄)。例如,如果您透過 IP 地址為 10.0.1.100 和 10.0.1.101 的傳入委派端點將子網域 "aws.example.com" 委派給 VPC Resolver,您會在內部部署 DNS 伺服器上建立指向這些 IP 地址的 NS 記錄。這可確保委派子網域的 DNS 查詢透過傳入端點正確路由至 VPC Resolver,允許 VPC Resolver 回應來自相關聯私有託管區域的記錄。
# 設定傳入轉送
若要建立傳入端點,請執行下列程序。
**建立傳入端點**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Inbound endpoints (傳入端點)**。
1. 在導覽列上,選擇您要建立傳入端點的區域。
1. 選擇 **Create inbound endpoint (建立傳入端點)**。
1. 輸入適用的值。如需詳細資訊,請參閱[當您建立或編輯傳入端點時所指定的值](resolver-forwarding-inbound-queries-values.md)。
1. 選擇**建立**。
1. 在您的網路上設定 DNS 解析程式,將適當的 DNS 查詢轉送至您傳入端點的 IP 地址。如需詳細資訊,請參閱 DNS 應用程式文件。
# 當您建立或編輯傳入端點時所指定的值
當您建立或編輯傳入端點時,請指定下列值:
**Outpost ID**
如果您要在 VPC 上建立 AWS Outposts VPC 解析程式的端點,這是 AWS Outposts ID。
**Endpoint name (端點名稱)**
易記的名稱可讓您在儀表板中輕鬆找出傳入端點。
**端點類別**
選擇**預設**或**委派**。當類別為**預設**時,您網路上的解析程式會將 DNS 請求轉送至傳入端點的 IP 地址。當類別為**委派**時,網域的授權會委派給 VPC 解析程式。
***區域名稱*區域中的 VPC**
來自您網路的所有傳入 DNS 查詢都會在傳送至 VPC Resolver 的途中通過此 VPC。
**此端點的安全群組**
您想用來控制存取此 VPC 之一或多個安全群組的 ID。您指定的安全群組必須包含一或多個傳入規則。傳入規則必須允許連接埠 53 上的 TCP 和 UDP 存取權限。如果您使用的是 DoH 通訊協定,您也必須在安全群組中允許連接埠 443。建立端點之後,您無法變更此值。
某些安全群組規則將導致追蹤您的連線,且傳入端點的每個 IP 地址每秒的整體查詢上限可能低至 1500。若要避免由安全群組造成的連線追蹤,請參閱[未追蹤連線](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)。
若要新增多個安全群組,請使用 AWS CLI 命令 `create-resolver-endpoint`。如需詳細資訊,請參閱 [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的 [VPC 安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。
**端點類型**
端點類型可為 IPv4、IPv6 或雙堆疊 IP 地址。對於雙堆疊端點,端點將同時具有 IPv4 和 IPv6 地址,網路上的 DNS 解析程式可將 DNS 查詢轉送至此類地址。
基於安全考量,我們拒絕所有雙堆疊和 IPv6 IP 地址從公有網際網路直接存取 IPv6 流量。
**IP 位址**
您希望您網路上的 DNS 解析程式將 DNS 查詢轉送到這些 IP 地址。我們需要您至少指定兩個 IP 地址以供備援使用。如果您建立了委派傳入端點,請使用這些 IP 地址做為您要將授權委派給 VPC Resolver 之子網域的黏附 NS 記錄。注意下列事項:
**多個可用區域**
建議您至少在兩個可用區域中指定 IP 地址。您可以在那些或其他可用區域選擇性指定其他 IP 位址。
**IP 地址和 Amazon VPC 彈性網路介面**
對於您指定的每個可用區域、子網路和 IP 地址組合,VPC Resolver 會建立 Amazon VPC 彈性網路介面。如需了解端點中每個 IP 地址每秒的 DNS 查詢次數的目前上限,請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。如需每個彈性網路介面的定價的相關資訊,請參閱 [Amazon Route 53 定價頁面](https://aws.amazon.com/route53/pricing/)上的「Amazon Route 53」。
Resolver 端點具有私有 IP 地址。這些 IP 位址在端點的生命週期中不會變更。
針對每個 IP 地址,指定以下值。每個 IP 地址都必須位在您指定之 VPC 的可用區域內,您的 VPC 是在 **VPC in the *region-name* Region (區域名稱區域中的 VPC)** 中指定。
**可用區域**
您希望 DNS 查詢通往 VPC 途中所經過的可用區域。您指定的可用區域必須設定子網路。
**子網路**
子網路,其中包含您要指派給解析程式端點 ENIs IP 地址。這些是您傳送 DNS 查詢的地址。子網路必須擁有可用的 IP 位址。
子網路 IP 地址必須符合**端點類型**。
**IP 位址**
您要指派給傳入端點的 IP 地址。
選擇您希望 VPC Resolver 從指定子網路中的可用 IP 地址中為您選擇 IP 地址,還是想要自行指定 IP 地址。
如果您選擇自行指定 IP 地址,請輸入 IPv4 或 IPv6 地址,或兩者。
**通訊協定**
端點協定確定如何將資料傳輸至傳入端點。根據所需的安全層級,選擇協定。
+ **Do53:**(預設) 使用 Route 53 VPC Resolver 轉送資料,無需額外加密。雖然外部方無法讀取資料,但可以在 AWS 網路中檢視資料。這是委派****傳入端點類別目前唯一可用的通訊協定。
+ **DoH:**透過加密的 HTTPS 工作階段傳輸資料。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。
+ **DoH-FIPS:**透過符合 FIPS 140-2 密碼編譯標準的加密 HTTPS 工作階段傳輸資料。僅支援傳入端點。如需詳細資訊,請參閱 [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)。
**注意**
對於 DoH/DoH-FIPS 傳入端點,在 VPC Resolver 查詢日誌中發佈不正確的來源 IP 存在已知問題。
對於傳入端點,您可以按如下方式套用協定:
+ Do53 和 DOH 組合。
+ Do53 和 DoH-FIPS 組合。
+ 單獨 Do53。
+ 單獨 DoH。
+ 單獨 DoH-FIPS。
