Résolution des requêtes DNS entre les VPC et votre réseau - Amazon Route 53
Comment les résolveurs DNS de votre réseau réacheminent les requêtes DNS vers les points de terminaison Route 53 ResolverComment le point de terminaison Route 53 Resolver réachemine des requêtes DNS de vos VPC vers votre réseauConsidérations lors de la création de points de terminaison entrants et sortants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des requêtes DNS entre les VPC et votre réseau

Resolver contient en outre des points de terminaison que vous configurez pour répondre aux requêtes DNS depuis et vers votre environnement sur site.

Note

La transmission de requêtes DNS privées à toute adresse VPC CIDR + 2 à partir de vos serveurs DNS sur site n'est pas prise en charge et peut entraîner des résultats instables. À la place, nous vous recommandons d'utiliser un point de terminaison entrant Resolver.

Vous pouvez également intégrer la résolution DNS entre Resolver et les résolveurs DNS sur votre réseau en configurant des règles de réacheminement. Votre réseau peut inclure tous les réseaux accessibles depuis votre VPC, par exemple :

  • Le VPC lui-même

  • Un autre VPC appairé

  • Réseau sur site connecté à AWS une passerelle VPN ou NAT (Network Address Translation) AWS Direct Connect

Avant de commencer à réacheminer des requêtes, créez des points de terminaison Resolver entrants et/ou sortants dans le VPC connecté. Ces points de terminaison fournissent un chemin pour les requêtes entrantes ou sortantes :

Point de terminaison entrant : les résolveurs DNS de votre réseau peuvent réacheminer des requêtes DNS vers Route 53 Resolver via ce point de terminaison

Cela permet à vos résolveurs DNS de résoudre facilement les noms de domaine pour AWS des ressources telles que des instances EC2 ou des enregistrements dans une zone hébergée privée Route 53. Pour plus d’informations, consultez Comment les résolveurs DNS de votre réseau réacheminent les requêtes DNS vers les points de terminaison Route 53 Resolver.

Point de terminaison sortant : Resolver réachemine de manière conditionnelle les requêtes aux résolveurs de votre réseau via ce point de terminaison

Pour réacheminer les requêtes sélectionnées, créez des règles Resolver qui spécifient les noms de domaine pour les requêtes DNS que vous souhaitez réacheminer (par exemple, exemple.com) et les adresses IP des résolveurs DNS de votre réseau vers lesquels vous voulez réacheminer les requêtes. Si une requête correspond à plusieurs règles (exemple.com, acme.exemple.com), Resolver choisit la règle ayant la correspondance la plus spécifique (acme.exemple.com) et réachemine la requête vers les adresses IP que vous avez indiquées dans cette règle. Pour plus d'informations, veuillez consulter Comment le point de terminaison Route 53 Resolver réachemine des requêtes DNS de vos VPC vers votre réseau.

Comme Amazon VPC, Resolver est régional. Dans chaque région dans laquelle vous disposez de VPC, vous pouvez choisir entre réacheminer les requêtes à partir de vos VPC vers votre réseau (requêtes sortantes), à partir de votre réseau vers vos VPC (requêtes entrantes), ou les deux.

Vous ne pouvez pas créer de points de terminaison de résolveur dans un VPC dont vous n'êtes pas le propriétaire. Seul le propriétaire du VPC peut créer des ressources de niveau VPC telles que des points de terminaison entrants.

Note

Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas indquer un VPC doté de l'attribut de location d'instance défini sur dedicated. Pour plus d'informations, veuillez consulter Utilisation de Resolver dans des VPC qui sont configurés pour une location d'instance dédiée.

Pour utiliser le réacheminement entrant ou sortant, créez un point de terminaison Resolver dans votre VPC. Dans le cadre de la définition d'un point de terminaison, vous spécifiez les adresses IP vers lesquelles vous souhaitez acheminer les requêtes DNS entrantes ou les adresses IP depuis lesquelles vous souhaitez lancer les requêtes sortantes. Pour chaque adresse IP que vous indiquez, Resolver crée automatiquement une interface réseau Elastic VPC.

Le diagramme suivant montre le chemin d'une requête DNS à partir d'un résolveur DNS sur votre réseau vers les points de terminaison Route 53 Resolver.

Graphique conceptuel qui montre le chemin d'une requête DNS à partir d'un résolveur DNS sur votre réseau vers les points de terminaison Route 53 Resolver.

