Resolución de consultas de DNS entre las VPC y la red

Resolver contiene puntos de conexión que se configuran para responder consultas de DNS desde y hacia el entorno ubicado en las instalaciones.

nota

No se admite el reenvío de consultas de DNS privadas a cualquier dirección CIDR + 2 de VPC desde los servidores de DNS en las instalaciones y puede provocar resultados inestables. En su lugar, le recomendamos que utilice un punto de conexión de entrada de Resolver.

También puede integrar la resolución de DNS entre Resolver y los solucionadores DNS de la red configurando reglas de reenvío. Su red puede incluir cualquier red a la que se pueda acceder desde la VPC, como las siguientes:

• La propia VPC

• Otra VPC interconectada

• Una red local a la que se conecta mediante una VPN o una AWS puerta de AWS Direct Connect enlace de traducción de direcciones de red (NAT)

Antes de comenzar a reenviar consultas, cree puntos de conexión de entrada o salida de Resolver en la VPC conectada. Estos puntos de conexión proporcionan una ruta para las consultas entrantes o salientes:

Punto de enlace de entrada: los solucionadores DNS de la red pueden reenviar consultas de DNS a Route 53 Resolver a través de este punto de enlace

Esto permite a sus solucionadores de DNS resolver fácilmente los nombres de dominio de AWS recursos como instancias o registros de EC2 en una zona alojada privada de Route 53. Para obtener más información, consulte Cómo los solucionadores de DNS de la red reenvían las consultas de DNS a los puntos de conexión de Route 53 Resolver.

Punto de enlace de salida: Resolver reenvía con condiciones las consultas a los solucionadores de la red a través de este punto de enlace

Para reenviar las consultas seleccionadas, puede crear reglas de Resolver que especifiquen los nombres de dominio para las consultas de DNS que quiere reenviar (como example.com) y las direcciones IP de los solucionadores de DNS de la red a las que quiere reenviar las consultas. Si una consulta coincide con varias reglas (example.com, acme.example.com), Resolver elige la regla que tiene la concordancia más especifica (acme.example.com) y reenvía la consulta a las direcciones IP que ha especificado en dicha regla. Para obtener más información, consulte Cómo reenvía el punto de enlace de Route 53 Resolver las consultas de DNS de las VPC a la red.

Al igual que Amazon VPC, Resolver es regional. En cada región en la que tiene VPC, puede elegir si desea reenviar las consultas desde las VPC a la red (consultas salientes), desde la red a las VPC (consultas entrantes) o ambas.

No puede crear puntos de conexión de Resolver en una VPC que no sea de su propiedad. Solo el propietario de la VPC puede crear recursos a nivel de VPC, como puntos de conexión entrantes.

nota

Cuando se crea un punto de enlace de Resolver, no se puede especificar una VPC que tenga el atributo de tenencia de la instancia establecido en dedicated. Para obtener más información, consulte Uso de Resolver en las VPC que están configuradas para la tenencia de instancias dedicadas.

Para utilizar el reenvío de entrada o salida, debe crear un punto de enlace de Resolver en la VPC. Como parte de la definición de punto de conexión, debe especificar las direcciones IP a las que quiere reenviar las consultas de DNS de entrada o las direcciones IP desde las que quiere que procedan las consultas de salida. Para cada dirección IP que especifique, Resolver creará automáticamente una interfaz de red elástica de VPC.

El siguiente diagrama muestra la ruta que sigue una consulta de DNS desde un solucionador de DNS de la red hasta los puntos de conexión de Route 53 Resolver.

El siguiente diagrama muestra la ruta que sigue una consulta de DNS desde una instancia EC2 de una de sus VPC hasta un solucionador de DNS de la red.

Para obtener información general acerca de las interfaces de red de VPC, consulte Interfaces de red elásticas en la Guía del usuario de Amazon VPC.