+ 無,視為 Do53。
您無法將傳入端點的協定直接從僅 Do53 變更為僅 DoH 或 DoH-FIPS。這是為了防止依賴 Do53 的傳入流量突然中斷。若要將協定從 Do53 變更為 DoH 或 DoH-FIPS,您必須先同時啟用 Do53 和 DoH,或同時啟用 Do53 和 DoH-FIPS,以確保所有傳入流量都已使用 DoH 協定或 DoH-FIPS 傳輸,然後移除 Do53。
**Tags (標籤)**
指定一或多個金鑰和對應的值。例如,您可以為**金鑰**指定**成本中心**,為**值** 指定 **456**。
# 管理傳入端點
若要管理傳入端點,請執行適用的程序。
**Topics**
+ [檢視和編輯傳入端點](#resolver-forwarding-inbound-queries-managing-viewing)
+ [檢視傳入端點的狀態](#resolver-forwarding-inbound-queries-managing-viewing-status)
+ [刪除傳入端點](#resolver-forwarding-inbound-queries-managing-deleting)
## 檢視和編輯傳入端點
若要檢視及編輯傳入端點的設定,請執行下列程序。
**檢視及編輯傳入端點的設定**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Inbound endpoints (傳入端點)**。
1. 在導覽列上,選擇您建立傳入端點的區域。
1. 選擇您想要檢視設定或想要編輯的端點選項。
1. 選擇 **View details (檢視詳細資訊)** 或 **Edit (編輯)**。
如需傳入端點值的資訊,請參閱[當您建立或編輯傳入端點時所指定的值](resolver-forwarding-inbound-queries-values.md)。
1. 如果您選擇 **Edit (編輯)**,請輸入適合的值,然後選擇 **Save (儲存)**。
## 檢視傳入端點的狀態
若要檢視傳入端點的狀態,請執行下列程序。
**檢視傳入端點的狀態**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Inbound endpoints (傳入端點)**。
1. 在導覽列上,選擇您建立傳入端點的區域。**Status (狀態)** 欄包含以下其中一個值:
**正在建立**
VPC Resolver 正在為此端點建立和設定一或多個 Amazon VPC 網路介面。
**可運作**
此端點的 Amazon VPC 網路介面已正確設定,且能夠在網路和 VPC Resolver 之間傳遞傳入或傳出 DNS 查詢。
**更新中**
VPC Resolver 正在建立或取消一或多個網路介面與此端點的關聯。
**自動復原**
VPC Resolver 正在嘗試復原與此端點相關聯的一或多個網路介面。在復原過程中,由於每個 IP 地址 (每個網路介面) 的 DNS 查詢次數有所限制,端點會以有限容量運作。如需目前的限制,請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。
**需採取動作**
此端點運作狀態不佳,VPC Resolver 無法自動復原。若要解決該問題,建議您檢查與端點相關聯的每個 IP 位址。對於每個無法使用用的 IP 位址,請新增另一個 IP 位址,然後刪除無法使用的 IP 位址。(一個端點一定要包含至少兩個 IP 位址)。**需採取動作**狀態可能有各式各樣的原因。以下是兩個常見原因:
+ 已使用 Amazon VPC 刪除與端點相關聯的一或多個網路介面。
+ 由於一些已超出 VPC Resolver 所能控制的原因,而無法建立網路介面。
**正在刪除**
VPC Resolver 正在刪除此端點和相關聯的網路介面。
## 刪除傳入端點
若要刪除傳入端點,請執行下列程序。
**重要**
如果您刪除傳入端點,則來自您網路的 DNS 查詢不會再轉送至您在端點中指定的 VPC 中的 VPC Resolver。
**刪除傳入端點**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Inbound endpoints (傳入端點)**。
1. 在導覽列上,選擇您建立傳入端點的區域。
1. 選擇您要刪除的端點選項。
1. 選擇 **刪除**。
1. 若要確認您要刪除該端點,請輸入端點名稱,然後選擇 **Submit (提交)**。
# 將傳出 DNS 查詢轉送到您的網路
若要將一或多個 VPC 中的 Amazon EC2 執行個體上所產生的 DNS 查詢轉送到您的網路,請建立傳出端點和一項或多項規則:
**傳出端點**
若要將 DNS 查詢從 VPC 轉送到網路,請建立傳出端點。傳出端點會指定查詢的來源 IP 地址。您從 VPC 可用的 IP 地址範圍選擇的這些 IP 地址並非公有 IP 地址。也就是說,針對每個傳出端點,您都需要使用 Direct Connect 連線、VPN 連線或網路位址轉譯 (NAT) 閘道來將 VPC 連接到網路。請注意,您可以在相同的區域為多個 VPC 使用同一個傳出端點,或者也可以建立多個傳出端點。如果您希望輸出端點使用 DNS64,您可以使用 Amazon Virtual Private Cloud 啟用 DNS64。如需更多詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的「[DNS64 和 NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-nat64-dns64)」。
VPC Resolver 會隨機選擇 VPC Resolver 規則的目標 IP,而沒有偏好選擇特定的目標 IP。如果目標 IP 未回應轉送的 DNS 請求,VPC 解析程式將在目標 IP 之間重試隨機 IPs地址。
確定可從解析程式端點存取所有目標 IP 地址。如果 VPC Resolver 無法將傳出 DNS 查詢轉送到任何目標 IP,可能會導致 DNS 解析時間延長。
**Rules**
若要指定您想要轉送到您網路上 DNS 解析程式之查詢的網域名稱,您可以建立一或多項規則。每個轉送規則都會指定一個網域名稱。然後,將規則與您要轉送查詢至網路的 VPC 建立關聯。
傳出委派規則遵循與標準轉送規則不同的特定委派原則。當您建立委派規則時,VPC Resolver 會根據 DNS 回應中的 NS 記錄來評估規則中的委派記錄,以判斷是否應該進行委派。只有在委派規則組態與 DNS 回應中傳回的實際 NS 記錄相符時,VPC Resolver 才會將授權委派給您的內部部署解析程式。與根據網域名稱比對重新導向查詢的轉送規則不同,委派規則會遵守 DNS 委派鏈,並只在回應中的授權名稱伺服器符合委派組態時啟用。
