Weiterleiten von ausgehenden DNS-Abfragen an Ihr Netzwerk - Amazon Route 53
Konfigurieren von Weiterleitungen ausgehender AbfragenWerte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angebenWerte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Weiterleiten von ausgehenden DNS-Abfragen an Ihr Netzwerk

Zum Weiterleiten von DNS-Abfragen, die von Amazon EC2-Instances in einer oder mehreren VPCs in Ihrem Netzwerk stammen, erstellen Sie einen ausgehenden Endpunkt und eine oder mehrere Regeln.

Ausgehender Endpunkt

Um DNS-Abfragen von Ihren VPCs an Ihr Netzwerk weiterzuleiten, erstellen Sie einen ausgehenden Endpunkt. Ein ausgehender Endpunkt gibt die IP-Adressen an, von denen Abfragen stammen. Diese aus dem Bereich der IP-Adressen ausgewählten IP-Adressen, die Ihrer VPC zur Verfügung stehen, sind keine öffentlichen IP-Adressen. Dies bedeutet, dass Sie für jeden ausgehenden Endpunkt Ihre VPC über eine AWS Direct Connect VPC-Verbindung oder ein NAT-Gateway (Network Address Translation) mit Ihrem Netzwerk verbinden müssen. Beachten Sie, dass Sie den gleichen ausgehenden Endpunkt für mehrere VPCs in derselben Region verwenden oder mehrere ausgehende Endpunkte erstellen können. Wenn Sie möchten, dass Ihr ausgehender Endpunkt DNS64 verwendet, können Sie DNS64 mit Amazon Virtual Private Cloud aktivieren. Weitere Informationen finden Sie unter DNS64 und NAT64 im Amazon VPC Benutzerhandbuch.

Die Ziel-IP aus der Route 53-Resolver-Regel wird zufällig von Resolver ausgewählt und es gibt keine Präferenz, eine bestimmte Ziel-IP gegenüber der anderen auszuwählen. Wenn eine Ziel-IP nicht auf die weitergeleitete DNS-Anfrage antwortet, versucht der Resolver es erneut mit der anderen IP. Wenn alle definierten IP-Adressen verfügbar sind, wird Round Robin für alle Ziel-IP-Adressen verwendet.

Regeln

Sie erstellen eine oder mehrere Regeln, um die Domainnamen der Abfragen anzugeben, die Sie an die DNS-Resolver in Ihrem Netzwerk weiterleiten möchten. Jede Regel gibt einen Domainnamen an. Anschließend verknüpfen Sie Regeln mit den VPCs, für die Sie Abfragen an Ihr Netzwerk weiterleiten möchten.

Weitere Informationen finden Sie unter den folgenden Themen:

Konfigurieren von Weiterleitungen ausgehender Abfragen

Um Resolver so zu konfigurieren, dass aus Ihrer VPC stammende DNS-Abfragen an Ihr Netzwerk weitergeleitet werden, führen Sie die folgenden Schritte aus.

Wichtig

Nachdem Sie einen ausgehenden Endpunkt erstellt haben, müssen Sie eine oder mehrere Regeln erstellen und diese mit mindestens einer VPC verknüpfen. Regeln geben die Domainnamen der DNS-Abfragen an, die Sie an Ihr Netzwerk weiterleiten möchten.

So erstellen Sie einen ausgehenden Endpunkt

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route-53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Klicken Sie im Navigationsbereich auf Outbound endpoints (Ausgehende Endpunkte).

  3. Wählen Sie in der Navigationsleiste die Region aus, in der Sie einen ausgehenden Endpunkt erstellen möchten.

  4. Klicken Sie auf Create outbound endpoint (Ausgehenden Endpunkt erstellen).

  5. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben.

  6. Wählen Sie Erstellen.

    Anmerkung

    Die Erstellung eines ausgehenden Endpunkt nimmt ein oder zwei Minuten in Anspruch. Sie können erst einen anderen ausgehenden Endpunkt erstellen, wenn der erste erstellt wurde.

  7. Erstellen Sie eine oder mehrere Regeln, um die Domainnamen der DNS-Abfragen anzugeben, die Sie an Ihr Netzwerk weiterleiten möchten. Weitere Informationen finden Sie im nächsten Verfahren .

Führen Sie die folgenden Schritte aus, um eine oder mehrere Weiterleitungsregeln zu erstellen.

So erstellen Sie Weiterleitungsregeln und verknüpfen diese mit einer oder mehreren VPCs

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route-53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich Regeln aus.

  3. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

  4. Wählen Sie Regel erstellen aus.

  5. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben.

