Reenvío de consultas de DNS de entrada a las VPC - Amazon Route 53
Configuración del enrutamiento entranteValores que se especifican al crear o editar puntos de conexión de entrada

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Reenvío de consultas de DNS de entrada a las VPC

Para poder reenviar consultas de DNS de la red al solucionador, debe crear un punto de enlace de entrada. Un punto de conexión entrante especifica las direcciones IP (del rango de direcciones IP disponibles para la VPC) a las que desea que los solucionadores de DNS de su red reenvíen las consultas de DNS. Esas direcciones IP no son direcciones IP públicas, por lo que, para cada punto final de entrada, debe conectar la VPC a la red mediante AWS Direct Connect una conexión o una conexión VPN.

Configuración del enrutamiento entrante

Para crear un punto de conexión de entrada, siga el procedimiento que se indica a continuación.

Para crear un punto de conexión de entrada

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Inbound endpoints (Puntos de conexión de entrada).

  3. En la barra de navegación, elija la región en la que desea crear un punto de conexión de entrada.

  4. Elija Create inbound endpoint (Crear punto de conexión de entrada).

  5. Ingrese los valores aplicables. Para obtener más información, consulte Valores que se especifican al crear o editar puntos de conexión de entrada.

  6. Elija Create (Crear).

  7. Configure los solucionadores de DNS de la red para que reenvíen las consultas de DNS aplicables a las direcciones IP del punto de conexión de entrada. Para obtener más información, consulte la documentación de su aplicación de DNS.

Valores que se especifican al crear o editar puntos de conexión de entrada

Al crear o editar un punto de conexión de entrada, tiene que especificar los siguientes valores:

ID de Outpost

Si va a crear el punto final para un Resolver en una AWS Outposts VPC, este es el AWS Outposts ID.

Endpoint name (Nombre del punto de conexión)

Un nombre fácil de recordar que le permite encontrar fácilmente un punto de conexión de entrada en el panel.

VPC in the region-name Region (VPC en la región nombre-región)

Todas las consultas de DNS de entrada de su red pasan por esta VPC en el recorrido hacia Resolver.

Security group for this endpoint (Grupo de seguridad para este punto de conexión)

El ID de uno o varios grupos de seguridad que desea utilizar para controlar el acceso a esta VPC. El grupo de seguridad que especifique debe incluir una o más reglas de entrada. Las reglas de entrada deben permitir el acceso de TCP y UDP en el puerto 53. No puede cambiar este valor después de crear un punto de conexión.

Algunas reglas de grupos de seguridad hacen que se realice un seguimiento de tu conexión y, en general, el número máximo de consultas por segundo por dirección IP para un punto final entrante puede ser tan bajo como 1500. Para evitar el seguimiento de la conexión provocado por un grupo de seguridad, consulte Conexiones no rastreadas.

nota

Para añadir varios grupos de seguridad, utilice el AWS CLI comandocreate-resolver-endpoint. Para obtener más información, consulte create-resolver-endpoint

Para obtener más información, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

Tipo de punto de conexión

El tipo de punto de conexión puede ser IPv4, IPv6 o direcciones IP de doble pila. En el caso de un punto de conexión de doble pila, el punto de conexión tendrá direcciones IPv4 e IPv6 a las que el Resolver de DNS de la red pueda reenviar las consultas de DNS.

nota

Por motivos de seguridad, denegamos el acceso directo al tráfico IPv6 desde la Internet pública a todas las direcciones IP IPv6 y de doble pila.

Direcciones IP

Las direcciones IP a las que quiere que los solucionadores de DNS de su red reenvíen las consultas de DNS. Le pedimos que especifique un mínimo de dos direcciones IP para la redundancia. Tenga en cuenta lo siguiente:

Varias zonas de disponibilidad

Le recomendamos que especifique direcciones IP que se encuentren al menos en dos zonas de disponibilidad. Opcionalmente, puede especificar direcciones IP adicionales en estas u otras zonas de disponibilidad.

Direcciones IP e interfaces de red elásticas de Amazon VPC

Para cada combinación de zona de disponibilidad, subred y dirección IP que especifique, Resolver crea una interfaz de red elástica de Amazon VPC. Para obtener información acerca del número máximo actual de consultas de DNS por segundo por cada dirección IP de un punto de conexión, consulte Cuotas en Route 53 Resolver. Para obtener información acerca de los precios de cada interfaz de red elástica, consulte “Amazon Route 53” en la página de precios de Amazon Route 53.

nota

El punto de conexión de Resolver tiene una dirección IP privada. Estas direcciones IP no cambiarán a lo largo de la vida de un punto de conexión.

Para cada dirección IP, especifique los siguientes valores. Cada dirección IP debe estar en una zona de disponibilidad de la VPC que especificó en VPC in the region-name Region (VPC en la región nombre-región).

Zona de disponibilidad

La zona de disponibilidad por la que quiere que pasen las consultas de DNS en el recorrido hacia la VPC. La zona de disponibilidad que especifique debe estar configurada con una subred.

Subred

La subred que contiene las direcciones IP que desea asignar a sus ENI de punto final de Resolver. Estas son las direcciones a las que enviará las consultas de DNS. La subred debe tener una dirección IP disponible.

La dirección IP de la subred debe coincidir con el Tipo de punto de conexión.

Dirección IP

La dirección IP a la que quiere reenviar las consultas de DNS.

Elija si quiere que Resolver elija una dirección IP de entre las direcciones IP disponibles en la subred especificada o si quiere ser usted quien especifique la dirección IP.

Si decide especificar la dirección IP usted mismo, introduzca una dirección IPv4 o IPv6, o ambas.

Protocolos

El protocolo del punto de conexión determina cómo se transmiten los datos al punto de conexión de entrada. Elija uno o varios protocolos en función del nivel de seguridad necesario.

  • Do53: (predeterminado) los datos se transmiten mediante Route 53 Resolver sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las redes de AWS .

  • DoH: los datos se transmiten a través de una sesión HTTPS cifrada. El DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto.

  • Doh-FIPS: los datos se transmiten en una sesión HTTPS cifrada que cumple con el estándar criptográfico FIPS 140-2. Admite solo puntos de conexión de entrada. Para obtener más información, consulte FIPS PUB 140-2.

Para un punto de conexión de entrada, puede aplicar los protocolos de la siguiente manera:

  • Do53 y DoH en combinación.

  • Do53 y DOH-FIPS en combinación.

  • Do53 solo.

  • DoH solo.

  • DoH-FIPS solo.

  • Ninguno, por lo que se trata como Do53.

importante

No se puede cambiar el protocolo de un punto de conexión de entrada directamente de solo Do53 a solo DoH o DoH-FIPS. Esto es para evitar una interrupción repentina del tráfico entrante que depende de Do53. Para cambiar el protocolo de Do53 a DoH o DoH-FIPS, primero debe habilitar Do53 y DoH o Do53 y DoH-FIPS, para asegurarse de que todo el tráfico entrante se transfiera a través del protocolo DoH o DoH-FIPS y, a continuación, se elimine Do53.

Etiquetas

Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar Centro de costos en Key (Clave) y 456 en Value (Valor).