如需詳細資訊,請參閱下列主題:
+ [Private hosted zones that have overlapping namespaces](hosted-zone-private-considerations.md#hosted-zone-private-considerations-private-overlapping)
+ [Private hosted zones and Route 53 VPC Resolver rules](hosted-zone-private-considerations.md#hosted-zone-private-considerations-resolver-rules)
# 設定傳出轉送
若要設定 VPC Resolver 將源自 VPC 的 DNS 查詢轉送至您的網路,請執行下列程序。
**重要**
在建立傳出端點後,您必須建立一或多項規則,並將它們與一或多個 VPC 相關聯。規則指定您想要轉送到您網路的 DNS 查詢的網域名稱。
**建立傳出端點**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Outbound endpoints (傳出端點)**。
1. 在導覽列上,選擇您要建立傳出端點的區域。
1. 選擇 **Create outbound endpoint (建立傳出端點)**。
1. 輸入適用的值。如需詳細資訊,請參閱[當您建立或編輯傳出端點時所指定的值](resolver-forwarding-outbound-queries-endpoint-values.md)。
1. 選擇**建立**。
**注意**
建立傳出端點需要幾分鐘。在第一個傳出端點建立完成前,您無法建立另一個。
1. 建立一或多項規則,指定您想要轉送到您網路的 DNS 查詢網域名稱。如需詳細資訊,請參閱下一程序。
若要建立一或多項轉送規則,請執行以下程序。
**建立轉送規則並建立規則與一或多個 VPC 的關聯**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇**規則**。
1. 在導覽列上,選擇您建立規則的區域。
1. 選擇**建立規則**。
1. 輸入適用的值。如需詳細資訊,請參閱[當您建立或編輯規則時所指定的值](resolver-forwarding-outbound-queries-rule-values.md)。
1. 選擇 **Save** (儲存)。
1. 若要新增另一個規則,請重複步驟 4 至 6。
# 當您建立或編輯傳出端點時所指定的值
當您建立或編輯傳出端點時,請指定下列值:
**Outpost ID**
如果您要在 VPC 上建立 AWS Outposts VPC 解析程式的端點,這是 AWS Outposts ID。
**Endpoint name (端點名稱)**
易記的名稱可讓您在儀表板中輕鬆找出傳出端點。
***區域名稱*區域中的 VPC**
所有傳出的 DNS 查詢會流經此 VPC 前往您的網路。
**此端點的安全群組**
您想用來控制存取此 VPC 之一或多個安全群組的 ID。您指定的安全群組必須包含一或多項傳出規則。傳出規則必須允許您網路 DNS 查詢連接埠上的 TCP 和 UDP 存取。您無法在建立端點之後變更此值。
某些安全群組規則會導致追蹤您的連線,並可能影響從傳出端點到目標名稱伺服器的每秒最大查詢數。若要避免由安全群組造成的連線追蹤,請參閱[未追蹤連線](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)。
如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的 [VPC 安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。
**端點類型**
端點類型可為 IPv4、IPv6 或雙堆疊 IP 地址。對於雙堆疊端點,端點將同時具有 IPv4 和 IPv6 地址,網路上的 DNS 解析程式可將 DNS 查詢轉送至此類地址。
基於安全考量,我們拒絕所有雙堆疊和 IPv6 IP 地址對公有網際網路的直接 IPv6 流量存取。
**IP 位址**
您希望 VPC Resolver 在網路上將 DNS 查詢轉送至解析程式之 VPC 中的 IP 地址。這些不是您網路的 DNS 解析程式的 IP 地址;當您建立規則與一或多個 VPC 相關聯時,您會指定解析程式 IP 地址。我們需要您至少指定兩個 IP 地址以供備援使用。
Resolver 端點具有私有 IP 地址。這些 IP 位址在端點的生命週期中不會變更。
注意下列事項:
**多個可用區域**
建議您至少在兩個可用區域中指定 IP 地址。您可以在那些或其他可用區域選擇性指定其他 IP 位址。
**IP 地址和 Amazon VPC 彈性網路介面**
對於您指定的每個可用區域、子網路和 IP 地址組合,VPC Resolver 會建立 Amazon VPC 彈性網路介面。如需了解端點中每個 IP 地址每秒的 DNS 查詢次數的目前上限,請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。如需每個彈性網路介面的定價的相關資訊,請參閱 [Amazon Route 53 定價頁面](https://aws.amazon.com/route53/pricing/)上的「Amazon Route 53」。
**IP 地址的順序**
您可以依任何順序指定 IP 地址。轉送 DNS 查詢時,VPC Resolver 不會根據列出 IP 地址的順序選擇 IP 地址。
針對每個 IP 地址,指定以下值。每個 IP 地址都必須位在您指定之 VPC 的可用區域內,您的 VPC 是在 **VPC in the *region-name* Region (區域名稱區域中的 VPC)** 中指定。
**可用區域**
您希望 DNS 查詢通往您網路途中所經過的可用區域。您指定的可用區域必須設定子網路。
**子網路**
該子網路包含您希望在通往您的網路途中發出 DNS 查詢的 IP 地址。子網路必須擁有可用的 IP 位址。
子網路 IP 地址必須符合**端點類型**。
**IP 位址**
您希望在通往您的網路途中發出 DNS 查詢的 IP 地址。
選擇您希望 VPC Resolver 從指定子網路中的可用 IP 地址中為您選擇 IP 地址,還是想要自行指定 IP 地址。
如果您選擇自行指定 IP 地址,請輸入 IPv4 或 IPv6 地址或兩者。
**通訊協定**
端點協定確定如何從傳出端點傳輸資料。根據所需的安全層級,選擇協定。
+ **Do53:**(預設) 使用 Route 53 VPC Resolver 轉送資料,無需額外加密。雖然外部各方無法讀取資料,但可以在 AWS 網路內檢視資料。