  6. Wählen Sie Save (Speichern) aus.

  7. Um eine weitere Regel hinzuzufügen, wiederholen Sie die Schritte 4 bis 6.

Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben

Wenn Sie einen ausgehenden Endpunkt erstellen oder bearbeiten, geben Sie die folgenden Werte an:

Outpost-ID

Wenn Sie den Endpunkt für einen Resolver auf einer AWS Outposts VPC erstellen, ist dies die AWS Outposts ID.

Endpoint name (Endpunktname)

Ein Anzeigename, mit dem Sie ganz einfach einen ausgehenden Endpunkt auf dem Dashboard finden können.

VPC in der Region region-name

Alle ausgehenden DNS-Abfragen durchlaufen diese VPC auf dem Weg zu Ihrem Netzwerk.

Sicherheitsgruppe für diesen Endpunkt

Die ID einer oder mehrerer Sicherheitsgruppen, die Sie verwenden möchten, um den Zugriff auf diese VPC zu steuern. Die von Ihnen angegebene Sicherheitsgruppe muss eine oder mehrere ausgehende Regeln enthalten. Ausgehende Regeln müssen TCP- und UDP-Zugriff auf dem Port zulassen, den Sie für DNS-Abfragen in Ihrem Netzwerk verwenden. Sie können diesen Wert nicht ändern, nachdem Sie ein Portal erstellt haben.

Einige Sicherheitsgruppenregeln führen dazu, dass Ihre Verbindung nachverfolgt wird und sich möglicherweise auf die maximale Anzahl von Abfragen pro Sekunde vom ausgehenden Endpunkt zum Zielnamenserver auswirkt. Informationen zum Vermeiden der durch eine Sicherheitsgruppe verursachten Verbindungsnachverfolgung finden Sie unter Unverfolgte Verbindungen.

Weitere Informationen finden Sie unter Sicherheitsgruppenregeln für Ihre VPC im Amazon VPC-Benutzerhandbuch.

Endpunkttyp

Beim Endpunkttyp kann es sich um IPv4-, um IPv6- oder um Dual-Stack-IP-Adressen handeln. Bei einem Dual-Stack-Endpunkt hat der Endpunkt sowohl eine IPv4- als auch eine IPv6-Adresse, an die Ihr DNS-Resolver in Ihrem Netzwerk eine DNS-Abfrage weiterleiten kann.

Anmerkung

Aus Sicherheitsgründen verweigern wir allen Dual-Stack- und IPv6-IP-Adressen den direkten IPv6-Datenverkehr zum öffentlichen Internet. IPv6

IP-Adressen

Die IP-Adressen in Ihrer VPC, an die Resolver DNS-Abfragen auf dem Weg zu Resolvern in Ihrem Netzwerk weiterleiten soll. Dies sind nicht die IP-Adressen der DNS-Resolver in Ihrem Netzwerk. Sie geben Resolver-IP-Adressen an, wenn Sie die Regeln erstellen, die Sie mit einer oder mehreren VPCs verknüpfen. Aus Redundanzgründen müssen Sie mindestens zwei IP-Adressen angeben.

Anmerkung

Der Resolver-Endpunkt hat eine private IP-Adresse. Diese IP-Adressen ändern sich im Laufe der Lebensdauer eines Endpunkts nicht.

Beachten Sie Folgendes:

Mehrere Availability Zones

Wir empfehlen, IP-Adressen in mindestens zwei Availability Zones festzulegen. Wahlweise können Sie zusätzliche IP-Adressen in diesen oder anderen Availability Zones angeben.

IP-Adressen und Amazon VPC Elastic Network-Schnittstellen

Für jede Kombination aus Availability Zone, Subnetz und IP-Adresse, die Sie festlegen, erstellt Resolver eine Amazon VPC Elastic Network-Schnittstelle. Informationen zu dem aktuellen Höchstwerten für die Anzahl der DNS-Abfragen pro Sekunde und IP-Adresse in einem Endpunkt finden Sie unter Kontingente bei Route 53 Resolver. Weitere Informationen zu den Preisen für die einzelnen Elastic Network-Schnittstellen finden Sie unter "Amazon Route 53" auf der Seite Amazon Route 53 Preise.

Reihenfolge der IP-Adressen

Sie können IP-Adressen in beliebiger Reihenfolge angeben. Beim Weiterleiten von DNS-Abfragen wählt Resolver IP-Adressen nicht auf Grundlage der Reihenfolge aus, in der die IP-Adressen aufgeführt sind.

Geben Sie für jede IP-Adresse die folgenden Werte an. Jede IP-Adresse muss in einer Availability Zone in der VPC vorhanden sein, die Sie in VPC in der Region region-name angegeben haben.

Availability Zone

Die Availability Zone, die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk durchlaufen sollen. Die angegebene Availability Zone muss mit einem Subnetz konfiguriert sein.

