Resolución de consultas de DNS entre las VPC y la red - Amazon Route 53

Resolución de consultas de DNS entre las VPC y la red

Cuando crea una VPC mediante Amazon VPC, Route 53 Resolver responde automáticamente a las consultas de DNS de nombres de dominio de VPC locales para instancias EC2 (ec2-192-0-2-44.compute-1.amazonaws.com) y registros en zonas alojadas privadas (acme.example.com). Para el resto de nombres de dominio, Resolver realiza búsquedas recursivas en servidores de nombres públicos.

Al crear una VPC, Route 53 Resolver, que se crea de forma predeterminada, se asigna a un servidor DNS que se ejecuta en una dirección IP reservada para el rango de red de VPC, más 2. Por ejemplo, el servidor DNS de la red 10.0.0.0/16 se encuentra en 10.0.0.2. En el caso de las VPC con varios bloques de CIDR IPv4, la dirección IP del servidor DNS se encuentra en el bloque de CIDR principal. El servidor DNS no reside dentro de una subred específica o zona de disponibilidad en una VPC. Para obtener más información, consulteSoporte de DNS para su VPC y Servidor DNS de Amazon en la Guía del usuario de Amazon Virtual Private Cloud.

Además, Resolver contiene puntos de enlace que se configuran para responder a consulta de DNS desde y hacia el entorno en las instalaciones.

También puede integrar la resolución de DNS entre Resolver y los solucionadores DNS de la red configurando reglas de reenvío. Su red puede incluir cualquier red a la que se pueda acceder desde la VPC, como las siguientes:

  • La propia VPC

  • Otra VPC interconectada

  • Una red local conectada a AWS con AWS Direct Connect, una VPN o una gateway de traducción de direcciones de red (NAT).

Antes de comenzar a reenviar consultas, cree puntos de enlace de entrada o salida de Resolver en la VPC conectada. Estos puntos de enlace proporcionan una ruta para las consultas entrantes o salientes:

Punto de enlace de entrada: los solucionadores DNS de la red pueden reenviar consultas de DNS a Route 53 Resolver a través de este punto de enlace

De este modo, los solucionadores de DNS pueden resolver fácilmente los nombres de dominio para recursos de AWS, como registros o instancias EC2 en una zona alojada privada de Route 53. Para obtener más información, consulte Cómo los solucionadores de DNS de la red reenvían las consultas de DNS a los puntos de enlace de Route 53 Resolver .

Punto de enlace de salida: Resolver reenvía con condiciones las consultas a los solucionadores de la red a través de este punto de enlace

Para reenviar las consultas seleccionadas, puede crear reglas de Resolver que especifiquen los nombres de dominio para las consultas de DNS que quiere reenviar (como example.com) y las direcciones IP de los solucionadores de DNS de la red a las que quiere reenviar las consultas. Si una consulta coincide con varias reglas (example.com, acme.example.com), Resolver elige la regla que tiene la concordancia más especifica (acme.example.com) y reenvía la consulta a las direcciones IP que ha especificado en dicha regla. Para obtener más información, consulte Cómo reenvía el punto de enlace de Route 53 Resolver las consultas de DNS de las VPC a la red .

Al igual que Amazon VPC, Resolver es regional. En cada región en la que tiene VPC, puede elegir si desea reenviar las consultas desde las VPC a la red (consultas salientes), desde la red a las VPC (consultas entrantes) o ambas.

nota

Cuando se crea un punto de enlace de Resolver, no se puede especificar una VPC que tenga el atributo de tenencia de la instancia establecido en dedicated. Para obtener más información, consulte Using Resolver in VPCs that are configured for dedicated instance tenancy .

Para utilizar el reenvío de entrada o salida, debe crear un punto de enlace de Resolver en la VPC. Como parte de la definición de punto de enlace, debe especificar las direcciones IP a las que quiere reenviar las consultas de DNS de entrada o las direcciones IP desde las que quiere que procedan las consultas de salida. Para cada dirección IP que especifique, Resolver creará automáticamente una interfaz de red elástica de VPC.

El siguiente diagrama muestra la ruta que sigue una consulta de DNS desde un solucionador de DNS de la red hasta los puntos de enlace de Route 53 Resolver.


			Gráfico conceptual que muestra la ruta que sigue una consulta de DNS desde un solucionador de DNS de la red hasta los puntos de enlace de Route 53 Resolver.

El siguiente diagrama muestra la ruta que sigue una consulta de DNS desde una instancia EC2 de una de sus VPC hasta un solucionador de DNS de la red.