+ **DoH:**透過加密的 HTTPS 工作階段傳輸資料。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。
對於傳出端點,您可以按如下方式套用協定:
+ Do53 和 DOH 組合。
+ 單獨 Do53。
+ 單獨 DoH。
+ 無,視為 Do53。
**Tags (標籤)**
指定一或多個金鑰和對應的值。例如,您可以為**金鑰**指定**成本中心**,為**值** 指定 **456**。
# 當您建立或編輯規則時所指定的值
當您建立或編輯轉送規則時,請指定下列值:
**規則名稱**
易記的名稱可讓您在儀表板中輕鬆找出規則。
**規則類型**
請選擇適用的值:
+ **Forward (轉送)** – 當您想要將指定網域名稱的 DNS 查詢轉送到您網路上的解析程式時,請選擇此選項。
+ **委派** – 當您想要將託管在私有託管區域中的子網域授權委派給內部部署解析程式 (或其他 VPC 上的 VPC 解析程式) 時,請選擇此選項。
+ **系統** – 當您希望 VPC Resolver 選擇性地覆寫轉送規則中定義的行為時,請選擇此選項。當您建立系統規則時,VPC Resolver 會解析指定子網域的 DNS 查詢,否則將由網路上的 DNS 解析程式解析。
根據預設,轉送規則適用於網域名稱及其所有子網域。如果您想要將網域查詢轉送到網路的解析程式,但不想轉送某些子網域的查詢,您可以建立針對子網域的系統規則。例如,如果您為 example.com 建立了轉送規則,但不想轉送 acme.example.com 的查詢,您可以建立一項系統規則,並指定 acme.example.com 為網域名稱。
**委派記錄 – 僅適用於委派規則**
會轉送到此網域的 DNS 查詢到您網路上的解析程式。
委派規則的先決條件是在私有託管區域中建立 NS 記錄,使用私有託管區域進行傳出委派時。記錄為:NS - 使用委派規則透過解析程式傳出端點委派的命名伺服器。如需詳細資訊,請參閱[NS 記錄類型](ResourceRecordTypes.md#NSFormat)。
**使用此規則的 VPC**
使用此規則轉送指定網域名稱或名稱之 DNS 查詢的 VPC。您可以套用規則至任意數量的 VPC。
**網域名稱 – 僅適用於轉送規則**
此網域名稱的 DNS 查詢會轉送到您在 **Target IP addresses (目標 IP 地址)** 中指定的 IP 地址。例如,您可以指定特定網域 (example.com)、頂層網域 (com) 或點 (.) 來轉送所有 DNS 查詢。如需詳細資訊,請參閱[VPC Resolver 如何判斷查詢中的網域名稱是否符合任何規則](resolver-overview-forward-vpc-to-network-domain-name-matches.md)。
**傳出端點**
VPC Resolver 透過您在此處指定的傳出端點轉送 DNS 查詢到您在**目標 IP 地址中指定的 IP 地址**。
**目標 IP 位址**
當 DNS 查詢符合您在 **Domain name (網域名稱)** 指定的名稱時,傳出端點會將查詢轉送到您在這裡指定的 IP 位址。這些通常是您網路 DNS 解析程式的 IP 地址。
**目標 IP 地址**僅在 **Rule type (規則類型)** 值是 **Forward (轉送)** 時才可用。
指定您要用於端點的 IPv4 或 IPv6 地址、通訊協定和 ServerNameIndication。ServerNameIndication 只有在選取的通訊協定為 DoH 時才適用。
不支援透過傳出端點解析網路上 DoH 解析程式 FQDN 的目標 IP 地址。傳出端點需要您網路上 DoH 解析程式的目標 IP 地址,才能轉送 DoH 查詢。如果網路上的 DoH 解析程式需要 TLS SNI 和 HTTP 主機標頭中的 FQDN,則必須提供 ServerNameIndication。
**ServerNameIndication**
您要轉送查詢之 DoH 伺服器的伺服器名稱指示。這只會在通訊協定為 DoH 時使用。
**Tags (標籤)**
指定一或多個金鑰和對應的值。例如,您可以為**金鑰**指定**成本中心**,為**值** 指定 **456**。
這些是 AWS 帳單與成本管理 提供用於組織 AWS 帳單的標籤。如需有關使用成本配置標籤的詳細資訊,請參閱 *AWS Billing 使用者指南*中的[使用成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
# 管理傳出端點
若要管理傳出端點,請執行適用的程序。
**Topics**
+ [檢視和編輯傳出端點](#resolver-forwarding-outbound-queries-managing-viewing)
+ [檢視輸出端點的狀態](#resolver-forwarding-outbound-queries-managing-viewing-status)
+ [刪除傳出端點](#resolver-forwarding-outbound-queries-managing-deleting)
## 檢視和編輯傳出端點
若要檢視及編輯傳出端點的設定,請執行下列程序。
**檢視及編輯傳出端點的設定**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇 **Outbound endpoints (傳出端點)**。
1. 在導覽列上,選擇您建立傳出端點的區域。
1. 選擇您想要檢視設定或想要編輯的端點選項。
1. 選擇 **View details (檢視詳細資訊)** 或 **Edit (編輯)**。
如需傳出端點值的資訊,請參閱 [當您建立或編輯傳出端點時所指定的值](resolver-forwarding-outbound-queries-endpoint-values.md)。
1. 如果您選擇 **Edit (編輯)**,請輸入適合的值,然後選擇 **Save (儲存)**。
## 檢視輸出端點的狀態
若要檢視傳出端點的狀態,請執行下列程序。
**檢視傳出端點的狀態**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Outbound endpoints (傳出端點)**。
1. 在導覽列上,選擇您建立傳出端點的區域。**Status (狀態)** 欄包含以下其中一個值:
**正在建立**
VPC Resolver 正在為此端點建立和設定一或多個 Amazon VPC 網路介面。
**可運作**
此端點的 Amazon VPC 網路介面已正確設定,且能夠在網路和 VPC Resolver 之間傳遞傳入或傳出 DNS 查詢。