Subnetz

Das Subnetz mit der IP-Adresse, aus denen die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk stammen sollen. Das Subnetz muss eine verfügbare IP-Adresse enthalten.

Die Subnetz-IP-Adresse muss dem Endpunkttyp entsprechen.

IP-Adresse

Die IP-Adresse, von der die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk stammen sollen.

Wählen Sie, ob Resolver aus den verfügbaren IP-Adressen im angegebenen Subnetz eine IP-Adresse für Sie auswählen soll, oder ob Sie die IP-Adresse selbst festlegen möchten.

Wenn Sie die IP-Adresse selbst angeben möchten, geben Sie eine IPv4- oder IPv6-Adresse oder beides ein.

Protokolle

Das Endpunktprotokoll bestimmt, wie die Daten vom ausgehenden Endpunkt übertragen werden. Wählen Sie ein oder mehrere Protokolle, je nachdem, welche Sicherheitsstufe Sie benötigen.

  • Do53: (Standard) Die Daten werden über den Route-53-Resolver ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, aber sie können innerhalb der AWS -Netzwerke eingesehen werden.

  • DoH: Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können.

Für einen ausgehenden Endpunkt können Sie die Protokolle wie folgt anwenden:

  • Do53 und DoH in Kombination.

  • Nur Do53.

  • Nur DoH.

  • Keins, was als Do53 behandelt wird.

Tags

Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. Cost center (Kostenstelle) als Key (Schlüssel) und 456 als Value (Wert) angeben.

Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben

Wenn Sie eine Weiterleitungsregel erstellen oder bearbeiten, geben Sie die folgenden Werte an:

Regelname

Ein Anzeigename, mit dem Sie ganz einfach eine Regel auf dem Dashboard finden können.

Regeltyp

Wählen Sie einen geeignete Wert aus:

  • Forward (Weiterleiten) – Wählen Sie diese Option, wenn Sie DNS-Abfragen für einen angegebenen Domainnamen an Resolver in Ihrem Netzwerk weiterleiten möchten.

  • System – Wählen Sie diese Option, wenn Sie möchten, dass Resolver das Verhalten selektiv überschreibt, das in einer Weiterleitungsregel definiert ist. Wenn Sie eine Systemregel erstellen, löst Resolver DNS-Abfragen für bestimmte Subdomains auf, die andernfalls von DNS-Resolvern in Ihrem Netzwerk aufgelöst werden.

Standardmäßig gelten Weiterleitungsregeln für einen Domainnamen und alle entsprechenden Subdomains. Wenn Sie Abfragen für eine Domain an einen Resolver in Ihrem Netzwerk weiterleiten möchten, Abfragen für einige Subdomains hingegen nicht, erstellen Sie eine Systemregel für die Subdomains. Wenn Sie beispielsweise eine Weiterleitungsregel für example.com erstellen, Abfragen für acme.example.com jedoch nicht weiterleiten möchten, erstellen Sie eine Systemregel und geben für den Domainnamen acme.example.com an.

VPCs, die diese Regel verwenden

Die VPCs, die diese Regel verwenden, um DNS-Abfragen für den oder die angegebenen Domainnamen weiterzuleiten. Sie können eine Regel auf beliebig viele VPCs anwenden.

Domainname

DNS-Abfragen für diesen Domainnamen werden an die IP-Adressen weitergeleitet, die Sie in Target IP addresses (Ziel-IP-Adressen) festlegen. Weitere Informationen finden Sie unter So bestimmt Resolver, ob der Domainname in einer Abfrage einer Regel entspricht.

Ausgehender Endpunkt

Resolver leitet DNS-Abfragen durch den hier angegebenen ausgehenden Endpunkt an die IP-Adressen weiter, die Sie in Target IP addresses (Ziel-IP-Adressen) festlegen.

Ziel-IP-Adressen

Wenn eine DNS-Abfrage dem im Feld Domain name (Domainname) angegebenen Namen entspricht, leitet der ausgehende Endpunkt die Abfrage an die IP-Adressen weiter, die Sie hier angeben. Dies sind in der Regel die IP-Adressen für DNS-Resolver in Ihrem Netzwerk.

Target IP-Adressen (Ziel-IP-Adressen) ist nur verfügbar, wenn der Wert für Rule type (Regeltyp) Forward (Weiterleiten) lautet.

Geben Sie IPv4- oder IPv6-Adressen und die Protokolle an, die Sie für den Endpunkt verwenden möchten.

Tags

Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. Cost center (Kostenstelle) als Key (Schlüssel) und 456 als Value (Wert) angeben.

Dies sind die Tags, die für die Organisation Ihrer AWS Rechnung AWS Billing and Cost Management bereitstellt. Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter Verwenden von Kostenzuordnungs-Tags im AWS Billing -Benutzerhandbuch.