Le schéma suivant montre le chemin d'une requête DNS à partir d'une instance EC2 dans l'un de vos VPC vers un résolveur DNS sur votre réseau.

Graphique conceptuel qui montre le chemin d'une requête DNS à partir de votre réseau vers le résolveur Route 53.

Pour une présentation des interfaces réseau VPC, veuillez consulter Interfaces réseau Elastic dans le Guide de l'utilisateur Amazon VPC.

Rubriques

Comment les résolveurs DNS de votre réseau réacheminent les requêtes DNS vers les points de terminaison Route 53 Resolver

Si vous souhaitez réacheminer des requêtes DNS à partir de votre réseau vers les points de terminaison Route 53 Resolver dans une région AWS , procédez comme suit :

  1. Créez un point de terminaison entrant Route 53 Resolver dans un VPC et spécifiez les adresses IP vers lesquelles les résolveurs de votre réseau doivent réacheminer les requêtes DNS.

    Pour chaque adresse IP que vous indiquez pour le point de terminaison entrant, Resolver crée une interface réseau Elastic VPC dans le VPC dans lequel vous avez créé le point de terminaison entrant.

  2. Configurez les résolveurs sur votre réseau pour réacheminer les requêtes DNS pour les noms de domaine applicables vers les adresses IP indiquées dans le point de terminaison entrant. Pour plus d'informations, veuillez consulter Considérations lors de la création de points de terminaison entrants et sortants.

Voici comment Resolver résout les requêtes DNS qui proviennent de votre réseau :

  1. Un navigateur web ou une autre application de votre réseau envoie une requête DNS pour un nom de domaine que vous avez réacheminé vers Resolver.

  2. Un résolveur de votre réseau réachemine la requête vers les adresses IP de votre point de terminaison entrant.

  3. Le point de terminaison entrant réachemine la requête vers Resolver.

  4. Resolver obtient la valeur applicable pour le nom de domaine dans la requête DNS, soit en interne ou en effectuant une recherche récursive sur les serveurs de noms publics.

  5. Le résolveur renvoie la valeur au point de terminaison entrant.

  6. Le point de terminaison entrant renvoie la valeur au résolveur de votre réseau.

  7. Le résolveur de votre réseau renvoie la valeur à l'application.

  8. En utilisant la valeur qui a été renvoyée par Resolver, l'application envoie une requête HTTP, par exemple, une requête pour un objet dans un compartiment Amazon S3.

La création d'un point de terminaison entrant ne modifie pas le comportement de Resolver, elle fournit simplement un chemin entre un emplacement extérieur au AWS réseau et Resolver.

Comment le point de terminaison Route 53 Resolver réachemine des requêtes DNS de vos VPC vers votre réseau

Lorsque vous souhaitez transférer des requêtes DNS depuis les instances EC2 d'un ou de plusieurs VPC d'une AWS région vers votre réseau, vous devez effectuer les étapes suivantes.

  1. Créez un point de terminaison sortant Route 53 Resolver dans un VPC et spécifiez plusieurs valeurs :

    • Le VPC par lequel vous voulez que les requêtes DNS transitent lors de leur transfert vers les résolveurs de votre réseau.

    • Les adresses IP dans votre VPC depuis lesquelles vous souhaitez que Resolver réachemine les requêtes DNS. Pour les hôtes de votre réseau, ce sont les adresses IP d'où proviennent les requêtes DNS.

    • Un groupe de sécurité VPC

    Pour chaque adresse IP que vous spécifiez pour le point de terminaison sortant, Resolver crée une interface réseau Elastic Amazon VPC dans le VPC que vous indiquez. Pour plus d'informations, veuillez consulter Considérations lors de la création de points de terminaison entrants et sortants.

  2. Créez une ou plusieurs règles pour indiquer les noms de domaine des requêtes DNS que vous voulez que Resolver réachemine vers les résolveurs de votre réseau. Spécifiez également les adresses IP des résolveurs. Pour plus d'informations, veuillez consulter Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau.

  3. Associez chaque règle aux VPC pour lesquels vous voulez réacheminer les requêtes DNS vers votre réseau.

Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau

Les règles déterminent les requêtes DNS que le point de terminaison Route 53 Resolver réachemine vers les résolveurs DNS de votre réseau, et les requêtes que Resolver traite directement.

