Risoluzione di query DNS tra i VPC e la rete - Amazon Route 53
Come i resolver DNS sulla rete inoltrano query DNS agli endpoint di Route 53 Resolver Come l'endpoint di Route 53 Resolver inoltra query DNS dai VPC alla reteConsiderazioni per la creazione di endpoint in entrata e in uscita

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione di query DNS tra i VPC e la rete

Il Resolver contiene endpoint configurati per rispondere alle query DNS da e verso l'ambiente on-premise.

Nota

L'inoltro di query DNS private a qualsiasi indirizzo CIDR + 2 del VPC dai server DNS on-premise non è supportato e può causare risultati instabili. Ti consigliamo invece di utilizzare un endpoint in entrata del risolutore.

È inoltre possibile integrare la risoluzione DNS tra il Resolver e i resolver DNS nella rete configurando le regole di inoltro. La rete può includere qualsiasi rete raggiungibile dal VPC, ad esempio:

  • Il VPC stesso

  • Un altro VPC con peering

  • Una rete locale connessa a, una VPN o un gateway NAT (Network Address Translation AWS ) AWS Direct Connect

Prima di iniziare a inoltrare le query, è possibile creare endpoint di Resolver in ingresso e/o in uscita nel VPC connesso. Questi endpoint forniscono un percorso per le query in ingresso o in uscita:

Endpoint in ingresso: i resolver DNS nella rete possono inoltrare query DNS a Route 53 Resolver tramite questo endpoint

Ciò consente ai resolver DNS di risolvere facilmente i nomi di dominio per AWS risorse come istanze o record EC2 in una zona ospitata privata di Route 53. Per ulteriori informazioni, consulta Come i resolver DNS sulla rete inoltrano query DNS agli endpoint di Route 53 Resolver .

Endpoint in uscita: il Resolver inoltra in modo condizionale le query ai resolver sulla rete tramite questo endpoint

Per inoltrare le query selezionate, devi creare regole di Resolver che specifichino i nomi di dominio per le query DNS da inoltrare (ad esempio esempio.com) e gli indirizzi IP dei resolver DNS sulla rete ai quali inoltrare le query. Se una query corrisponde a più regole (esempio.com, acme.esempio.com), il Resolver sceglie la regola con la corrispondenza più specifica (acme.esempio.com) e inoltra la query agli indirizzi IP specificati in quella regola. Per ulteriori informazioni, consulta Come l'endpoint di Route 53 Resolver inoltra query DNS dai VPC alla rete.

Come Amazon VPC, il Resolver è regionale. In ciascuna regione in cui si dispone di VPC, è possibile scegliere se inoltrare le query dal VPC alla rete (query in uscita), dalla rete ai VPC (query in entrata) o entrambe le opzioni.

Non puoi creare endpoint Resolver in un VPC che non sono di tua proprietà. Solo il proprietario del VPC può creare risorse a livello di VPC, ad esempio gli endpoint in ingresso.

Nota

Quando crei un endpoint Resolver, non è possibile specificare un VPC con l'attributo di tenancy dell'istanza impostato su dedicated. Per ulteriori informazioni, consulta Uso di Resolver in VPC configurati per la tenancy di istanze dedicate.

Per utilizzare l'inoltro in entrata o in uscita, crea un endpoint Resolver nel VPC. In quanto parte della definizione di un endpoint, è necessario specificare gli indirizzi IP a cui si desidera inoltrare le query DNS in entrata o gli indirizzi IP da cui si desidera provengano le query in uscita. Per ogni indirizzo IP specificato, Resolver crea automaticamente un'interfaccia di rete elastica VPC.

Il seguente diagramma mostra il percorso di una query DNS da un resolver DNS sulla rete agli endpoint di Resolver Route 53.

Grafico concettuale che mostra il percorso di una query DNS da un resolver DNS sulla rete agli endpoint di Resolver Route 53.

Il seguente diagramma mostra il percorso di una query DNS da un'istanza EC2 in uno dei VPC a un resolver DNS nella rete.

Grafico concettuale che mostra il percorso di una query DNS dalla rete a Resolver Route 53.

Per una panoramica delle interfacce di rete VPC, consulta Interfaccia di rete elastica nella Guida per l'utente di Amazon VPC.

Argomenti

Come i resolver DNS sulla rete inoltrano query DNS agli endpoint di Route 53 Resolver

Se desideri inoltrare query DNS dalla tua rete agli endpoint di Route 53 Resolver in una Regione AWS , procedi come segue:

  1. Crea un endpoint in entrata Route 53 Resolver in un VPC e specifica gli indirizzi IP a cui i resolver sulla rete inoltrano le query DNS.

    Per ogni indirizzo IP specificato per l'endpoint in entrata, Resolver crea un'interfaccia di rete elastica VPC nel VPC in cui è stato creato l'endpoint in entrata.

  2. Configura i resolver sulla rete in modo che inoltrino query DNS per i nomi di dominio applicabili agli indirizzi IP specificati nell'endpoint in entrata. Per ulteriori informazioni, consulta Considerazioni per la creazione di endpoint in entrata e in uscita.