Temas

• Cómo los solucionadores de DNS de la red reenvían las consultas de DNS a los puntos de conexión de Route 53 Resolver

• Cómo reenvía el punto de enlace de Route 53 Resolver las consultas de DNS de las VPC a la red

• Consideraciones al crear puntos de conexión de entrada y salida

Cómo los solucionadores de DNS de la red reenvían las consultas de DNS a los puntos de conexión de Route 53 Resolver

Cuando quiera reenviar consultas de DNS desde su red a los puntos de conexión de Route 53 Resolver en una región de AWS , deberá realizar los pasos siguientes:

1. Debe crear un punto de enlace de entrada de Route 53 Resolver en una VPC y especificar las direcciones IP a las que quiere que los solucionadores de la red reenvíen las consultas de DNS.

   Para cada dirección IP que especifique en el punto de enlace de entrada, Resolver crea una interfaz de red elástica de VPC en la VPC donde ha creado el punto de enlace de entrada.

2. Configurar los solucionadores de la red para que reenvíen las consultas de DNS de los nombres de dominio aplicables a las direcciones IP que especificó en el punto de conexión de entrada. Para obtener más información, consulte Consideraciones al crear puntos de conexión de entrada y salida.

A continuación, se explica cómo Resolver resuelve las consultas de DNS que se originan en su red:

1. Un navegador web u otra aplicación de la red envía una consulta de DNS para un nombre de dominio que usted reenvió al solucionador.

2. Un solucionador de su red reenvía la consulta a las direcciones IP del punto de conexión de entrada.

3. El punto de enlace de entrada reenvía la consulta al solucionador.

4. El solucionador obtiene el valor aplicable para el nombre de dominio de la consulta de DNS, ya sea internamente o llevando a cabo una búsqueda recursiva en los servidores de nombres públicos.

5. Resolver devuelve el valor al punto de conexión de entrada.

6. El punto de conexión de entrada devuelve el valor al solucionador de la red.

7. El solucionador de la red devuelve el valor a la aplicación.

8. Usando el valor devuelto por Resolver, la aplicación envía una solicitud HTTP; por ejemplo, una solicitud de un objeto que se encuentra en un bucket de Amazon S3.

La creación de un punto final entrante no cambia el comportamiento de Resolver, solo proporciona una ruta desde una ubicación fuera de la AWS red hasta Resolver.

Cómo reenvía el punto de enlace de Route 53 Resolver las consultas de DNS de las VPC a la red

Si desea reenviar las consultas de DNS desde las instancias EC2 de una o más VPC de una AWS región a su red, lleve a cabo los siguientes pasos.

1. Cree un punto de enlace de salida de Route 53 Resolver en una VPC y especifique varios valores:

   • La VPC que quiere que atraviesen las consultas de DNS en el recorrido hacia los solucionadores de la red.

   • Las direcciones IP de la VPC desde las que desea que Resolver reenvíe las consultas de DNS. Para los hosts de su red, estas son las direcciones IP desde las que se originan las consultas de DNS.

   • Un grupo de seguridad de VPC

   Para cada dirección IP que especifique en el punto de enlace de salida, Resolver crea una interfaz de red elástica de Amazon VPC en la VPC que especifique. Para obtener más información, consulte Consideraciones al crear puntos de conexión de entrada y salida.

2. Cree una o más reglas que especifiquen los nombres de dominio de las consultas de DNS que quiere que Resolver reenvíe a los solucionadores de la red. También debe especificar las direcciones IP de los solucionadores. Para obtener más información, consulte Uso de reglas para controlar qué consultas se reenvían a la red.

3. Asocie cada regla a las VPC para las que quiere reenviar consultas de DNS a la red.

Uso de reglas para controlar qué consultas se reenvían a la red

Las reglas controlan las consultas de DNS que el punto de enlace de Route 53 Resolver reenvía a los solucionadores de DNS de su red y las consultas a las que responde el propio solucionador.

Hay dos formas de categorizar las reglas. Una es según quién crea las reglas:

• Reglas autodefinidas: Resolver solo crea reglas autodefinidas y asocia estas las reglas a las VPC. La mayoría de estas reglas se aplican a los nombres de dominio AWS específicos para los que Resolver responde a las consultas. Para obtener más información, consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas.

• Reglas personalizadas: cree reglas personalizadas y asócielas a las VPC. En la actualidad, solo puede crear un tipo de regla personalizada, las reglas de reenvío condicional, también conocidas como reglas de reenvío. Las reglas de reenvío hacen que Resolver reenvíe las consultas de DNS desde sus VPC a las direcciones IP de los solucionadores de DNS de la red.