Vous pouvez classer les règles de deux façons. Par exemple, par l'auteur des règles :

  • Règles autodéfinies - Resolver crée automatiquement des règles autodéfinies et les associe à vos VPC. La plupart de ces règles s'appliquent aux noms de domaine AWS spécifiques pour lesquels Resolver répond aux requêtes. Pour plus d’informations, consultez Noms de domaine pour lesquels Resolver crée des règles système autodéfinies.

  • Règles personnalisées - Vous créez des règles personnalisées et les associez aux VPC. Actuellement, vous ne pouvez créer qu'un seul type de règles personnalisées, celles de réacheminement conditionnel, également appelées règles de réacheminement. Les règles de réacheminement conduisent Resolver à réacheminer les requêtes DNS à partir de vos VPC vers les adresses IP des résolveurs DNS de votre réseau.

    Si vous créez une règle de réacheminement pour le même domaine qu'une règle autodéfinie, Resolver réachemine les requêtes pour ce nom de domaine vers les résolveurs DNS de votre réseau selon les paramètres de la règle de réacheminement.

Les règles peuvent aussi être classées selon leur action :

  • Règles de réacheminement conditionnel - Vous créez des règles de réacheminement conditionnel (également appelées règles de réacheminement) lorsque vous souhaitez réacheminer les requêtes DNS pour des noms de domaine indiqués vers les résolveurs DNS de votre réseau.

  • Règles système - Les règles système conduisent Resolver à remplacer de façon sélective le comportement défini dans une règle de réacheminement. Lorsque vous créez une règle système, Resolver résout les requêtes DNS pour les sous-domaines indiqués, qui seraient sinon résolues par les résolveurs DNS de votre réseau.

    Par défaut, les règles de réacheminement s'appliquent à un nom de domaine et à tous ses sous-domaines. Si vous souhaitez réacheminer les requêtes d'un domaine vers un résolveur de votre réseau, mais pas celles de certains sous-domaines, créez une règle système pour les sous-domaines. Par exemple, si vous créez une règle de réacheminement pour exemple.com, mais que vous ne voulez pas réacheminer les requêtes pour acme.exemple.com, créez une règle système et indiquez acme.exemple.com pour le nom de domaine.

  • Règle récursive - Resolver crée automatiquement une règle récursive nommée Internet Resolver (Résolveur Internet). Avec cette règle, Route 53 Resolver agit en tant que résolveur récursif pour tous les noms de domaine pour lesquels vous n'avez pas créé de règles personnalisées et pour lesquels Resolver n'a pas créé de règles autodéfinies. Pour plus d'informations sur la façon de remplacer ce comportement, consultez la section « Réacheminement de toutes les requêtes vers votre réseau » dans la suite de cette rubrique.

Vous pouvez créer des règles personnalisées qui s'appliquent à des noms de domaine spécifiques (le vôtre ou la plupart des noms de AWS domaine), aux noms de AWS domaines publics ou à tous les noms de domaine.

Réacheminement de requêtes pour des noms de domaines spécifiques vers votre réseau

Pour réacheminer les requêtes pour un nom de domaine spécifique, par exemple exemple.com, vers votre réseau, créez une règle et spécifiez ce nom de domaine. Spécifiez aussi les adresses IP des résolveurs DNS de votre réseau vers lesquels vous souhaitez réacheminer les requêtes. Associez ensuite chaque règle aux VPC pour lesquels vous voulez réacheminer les requêtes DNS vers votre réseau. Par exemple, vous pouvez créer des règles distinctes pour exemple.com, exemple.org et exemple.net. Vous pouvez ensuite associer les règles aux VPC d'une AWS région dans n'importe quelle combinaison.

Réacheminement des requêtes pour amazonaws.com vers votre réseau

Le nom de domaine amazonaws.com est le nom de domaine public pour les AWS ressources telles que les instances EC2 et les compartiments S3. Si vous souhaitez réacheminer les requêtes pour amazonaws.com vers votre réseau, créez une règle, spécifiez amazonaws.com pour le nom de domaine et indiquez Forward (Réacheminer) pour le type de règle.

Note

Resolver ne réachemine pas automatiquement les requêtes DNS pour certains sous-domaines amazonaws.com, même si vous créez une règle de réacheminement pour amazonaws.com. Pour plus d'informations, veuillez consulter Noms de domaine pour lesquels Resolver crée des règles système autodéfinies. Pour plus d'informations sur la façon de remplacer ce comportement, consultez la section "Réacheminement de toutes les requêtes vers votre réseau" ci-dessous.

