Reenviar DNS las consultas salientes a la red - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Reenviar DNS las consultas salientes a la red

Para reenviar DNS las consultas que se originan en EC2 instancias de Amazon en una o más instancias VPCs a su red, debe crear un punto de enlace saliente y una o más reglas:

Punto de conexión de salida

Para reenviar DNS las consultas desde su red VPCs a su red, debe crear un punto de enlace saliente. Un punto de conexión saliente especifica las direcciones IP de las que se originan las consultas. Esas direcciones IP, que usted elige del rango de direcciones IP disponibles para ustedVPC, no son direcciones IP públicas. Esto significa que, para cada terminal saliente, debe conectarse a la red mediante una AWS Direct Connect conexión, una VPN conexión o una pasarela de traducción de direcciones de red (NAT). VPC Tenga en cuenta que puede usar el mismo punto final de salida para varios VPCs puntos de conexión de la misma región o puede crear varios puntos de enlace salientes. Si desea utilizar su punto de conexión salienteDNS64, puede habilitarlo DNS64 mediante Amazon Virtual Private Cloud. Para obtener más información, consulta DNS64y consulta NAT64 la Guía del VPC usuario de Amazon.

El Resolver elige aleatoriamente la IP de destino de la regla Route 53 Resolver y no hay preferencia a la hora de elegir una IP de destino en particular sobre la otra. Si una IP de destino no responde a la DNS solicitud reenviada, el Resolver volverá a intentar encontrar una dirección IP aleatoria entre las de destinoIPs.

Reglas

Para especificar los nombres de dominio de las consultas que desea reenviar a los DNS solucionadores de su red, cree una o más reglas. Cada regla especifica un nombre de dominio. A continuación, asocie las reglas a VPCs las que desee reenviar las consultas a la red.

Para obtener más información, consulte los temas siguientes:

Configuración del enrutamiento saliente

Para configurar el Resolver para que reenvíe a la red DNS las consultas que se originan en su red, lleve VPC a cabo los siguientes procedimientos.

importante

Después de crear un punto final saliente, debe crear una o más reglas y asociarlas a una o másVPCs. Las reglas especifican los nombres de dominio de las DNS consultas que desea reenviar a la red.

Para crear un punto de conexión de salida
  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Inbound Outbound (Puntos de conexión de salida).

  3. En la barra de navegación, elija la región en la que desea crear un punto de conexión de salida.

  4. Elija Create outbound endpoint (Crear punto de conexión de salida).

  5. Ingrese los valores aplicables. Para obtener más información, consulte Valores que se especifican al crear o editar puntos de conexión de salida.

  6. Elija Create (Crear).

    nota

    La creación de un punto de conexión de salida tarda uno o dos minutos. No se puede crear otro punto de conexión de salida hasta que no se haya creado el primero.

  7. Cree una o más reglas para especificar los nombres de dominio de las DNS consultas que desea reenviar a la red. Para obtener más información, consulte el siguiente procedimiento.

Para crear una o varias reglas de reenvío, siga el procedimiento que se indica a continuación.

Para crear reglas de reenvío y asociarlas a una o más VPCs
  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, seleccione Reglas.

  3. En la barra de navegación, elija la región en la que desee crear la regla.

  4. Elija Crear regla.

  5. Ingrese los valores aplicables. Para obtener más información, consulte Valores que se especifican al crear o editar reglas.

  6. Seleccione Guardar.

  7. Para agregar otra regla, repita los pasos 4 a 6.

Valores que se especifican al crear o editar puntos de conexión de salida

Al crear o editar un punto de conexión de salida, tiene que especificar los siguientes valores:

ID de Outpost

Si va a crear el punto final para un Resolver en un AWS Outposts VPC, este es el AWS Outposts ID.

Endpoint name (Nombre del punto de conexión)

Un nombre fácil de recordar que le permite encontrar fácilmente un punto de conexión de salida en el panel.

VPCen el nombre de región Región

Todas las DNS consultas salientes fluirán a través de ella hasta VPC llegar a su red.

Security group for this endpoint (Grupo de seguridad para este punto de conexión)

El ID de uno o más grupos de seguridad que desea usar para controlar el acceso a esteVPC. El grupo de seguridad que especifique debe incluir una o más reglas de salida. Las reglas de salida deben permitir TCP el UDP acceso desde el puerto que utilice para DNS las consultas de la red. No puede cambiar este valor después de crear un punto de conexión.

Algunas reglas de los grupos de seguridad hacen que se rastree tu conexión y pueden afectar al número máximo de consultas por segundo desde el punto final de salida al servidor de nombres de destino. Para evitar el seguimiento de la conexión provocado por un grupo de seguridad, consulte Conexiones no rastreadas.

Para obtener más información, consulte Grupos de seguridad para usted VPC en la Guía del VPC usuario de Amazon.

Tipo de punto de conexión

El tipo de punto final puede ser una IPv4 dirección IP de pila doble o una dirección IP. IPv6 En el caso de un punto final de doble pila, el punto final tendrá IPv4 una IPv6 dirección a la que la DNS resolución de la red pueda reenviar la DNS consulta.

nota

Por motivos de seguridad, denegamos el acceso directo IPv6 del tráfico a la Internet pública a todas las IPv6 direcciones IP y de doble pila.

Direcciones IP

Las direcciones IP a las VPC que desea que Resolver reenvíe DNS las consultas a los solucionadores de su red. Estas no son las direcciones IP de los DNS solucionadores de la red; las direcciones IP de las resoluciones se especifican al crear las reglas que se asocian a uno o más. VPCs Le pedimos que especifique un mínimo de dos direcciones IP para la redundancia.

nota

El punto de conexión de Resolver tiene una dirección IP privada. Estas direcciones IP no cambiarán a lo largo de la vida de un punto de conexión.

