Inoltro delle domande in entrata al DNS VPCs - Amazon Route 53
Configurazione dell'inoltro in entrataValori specificati durante la creazione o la modifica di endpoint in entrata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inoltro delle domande in entrata al DNS VPCs

Per inoltrare DNS le interrogazioni dalla rete a Resolver, è necessario creare un endpoint in entrata. Un endpoint in entrata specifica gli indirizzi IP (dall'intervallo di indirizzi IP disponibiliVPC) a cui i DNS resolver della rete devono inoltrare le query. DNS Questi indirizzi IP non sono indirizzi IP pubblici, quindi per ogni endpoint in entrata è necessario connettersi alla rete VPC utilizzando una connessione o una connessione. AWS Direct Connect VPN

Configurazione dell'inoltro in entrata

Per creare un endpoint in entrata, procedi nel seguente modo.

Per creare un endpoint in entrata.

  1. Accedi a AWS Management Console e apri la console Route 53 all'indirizzo. https://console.aws.amazon.com/route53/

  2. Nel riquadro di navigazione, scegli Inbound endpoints (Inbound in entrata).

  3. Nella barra di navigazione, scegli la regione dove si desidera creare l'endpoint in entrata.

  4. Sceglie Create inbound endpoint (Crea endpoint in entrata).

  5. Immetti i valori applicabili. Per ulteriori informazioni, consulta Valori specificati durante la creazione o la modifica di endpoint in entrata.

  6. Scegli Create (Crea) .

  7. Configura i DNS resolver sulla tua rete per inoltrare le DNS query applicabili agli indirizzi IP dell'endpoint in entrata. Per ulteriori informazioni, consulta la documentazione dell'applicazione. DNS

Valori specificati durante la creazione o la modifica di endpoint in entrata

Quando crei o modifichi un endpoint in entrata, devi specificare i seguenti valori:

ID Outpost

Se state creando l'endpoint per un Resolver su un AWS Outposts VPC, questo è l'ID. AWS Outposts

Nome endpoint

Un nome descrittivo che ti consenta di trovare facilmente un endpoint in entrata nel pannello di controllo.

VPCnel nome della regione Region

Tutte le DNS query in entrata dalla rete passano attraverso questo percorso verso VPC Resolver.

Gruppo di sicurezza per questo endpoint

L'ID di uno o più gruppi di sicurezza che desideri utilizzare per controllare l'accesso a questo. VPC Il gruppo di sicurezza specificato deve includere una o più regole in entrata. Le regole in entrata devono consentire TCP e UDP accedere alla porta 53. Non puoi modificare questo valore dopo avere creato l’endpoint.

Alcune regole del gruppo di sicurezza consentiranno il tracciamento della connessione e il numero massimo complessivo di query al secondo per indirizzo IP per un endpoint in entrata può essere pari a 1500. Per evitare il tracciamento delle connessioni causato da un gruppo di sicurezza, vedi Connessioni non tracciate.

Nota

Per aggiungere più gruppi di sicurezza, usa il AWS CLI comando. create-resolver-endpoint Per ulteriori informazioni, vedere create-resolver-endpoint

Per ulteriori informazioni, consulta la sezione Gruppi di sicurezza per te VPC nella Amazon VPC User Guide.

Tipo di endpoint

Il tipo di endpoint può essere uno dei due IPv4 indirizzi IPv6 IP o dual-stack. Per un endpoint dual-stack, l'endpoint avrà entrambi gli IPv6 indirizzi a cui il resolver della rete può IPv4 inoltrare le DNS query. DNS

Nota

Per motivi di sicurezza, stiamo negando l'accesso diretto al IPv6 traffico dalla rete Internet pubblica a tutti gli indirizzi IP e dual-stack. IPv6

Indirizzi IP

Gli indirizzi IP a cui desideri che i DNS resolver della tua rete inoltrino le query. DNS Richiediamo di specificare un minimo di due indirizzi IP per la ridondanza. Tieni presente quanto segue:

Zone di disponibilità multiple

Consigliamo di specificare indirizzi IP in almeno due zone di disponibilità. È anche possibile specificare facoltativamente ulteriori indirizzi IP in quelle o in altre zone di disponibilità.

Indirizzi IP e interfacce di rete VPC elastiche Amazon

Per ogni combinazione di zona di disponibilità, sottorete e indirizzo IP specificata, Resolver crea un'interfaccia Amazon VPC elastic network. Per il numero massimo attuale di DNS query al secondo per indirizzo IP in un endpoint, consulta. Quote relative a Route 53 Resolver Per informazioni sui prezzi per ogni interfaccia di rete elastica, consulta "Amazon Route 53" nella Pagina dei prezzi di Amazon Route 53.

Nota

L'endpoint del risolutore ha un indirizzo IP privato. Questi indirizzi IP non cambieranno nel corso della vita di un endpoint.

Per ogni indirizzo IP, specifica i seguenti valori. Ogni indirizzo IP deve trovarsi in una zona di disponibilità nell'VPCarea specificata VPCnella regione denominata regione.

Zona di disponibilità

La zona di disponibilità attraverso la quale desideri che DNS le interrogazioni passino lungo il percorso verso la tua. VPC La zona di disponibilità specificata deve essere configurata con una sottorete.

Sottorete

La sottorete che contiene gli indirizzi IP da assegnare all'endpoint Resolver. ENIs Questi sono gli indirizzi a cui invierai le domande. DNS La sottorete deve avere a disposizione un indirizzo IP.

L'indirizzo IP della sottorete deve corrispondere al Tipo di endpoint.

Indirizzo IP

L'indirizzo IP a cui desideri inoltrare DNS le interrogazioni.

Scegli se vuoi che sia Resolver a scegliere un indirizzo IP per tuo conto tra gli indirizzi IP disponibili nella sottorete specificata o se vuoi specificare personalmente l'indirizzo IP.

Se scegli di specificare tu stesso l'indirizzo IP, inserisci un IPv6 indirizzo IPv4 or o entrambi.

Protocolli

Il protocollo dell'endpoint determina il modo in cui i dati vengono trasmessi all'endpoint in entrata. Scegli uno o più protocolli, a seconda del livello di sicurezza necessario.

  • Do53: (impostazione predefinita) i dati vengono inoltrati utilizzando Route 53 Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, è possibile visualizzarli all'interno delle reti AWS .

  • DoH: i dati vengono trasmessi tramite una HTTPS sessione crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.

  • DoH-FIPS: i dati vengono trasmessi tramite una HTTPS sessione crittografata conforme allo standard crittografico 140-2. FIPS Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, vedere 140-2. FIPS PUB

Per un endpoint in entrata, è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 e DoH- FIPS in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • DoH- da solo. FIPS

  • Nessuno, il che equivale a Do53.

Importante

Non è possibile modificare il protocollo di un endpoint in entrata direttamente dal solo Do53 al solo DoH o DoH-. FIPS Ciò serve a prevenire un'interruzione improvvisa del traffico in entrata basato su Do53. Per modificare il protocollo da Do53 a DoH o DoH-FIPS, è necessario innanzitutto abilitare sia Do53 che DoH, oppure Do53 e DoH-, per assicurarsi che tutto il traffico in entrata sia passato all'utilizzo del protocollo DoHFIPS, o DoH-, e quindi rimuovere Do53. FIPS

Tag

Specifica una o più chiavi e i relativi valori. Ad esempio, è possibile specificare Cost center (Centro di costo) per Key (Chiave) e specificare 456 per Value (Valore).