		    Gráfico conceptual que muestra la ruta que sigue una consulta de DNS desde la red hasta Route 53 Resolver.

Para obtener información general acerca de las interfaces de red de VPC, consulte Interfaces de red elásticas en la Guía del usuario de Amazon VPC.

Temas

Cómo los solucionadores de DNS de la red reenvían las consultas de DNS a los puntos de enlace de Route 53 Resolver

Cuando quiera reenviar consultas de DNS desde su red a los puntos de enlace de Route 53 Resolver en una región de AWS, debe realizar los pasos siguientes:

  1. Debe crear un punto de enlace de entrada de Route 53 Resolver en una VPC y especificar las direcciones IP a las que quiere que los solucionadores de la red reenvíen las consultas de DNS.

    Para cada dirección IP que especifique en el punto de enlace de entrada, Resolver crea una interfaz de red elástica de VPC en la VPC donde ha creado el punto de enlace de entrada.

  2. Configurar los solucionadores de la red para que reenvíen las consultas de DNS de los nombres de dominio aplicables a las direcciones IP que especificó en el punto de enlace de entrada. Para obtener más información, consulte Consideraciones al crear puntos de enlace de entrada y salida .

A continuación, se explica cómo Resolver resuelve las consultas de DNS que se originan en su red:

  1. Un navegador web u otra aplicación de la red envía una consulta de DNS para un nombre de dominio que usted reenvió al solucionador.

  2. Un solucionador de su red reenvía la consulta a las direcciones IP del punto de enlace de entrada.

  3. El punto de enlace de entrada reenvía la consulta al solucionador.

  4. El solucionador obtiene el valor aplicable para el nombre de dominio de la consulta de DNS, ya sea internamente o llevando a cabo una búsqueda recursiva en los servidores de nombres públicos.

  5. El solucionador devuelve el valor (por lo general, una dirección IP IPv4) al punto de enlace de entrada.

  6. El punto de enlace de entrada devuelve el valor al solucionador de la red.

  7. El solucionador de la red devuelve el valor a la aplicación.

  8. Usando el valor devuelto por Resolver, la aplicación envía una solicitud HTTP; por ejemplo, una solicitud de un objeto que se encuentra en un bucket de Amazon S3.

La creación de un punto de enlace de entrada no cambia el comportamiento de Resolver; solo le proporciona una ruta de una ubicación situada fuera de la red de AWS.

Cómo reenvía el punto de enlace de Route 53 Resolver las consultas de DNS de las VPC a la red

Cuando quiera reenviar a su red las consultas de DNS que se originan en las instancias EC2 de una o más VPC de una región de AWS, debe realizar los pasos siguientes.

  1. Cree un punto de enlace de salida de Route 53 Resolver en una VPC y especifique varios valores:

    • La VPC que quiere que atraviesen las consultas de DNS en el recorrido hacia los solucionadores de la red.

    • Las direcciones IP de la VPC desde las que desea que Resolver reenvíe las consultas de DNS. Para los hosts de su red, estas son las direcciones IP desde las que se originan las consultas de DNS.

    • Un grupo de seguridad de VPC

    Para cada dirección IP que especifique en el punto de enlace de salida, Resolver crea una interfaz de red elástica de Amazon VPC en la VPC que especifique. Para obtener más información, consulte Consideraciones al crear puntos de enlace de entrada y salida .

  2. Cree una o más reglas que especifiquen los nombres de dominio de las consultas de DNS que quiere que Resolver reenvíe a los solucionadores de la red. También debe especificar las direcciones IP de los solucionadores. Para obtener más información, consulte Uso de reglas para controlar qué consultas se reenvían a la red .

  3. Asocie cada regla a las VPC para las que quiere reenviar consultas de DNS a la red.

Uso de reglas para controlar qué consultas se reenvían a la red

Las reglas controlan las consultas de DNS que el punto de enlace de Route 53 Resolver reenvía a los solucionadores de DNS de su red y las consultas a las que responde el propio solucionador.

Hay dos formas de categorizar las reglas. Una es según quién crea las reglas:

  • Reglas autodefinidas: Resolver solo crea reglas autodefinidas y asocia estas las reglas a las VPC. La mayoría de estas reglas se aplica a los nombres de dominio específicos de AWS para los que Resolver responde a las consultas. Para obtener más información, consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas .

