Réacheminement des requêtes DNS sortantes vers votre réseau - Amazon Route 53
Configuration du réacheminement sortantValeurs à spécifier lors de la création ou de la modification de points de terminaison sortantsValeurs à spécifier lors de la création ou de la modification de règles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réacheminement des requêtes DNS sortantes vers votre réseau

Pour réacheminer les requêtes DNS qui proviennent des instances Amazon EC2 d'un ou plusieurs VPC vers votre réseau, céez un point de terminaison sortant et une ou plusieurs règles :

Point de terminaison sortant

Pour transférer des requêtes DNS depuis vos VPC vers votre réseau, vous créez un point de terminaison sortant. Un point de terminaison sortant spécifie les adresses IP d'où proviennent les requêtes. Ces adresses IP, que vous choisissez parmi la plage d'adresses IP disponibles pour votre VPC, ne sont pas des adresses IP publiques. Cela signifie que, pour chaque point de terminaison sortant, vous devez connecter votre VPC à votre réseau à l'aide d'une connexion AWS Direct Connect , d'une connexion VPN ou d'une passerelle de traduction d'adresses réseau (NAT). Notez que vous pouvez utiliser le même point de terminaison sortant pour plusieurs VPC de la même région, ou créer plusieurs points de terminaison sortants. Si vous souhaitez que votre point de terminaison sortant utilise DNS64, vous pouvez activer DNS64 à l'aide du cloud privé virtuel Amazon. Pour plus d'informations, veuillez consulter la section DNS64 et NAT64 dans le Guide de l'utilisateur Amazon VPC.

L'adresse IP cible de la règle Route 53 Resolver est choisie au hasard par Resolver et il n'y a aucune préférence quant au choix d'une adresse IP cible particulière par rapport à une autre. Si une adresse IP cible ne répond pas à la demande DNS transmise, le résolveur réessaiera d'utiliser une adresse IP aléatoire parmi les adresses IP cibles.

Règles

Pour spécifier les noms de domaine des requêtes que vous voulez réacheminer vers les résolveurs DNS de votre réseau, vous devez créer une ou plusieurs règles. Chaque règle spécifie un nom de domaine. Associez ensuite ces règles aux VPC pour lesquels vous voulez réacheminer les requêtes vers votre réseau.

Pour plus d’informations, consultez les rubriques suivantes :

Configuration du réacheminement sortant

Pour configurer Resolver afin de réacheminer les requêtes DNS créées dans votre VPC vers votre réseau, exécutez les procédures suivantes.

Important

Après avoir créé un point de terminaison sortant, vous devez créer une ou plusieurs règles et les associer à un ou plusieurs VPC. Les règles spécifient les noms de domaine des requêtes DNS que vous souhaitez réacheminer vers votre réseau.

Créer un point de terminaison sortant

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Outbound endpoints (Points de terminaison sortants).

  3. Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer un point de terminaison sortant.

  4. Choisissez Create outbound endpoint (Créer point de terminaison sortant).

  5. Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants.

  6. Sélectionnez Créer.

    Note

    Créer un point de terminaison sortant prend une minute ou deux. Vous ne pouvez pas créer d'autre point de terminaison sortant avant d'avoir créé le premier.

  7. Créez une ou plusieurs règles pour spécifier les noms de domaine des requêtes DNS que vous voulez réacheminer vers votre réseau. Pour en savoir plus, consultez la procédure suivante.

Pour créer une ou plusieurs règles de réacheminement, exécutez la procédure suivante.

Pour créer des règles de réacheminement et les associer à un ou plusieurs VPC

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le volet de navigation, choisissez Règles.

  3. Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer la règle.

  4. Choisissez Créer une règle.

  5. Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter Valeurs à spécifier lors de la création ou de la modification de règles.

  6. Choisissez Enregistrer.

  7. Pour ajouter une autre règle, répétez les étapes 4 à 6.

Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants

Lorsque vous créez ou modifiez un point de terminaison sortant, spécifiez les valeurs suivantes :

ID Outpost

Si vous créez le point de terminaison d'un résolveur sur un AWS Outposts VPC, il s'agit AWS Outposts de l'ID.

Nom du point de terminaison

Un nom convivial vous permettant de retrouver facilement le point de terminaison sortant sur le tableau de bord.