Réacheminement de toutes les requêtes vers votre réseau

Si vous voulez réacheminer toutes les requêtes vers votre réseau, créez une règle, spécifiez « . » (point) pour le nom de domaine et associez la règle aux VPC pour lesquels vous voulez réacheminer toutes les requêtes DNS vers votre réseau. Le résolveur ne transmet toujours pas toutes les requêtes DNS à votre réseau, car l'utilisation d'un résolveur DNS extérieur AWS perturberait certaines fonctionnalités. Par exemple, certains noms de AWS domaine internes comportent des plages d'adresses IP internes qui ne sont pas accessibles de l'extérieur AWS. Pour obtenir la liste des noms de domaine pour lesquels les requêtes ne sont pas réacheminées vers votre réseau lorsque vous créez une règle pour « . », consultez Noms de domaine pour lesquels Resolver crée des règles système autodéfinies.

Toutefois, les règles système autodéfinies pour le DNS inverse peuvent être désactivées, ce qui permet à la règle « . » de transférer toutes les requêtes DNS inverses vers votre réseau. Pour plus d'informations sur la désactivation des règles autodéfinies, veuillez consulter Règles de transfert pour les requêtes DNS inverses dans Resolver.

Si vous souhaitez essayer de réacheminer les requêtes DNS pour tous les noms de domaine vers votre réseau, y compris les noms de domaine exclus du réacheminement par défaut, vous pouvez créer une règle « . » et effectuer l'une des actions suivantes :

Important

Si vous réacheminez tous les noms de domaine vers votre réseau, y compris les noms de domaine que Resolver exclut lorsque vous créez une règle « . », certaines fonctionnalités peuvent cesser de fonctionner.

Comment Resolver détermine si le nom de domaine d'une requête correspond aux règles

Route 53 Resolver compare le nom de domaine de la requête DNS au nom de domaine des règles associées au VPC dont la requête provient. Resolver considère que les noms de domaine correspondent dans les cas suivants :

  • Les noms de domaine sont identiques.

  • Le nom de domaine de la requête est un sous-domaine du nom de domaine de la règle.

Par exemple, si le nom de domaine de la règle est acme.exemple.com, Resolver considère que les noms de domaine suivants identifiés dans une requête DNS correspondent :

  • acme.exemple.com

  • zenith.acme.exemple.com

Les noms de domaine suivants ne correspondent pas :

  • exemple.com

  • nadir.exemple.com

Si le nom de domaine d'une requête correspond au nom de domaine de plusieurs règles (par exemple exemple.com et www.exemple.com), Resolver achemine les requêtes DNS sortantes à l'aide de la règle qui contient le nom de domaine le plus spécifique (www.exemple.com).

Comment Resolver détermine la destination du réacheminement des requêtes DNS

Lorsqu'une application qui s'exécute sur une instance EC2 dans un VPC envoie une requête DNS, Route 53 Resolver effectue les opérations suivantes :

  1. Resolver vérifie les noms de domaine dans les règles.

    Si le nom de domaine d'une requête correspond au nom de domaine d'une règle, Resolver réachemine la requête vers l'adresse IP indiquée à la création du point de terminaison sortant. Le point de terminaison sortant transmet ensuite la requête aux adresses IP des résolveurs de votre réseau, que vous avez spécifiées lorsque vous avez créé la règle.

    Pour plus d'informations, veuillez consulter Comment Resolver détermine si le nom de domaine d'une requête correspond aux règles.

  2. Le point de terminaison Resolver réachemine les requêtes DNS en fonction des paramètres de la règle « . ».

    Si le nom de domaine d'une requête ne correspond pas au nom de domaine des autres règles, Resolver réachemine la requête en fonction des paramètres de la règle autodéfinie « . » (point). La règle des points s'applique à tous les noms de domaine, à l'exception de certains noms de domaine AWS internes et de certains noms d'enregistrement dans des zones hébergées privées. Cette règle conduit Resolver à réacheminer les requêtes DNS vers des serveurs de noms publics si les noms de domaine des requêtes ne correspondent à aucun nom des règles de réacheminement personnalisées. Si vous voulez transférer toutes les requêtes vers les résolveurs DNS de votre réseau, vous pouvez créer une règle de réacheminement personnalisée. Spécifiez « . » pour le nom de domaine, Forwarding (Réacheminement) pour le Type (Type), ainsi que les adresses IP des résolveurs.