  Si crea una regla de reenvío para el mismo dominio como una regla autodefinida, Resolver reenvía las consultas de ese nombre de dominio a los solucionadores de DNS de su red en función de la configuración de la regla de reenvío.

Otra forma de categorizar las reglas es según lo que hacen:

• Reglas de reenvío condicional: cree reglas de reenvío condicional (también denominadas reglas de reenvío) cuando quiera reenviar consultas de DNS para nombres de dominio especificados a los solucionadores de DNS de la red.

• Reglas del sistema: las reglas del sistema hacen que Resolver anule de forma selectiva el comportamiento definido en la regla de reenvío. Al crear una regla de sistema, Resolver resuelve las consultas de DNS para los subdominios especificados que, de lo contrario, resolverían los solucionadores de DNS de la red.

  De forma predeterminada, las reglas de reenvío se aplican a un nombre de dominio y todos sus subdominios. Si quiere reenviar las consultas de un dominio a un solucionador de la red, pero no quiere reenviar las consultas a algunos subdominios, debe crear una regla de sistema para los subdominios. Por ejemplo, si crea una regla de reenvío para example.com pero no desea reenviar las consultas a acme.example.com, debe crear una regla de sistema y especificar acme.example.com para el nombre de dominio.

• Regla recursiva: Resolver crea automáticamente una regla recursiva llamada Internet Resolver (Solucionador de Internet). Esta regla hace que Route 53 Resolver actúe como un solucionador recursivo para cualquier nombre de dominio para el que no haya creado reglas personalizadas y para el que Resolver no haya creado reglas autodefinidas. Para obtener más información acerca de cómo anular este comportamiento, consulte "Reenvío de todas las consultas a su red", más adelante en este tema.

Puede crear reglas personalizadas que se apliquen a nombres de dominio específicos (el suyo o la mayoría de los nombres de AWS dominio), a los nombres de AWS dominios públicos o a todos los nombres de dominio.

Reenvío a su red de las consultas para nombres de dominio específicos

Para reenviar a su red las consultas de un nombre de dominio específico, como example.com, debe crear una regla y especificar ese nombre de dominio. También debe especificar las direcciones IP de los solucionadores de DNS de la red a las que quiere que se reenvíen las consultas. Asocie después cada regla a las VPC para las que quiere reenviar consultas de DNS a la red. Por ejemplo, puede crear reglas diferentes para los dominios example.com, example.org y example.net. A continuación, puede asociar las reglas a las VPC de una AWS región en cualquier combinación.

Reenvío a su red de las consultas de amazonaws.com

El nombre de dominio amazonaws.com es el nombre de dominio público de AWS recursos como las instancias EC2 y los buckets S3. Si quiere reenviar a su red las consultas de amazonaws.com, cree una regla, especifique amazonaws.com como nombre de dominio y especifique Forward (Reenvío) como tipo de regla.

nota

El solucionador no reenvía automáticamente las consultas de DNS para algunos subdominios de amazonaws.com aunque cree una regla de reenvío para amazonaws.com. Para obtener más información, consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas. Para obtener más información acerca de cómo anular este comportamiento, consulte "Reenvío de todas las consultas a su red", a continuación.

Reenvío de todas las consultas a su red

Si quiere reenviar todas las consultas a la red, debe crear una regla, especificar “.” (punto) como nombre de dominio y asociar la regla a las VPC para las que desea reenviar a su red todas las consultas de DNS. El solucionador sigue sin reenviar todas las consultas de DNS a la red, ya que utilizar un solucionador de DNS externo AWS podría interrumpir algunas funciones. Por ejemplo, algunos nombres de AWS dominio internos tienen rangos de direcciones IP internos a los que no se puede acceder desde fuera AWS. Para ver una lista de los nombres de dominio para los que las consultas no se reenvían a la red cuando se crea una regla para ".", consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas.

Sin embargo, las reglas autodefinidas del sistema para el DNS inverso pueden desactivarse, permitiendo que la regla "." reenvíe todas las consultas de DNS inverso a su red. Para más información acerca de cómo desactivar las reglas autodefinidas, consulte Reglas de reenvío para consultas de DNS inversas en Resolver.

