Inoltro di query DNS in uscita alla rete - Amazon Route 53
Configurazione dell'inoltro in uscitaValori specificati durante la creazione o la modifica degli endpoint in uscitaValori specificati durante la creazione o la modifica delle regole

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inoltro di query DNS in uscita alla rete

Per inoltrare le query DNS provenienti dalle istanze di Amazon EC2 in uno o più VPC alla rete, è necessario creare un endpoint in uscita e una o più regole.

Endpoint in uscita

Per inoltrare query DNS dai VPC alla rete, creare un endpoint in uscita. Un endpoint in uscita specifica gli indirizzi IP da cui provengono le query. Tali indirizzi IP, che scegli dall'intervallo di indirizzi IP disponibili per il VPC, non sono indirizzi IP pubblici. Ciò significa che, per ogni endpoint in uscita, è necessario connettere il VPC alla rete mediante una connessione AWS Direct Connect , una connessione VPC o un gateway NAT (Network Address Translation). Nota che puoi utilizzare lo stesso endpoint in uscita per più VPC nella stessa regione; oppure puoi creare più endpoint in uscita. Se desideri che il tuo endpoint in uscita utilizzi DNS64, puoi abilitare DNS64 utilizzando Amazon Virtual Private Cloud. Per ulteriori informazioni, consulta IDNS64 e NAT64 nella Guida per l'utente di Amazon VPC.

L'IP di destinazione della regola Route 53 Resolver viene scelto a caso da Resolver e non vi è alcuna preferenza nella scelta di un particolare IP di destinazione rispetto all'altro. Se un IP di destinazione non risponde alla richiesta DNS inoltrata, il Resolver riproverà a inserire un indirizzo IP casuale tra gli IP di destinazione.

Regolamento

Per specificare i nomi di dominio delle query che desideri inoltrare ai resolver DNS sulla rete, è necessario creare una o più regole. Ogni regola specifica un nome di dominio. In seguito associ delle regole ai VPC per i quali desideri inoltrare le query alla rete.

Per ulteriori informazioni, consulta i seguenti argomenti:

Configurazione dell'inoltro in uscita

Per configurare Resolver in modo che inoltri query DNS che hanno origine nel VPC alla rete, procedi nel seguente modo.

Importante

Dopo aver creato un endpoint in uscita, devi creare una o più regole e associarle a uno o più VPC. Le regole specificano i nomi di dominio delle query DNS che desideri inoltrare alla rete.

Per creare un endpoint in uscita

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel riquadro di navigazione, seleziona Outbound endpoints (Endpoint in uscita).

  3. Nella barra di navigazione, seleziona la regione dove si desidera creare l'endpoint in uscita.

  4. Scegli Create outbound endpoint (Crea endpoint in uscita).

  5. Immetti i valori applicabili. Per ulteriori informazioni, consulta Valori specificati durante la creazione o la modifica degli endpoint in uscita.

  6. Scegli Create (Crea) .

    Nota

    La creazione di un endpoint in uscita richiede un paio di minuti. Non è possibile creare un altro endpoint in uscita fino a quando non viene creato il primo.

  7. Creare una o più regole per specificare i nomi di dominio delle query DNS che si desidera inoltrare ai resolver DNS sulla rete. Per ulteriori informazioni, consulta la procedura successiva.

Per creare una o più regole di inoltro, procedere nel seguente modo.

Per creare regole di inoltro e associare le regole a uno o più VPC

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione, scegli Rules (Regole).

  3. Nella barra di navigazione, scegli la regione dove hai creato la regola.

  4. Scegli Create rule (Crea regola).

  5. Immetti i valori applicabili. Per ulteriori informazioni, consulta Valori specificati durante la creazione o la modifica delle regole.