Tenga en cuenta lo siguiente:

Varias zonas de disponibilidad

Le recomendamos que especifique direcciones IP que se encuentren al menos en dos zonas de disponibilidad. Opcionalmente, puede especificar direcciones IP adicionales en estas u otras zonas de disponibilidad.

Direcciones IP e interfaces de red VPC elásticas de Amazon

Para cada combinación de zona de disponibilidad, subred y dirección IP que especifique, Resolver crea una interfaz de red VPC elástica de Amazon. Para conocer el número máximo actual de DNS consultas por segundo por dirección IP en un punto final, consulteCuotas en Route 53 Resolver. Para obtener información acerca de los precios de cada interfaz de red elástica, consulte “Amazon Route 53” en la página de precios de Amazon Route 53.

Orden de direcciones IP

Puede especificar direcciones IP en cualquier orden. Al reenviar DNS consultas, Resolver no elige las direcciones IP en función del orden en que aparecen las direcciones IP.

Para cada dirección IP, especifique los siguientes valores. Cada dirección IP debe estar en una zona de disponibilidad en la VPC que haya especificado VPCen la región con el nombre de la región.

Zona de disponibilidad

La zona de disponibilidad por la que desea que pasen DNS las consultas de camino a su red. La zona de disponibilidad que especifique debe estar configurada con una subred.

Subred

La subred que contiene la dirección IP desde la que desea que se originen DNS las consultas cuando se dirigen a la red. La subred debe tener una dirección IP disponible.

La dirección IP de la subred debe coincidir con el Tipo de punto de conexión.

Dirección IP

La dirección IP desde la que desea que se originen las DNS consultas de camino a la red.

Elija si quiere que Resolver elija una dirección IP de entre las direcciones IP disponibles en la subred especificada o si quiere ser usted quien especifique la dirección IP.

Si decide especificar la dirección IP usted mismo, introduzca una IPv6 dirección IPv4 O o ambas.

Protocolos

El protocolo de punto de conexión determina cómo se transmiten los datos desde el punto de conexión de salida. Elija uno o varios protocolos en función del nivel de seguridad necesario.

  • Do53: (predeterminado) los datos se transmiten mediante Route 53 Resolver sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las redes de AWS .

  • DoH: Los datos se transmiten a través de una HTTPS sesión cifrada. El DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto.

Para un punto de conexión de salida, puede aplicar los protocolos de la siguiente manera:

  • Do53 y DoH en combinación.

  • Do53 solo.

  • DoH solo.

  • Ninguno, por lo que se trata como Do53.

Actualmente, no se TLS SNI admite la extensión para las consultas del DoH a través del punto final de salida.

Etiquetas

Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar Centro de costos en Key (Clave) y 456 en Value (Valor).

Valores que se especifican al crear o editar reglas

Al crear o editar una regla de reenvío, tiene que especificar los siguientes valores:

Nombre de la regla

Un nombre fácil de recordar que permite encontrar fácilmente una regla en el panel.

Tipo de regla

Elija el valor aplicable:

  • Reenviar: seleccione esta opción si desea reenviar DNS las consultas de un nombre de dominio específico a los solucionadores de la red.

  • System (Sistema): elija esta opción cuando quiera que Resolver sobrescriba de forma selectiva el comportamiento que se define en la regla de reenvío. Al crear una regla del sistema, Resolver resuelve DNS las consultas de subdominios específicos que, de otro modo, resolverían los solucionadores de la DNS red.

De forma predeterminada, las reglas de reenvío se aplican a un nombre de dominio y todos sus subdominios. Si quiere reenviar las consultas de un dominio a un solucionador de la red, pero no quiere reenviar las consultas a algunos subdominios, debe crear una regla de sistema para los subdominios. Por ejemplo, si crea una regla de reenvío para example.com pero no desea reenviar las consultas a acme.example.com, debe crear una regla de sistema y especificar acme.example.com para el nombre de dominio.

VPCsque utilizan esta regla

Los VPCs que utilizan esta regla para reenviar DNS consultas para el nombre o los nombres de dominio especificados. Puede aplicar una regla a tantos VPCs como desee.

Nombre del dominio

DNSlas consultas de este nombre de dominio se reenvían a las direcciones IP que especifique en las direcciones IP de destino. Para obtener más información, consulte Cómo determina Resolver si el nombre de dominio de una consulta coincide con cualquier regla.

Punto de conexión de salida

El solucionador reenvía DNS las consultas a través del punto final de salida que especifique aquí a las direcciones IP que especifique en las direcciones IP de destino.

Direcciones IP de destino

Cuando una DNS consulta coincide con el nombre que especifique en Nombre de dominio, el punto final saliente reenvía la consulta a las direcciones IP que especifique aquí. Por lo general, estas son las direcciones IP de los DNS resolutores de la red.

Target IP addresses (Direcciones IP de destino) solo está disponible cuando el valor de Rule type (Tipo de regla) es Forward (Reenvío).

Especifique IPv4 IPv6 las direcciones y los protocolos que desee utilizar para el punto final.

Etiquetas

Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar Centro de costos en Key (Clave) y 456 en Value (Valor).

Estas son las etiquetas AWS Billing and Cost Management que permiten organizar su AWS factura. Para obtener más información sobre el uso de etiquetas para la asignación de costes, consulte Uso de etiquetas de asignación de costes en la Guía del usuario de AWS Billing .