Disponibilità e scalabilità di Route 53 Resolver

Amazon Route 53 Resolver, in esecuzione sull'indirizzo Amazon VPC CIDR + 2 e fd00:ec2: :253, è disponibile per impostazione predefinita in tutti e risponde in modo ricorsivo alle query DNS per record pubblici VPCs, nomi DNS specifici di Amazon VPC e zone ospitate private Route 53. Esistono due componenti ad alta disponibilità, trasparenti per gli utenti, che compongono il Route 53 Resolver: il servizio Nitro Resolver e la flotta Zonal Resolver. Il servizio Nitro Resolver è un servizio che viene eseguito nella scheda Nitro sulle istanze Nitro e in Dom0 nelle istanze di vecchia generazione e utilizza i pacchetti indirizzati al Route 53 Resolver localmente sul server host. Per ulteriori informazioni, consulta La progettazione della sicurezza del sistema Nitro. AWS

Il servizio Nitro Resolver include una cache locale che può aiutare a ridurre la latenza rispondendo alle domande ripetute che vengono eseguite in un breve periodo di tempo da un'istanza. Quando il servizio Nitro Resolver riceve una query per la quale non dispone di una risposta memorizzata nella cache, inoltra la query al parco Resolver Zonal, un parco di resolver ad alta disponibilità che si trova in genere nella stessa zona di disponibilità dell'istanza. In caso di errori nella gestione delle query da parte dei name server upstream o di altri componenti del percorso, il servizio Nitro Resolver è spesso in grado di gestire questi errori in modo trasparente senza impatto sui carichi di lavoro in esecuzione sull'istanza. Inoltre, se il Resolver rileva timeout di query, connessioni rifiutate o SERVFAILS dai name server del dominio, può rispondere con una risposta memorizzata nella cache oltre il valore Time-To-Live (TTL) per migliorare la disponibilità. Le richieste tra il servizio Nitro Resolver e la flotta Zonal Resolver sono limitate a una rete strettamente controllata al di fuori del VPC del cliente, che è inaccessibile ai clienti e soggetta a rigorosi controlli di sicurezza. Gestendo le richieste tra il servizio Nitro Resolver e la flotta Zonal Resolver al di fuori del VPC, ai clienti viene impedito di intercettare le query DNS all'interno del proprio VPC. Le query destinate a denominare server esterni attraverseranno la rete Internet pubblica e provengono da indirizzi IP pubblici appartenenti alla flotta di AWS Zonal Resolver. Attualmente non supportiamo l'attributo EDNS0-Client Subnet, il che significa che tutte le query destinate ai name server DNS pubblici non includono informazioni sull'indirizzo IP del cliente di origine.

Il servizio Nitro Resolver fa parte dei servizi Link-Local sull'istanza. I servizi Link-Local includono Route 53 Resolver, Amazon Time Service (NTP), Instance Metadata Service (IMDS) e Windows Licensing Service (per istanze Windows). Questi servizi si adattano a ogni interfaccia di rete elastica che crei nel tuo VPC e ogni interfaccia di rete consente 1024 pacchetti al secondo (PPS) destinati ai servizi Link-Local. I pacchetti che superano questo limite vengono rifiutati. È possibile determinare se è stato superato questo limite in base al linklocal_allowance_exceeded valore restituito da ethtool. Per ulteriori informazioni su ethtool, consulta Monitora le prestazioni di rete per la tua EC2 istanza Amazon nella Amazon EC2 User Guide. Questa metrica può anche essere riportata ai CloudWatch parametri dall'agente. CloudWatch Poiché il Route 53 Resolver è implementato per interfaccia di rete, è scalabile e diventa più affidabile man mano che si aggiungono più istanze in più zone di disponibilità. Non esiste un limite aggregato per VPC al numero di query, quindi il Route 53 Resolver può scalare entro i limiti di un VPC, che è intrinsecamente basato sull'utilizzo degli indirizzi di rete (NAU). Per ulteriori informazioni, consulta l'utilizzo degli indirizzi di rete per il tuo VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

Il diagramma seguente mostra una panoramica di come Route 53 Resolver risolve le query DNS all'interno delle zone di disponibilità.