  • Reglas personalizadas: cree reglas personalizadas y asócielas a las VPC. En la actualidad, solo puede crear un tipo de regla personalizada, las reglas de reenvío condicional, también conocidas como reglas de reenvío. Las reglas de reenvío hacen que Resolver reenvíe las consultas de DNS desde sus VPC a las direcciones IP de los solucionadores de DNS de la red.

    Si crea una regla de reenvío para el mismo dominio como una regla autodefinida, Resolver reenvía las consultas de ese nombre de dominio a los solucionadores de DNS de su red en función de la configuración de la regla de reenvío.

Otra forma de categorizar las reglas es según lo que hacen:

  • Reglas de reenvío condicional: cree reglas de reenvío condicional (también denominadas reglas de reenvío) cuando quiera reenviar consultas de DNS para nombres de dominio especificados a los solucionadores de DNS de la red.

  • Reglas del sistema: las reglas del sistema hacen que Resolver anule de forma selectiva el comportamiento definido en la regla de reenvío. Al crear una regla de sistema, Resolver resuelve las consultas de DNS para los subdominios especificados que, de lo contrario, resolverían los solucionadores de DNS de la red.

    De forma predeterminada, las reglas de reenvío se aplican a un nombre de dominio y todos sus subdominios. Si quiere reenviar las consultas de un dominio a un solucionador de la red, pero no quiere reenviar las consultas a algunos subdominios, debe crear una regla de sistema para los subdominios. Por ejemplo, si crea una regla de reenvío para example.com pero no desea reenviar las consultas a acme.example.com, debe crear una regla de sistema y especificar acme.example.com para el nombre de dominio.

  • Regla recursiva: Resolver crea automáticamente una regla recursiva llamada Internet Resolver (Solucionador de Internet). Esta regla hace que Route 53 Resolver actúe como un solucionador recursivo para cualquier nombre de dominio para el que no haya creado reglas personalizadas y para el que Resolver no haya creado reglas autodefinidas. Para obtener más información acerca de cómo anular este comportamiento, consulte "Reenvío de todas las consultas a su red", más adelante en este tema.

Puede crear reglas personalizadas que se apliquen a nombres de dominio específicos (suyos o la mayoría de los nombres de dominio de AWS), a los nombres de dominios públicos de AWS o a todos los nombres de dominio.

Reenvío a su red de las consultas para nombres de dominio específicos

Para reenviar a su red las consultas de un nombre de dominio específico, como example.com, debe crear una regla y especificar ese nombre de dominio. También debe especificar las direcciones IP de los solucionadores de DNS de la red a las que quiere que se reenvíen las consultas. Asocie después cada regla a las VPC para las que quiere reenviar consultas de DNS a la red. Por ejemplo, puede crear reglas diferentes para los dominios example.com, example.org y example.net. A continuación, puede asociar las reglas a las VPC de una región de AWS en cualquier combinación.

Reenvío a su red de las consultas de amazonaws.com

El nombre de dominio amazonaws.com es el nombre de dominio público de recursos de AWS como instancias EC2 y buckets de S3. Si quiere reenviar a su red las consultas de amazonaws.com, cree una regla, especifique amazonaws.com como nombre de dominio y especifique Forward (Reenvío) como tipo de regla.

nota

El solucionador no reenvía automáticamente las consultas de DNS para algunos subdominios de amazonaws.com aunque cree una regla de reenvío para amazonaws.com. Para obtener más información, consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas . Para obtener más información acerca de cómo anular este comportamiento, consulte "Reenvío de todas las consultas a su red", a continuación.

Reenvío de todas las consultas a su red

Si quiere reenviar todas las consultas a la red, debe crear una regla, especificar “.” (punto) como nombre de dominio y asociar la regla a las VPC para las que desea reenviar a su red todas las consultas de DNS. El solucionador todavía no reenvía a la red todas las consultas de DNS porque cuando se usa un solucionador de DNS fuera de AWS, parte de la funcionalidad no está disponible. Por ejemplo, algunos nombres de dominio internos de AWS tienen rangos de direcciones IP internos que no son accesibles desde fuera de AWS. Para ver una lista de los nombres de dominio para los que las consultas no se reenvían a la red cuando se crea una regla para ".", consulte Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas.

Sin embargo, las reglas autodefinidas del sistema para el DNS inverso pueden desactivarse, permitiendo que la regla "." reenvíe todas las consultas de DNS inverso a su red. Para más información acerca de cómo desactivar las reglas autodefinidas, consulte Reglas de reenvío para consultas de DNS inversas en Resolver.