**更新中**
VPC Resolver 正在建立或取消一或多個網路介面與此端點的關聯。
**自動復原**
VPC Resolver 正在嘗試復原與此端點相關聯的一或多個網路介面。在復原過程中,由於每個 IP 地址 (每個網路介面) 的 DNS 查詢次數有所限制,端點會以有限容量運作。如需目前的限制,請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。
**需採取動作**
此端點運作狀態不佳,VPC Resolver 無法自動復原。若要解決該問題,建議您檢查與端點相關聯的每個 IP 位址。對於每個無法使用用的 IP 位址,請新增另一個 IP 位址,然後刪除無法使用的 IP 位址。(一個端點一定要包含至少兩個 IP 位址)。**需採取動作**狀態可能有各式各樣的原因。以下是兩個常見原因:
+ 已使用 Amazon VPC 刪除與端點相關聯的一或多個網路介面。
+ 由於一些已超出 VPC Resolver 所能控制的原因,而無法建立網路介面。
**正在刪除**
VPC Resolver 正在刪除此端點和相關聯的網路介面。
## 刪除傳出端點
在刪除端點之前,您必須先刪除與 VPC 相關聯的任何規則。
若要刪除傳出端點,請執行下列程序。
**重要**
如果您刪除傳出端點,VPC Resolver 會停止將 DNS 查詢從 VPC 轉送至您的網路,以取得指定已刪除傳出端點的規則。
**刪除傳出端點**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Outbound endpoints (傳出端點)**。
1. 在導覽列上,選擇您建立傳出端點的區域。
1. 選擇您要刪除的端點選項。
1. 選擇 **刪除**。
1. 若要確認您要刪除該端點,請輸入端點名稱,然後選擇 **Submit (提交)**。
# 管理轉送規則
如果您希望 VPC Resolver 將指定網域名稱的查詢轉送到您的網路,請為每個網域名稱建立一個轉送規則,並指定您要轉送查詢的網域名稱。
**Topics**
+ [檢視和編輯轉送規則](#resolver-rules-managing-viewing)
+ [建立轉送規則](#resolver-rules-managing-creating-rules)
+ [新增反向查詢的規則](#add-reverse-lookup)
+ [建立轉送規則與 VPC 的關聯](#resolver-rules-managing-associating-rules)
+ [取消轉送規則與 VPC 的關聯](#resolver-rules-managing-disassociating-rules)
+ [與其他 AWS 帳戶共用解析程式規則並使用共用規則](#resolver-rules-managing-sharing)
+ [刪除轉送規則](#resolver-rules-managing-deleting)
+ [在 VPC Resolver 中轉送反向 DNS 查詢的規則](#resolver-automatic-forwarding-rules-reverse-dns)
## 檢視和編輯轉送規則
若要檢視及編輯轉送規則設定,請執行下列程序。
**檢視和編輯轉送規則設定**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇**規則**。
1. 在導覽列上,選擇您建立規則的區域。
1. 選擇您想要檢視設定或想要編輯的規則選項。
1. 選擇 **View details (檢視詳細資訊)** 或 **Edit (編輯)**。
如需轉送規則值的資訊,請參閱[當您建立或編輯規則時所指定的值](resolver-forwarding-outbound-queries-rule-values.md)。
1. 如果您選擇 **Edit (編輯)**,請輸入適合的值,然後選擇 **Save (儲存)**。
## 建立轉送規則
若要建立一或多項轉送規則,請執行以下程序。
**建立轉送規則並建立規則與一或多個 VPC 的關聯**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇**規則**。
1. 在導覽列上,選擇您建立規則的區域。
1. 選擇**建立規則**。
1. 輸入適用的值。如需詳細資訊,請參閱[當您建立或編輯規則時所指定的值](resolver-forwarding-outbound-queries-rule-values.md)。
1. 選擇 **Save** (儲存)。
1. 若要新增另一個規則,請重複步驟 4 至 6。
## 新增反向查詢的規則
如果您需要控制 VPC 中的反向查詢,則可以將規則新增至傳出解析程式端點。
**建立反向查詢規則**
1. 依照上一個程序中的步驟進行,直到執行至步驟 5。
1. 當您指定規則時,請輸入 PTR 記錄您想要使用反向查詢轉送規則的一個或多個 IP 地址。
例如,若您需要轉送查詢 10.0.0.0/23 範圍內的地址,請輸入兩個規則:
+ 0.0.10.in-addr-arpa
+ 1.0.10.in-addr-arpa
這些子網路中的任何 IP 地址都會參考為這些 PTR 記錄的子網域 — 例如,10.0.1.161 的反向查詢地址為 161.1.0.10.in-addr.arpa,也就是 1.0.10.in-addra.arpa 的子網域。
1. 指定要轉送這些查詢的目標伺服器。
1. 將這些規則新增至傳送解析程式端點。
請注意,為 VPC 開啟 `enableDNSHostNames` 會自動新增 PTR 記錄。請參閱 [什麼是 Route 53 VPC Resolver?](resolver.md)。只有當您想要明確指定 IP 範圍的解析程式時,才需要先前的程序 — 例如,將查詢轉送至 Active Directory 伺服器時。
## 建立轉送規則與 VPC 的關聯
建立轉送規則後,您必須建立規則與一或多個 VPC 的關聯。這些規則只有在與 VPC 相關聯後才有效。當您將規則與 VPC 建立關聯時,VPC Resolver 會開始將規則中指定網域名稱的 DNS 查詢轉送至您在規則中指定的 DNS 解析程式。查詢會通過您在建立規則時所指定的傳出端點。
**建立轉送規則與一或多個 VPC 的關聯**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇**規則**。
1. 在導覽列上,選擇您建立規則的區域。
1. 選擇您想與一或多個 VPC 建立關聯的規則名稱。
1. 選擇 **Associate VPC (關聯 VPC)**。
1. 在 **VPCs that use this rule (使用此規則的 VPC)** 下,選擇想與規則關聯的 VPC。
1. 選擇**新增**。