VPC dans la région region-name

Toutes les requêtes DNS sortantes transiteront via ce VPC lors de leur transfert vers votre réseau.

Groupe de sécurité de ce point de terminaison

L'ID d'un ou de plusieurs groupes de sécurité que vous souhaitez utiliser pour contrôler l'accès à ce VPC. Le groupe de sécurité que vous spécifiez doit inclure une ou plusieurs règles sortantes. Les règles sortantes doivent autoriser l'accès TCP et UDP sur le port que vous utilisez pour les requêtes DNS sur votre réseau. Vous ne pouvez pas modifier cette valeur après avoir créé un point de terminaison.

Certaines règles de groupe de sécurité entraînent le suivi de votre connexion et peuvent avoir un impact sur le nombre maximal de requêtes par seconde entre le point de terminaison sortant et votre serveur de noms cible. Pour éviter le suivi des connexions causé par un groupe de sécurité, consultez la section Connexions non suivies.

Pour plus d'informations, consultez Groupes de sécurité pour votre VPC dans le Guide de l'utilisateur Amazon VPC.

Type de point de terminaison

Le type de point de terminaison peut être soit des adresses IPv4, IPv6, soit des adresses IP à double pile. Pour un point de terminaison Dual-Stack, le point de terminaison aura à la fois des adresses IPv4 et IPv6 vers lesquelles votre résolveur DNS de votre réseau pourra transférer la requête DNS.

Note

Pour des raisons de sécurité, nous refusons l'accès direct au trafic IPv6 à l'Internet public pour toutes les adresses IP à double pile et IPv6.

Adresses IP

Les adresses IP de votre VPC vers lesquelles vous voulez que Resolver réachemine les requêtes DNS lors de leur transfert vers les résolveurs de votre réseau. Il ne s'agit pas des adresses IP des résolveurs DNS sur votre réseau ; vous spécifiez les adresses IP des résolveurs lorsque vous créez les règles que vous associez à un ou plusieurs VPC. Nous vous demandons de spécifier au moins deux adresses IP pour la redondance.

Note

Le point de terminaison Resolver possède une adresse IP privée. Ces adresses IP ne changeront pas au cours de la durée de vie d'un point de terminaison.

Notez ce qui suit :

Plusieurs zones de disponibilité

Nous vous recommandons de spécifier des adresses IP dans au moins deux zones de disponibilité. Si vous le souhaitez, vous pouvez spécifier des adresses IP supplémentaires dans ces zones de disponibilité ou dans d'autres.

Adresses IP et interfaces réseau Elastic Amazon VPC

Pour chaque combinaison de zone de disponibilité, sous-réseau, et adresse IP que vous spécifiez, Resolver crée une interface réseau Elastic Amazon VPC. Pour le nombre maximum actuel de requêtes DNS par seconde et par adresse IP dans un point de terminaison, consultez Quotas sur Route 53 Resolver. Pour plus d'informations sur la tarification pour chaque interface réseau Elastic, veuillez consulter la section « Amazon Route 53 » sur la page de tarification d'Amazon Route 53.

Ordre des adresses IP

Vous pouvez spécifier des adresses IP dans n'importe quel ordre. Lors du réacheminement de requêtes DNS, Resolver ne choisit pas les adresses IP en fonction de l'ordre dans lequel elles sont répertoriées.

Pour chaque adresse IP, spécifiez les valeurs suivantes. Chaque adresse IP doit se trouver dans une zone de disponibilité du VPC que vous avez indiquée dans VPC dans la région region-name.

Zone de disponibilité

La zone de disponibilité par laquelle vous voulez que les requêtes DNS transitent lors de leur transfert vers votre réseau. La zone de disponibilité que vous spécifiez doit être configurée avec un sous-réseau.

Sous-réseau

Le sous-réseau qui contient l'adresse IP depuis laquelle vous voulez que les requêtes DNS soient lancées lors de leur transfert vers votre réseau. Le sous-réseau doit avoir une adresse IP disponible.

L'adresse IP du sous-réseau doit correspondre au type de point de terminaison.

Adresse IP

Adresse IP à parti de laquelle vous voulez que les requêtes DNS soient lancées lors de leur transfert vers votre réseau.