Si desea probar a reenviar a la red las consultas de DNS de todos los nombres de dominio, incluidos los nombres de dominio que quedan excluidos del reenvío de forma predeterminada, puede crear una regla "." y realizar una de las siguientes operaciones:

importante

Si reenvía todos los nombres de dominio a la red, incluidos los nombres de dominio que Resolver excluye cuando se crea una regla “.”, algunas características podrían dejar de funcionar.

Cómo determina Resolver si el nombre de dominio de una consulta coincide con cualquier regla

Route 53 Resolver compara el nombre de dominio de la consulta de DNS con el nombre de dominio de las reglas asociadas a la VPC desde la que se originó la consulta. El solucionador considera que los nombres de dominio coinciden en los siguientes casos:

  • Los nombres de dominio coinciden exactamente

  • El nombre de dominio en la consulta es un subdominio del nombre de dominio de la regla

Por ejemplo, si el nombre de dominio de la regla es acme.example.com, Resolver considera que existe una coincidencia con los siguientes nombres de dominio de una consulta de DNS:

  • acme.example.com

  • zenith.acme.example.com

Los siguientes nombres de dominio no son una coincidencia:

  • example.com

  • nadir.example.com

Si el nombre de dominio de una consulta coincide con el nombre de dominio de varias reglas (como example.com y www.example.com), Resolver dirige las consultas de DNS salientes utilizando la regla que contiene el nombre de dominio más específico (www.example.com).

Cómo determina Resolver dónde reenviar las consultas de DNS

Cuando una aplicación que se ejecuta en una instancia EC2 de una VPC envía una consulta de DNS, Route 53 Resolver realiza los siguientes pasos:

  1. El solucionador comprueba los nombres de dominio de las reglas.

    Si el nombre de dominio de una consulta coincide con el nombre de dominio de una regla, Resolver reenvía la consulta a la dirección IP que especificó al crear el punto de enlace de salida. A continuación, el punto de enlace de salida reenvía la consulta a las direcciones IP de los solucionadores de la red, que especificó al crear la regla.

    Para obtener más información, consulte Cómo determina Resolver si el nombre de dominio de una consulta coincide con cualquier regla .

  2. El punto de enlace de Resolver reenvía las consultas de DNS en función de la configuración de la regla “.”.

    Si el nombre de dominio de una consulta no coincide con el nombre de dominio de otras reglas, Resolver reenvía la consulta en función de la configuración de la regla autodefinida “.” (punto). La regla de punto se aplica a todos los nombres de dominio excepto algunos nombres de dominio internos de AWS y los nombres de registro de zonas alojadas privadas. Esta regla hace que Resolver reenvíe las consultas de DNS a servidores de nombres públicos si los nombres de dominio de las consultas no coinciden con ninguno de los nombres de las reglas de reenvío personalizadas. Si desea reenviar todas las consultas a los solucionadores de DNS de su red, puede crear una regla de reenvío personalizada, especificar "." como nombre de dominio, especificar Forwarding (Reenvío) en Type (Tipo) y especificar las direcciones IP de esos solucionadores.

  3. El solucionador devuelve la respuesta a la aplicación que envió la consulta.

Uso de reglas en varias regiones

Route 53 Resolver es un servicio regional, por lo que los objetos que se crean en una región de AWS solo están disponibles en esa región. Para utilizar la misma regla en más de una región, debe crear la regla en cada región.

La cuenta de AWS que creó una regla puede compartir la regla con otras cuentas de AWS. Para obtener más información, consulte Uso compartido de reglas de reenvío con otras cuentas de AWS y uso de reglas compartidas .

Nombres de dominio para los que Resolver crea reglas del sistema autodefinidas

El solucionador crea automáticamente reglas del sistema autodefinidas que definen cómo se resuelven de forma predeterminada las consultas de los dominios seleccionados:

  • En el caso de las zonas alojadas privadas y los nombres de dominio específicos de Amazon EC2 (como compute.amazonaws.com y compute.internal), las reglas autodefinidas se aseguran de que las zonas alojadas privadas y las instancias de EC2 sigan solucionándose si crea reglas de reenvío condicional para nombres de dominio menos específicos como “.” (punto) o “com”.