## 取消轉送規則與 VPC 的關聯
下列情況可以取消轉送規則與 VPC 的關聯:
+ 對於源自此 VPC 的 DNS 查詢,您希望 VPC Resolver 停止將規則中指定網域名稱的查詢轉送到您的網路。
+ 您要刪除轉送規則。如果規則目前與一或多個 VPC 相關聯,您必須先取消規則與所有 VPC 的關聯,才能刪除規則。
如果您想要取消轉送規則與一或多個 VPC 的關聯,請執行下列程序。
**取消轉送規則與 VPC 的關聯**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇**規則**。
1. 在導覽列上,選擇您建立規則的區域。
1. 選擇您想要與一或多個 VPC 取消關聯的規則名稱。
1. 選擇您想要與規則取消關聯的 VPC 選項。
1. 選擇**取消關聯**。
1. 輸入 **disassociate** 以確認。
1. 選擇**提交**。
## 與其他 AWS 帳戶共用解析程式規則並使用共用規則
您可以與其他帳戶共用使用一個 AWS 帳戶建立的解析程式規則 AWS 。若要共用規則,Route 53 VPC Resolver 主控台會與 AWS Resource Access Manager 整合。如需 Resource Access Manager 的詳細資訊,請參閱 [Resource Access Manager 使用者指南](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)。
注意下列事項:
**建立共享規則與 VPC 的關聯**
如果另一個 AWS 帳戶已與您的帳戶共用一或多個規則,您可以將規則與 VPCs建立關聯,方法與您與 VPCs建立的規則建立關聯。如需詳細資訊,請參閱[建立轉送規則與 VPC 的關聯](#resolver-rules-managing-associating-rules)。
**刪除或停止共享規則**
如果您與其他帳戶共用規則,然後刪除規則或停止共用規則,而且如果規則與一或多個 VPCs 相關聯,Route 53 VPC Resolver 會根據其餘規則開始處理這些 VPCs的 DNS 查詢。此行為和您取消規則與 VPC 的關聯一樣。
如果將規則共用至組織單位 (OU),且 OU 中的帳戶移至不同的 OU,則會刪除共用規則與帳戶中任何 VPC 之間的所有關聯。不過,如果 VPC Resolver 規則已與目的地 OU 共用,則 VPC 關聯將保持不變且不會取消關聯。
**規則和關聯的數目上限**
當帳戶建立規則並與一或多個其他帳戶共用時,每個 AWS 區域的規則數目上限會套用至建立規則的帳戶。
當共享規則的帳戶建立此規則與一或多個 VPC 的關聯時,每個區域規則與 VPC 間關聯數的上限即適用於共享此規則的帳戶。
如需目前的 VPC Resolver 配額,請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。
**許可**
若要與其他 AWS 帳戶共用規則,您必須具有使用 [PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html) 動作的許可。
**共用規則 AWS 的帳戶限制**
共用規則的帳戶無法變更或刪除規則。
**標記**
只有建立規則的帳戶可以新增、刪除或檢視規則的標籤。
若要檢視規則目前的共用狀態 (包括共用規則的帳戶或與之共用規則的帳戶),以及與其他帳戶共用規則,請執行以下程序。
**檢視與其他 AWS 帳戶的共用狀態和共用規則**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇**規則**。
1. 在導覽列上,選擇您建立規則的區域。
**Sharing status (共用狀態)** 欄顯示規則目前的共享狀態,它們是目前帳戶建立的規則或與目前帳戶共用的規則:
+ **未共用**:目前 AWS 帳戶已建立規則,且規則不會與任何其他帳戶共用。
+ **Shared by me (由我共用)**:目前的帳戶建立了規則,且與一或多個帳戶共用。
+ **Shared with me (與我共用)**:另一個帳戶建立了規則,且與目前的帳戶共用。
1. 選擇您想要顯示共用資訊的規則名稱,或您想要與其他帳戶共用的規則名稱。
在 **Rule: *rule name* (規則:規則名稱)** 頁面中,**Owner (擁有者)** 下的值會顯示建立規則的帳戶 ID。除非 **Sharing status (共用狀態)** 的值為 **Shared with me (與我共用)**,否則即為目前的帳戶。若是如此,**Owner (擁有者)** 即為建立了規則,且與目前帳戶共用規則的帳戶。
1. 選擇 **Share (共用)** 以檢視更多資訊,或與其他帳戶共用規則。Resource Access Manager 主控台會顯示一個頁面,視 **Sharing status (共用狀態)** 的值而定:
+ **Not shared (不共用)**:顯示 **Create resource share (建立資源共用)** 頁面。如需如何與其他帳戶、OU 或組織共用規則的資訊,請跳到步驟 6。
+ **Shared by me (由我共用)**:**Shared resources (共用的資源)** 頁面會顯示目前帳戶所擁有的規則和其他資源,以及與其他帳戶共用的規則和資源。
+ **Shared with me (與我共用)**:**Shared resources (共用的資源)** 頁面會顯示其他帳戶所擁有的規則和其他資源,以及與目前帳戶共用的規則和資源。
1. 若要與其他 AWS 帳戶、OU 或組織共用規則,請指定下列值。
**注意**
您無法更新共用設定。如果您想要變更以下任一設定,您必須重新共用使用新設定的規則,然後移除舊的共用設定。
**Description**
輸入有助於您記憶為何共享規則的簡短描述。
**Resources**
選擇您要共享之規則的核取方塊。
**主體**
輸入 AWS 帳號、OU 名稱或組織名稱。
**Tags (標籤)**
指定一或多個金鑰和對應的值。例如,您可以為**金鑰**指定**成本中心**,為**值** 指定 **456**。
這些是 AWS 帳單與成本管理 提供用於組織 AWS 帳單的標籤;您也可以將標籤用於其他用途。如需有關使用成本配置標籤的詳細資訊,請參閱 *AWS Billing 使用者指南*中的[使用成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
## 刪除轉送規則
若要刪除轉送規則,請執行以下程序。
注意下列事項:
+ 如果轉送規則與任何 VPC 相關聯,您必須先取消規則與該 VPC 的關聯,才能刪除規則。如需詳細資訊,請參閱[取消轉送規則與 VPC 的關聯](#resolver-rules-managing-disassociating-rules)。