Si desea probar a reenviar a la red las consultas de DNS de todos los nombres de dominio, incluidos los nombres de dominio que quedan excluidos del reenvío de forma predeterminada, puede crear una regla "." y realizar una de las siguientes operaciones:

• Establecer la marca enableDnsHostnames de la VPC en false

• Crear reglas para los nombres de dominio que se indican en Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas

importante

Si reenvía todos los nombres de dominio a la red, incluidos los nombres de dominio que Resolver excluye cuando se crea una regla “.”, algunas características podrían dejar de funcionar.

Cómo determina Resolver si el nombre de dominio de una consulta coincide con cualquier regla

Route 53 Resolver compara el nombre de dominio de la consulta de DNS con el nombre de dominio de las reglas asociadas a la VPC desde la que se originó la consulta. El solucionador considera que los nombres de dominio coinciden en los siguientes casos:

• Los nombres de dominio coinciden exactamente

• El nombre de dominio en la consulta es un subdominio del nombre de dominio de la regla

Por ejemplo, si el nombre de dominio de la regla es acme.example.com, Resolver considera que existe una coincidencia con los siguientes nombres de dominio de una consulta de DNS:

• acme.example.com

• zenith.acme.example.com

Los siguientes nombres de dominio no son una coincidencia:

• example.com

• nadir.example.com

Si el nombre de dominio de una consulta coincide con el nombre de dominio de varias reglas (como example.com y www.example.com), Resolver dirige las consultas de DNS salientes utilizando la regla que contiene el nombre de dominio más específico (www.example.com).

Cómo determina Resolver dónde reenviar las consultas de DNS

Cuando una aplicación que se ejecuta en una instancia EC2 de una VPC envía una consulta de DNS, Route 53 Resolver realiza los siguientes pasos:

1. El solucionador comprueba los nombres de dominio de las reglas.

   Si el nombre de dominio de una consulta coincide con el nombre de dominio de una regla, Resolver reenvía la consulta a la dirección IP que especificó al crear el punto de enlace de salida. A continuación, el punto de conexión de salida reenvía la consulta a las direcciones IP de los solucionadores de la red, que especificó al crear la regla.

   Para obtener más información, consulte Cómo determina Resolver si el nombre de dominio de una consulta coincide con cualquier regla.

2. El punto de enlace de Resolver reenvía las consultas de DNS en función de la configuración de la regla “.”.

   Si el nombre de dominio de una consulta no coincide con el nombre de dominio de otras reglas, Resolver reenvía la consulta en función de la configuración de la regla autodefinida “.” (punto). La regla de los puntos se aplica a todos los nombres de dominio, excepto a algunos nombres de dominio AWS internos y nombres de registro en zonas alojadas privadas. Esta regla hace que Resolver reenvíe las consultas de DNS a servidores de nombres públicos si los nombres de dominio de las consultas no coinciden con ninguno de los nombres de las reglas de reenvío personalizadas. Si desea reenviar todas las consultas a los solucionadores de DNS de su red, puede crear una regla de reenvío personalizada, especificar "." como nombre de dominio, especificar Forwarding (Reenvío) en Type (Tipo) y especificar las direcciones IP de esos solucionadores.

3. El solucionador devuelve la respuesta a la aplicación que envió la consulta.

Uso de reglas en varias regiones

Route 53 Resolver es un servicio regional, por lo que los objetos que cree en una AWS región solo están disponibles en esa región. Para utilizar la misma regla en más de una región, debe crear la regla en cada región.

La AWS cuenta que creó una regla puede compartirla con otras AWS cuentas. Para obtener más información, consulte Compartir las reglas de Resolver con otras AWS cuentas y usar reglas compartidas.

Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas

El solucionador crea automáticamente reglas del sistema autodefinidas que definen cómo se resuelven de forma predeterminada las consultas de los dominios seleccionados:

• En el caso de las zonas alojadas privadas y los nombres de dominio específicos de Amazon EC2 (como compute.amazonaws.com y compute.internal), las reglas autodefinidas se aseguran de que las zonas alojadas privadas y las instancias de EC2 sigan solucionándose si crea reglas de reenvío condicional para nombres de dominio menos específicos como “.” (punto) o “com”.