  3. Resolver renvoie la réponse à l'application qui a envoyé la requête.

Utilisation des règles dans plusieurs régions

Route 53 Resolver étant un service régional, les objets que vous créez dans une AWS région ne sont disponibles que dans cette région. Pour utiliser la même règle dans plusieurs régions, vous devez créer la règle dans chaque région.

Le AWS compte qui a créé une règle peut partager la règle avec d'autres AWS comptes. Pour plus d’informations, consultez Partage des règles du résolveur avec d'autres AWS comptes et utilisation de règles partagées.

Noms de domaine pour lesquels Resolver crée des règles système autodéfinies

Resolver crée automatiquement des règles systèmes autodéfinies, qui définissent la façon dont les requêtes sont résolues par défaut pour les domaines sélectionnés :

  • Pour les zones hébergées privées et pour les noms de domaines spécifiques à Amazon EC2 (par exemple compute.amazonaws.com et compute.internal), les règles autodéfinies garantissent que vos zones hébergées privées et vos instances EC2 continuent de se résoudre si vous créez des règles de réacheminement conditionnelles pour des noms de domaines moins spécifiques, par exemple «  ». (point) ou « com ».

  • Pour les noms de domaines publiquement réservés (comme localhost et 10.in-addr.arpa), les bonnes pratiques DNS recommandent que les réponses aux requêtes soient fournies en local au lieu d'être réacheminées vers les serveurs de noms publics. Voir RFC 6303, Locally Served DNS Zones (RFC 6303, zones DNS servies en local).

Note

Si vous créez une règle de réacheminement conditionnel pour « . » (point) ou « com », nous vous recommandons de créer également une règle système pour amazonaws.com. (Avec les règles système, Resolver résoud localement les requêtes DNS pour des domaines et sous-domaines spécifiques). La création de cette règle système améliore les performances, réduit le nombre de requêtes qui sont réacheminées vers votre réseau et diminue les frais de Resolver.

Si vous souhaitez remplacer une règle autodéfinie, vous pouvez créer une règle de réacheminement conditionnel pour le même nom de domaine.

Vous pouvez également désactiver certaines règles définies automatiquement. Pour plus d’informations, consultez Règles de transfert pour les requêtes DNS inverses dans Resolver.

Resolver crée les règles autodéfinies suivantes.

Règles pour les zones hébergées privées

Pour chaque zone hébergée privée que vous associez à un VPC, Resolver crée une règle et l'associe au VPC. Si vous associez la zone hébergée privée à plusieurs VPC, Resolver associe la règle aux mêmes VPC.

La règle dispose d'un type Forward (Réacheminer).

Règles relatives aux différents noms de domaine AWS internes

Toutes les règles pour les noms de domaine internes de cette section sont de type Forward (Réacheminer). Resolver réachemine les requêtes DNS pour ces noms de domaine vers les serveurs de noms faisant autorité pour le VPC.

Note

Resolver crée la plupart de ces règles lorsque vous définissez l'indicateur enableDnsHostnames pour un VPC sur true. Resolver crée les règles, même si vous n'utilisez pas les points de terminaison Resolver.

Resolver crée les règles autodéfinies suivantes et les associe au VPC lorsque vous définissez l'indicateur enableDnsHostnames pour le VPC sur true :

  • Region-name.compute.internal, par exemple, eu-west-1.compute.internal. La région us-east-1 n'utilise pas ce nom de domaine.

  • Region-name.compute.amazon-domain-name, par exemple, eu-west-1.compute.amazonaws.com ou cn-north-1.compute.amazonaws.com.cn. La région us-east-1 n'utilise pas ce nom de domaine.

  • ec2.internal. Seule la région us-east-1 utilise ce nom de domaine.

  • compute-1.internal. Seule la région us-east-1 utilise ce nom de domaine.

  • compute-1.amazonaws.com. Seule la région us-east-1 utilise ce nom de domaine.

Les règles autodéfinies suivantes servent à la recherche DNS inverse pour les règles que Resolver crée lorsque vous définissez l'indicateur enableDnsHostnames pour le VPC sur true.