+ 您無法刪除預設的**網際網路解析程式**規則,其 **Type (類型)** 值為 **Recursive (遞迴)**。此規則會導致 Route 53 VPC Resolver 充當您未建立自訂規則且 VPC Resolver 未建立自動定義規則之任何網域名稱的遞迴解析程式。如需如何分類規則的詳細資訊,請參閱[使用規則來控制哪些查詢轉送到您的網路](resolver-overview-forward-vpc-to-network-using-rules.md)。
**刪除轉送規則**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇**規則**。
1. 在導覽列上,選擇您建立規則的區域。
1. 選擇您要刪除的規則選項。
1. 選擇 **刪除**。
1. 若要確認您要刪除該規則,請輸入規則名稱,然後選擇 **Submit (提交)**。
## 在 VPC Resolver 中轉送反向 DNS 查詢的規則
從 Amazon VPC `true` 將虛擬私有雲端 (VPC) 的 `enableDnsHostnames`和 `enableDnsSupport`設定為 時,VPC Resolver 會自動為反向 DNS 查詢建立自動定義的系統規則。如需這些設定的詳細資訊,請參閱《*Amazon VPC 開發人員指南*》中的「[VPC 中的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)」。
反向 DNS 查詢的轉送規則對於 SSH 或 Active Directory 等服務特別有用,這些服務可以選擇透過對客戶嘗試連線到資源的 IP 地址執行反向 DNS 查詢來驗證使用者。如需自動定義之系統規則的詳細資訊,請參閱 [VPC Resolver 為 建立自動定義系統規則的網域名稱](resolver-overview-forward-vpc-to-network-autodefined-rules.md)。
您可以關閉這些規則並修改所有反向 DNS 查詢,讓這些查詢可轉送至您的內部部署名稱伺服器以進行解析。
關閉自動規則之後,請建立規則,視需要將查詢轉送至您的內部部署資源。如需有關如何管理轉送規則的詳細資訊,請參閱 [管理轉送規則](#resolver-rules-managing)。
**若要關閉自動定義規則**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,**VPC Resolver** 下選擇 **VPCs**,然後選擇 VPC ID。
1. 在 **Autodefined rules for reverse DNS resolution** (反向 DNS 解析的自動定義規則) 下,取消選取核取方塊。如果核取方塊已經取消選取,您可以選取它來開啟自動定義的反向 DNS 解析。
如需相關 APIs,請參閱 [VPC Resolver APIs](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration)。
# Resolver 委派規則教學課程
委派規則允許 VPC Resolver 透過指定的傳出端點到達託管委派區域的名稱伺服器。雖然轉送規則會通知 VPC Resolver 透過傳出端點將 DNS 查詢轉送至符合指定網域的名稱伺服器,但委派規則會通知 VPC Resolver 透過傳回委派 NS 記錄時指定的傳出端點到達委派名稱伺服器。當 DNS 回應中的 NS 記錄符合委派記錄中指定的網域名稱時,VPC Resolver 會將查詢傳送至委派名稱伺服器。
## 使用解析程式端點傳出委派的步驟
1. 在 VPC 中建立解析程式傳出端點,您希望 DNS 查詢從該端點傳到您網路上的解析程式。
您可以使用下列 API 或 CLI 命令:
+ [`CreateResolverEndpoint` API](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html)
+ [`create-resolver-endpoint` CLI](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
1. 建立一或多個委派規則,指定應透過指定傳出端點將查詢委派給網路的網域名稱。
使用 CLI 建立委派規則的範例:
```
aws route53resolver create-resolver-rule \
--region REGION \
--creator-request-id delegateruletest \
--delegation-record example.com \
--name delegateruletest \
--rule-type DELEGATE \
--resolver-endpoint-id outbound endpoint ID
```
1. 將委派規則與您希望委派查詢VPCs 建立關聯。
您可以使用下列 API 或 CLI 命令:
+ [AssociateResolverRule](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_AssociateResolverRule.html) API。
+ [associate-resolver-rules](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/associate-resolver-rule.html) CLI 命令。
## Resolver 傳出端點支援的委派類型
VPC Resolver 支援兩種類型的傳出委派:
+ 將 53 個私有託管區域路由至 VPC Resolver 傳出委派:
使用傳出委派,將子網域從私有託管區域委派給內部部署 DNS 伺服器或網際網路上的公有託管區域。此傳出委派可讓您在私有託管區域與委派區域之間分割 DNS 記錄的管理。您可以根據您的 DNS 設定,在私有託管區域中使用或不使用黏附記錄來完成委派。如需詳細資訊,請參閱 [傳出的私有託管區域](#phz-to-outbound-delegation)。
+ VPC Resolver 傳出至傳出委派:
使用傳出至傳出委派,將子網域從您的內部部署 DNS 伺服器委派至相同或不同位置的另一個內部部署伺服器。這類似於從私有託管區域委派至傳出端點,您可以在其中委派至內部部署名稱伺服器上託管的區域。如需更多資訊,請參閱[傳出至傳出](#outbound-to-outbound-delegation)。
### 將 53 個私有託管區域路由至 VPC Resolver 傳出委派範例組態
假設 DNS 設定,其中父託管區域託管在 Amazon VPC 的 Route 53 私有託管區域中,而子網域委派給在歐洲、亞洲和北美洲託管的伺服器。所有 DNS 查詢都會透過 VPC Resolver 傳遞。