• En los nombres de dominio reservados públicamente (como localhost y 10.in-addr.arpa), las prácticas recomendadas de DNS establecen que las consultas se respondan localmente en lugar de reenviarse a servidores de nombres públicos. Véase RFC 6303, Locally Served DNS Zones.

nota

Si crea una regla de reenvío condicional para "." (punto) o "com", le recomendamos que también cree una regla del sistema para amazonaws.com. (Las reglas del sistema hacen que Resolver solucione localmente las consultas de DNS para dominios y subdominios específicos). La creación de esta regla del sistema mejora el rendimiento, reduce el número de consultas que se reenvían a la red y reduce los cargos de Resolver.

Si desea anular una regla autodefinida, puede crear una regla de reenvío condicional para el mismo nombre de dominio.

También existe la posibilidad de desactivar las reglas autodefinidas. Para obtener más información, consulte Reglas de reenvío para consultas de DNS inversas en Resolver.

El solucionador crea las siguientes reglas autodefinidas.

Reglas para zonas alojadas privadas

Para cada zona alojada privada asociada a una VPC, Resolver crea una regla y la asocia a la VPC. Si asocia la zona alojada privada a varias VPC, Resolver asocia la regla a las mismas VPC.

La regla tiene el tipo Forward (Reenvío).

Reglas para varios nombres de dominio AWS internos

Todas las reglas para los nombres de dominio internos de esta sección presentan un tipo reenvío. El solucionador reenvía las consultas de DNS de estos nombres de dominio a los servidores de nombres autorizados para la VPC.

nota

El solucionador crea la mayoría de estas reglas cuando establece la marca de enableDnsHostnames de una VPC en true. Resolver crea las reglas aunque no esté utilizando puntos de conexión de Resolver.

Resolver crea las siguientes reglas autodefinidas y las asocia a una VPC cuando establece la marca de enableDnsHostnames de la VPC en true:

• Nombre-región.compute.internal; por ejemplo, eu-west-1.compute.internal. La región us-east-1 no utiliza este nombre de dominio.

• Nombre de región .compute. amazon-domain-name, por ejemplo, eu-west-1.compute.amazonaws.com o cn-north-1.compute.amazonaws.com.cn. La región us-east-1 no utiliza este nombre de dominio.

• ec2.internal. Solo la región us-east-1 utiliza este nombre de dominio.

• compute-1.internal. Solo la región us-east-1 utiliza este nombre de dominio.

• compute-1.amazonaws.com. Solo la región us-east-1 utiliza este nombre de dominio.

Las siguientes reglas autodefinidas son para la búsqueda de DNS hacia atrás para las reglas que el Solucionador crea cuando la marca enableDnsHostnames de la VPC se establece en true.

• 10.in-addr.arpa

• 16.172.in-addr.arpa a 31.172.in-addr.arpa

• 168.192.in-addr.arpa

• 254.169.254.169.in-addr.arpa

• Reglas para cada uno de los rangos de CIDR para la VPC. Por ejemplo, para una VPC que tiene un rango de CIDR de 10.0.0.0/23, Resolver crea las siguientes reglas:

  • 0.0.10.in-addr.arpa

  • 1.0.10.in-addr.arpa

Las siguientes reglas autodefinidas, para los dominios relacionados con localhost, también se crean y asocian a una VPC cuando la marca enableDnsHostnames para la VPC se establece en true:

• localhost

• localdomain

• 127.in-addr.arpa

• 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

• 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver crea las siguientes reglas autodefinidas y las asocia a la VPC cuando conecta la VPC con otra VPC a través de una gateway de tránsito o una interconexión de VPC, y con el soporte de DNS habilitado:

• La búsqueda de DNS hacia atrás para los rangos de direcciones IP de la VPC del mismo nivel; por ejemplo, 0.192.in-addr.arpa

  Si agrega un bloque de CIDR IPv4 a una VPC, Resolver agrega una regla autodefinida para el nuevo rango de direcciones IP.

• Si la otra VPC se encuentra en otra región, los siguientes nombres de dominio:

  • Nombre-región.compute.internal. La región us-east-1 no utiliza este nombre de dominio.