  • En los nombres de dominio reservados públicamente (como localhost y 10.in-addr.arpa), las prácticas recomendadas de DNS establecen que las consultas se respondan localmente en lugar de reenviarse a servidores de nombres públicos. Véase RFC 6303, Locally Served DNS Zones.

nota

Si crea una regla de reenvío condicional para "." (punto) o "com", le recomendamos que también cree una regla del sistema para amazonaws.com. (Las reglas del sistema hacen que Resolver solucione localmente las consultas de DNS para dominios y subdominios específicos). La creación de esta regla del sistema mejora el rendimiento, reduce el número de consultas que se reenvían a la red y reduce los cargos de Resolver.

Si desea anular una regla autodefinida, puede crear una regla de reenvío condicional para el mismo nombre de dominio.

También existe la posibilidad de desactivar las reglas autodefinidas. Para obtener más información, consulte Reglas de reenvío para consultas de DNS inversas en Resolver .

El solucionador crea las siguientes reglas autodefinidas.

Reglas para zonas alojadas privadas

Para cada zona alojada privada asociada a una VPC, Resolver crea una regla y la asocia a la VPC. Si asocia la zona alojada privada a varias VPC, Resolver asocia la regla a las mismas VPC.

La regla tiene el tipo Forward (Reenvío).

Reglas para diversos nombres de dominio internos de AWS

Todas las reglas para los nombres de dominio internos de esta sección presentan un tipo reenvío. El solucionador reenvía las consultas de DNS de estos nombres de dominio a los servidores de nombres autorizados para la VPC.

nota

El solucionador crea la mayoría de estas reglas cuando establece la marca de enableDnsHostnames de una VPC en true. El solucionador crea las reglas aunque no esté utilizando puntos de enlace de Resolver.

Resolver crea las siguientes reglas autodefinidas y las asocia a una VPC cuando establece la marca de enableDnsHostnames de la VPC en true:

  • Nombre-región.compute.internal; por ejemplo, eu-west-1.compute.internal. La región us-east-1 no utiliza este nombre de dominio.

  • Region-name.compute.amazon-domain-name, por ejemplo, eu-west-1.compute.amazonaws.com o cn-north-1.compute.amazonaws.com.cn. La región us-east-1 no utiliza este nombre de dominio.

  • ec2.internal. Solo la región us-east-1 utiliza este nombre de dominio.

  • compute-1.internal. Solo la región us-east-1 utiliza este nombre de dominio.

  • compute-1.amazonaws.com. Solo la región us-east-1 utiliza este nombre de dominio.

Las siguientes reglas autodefinidas son para la búsqueda de DNS hacia atrás para las reglas que el Solucionador crea cuando la marca enableDnsHostnames de la VPC se establece en true.

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa a 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Reglas para cada uno de los rangos de CIDR para la VPC. Por ejemplo, para una VPC que tiene un rango de CIDR de 10.0.0.0/23, Resolver crea las siguientes reglas:

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Las siguientes reglas autodefinidas, para los dominios relacionados con localhost, también se crean y asocian a una VPC cuando la marca enableDnsHostnames para la VPC se establece en true:

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver crea las siguientes reglas autodefinidas y las asocia a la VPC cuando conecta la VPC con otra VPC a través de una gateway de tránsito o una interconexión de VPC, y con el soporte de DNS habilitado:

  • La búsqueda de DNS hacia atrás para los rangos de direcciones IP de la VPC del mismo nivel; por ejemplo, 0.192.in-addr.arpa

    Si agrega un bloque de CIDR IPv4 a una VPC, Resolver agrega una regla autodefinida para el nuevo rango de direcciones IP.

  • Si la otra VPC se encuentra en otra región, los siguientes nombres de dominio:

    • Nombre-región.compute.internal. La región us-east-1 no utiliza este nombre de dominio.

    • Nombre-región.compute.nombre-dominio-amazon. La región us-east-1 no utiliza este nombre de dominio.

    • ec2.internal. Solo la región us-east-1 utiliza este nombre de dominio.

    • compute-1.amazonaws.com. Solo la región us-east-1 utiliza este nombre de dominio.

Una regla para todos los demás dominios

El solucionador crea una regla “.” (punto) que se aplica a todos los nombres de dominio que no se han especificado anteriormente en este tema. La regla “.” es de tipo recursivo, lo que significa que la regla hace que Resolver actúe como un solucionador recursivo.

Consideraciones al crear puntos de enlace de entrada y salida

Antes de crear puntos de enlace de entrada y salida de Resolver en una región de AWS, tenga en cuenta las siguientes cuestiones.