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa via 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Règles pour chacune des plages d'adresses CIDR pour le VPC. Par exemple, pour un VPC ayant une plage d'adresses CIDR de 10.0.0.0/23, Resolver crée les règles suivantes :

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Les règles autodéfinies suivantes, pour les domaines associés à localhost, sont également créées et associées à un VPC lorsque vous définissez l'indicateur enableDnsHostnames pour le VPC sur true :

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver crée les règles autodéfinies suivantes et les associe à votre VPC lorsque vous connectez le VPC à un autre VPC via une passerelle de transit ou un appairage de VPC, et avec la prise en charge de DNS activée :

  • La recherche DNS inverse pour les plages d'adresses IP du VPC appairé, par exemple, 0.192.in-addr.arpa

    Si vous ajoutez un bloc d'adresse CIDR IPv4 à un VPC, Resolver ajoute une règle autodéfinie pour la nouvelle plage d'adresses IP.

  • Si l'autre VPC est dans une autre région, les noms de domaine suivants :

    • Region-name.compute.internal. La région us-east-1 n'utilise pas ce nom de domaine.

    • Region-name.compute.amazon-domain-name. La région us-east-1 n'utilise pas ce nom de domaine.

    • ec2.internal. Seule la région us-east-1 utilise ce nom de domaine.

    • compute-1.amazonaws.com. Seule la région us-east-1 utilise ce nom de domaine.

Une règle pour tous les autres domaines

Resolver crée une règle « . » (point) qui s'applique à tous les noms de domaine qui ne sont pas indiqués plus haut dans cette rubrique. La règle « . » dispose d'un type Recursive (Récursif), ce qui signifie que la règle conduit Resolver à agir en tant que résolveur récursif.

Considérations lors de la création de points de terminaison entrants et sortants

Avant de créer des points de terminaison de résolution entrants et sortants dans une AWS région, prenez en compte les points suivants.

Nombre de points de terminaison entrants et sortants dans chaque région

Lorsque vous souhaitez intégrer le DNS pour les VPC d'une AWS région au DNS de votre réseau, vous avez généralement besoin d'un point de terminaison entrant Resolver (pour les requêtes DNS que vous transférez vers vos VPC) et d'un point de terminaison sortant (pour les requêtes que vous transférez de vos VPC vers votre réseau). Vous pouvez créer plusieurs points de terminaison entrants et sortants, mais un seul point de terminaison entrant ou sortant suffit pour traiter les requêtes DNS dans l'une ou l'autre direction. Notez ce qui suit :

  • Pour chaque point de terminaison Resolver, vous spécifiez deux ou plusieurs adresses IP dans différentes zones de disponibilité. Chaque adresse IP dans un point de terminaison peut traiter un grand nombre de requêtes DNS par seconde. (Pour le nombre maximum actuel de requêtes par seconde et par adresse IP dans un point de terminaison, consultez Quotas sur Route 53 Resolver.) Si vous voulez que Resolver traite plus de requêtes, vous pouvez ajouter d'autres adresses IP à votre point de terminaison existant, au lieu d'ajouter un autre point de terminaison.

  • La tarification de Resolver est basée sur le nombre d'adresses IP dans vos points de terminaison et sur le nombre de requêtes DNS traitées par le point de terminaison. Chaque point de terminaison inclut un minimum de deux adresses IP. Pour en savoir plus sur la tarification de Resolver, veuillez consulter Tarification Amazon Route 53.

  • Chaque règle spécifie le point de terminaison sortant à partir duquel les requêtes DNS sont transférées. Si vous créez plusieurs points de terminaison sortants au sein d'une région AWS et que vous souhaitez associer certaines ou toutes les règles Resolver avec chaque VPC, vous devez créer plusieurs copies de ces règles.

Utilisation du même VPC pour les points de terminaison entrants et sortants

Vous pouvez créer des points de terminaison entrant et sortant dans le même VPC ou dans des VPC différents de la même région.

Pour plus d'informations, veuillez consulter Bonnes pratiques relatives à Amazon Route 53.

Points de terminaison entrants et zones hébergées privées

Si vous voulez que Resolver résolve les requêtes DNS entrantes à l'aide de registres dans une zone hébergée privée, associez la zone hébergée privée avec le VPC dans lequel vous avez créé le point de terminaison entrant. Pour plus d'informations sur l'association des zones hébergées privées avec des VPC, consultez Utilisation des zones hébergées privées.

Appairage de VPC

Vous pouvez utiliser n'importe quel VPC d'une AWS région pour un point de terminaison entrant ou sortant, que le VPC que vous choisissez soit ou non apparié à d'autres VPC. Pour en savoir plus, consultez Amazon Virtual Private Cloud VPC Peering.