  • Nombre de región: .compute. amazon-domain-name. La región us-east-1 no utiliza este nombre de dominio.

  • ec2.internal. Solo la región us-east-1 utiliza este nombre de dominio.

  • compute-1.amazonaws.com. Solo la región us-east-1 utiliza este nombre de dominio.

Una regla para todos los demás dominios

El solucionador crea una regla “.” (punto) que se aplica a todos los nombres de dominio que no se han especificado anteriormente en este tema. La regla “.” es de tipo recursivo, lo que significa que la regla hace que Resolver actúe como un solucionador recursivo.

Consideraciones al crear puntos de conexión de entrada y salida

Antes de crear puntos finales de Resolver entrantes y salientes en una AWS región, tenga en cuenta los siguientes aspectos.

Temas

• Número de puntos de conexión de entrada y salida en cada región
• Uso de la misma VPC para los puntos de conexión de entrada y salida
• Puntos de conexión de entrada y zonas alojadas privadas
• Emparejamiento de VPC
• Direcciones IP en subredes compartidas
• Conexión entre su red y las VPC en las que crea puntos de conexión
• Al compartir reglas, también comparte los puntos de conexión de salida
• Elección de protocolos para los puntos de conexión
• Uso de Resolver en las VPC que están configuradas para la tenencia de instancias dedicadas

Número de puntos de conexión de entrada y salida en cada región

Si desea integrar el DNS de las VPC de una AWS región con el DNS de su red, normalmente necesitará un extremo de entrada de Resolver (para las consultas de DNS que reenvía a las VPC) y un punto de enlace de salida (para las consultas que reenvía desde las VPC a la red). Puede crear varios puntos de conexión de entrada y varios puntos de conexión de salida, pero un punto de conexión es suficiente para gestionar las consultas de DNS para cualquier dirección. Tenga en cuenta lo siguiente:

• Para cada punto de enlace de Resolver, debe especificar dos o más direcciones IP en diferentes zonas de disponibilidad. Cada dirección IP de un punto de conexión puede gestionar un amplio número de consultas de DNS por segundo. (Para obtener información acerca del número máximo actual de consultas por segundo por cada dirección IP de un punto de conexión, consulte Cuotas en Route 53 Resolver.) Si necesita que Resolver gestione más consultas, puede agregar más direcciones IP al punto de enlace existente en lugar de agregar otro punto de enlace.

• Los precios de Resolver se basan en el número de direcciones IP de sus puntos de conexión y en el número de consultas de DNS que procesa el punto de conexión. Cada punto de conexión incluye un mínimo de dos direcciones IP. Para obtener más información acerca de los precios de Resolver, consulte Precios de Amazon Route 53.

• Cada regla especifica el punto de conexión de salida desde el que se reenvían las consultas de DNS. Si crea varios puntos de conexión de salida en una región de AWS y quiere asociar algunas o todas las reglas de Resolver con cada VPC, tiene que crear varias copias de esas reglas.

Uso de la misma VPC para los puntos de conexión de entrada y salida

Puede crear puntos de conexión de entrada y salida en la misma VPC o en diferentes VPC de la misma región.

Para obtener más información, consulte Prácticas recomendadas de Amazon Route 53.

Puntos de conexión de entrada y zonas alojadas privadas

Si quiere que Resolver resuelva las consultas de DNS de entrada mediante los registros de la zona alojada privada, asocie la zona alojada privada a la VPC en la que ha creado el punto de enlace de entrada. Para obtener información acerca de asociar zonas hospedadas privadas a las VPC, consulte Uso de zonas alojadas privadas.

Emparejamiento de VPC

Puede usar cualquier VPC de una AWS región para un punto final entrante o saliente, independientemente de si la VPC que elija está emparejada con otras VPC. Para obtener más información, consulte Amazon Virtual Private Cloud (VPC).

Direcciones IP en subredes compartidas

Al crear un punto de conexión de entrada o salida, solo puede especificar una dirección IP en una subred compartida si la cuenta actual creó la VPC. Si otra cuenta crea una VPC y comparte una subred en la VPC con su cuenta, no puede especificar una dirección IP en esa subred. Para obtener más información acerca de las subredes compartidas, consulteUsar VPC compartidas en la Guía del usuario de Amazon VPC.