  6. Seleziona Save (Salva.

  7. Per aggiungere un'altra regola, ripetere le fasi da 4 a 6.

Valori specificati durante la creazione o la modifica degli endpoint in uscita

Quando crei o modifichi un endpoint in uscita, devi specificare i seguenti valori:

ID Outpost

Se stai creando l'endpoint per un Resolver su un AWS Outposts VPC, questo è l'ID. AWS Outposts

Nome endpoint

Un nome descrittivo che ti consenta di trovare facilmente un endpoint in uscita.

VPC nella regione region-name.

Tutte le query DNS in uscita passeranno attraverso questo VPC in direzione della rete.

Gruppo di sicurezza per questo endpoint

L'ID di uno o più gruppi di sicurezza che si desidera utilizzare per controllare l'accesso a questo VPC. Il gruppo di sicurezza specificato deve includere una o più regole in uscita. Le regole in uscita devono consentire l'accesso TCP e UDP sulla porta che si sta utilizzando per le query DNS nella rete. Non è possibile modificare questo valore dopo avere creato un endpoint.

Alcune regole del gruppo di sicurezza consentiranno il tracciamento della connessione e potrebbero influire sul numero massimo di query al secondo dall'endpoint in uscita al name server di destinazione. Per evitare il tracciamento delle connessioni causato da un gruppo di sicurezza, vedi Connessioni non tracciate.

Per ulteriori informazioni, consultare Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

Tipo di endpoint

Il tipo di endpoint può essere un indirizzo IP IPv4, IPv6 o dual-stack. Nel caso di un endpoint dual-stack, l'endpoint avrà indirizzi sia IPv4 sia IPv6 a cui il resolver DNS può inoltrare la query DNS sulla tua rete.

Nota

Per motivi di sicurezza, stiamo negando l'accesso diretto del traffico IPv6 alla rete Internet pubblica per tutti gli indirizzi IP dual-stack e IPv6.

Indirizzi IP

Gli indirizzi IP nel VPC ai quali desideri che Resolver inoltri le query DNS in direzione dei resolver sulla rete. Questi non sono gli indirizzi IP dei resolver DNS sulla rete; tali indirizzi IP vengono specificati quando si creano le regole che si associano a uno o più VPC. Richiediamo di specificare un minimo di due indirizzi IP per la ridondanza.

Nota

L'endpoint del risolutore ha un indirizzo IP privato. Questi indirizzi IP non cambieranno nel corso della vita di un endpoint.

Tieni presente quanto segue:

Zone di disponibilità multiple

Consigliamo di specificare indirizzi IP in almeno due zone di disponibilità. È anche possibile specificare facoltativamente ulteriori indirizzi IP in quelle o in altre zone di disponibilità.

Indirizzi IP e interfacce di rete elastiche di Amazon VPC

Per ogni combinazione di zona di disponibilità, sottorete e indirizzo IP specificata, Resolver crea un'interfaccia di rete elastica di Amazon VPC. Per quanto riguarda il numero massimo di query DNS al secondo per ogni indirizzo IP in un endpoint, consulta Quote relative a Route 53 Resolver. Per informazioni sui prezzi per ogni interfaccia di rete elastica, consulta "Amazon Route 53" nella Pagina dei prezzi di Amazon Route 53.

Ordine degli indirizzi IP

È possibile specificare gli indirizzi IP in qualsiasi ordine. Quando si inoltrano le query DNS, Resolver non sceglie gli indirizzi IP in base all'ordine in cui sono elencati.

Per ogni indirizzo IP, specifica i seguenti valori. Ogni indirizzo IP deve trovarsi in una zona di disponibilità del VPC specificato in VPC in the region-name Region (VPC nella regione region-name).

Zona di disponibilità

La zona di disponibilità nella quale desideri che le query DNS passino in direzione della rete. La zona di disponibilità specificata deve essere configurata con una sottorete.

Sottorete

La sottorete contenente l'indirizzo IP dal quale desideri provengano le query DNS verso la rete. La sottorete deve avere a disposizione un indirizzo IP.

L'indirizzo IP della sottorete deve corrispondere al Tipo di endpoint.