請依照範例步驟來設定私有託管區域和 VPC Resolver。
**設定用於傳出委派的私有託管區域**
1. 對於私有託管區域設定:
父託管區域: `hr.example.com`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
```
1. 對於歐洲內部部署區域中的內部部署名稱伺服器:
+ 託管區域:`eu.hr.example.com`NS IP: `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. 對於亞洲內部部署區域中的內部部署名稱伺服器:
託管區域:`apac.hr.example.com`、 `10.0.0.40`
apac 名稱伺服器可以將子網域委派給其他名稱伺服器。
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
託管區域:`engineering.apac.hr.example.com`、 `10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. 對於北美內部部署區域中的內部部署名稱伺服器:
託管區域:`na.hr.example.net`NS IP: `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**VPC 解析程式設定**
+ 對於 VPC Resolver,您需要設定一個轉送規則和兩個委派規則:
**轉送規則**
1. 若要轉送out-of-zone委派記錄,Route 53 VPC Resolver 會知道委派 NS 的 IP 來轉送初始請求。
domain-name:`hr.example.net`target-ips: `10.0.0.50`
**委派規則**
1. 區域內委派的委派規則:
委派記錄: `hr.example.com`
1. 區域外委派的委派規則:
委派記錄: `hr.example.net`
### 傳出至傳出委派範例組態
假設父託管區域位於中央內部部署位置,且子網域正委派給在歐洲、亞洲和北美洲託管的名稱伺服器,而不是在 Amazon VPC 中擁有父託管區域。所有 DNS 查詢都會透過 VPC Resolver 傳遞。
請依照範例步驟來設定您的現場部署 DNS 和 VPC Resolver。
**設定內部部署 DNS**
1. 對於中央內部部署區域中的內部部署名稱伺服器:
+ **父託管區域:** `hr.example.com`
託管區域 `hr.example.com`,NS IP: `10.0.0.20`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
```
1. 對於歐洲內部部署區域中的內部部署名稱伺服器 (歐洲、亞洲和北美洲名稱伺服器的組態與私有託管區域對傳出委派的組態相同):
+ 託管區域:`eu.hr.example.com`NS IP: `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. 對於亞洲內部部署區域中的內部部署名稱伺服器:
託管區域:`apac.hr.example.com`、 `10.0.0.40`
apac 名稱伺服器可以將子網域委派給其他名稱伺服器。
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
託管區域:`engineering.apac.hr.example.com`、 `10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. 對於北美內部部署區域中的內部部署名稱伺服器:
託管區域:`na.hr.example.net`NS IP: `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**VPC 解析程式設定**
+ 對於 VPC 解析程式,您需要設定轉送規則和委派規則:
**轉送規則**
1. 若要轉送初始請求,將查詢轉送至`hr.example.com`中央位置的父託管區域:
domain-name:`hr.example.com`target-ips: `10.0.0.20`
1. 若要轉送out-of-zone委派記錄,VPC Resolver 會知道委派名稱伺服器的 IP 地址,以轉送初始請求:
domain-name:`hr.example.net`target-ips: `10.0.0.50`
**委派規則**
1. 區域內委派的委派規則:
委派記錄: `hr.example.com`
1. 區域外委派的委派規則:
委派記錄: `hr.example.net`
# 在 Amazon Route 53 中啟用 DNSSEC 驗證
當您在 Amazon Route 53 中針對 Virtual Private Cloud (VPC) 啟用 DNSSEC 驗證時,會以密碼編譯方式檢查 DNSSEC 簽章,以確保回應未遭竄改。您可以在 VPC 詳細資料頁面上啟用 DNSSEC 驗證。
當執行遞迴 DNS 解析時,VPC Resolver 會將 DNSSEC 驗證套用至公有簽章名稱。
不過,如果 VPC Resolver 正在轉送到另一個 DNS 解析程式,則該解析程式正在執行遞迴 DNS 解析,因此也必須套用 DNSSEC 驗證。
**重要**
啟用 DNSSEC 驗證可能會影響來自 VPC 中 AWS 資源的公有 DNS 記錄的 DNS 解析,這可能會導致中斷。請注意,啟用或停用 DNSSEC 驗證需要幾分鐘的時間。
**注意**
此時,VPC 中的 Route 53 VPC Resolver (也稱為 AmazonProvidedDNS) 會忽略 DNS 查詢中的 DO (DNSSEC OK) EDNS 標頭位元和 CD (已停用檢查) 位元。如果您已設定 DNSSEC,這表示 VPC Resolver 執行 DNSSEC 驗證時,不會傳回 DNSSEC 記錄,也不會在回應中設定 AD 位元。因此,VPC Resolver 目前不支援執行您自己的 DNSSEC 驗證。如果您需要這樣做,則需要執行自己的遞迴 DNS 解析。
**啟用 VPC 的 DNSSEC 驗證**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格的 **VPC Resolver** 下,選擇 **VPCs**。
1. 在 **DNSSEC 驗證**下方,選取核取方塊。如果已選取核取方塊,您可以取消選取此核取方塊以停用 DNSSEC 驗證。
請注意,啟用或停用 DNSSEC 驗證需要幾分鐘的時間。