Choisissez si vous souhaitez que Resolver choisisse une adresse IP pour vous parmi les adresses IP disponibles dans le sous-réseau indiqué, ou si vous voulez indiquer l'adresse IP vous-même.

Si vous choisissez de spécifier vous-même l'adresse IP, entrez une adresse IPv4 ou IPv6, ou les deux.

Protocoles

Le protocole de point de terminaison détermine la manière dont les données sont transmises à un point de terminaison sortant. Choisissez un ou plusieurs protocoles en fonction du niveau de sécurité requis.

  • Do53 : (Par défaut) Les données sont relayées à l'aide du Route 53 Resolver sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des parties externes, elles peuvent être consultées au sein des réseaux AWS .

  • DoH : Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.

Pour un point de terminaison sortant, vous pouvez appliquer les protocoles comme suit :

  • Do53 et DoH en combinaison.

  • Do53 uniquement.

  • DoH uniquement.

  • Aucun, qui est traité comme Do53.

Actuellement, l'extension TLS SNI pour les requêtes DoH sur le point de terminaison sortant n'est pas prise en charge.

Balises

Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer Cost center (Centre de coûts) pour Key (Clé) et 456 pour Value (Valeur).

Valeurs à spécifier lors de la création ou de la modification de règles

Lorsque vous créez ou modifiez une règle de réacheminement, spécifiez les valeurs suivantes :

Nom de la règle

Un nom convivial vous permettant de retrouver facilement la règle sur le tableau de bord.

Type de règle

Choisissez la valeur applicable :

  • Forward (Réacheminer) - Lorsque vous voulez réacheminer les requêtes DNS pour le nom de domaine indiqué vers les résolveurs de votre réseau, choisissez cette option.

  • Système - Choisissez cette option lorsque vous voulez que Resolver remplace de manière sélective le comportement qui est défini dans une règle de réacheminement. Lorsque vous créez une règle système, Resolver résout les requêtes DNS pour les sous-domaines indiqués, qui seraient sinon résolues par les résolveurs DNS de votre réseau.

Par défaut, les règles de réacheminement s'appliquent à un nom de domaine et à tous ses sous-domaines. Si vous souhaitez réacheminer les requêtes d'un domaine vers un résolveur de votre réseau, mais pas celles de certains sous-domaines, créez une règle système pour les sous-domaines. Par exemple, si vous créez une règle de réacheminement pour exemple.com, mais que vous ne voulez pas réacheminer les requêtes pour acme.exemple.com, créez une règle système et indiquez acme.exemple.com pour le nom de domaine.

VPC qui utilisent cette règle

Les VPC qui utilisent cette règle pour réacheminer les requêtes DNS pour les noms de domaine spécifiés. Vous pouvez appliquer une règle à autant de VPC que vous le souhaitez.

Nom de domaine

Les requêtes DNS pour ce nom de domaine sont réacheminées vers les adresses IP que vous spécifiez dans le champ Target IP addresses (Adresses IP cible). Pour plus d'informations, veuillez consulter Comment Resolver détermine si le nom de domaine d'une requête correspond aux règles.

Point de terminaison sortant

Resolver réachemine les requêtes DNS à travers le point de terminaison sortant indiqué ici vers les adresses IP indiquées dans Target IP addresses (Adresses IP cible).

Adresses IP cible

Lorsqu'une requête DNS correspond au nom que vous spécifiez dans le champ Domain name (Nom de domaine), le point de terminaison sortant réachemine la requête vers les adresses IP que vous spécifiez ici. Ce sont généralement les adresses IP des résolveurs DNS sur votre réseau.

L'option Target IP addresses (Adresses IP cible) n'est disponible que lorsque la valeur de Rule type (Type de règle) est Forward (Réacheminer).

Spécifiez les adresses IPv4 ou IPv6, ainsi que les protocoles que vous souhaitez utiliser pour le point de terminaison.

Balises

Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer Cost center (Centre de coûts) pour Key (Clé) et 456 pour Value (Valeur).

Ce sont les tags qui AWS Billing and Cost Management permettent d'organiser votre AWS facture. Pour plus d'informations sur l'utilisation de balises pour l'allocation de coûts, consultez Utilisation des balises d'allocation de coûts dans le Guide de l'utilisateur AWS Billing .