Temas

Número de puntos de enlace de entrada y salida en cada región de AWS

Cuando quiera integrar un DNS en las VPC de una región de AWS con un DNS en su red, por lo general necesita un punto de enlace de entrada de Resolver (para las consultas de DNS que reenvía a las VPC) y un punto de enlace de salida (para las consultas que reenvía desde las VPC a la red). Puede crear varios puntos de conexión de entrada y varios puntos de conexión de salida, pero un punto de conexión es suficiente para gestionar las consultas de DNS para cualquier dirección. Tenga en cuenta lo siguiente:

  • Para cada punto de enlace de Resolver, debe especificar dos o más direcciones IP en diferentes zonas de disponibilidad. Cada dirección IP de un punto de enlace puede gestionar un amplio número de consultas de DNS por segundo. (Para obtener información acerca del número máximo actual de consultas por segundo por cada dirección IP de un punto de enlace, consulte Cuotas en Route 53 Resolver.) Si necesita que Resolver gestione más consultas, puede agregar más direcciones IP al punto de enlace existente en lugar de agregar otro punto de enlace.

  • Los precios de Resolver se basan en el número de direcciones IP de sus puntos de enlace y en el número de consultas de DNS que procesa el punto de enlace. Cada punto de enlace incluye un mínimo de dos direcciones IP. Para obtener más información acerca de los precios de Resolver, consulte Precios de Amazon Route 53.

  • Cada regla especifica el punto de enlace de salida desde el que se reenvían las consultas de DNS. Si crea varios puntos de enlace de salida en una región de AWS y quiere asociar algunas o todas las reglas de Resolver con cada VPC, tiene que crear varias copias de esas reglas.

Utilizar la misma VPC para los puntos de enlace de entrada y salida

Puede crear puntos de enlace de entrada y salida en la misma VPC o en diferentes VPC de la misma región.

Para obtener más información, consulte Prácticas recomendadas de Amazon Route 53 .

Puntos de enlace de entrada y zonas alojadas privadas

Si quiere que Resolver resuelva las consultas de DNS de entrada mediante los registros de la zona alojada privada, asocie la zona alojada privada a la VPC en la que ha creado el punto de enlace de entrada. Para obtener información acerca de asociar zonas hospedadas privadas a las VPC, consulte Uso de zonas alojadas privadas.

Emparejamiento de VPC

Puede utilizar cualquier VPC de una región de AWS para un punto de enlace de entrada o salida independientemente de que la VPC que elija esté interconectada o no con otras VPC. Para obtener más información, consulte Amazon Virtual Private Cloud (VPC).

Direcciones IP en subredes compartidas

Al crear un punto de enlace de entrada o salida, solo puede especificar una dirección IP en una subred compartida si la cuenta actual creó la VPC. Si otra cuenta crea una VPC y comparte una subred en la VPC con su cuenta, no puede especificar una dirección IP en esa subred. Para obtener más información acerca de las subredes compartidas, consulteUsar VPC compartidas en la Guía del usuario de Amazon VPC.

Conexión entre su red y las VPC en las que crea puntos de enlace

Debe tener una de las siguientes conexiones entre su red y las VPC en las que crea puntos de enlace:

Al compartir reglas, también comparte los puntos de enlace de salida.

Cuando crea una regla, especifica el punto de enlace de salida que desea que Resolver utilice para reenviar consultas de DNS a su red. Si comparte la regla con otra cuenta de AWS, también comparte indirectamente el punto de enlace de salida que especifica en la regla. Si ha utilizado más de una cuenta de AWS para crear VPC en una región de AWS, puede hacer lo siguiente:

  • Cree un punto de enlace de salida en la región.

  • Cree reglas con una cuenta de AWS.

  • Comparta las reglas con todas las cuentas de AWS que hayan creado VPC en la región.

Esto le permite utilizar un punto de enlace de salida en una región para reenviar consultas de DNS a su red desde varias VPC aunque las VPC se hayan creado utilizando diferentes cuentas de AWS.

Uso de Resolver en las VPC que están configuradas para la tenencia de instancias dedicadas

Cuando se crea un punto de enlace de Resolver, no se puede especificar una VPC que tenga el atributo de tenencia de la instancia establecido en dedicated. El solucionador no se ejecuta en hardware de inquilino único.

Puede seguir utilizando Resolver para solucionar consultas de DNS originadas en una VPC. Cree al menos una VPC que tenga el atributo de propiedad de instancia establecido en default y especifique esa VPC cuando cree puntos de enlace de entrada y salida.

Al crear una regla de reenvío, puede asociarla con cualquier VPC, independientemente de la configuración del atributo de propiedad de instancia.