Adresses IP dans des sous-réseaux partagés

Lorsque vous créez un point de terminaison entrant ou sortant, vous pouvez spécifier une adresse IP dans un sous-réseau partagé uniquement si le compte actuel a créé le VPC. Si un autre compte crée un VPC et partage un sous-réseau dans le VPC avec votre compte, vous ne pouvez pas spécifier d'adresse IP dans ce sous-réseau. Pour plus d'informations sur les sous-réseaux partagés, consultez Utilisation des VPC partagés dans le Guide de l'utilisateur Amazon VPC.

Connexion entre votre réseau et les VPC où vous créez des points de terminaison

Vous devez disposer de l'une des connexions suivantes entre votre réseau et les VPC où vous créez des points de terminaison :

Lorsque vous partagez des règles, vous partagez également des points de terminaison sortants

Lorsque vous créez une règle, vous spécifiez le point de terminaison sortant que vous voulez que Resolver utilise pour réacheminer les requêtes DNS vers votre réseau. Si vous partagez la règle avec un autre AWS compte, vous partagez également indirectement le point de terminaison sortant que vous spécifiez dans la règle. Si vous avez utilisé plusieurs AWS comptes pour créer des VPC dans une AWS région, vous pouvez effectuer les opérations suivantes :

  • Créer un point de terminaison sortant dans la région.

  • Créez des règles à l'aide d'un seul AWS compte.

  • Partagez les règles avec tous les AWS comptes qui ont créé des VPC dans la région.

Cela vous permet d'utiliser un point de terminaison sortant dans une région pour transférer des requêtes DNS vers votre réseau à partir de plusieurs VPC, même si les VPC ont été créés à l'aide de comptes différents. AWS

Choisir des protocoles pour les points de terminaison

Les protocoles de point de terminaison déterminent la manière dont les données sont transmises à un point de terminaison entrant et à partir d'un point de terminaison sortant. Le chiffrement des requêtes DNS pour le trafic VPC n'est pas nécessaire, car chaque flux de paquets sur le réseau est autorisé individuellement selon une règle permettant de valider la source et la destination correctes avant d'être transmis et livré. Il est hautement improbable que des informations passent arbitrairement d'une entité à l'autre sans l'autorisation spécifique de l'entité émettrice et réceptrice. Si un paquet est acheminé vers une destination sans règle qui lui correspond, le paquet est abandonné. Pour plus d'informations, consultez Fonctionnalités VPC.

Les protocoles disponibles sont :

  • Do53 : DNS sur le port 53. Les données sont relayées à l'aide du Route 53 Resolver sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des tiers, elles peuvent être consultées au sein des AWS réseaux. Utilise UDP ou TCP pour envoyer les paquets. Do53 est principalement utilisé pour le trafic au sein et entre les Amazon VPC.

  • DoH : Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.

  • DOH-FIPS : Les données sont transmises via une session HTTPS chiffrée conforme à la norme de chiffrement FIPS 140-2. Pris en charge uniquement pour les points de terminaison entrants. Pour plus d'informations, veuillez consulter FIPS PUB 140-2.

Pour un point de terminaison entrant, vous pouvez appliquer les protocoles comme suit :

  • Do53 et DoH en combinaison.

  • Do53 et DoH-FIPS en combinaison.

  • Do53 uniquement.

  • DoH uniquement.

  • DoH-FIPS uniquement.

  • Aucun, qui est traité comme Do53.

Pour un point de terminaison sortant, vous pouvez appliquer les protocoles comme suit :

  • Do53 et DoH en combinaison.

  • Do53 uniquement.

  • DoH uniquement.

  • Aucun, qui est traité comme Do53.

Voir aussi Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants et Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants.

Utilisation de Resolver dans des VPC qui sont configurés pour une location d'instance dédiée

Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas indiquer un VPC doté de l'attribut de location d'instance défini sur dedicated. Resolver ne s'exécute pas sur un matériel à utilisateur unique.

Vous pouvez toujours utiliser Resolver pour résoudre les requêtes DNS provenant d'un VPC. Créez au moins un VPC doté de l'attribut de location d'instance défini sur default, et spécifiez ce VPC lorsque vous créez des points de terminaison entrants et sortants.

Lorsque vous créez une règle de réacheminement, vous pouvez l'associer à n'importe quel VPC, quelle que soit la valeur de l'attribut de location d'instance.