Indirizzo IP

L'indirizzo IP dal quale desideri provengano le query DNS verso la rete.

Scegli se vuoi che sia Resolver a scegliere un indirizzo IP per tuo conto tra gli indirizzi IP disponibili nella sottorete specificata o se vuoi specificare personalmente l'indirizzo IP.

Se scegli di specificare tu stesso l'indirizzo IP, inserisci un indirizzo IPv4 o IPv6 o entrambi.

Protocolli

Il protocollo dell'endpoint determina il modo in cui i dati vengono trasmessi dall'endpoint in uscita. Scegli uno o più protocolli, a seconda del livello di sicurezza necessario.

  • Do53: (impostazione predefinita) i dati vengono inoltrati utilizzando Route 53 Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, è possibile visualizzarli all'interno delle reti AWS .

  • DoH: i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.

Per un endpoint in uscita è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • Nessuno, il che equivale a Do53.

Attualmente, l'estensione TLS SNI per le query DoH sull'endpoint in uscita non è supportata.

Tag

Specifica una o più chiavi e i relativi valori. Ad esempio, è possibile specificare Cost center (Centro di costo) per Key (Chiave) e specificare 456 per Value (Valore).

Valori specificati durante la creazione o la modifica delle regole

Quando crei o modifichi una regola di inoltro, devi specificare i seguenti valori:

Nome regola

Un nome descrittivo che ti consenta di trovare facilmente una regola nel pannello di controllo.

Tipo di regola

Scegli il valore applicabile:

  • Inoltra: scegli questa opzione se desideri inoltrare query DNS per un nome di dominio specifico ai resolver sulla rete.

  • Sistema: scegli questa opzione se desideri che Resolver sostituisca il comportamento definito in una regola di inoltro. Quando crei una regola di sistema, Resolver risolve le query DNS per sottodomini specificati che altrimenti verrebbero risolti dai resolver DNS sulla rete.

Per impostazione predefinita, le regole di inoltro valgono per un nome di dominio e per tutti i relativi sottodomini. Se vuoi inoltrare le query per un dominio a un resolver sulla rete ma non vuoi inoltrare query per alcuni sottodomini, devi creare una regola di sistema per i sottodomini. Ad esempio, se crei una regola di inoltro per esempio.com ma non vuoi inoltrare query per acme.esempio.com, devi creare una regola di sistema e specificare acme.esempio.com come nome di dominio.

VPC che utilizzano questa regola

I VPC che utilizzano questa regola per inoltrare le query DNS per il nome o i nomi di dominio specificati. Puoi applicare tante regole quante ne desideri ai VPC.

Nome dominio

Le query DNS per questo nome dominio vengono inoltrate agli indirizzi IP specificati in Indirizzi IP target. Per ulteriori informazioni, consulta Come Resolver determina se il nome di dominio in una query corrisponde alle regole.

Endpoint in uscita

Resolver inoltra le query DNS tramite l'endpoint in uscita qui specificato agli indirizzi IP specificati in Indirizzi IP di destinazione.

Indirizzi IP target

Quando una query DNS corrisponde al nome specificato in Domain name (Nome dominio), l'endpoint in uscita inoltra la query agli indirizzi IP che specifichi qui. In genere questi sono gli indirizzi IP dei resolver DNS sulla rete.

Target IP addresses (Indirizzi IP target) è disponibile solo quando il valore di Rule type (Tipo regola) è Forward (Inoltro).

Specifica gli indirizzi IPv4 o IPv6 e i protocolli che desideri utilizzare per l'endpoint.

Tag

Specifica una o più chiavi e i relativi valori. Ad esempio, è possibile specificare Cost center (Centro di costo) per Key (Chiave) e specificare 456 per Value (Valore).

Questi sono i tag che AWS Billing and Cost Management consentono di organizzare la fattura. AWS Per ulteriori informazioni sull'utilizzo dei tag per l'allocazione dei costi, consulta Uso dei tag per l'allocazione dei costi nella AWS Billing Guida per l'utente.