Conexión entre su red y las VPC en las que crea puntos de conexión

Debe tener una de las siguientes conexiones entre su red y las VPC en las que crea puntos de conexión:

• Puntos de conexión de entrada: debe configurar una conexión de AWS Direct Connect o una conexión de VPN entre su red y cada VPC para la que cree un punto de conexión de entrada o salida.

• Puntos de conexión de salida: debe configurar una conexión de AWS Direct Connect, una conexión de VPN o una puerta de enlace de traducción de dirección de red (NAT) entre su red y cada VPC para la que cree un punto de conexión de salida.

Al compartir reglas, también comparte los puntos de conexión de salida

Cuando crea una regla, especifica el punto de enlace de salida que desea que Resolver utilice para reenviar consultas de DNS a su red. Si compartes la regla con otra AWS cuenta, también compartes indirectamente el punto de enlace saliente que especifiques en la regla. Si has utilizado más de una AWS cuenta para crear VPC en una AWS región, puedes hacer lo siguiente:

• Cree un punto de conexión de salida en la región.

• Crea reglas con una AWS cuenta.

• Comparte las reglas con todas las AWS cuentas que crearon VPC en la región.

Esto le permite usar un punto de conexión saliente en una región para reenviar consultas de DNS a su red desde varias VPC, incluso si las VPC se crearon con cuentas diferentes. AWS

Elección de protocolos para los puntos de conexión

Los protocolos de punto de conexión determinan cómo se transmiten los datos a un punto de conexión de entrada y desde un punto de conexión de salida. No es necesario cifrar las consultas de DNS para el tráfico de VPC porque cada flujo de paquetes de la red se autoriza individualmente según una regla para validar el origen y el destino correctos antes de transmitirlos y entregarlos. Es muy poco probable que la información pase arbitrariamente entre entidades sin la autorización específica tanto de la entidad emisora como de la entidad receptora. Si un paquete se enruta a un destino sin una regla que lo iguale, el paquete se descarta. Para obtener más información, consulte Características de VPC.

Los protocolos disponibles son:

• Do53: DNS a través del puerto 53. Los datos se retransmiten mediante Route 53 Resolver sin cifrado adicional. Si bien las partes externas no pueden leer los datos, se pueden ver dentro de las redes. AWS Utiliza UDP o TCP para enviar los paquetes. Do53 se utiliza principalmente para el tráfico dentro de las VPC de Amazon y entre ellas.

• DoH: los datos se transmiten a través de una sesión HTTPS cifrada. DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto.

• Doh-FIPS: los datos se transmiten a través de una sesión HTTPS cifrada que cumple con el estándar criptográfico FIPS 140-2. Admite solo puntos de conexión de entrada. Para obtener más información, consulte FIPS PUB 140-2.

Para un punto de conexión de entrada, puede aplicar los protocolos de la siguiente manera:

• Do53 y DoH en combinación.

• Do53 y DOH-FIPS en combinación.

• Do53 solo.

• DoH solo.

• DoH-FIPS solo.

• Ninguno, por lo que se trata como Do53.

Para un punto de conexión de salida, puede aplicar los protocolos de la siguiente manera:

• Do53 y DoH en combinación.

• Do53 solo.

• DoH solo.

• Ninguno, por lo que se trata como Do53.

Consulte también Valores que se especifican al crear o editar puntos de conexión de entrada y Valores que se especifican al crear o editar puntos de conexión de salida.

Uso de Resolver en las VPC que están configuradas para la tenencia de instancias dedicadas

Cuando se crea un punto de enlace de Resolver, no se puede especificar una VPC que tenga el atributo de tenencia de la instancia establecido en dedicated. El solucionador no se ejecuta en hardware de inquilino único.

Puede seguir utilizando Resolver para solucionar consultas de DNS originadas en una VPC. Cree al menos una VPC que tenga el atributo de propiedad de instancia establecido en default y especifique esa VPC cuando cree puntos de conexión de entrada y salida.

Al crear una regla de reenvío, puede asociarla con cualquier VPC, independientemente de la configuración del atributo de propiedad de instancia.