Ecco come Resolver risolve le query DNS che sono originate nella tua rete:

  1. Un browser Web o a un'altra applicazione sulla rete invia una query DNS per un nome di dominio inoltrato a Resolver.

  2. Un resolver sulla rete inoltra la query agli indirizzi IP dell'endpoint in entrata.

  3. L'endpoint in entrata inoltra la query a Resolver.

  4. Resolver ottiene il valore applicabile per il nome di dominio nella query DNS, internamente o eseguendo una ricerca ricorsiva dei server dei nomi pubblici.

  5. Il resolver restituisce il valore all'endpoint in entrata.

  6. L'endpoint in entrata restituisce il valore al resolver sulla rete.

  7. Il resolver sulla rete restituisce il valore all'applicazione.

  8. Utilizzando il valore stato restituito da Resolver, l'applicazione invia una richiesta HTTP, ad esempio una richiesta per un oggetto in un bucket Amazon S3.

La creazione di un endpoint in entrata non modifica il comportamento di Resolver, ma fornisce semplicemente un percorso da una posizione esterna alla rete a Resolver. AWS

Come l'endpoint di Route 53 Resolver inoltra query DNS dai VPC alla rete

Quando desideri inoltrare alla tua rete le query DNS dalle istanze EC2 in uno o più VPC in una regione, AWS esegui i seguenti passaggi.

  1. Crea un endpoint in uscita di Route 53 Resolver in un VPC e specifica diversi valori:

    • Il VPC nel quale vuoi che le query DNS passino in direzione dei resolver sulla rete.

    • Gli indirizzi IP nel VPC a cui Resolver deve inoltrare le query DNS. Per gli host sulla rete, questi sono gli indirizzi IP da cui originano le query DNS.

    • Un gruppo di sicurezza VPC

    Per ogni indirizzo IP specificato per l'endpoint di uscita, Resolver crea un'interfaccia di rete elastica di Amazon VPC nel VPC specificato. Per ulteriori informazioni, consulta Considerazioni per la creazione di endpoint in entrata e in uscita.

  2. Crea una o più regole che specifichino i nomi di dominio delle query DNS che desideri siano inoltrate da Resover ai resolver sulla rete. Specifica anche gli indirizzi IP dei resolver. Per ulteriori informazioni, consulta Utilizzo di regole per controllare quali query vengono inoltrate alla rete.

  3. Associa ogni regola ai VPC per i quali desideri inoltrare le query DNS alla rete.

Utilizzo di regole per controllare quali query vengono inoltrate alla rete

Le regole controllano quali query DNS vengono inoltrate dall'endpoint di Route 53 Resolver ai resolver DNS sulla rete e a quali risponde direttamente Resolver.

Puoi categorizzare le regole in due modi. Un modo è basato su chi crea le regole:

  • Regole definite automaticamente: Resolver crea automaticamente regole definite automaticamente e associa le regole ai tuoi VPC. La maggior parte di queste regole si applica ai nomi di dominio AWS specifici per i quali Resolver risponde alle domande. Per ulteriori informazioni, consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite.

  • Regole personalizzate: è possibile creare regole personalizzate e associarle quindi ai VPC. Al momento è possibile creare solo un tipo di regole personalizzate, le regole di inoltro condizionale, anche dette regole di inoltro. Le regole di inoltro permettono a Resolver di inoltrare query DNS dai VPC agli indirizzi IP dei resolver DNS sulla rete.

    Se crei una regola di inoltro per lo stesso dominio di una regola autodefinita, Resolver inoltra le query per quel nome di dominio ai resolver DNS sulla rete in base alle impostazioni della regola di inoltro.

L'altro modo per categorizzare le regole è in base ai loro effetti:

  • Regole di inoltro condizionali: è possibile creare regole di inoltro condizionale (note anche come regole di inoltro) quando vuoi inoltrare query DNS per i nomi di dominio specificati ai resolver DNS sulla rete.

  • Regole di sistema: le regole di sistema fanno sì che Resolver sostituisca in modo selettivo il comportamento definito in una regola di inoltro. Quando crei una regola di sistema, Resolver risolve le query DNS per sottodomini specificati che altrimenti verrebbero risolti dai resolver DNS sulla rete.

    Per impostazione predefinita, le regole di inoltro valgono per un nome di dominio e per tutti i relativi sottodomini. Se vuoi inoltrare le query per un dominio a un resolver sulla rete ma non vuoi inoltrare query per alcuni sottodomini, devi creare una regola di sistema per i sottodomini. Ad esempio, se crei una regola di inoltro per esempio.com ma non vuoi inoltrare query per acme.esempio.com, devi creare una regola di sistema e specificare acme.esempio.com come nome di dominio.

  • Regola ricorsiva: Resolver crea automaticamente una regola ricorsiva denominata Resolver di Internet. Questa regola consente a Route 53 Resolver di funzionare come resolver ricorsivo per tutti i nomi di dominio per i quali non sono state create regole personalizzate e per i quali Resolver non ha creato regole autodefinite. Per informazioni su come ignorare questo comportamento, consulta la sezione "Inoltrare tutte le query alla rete" più avanti in questo argomento.

Puoi creare regole personalizzate che si applicano a nomi di dominio specifici (il tuo o la maggior parte dei nomi di AWS dominio), ai nomi di AWS dominio pubblici o a tutti i nomi di dominio.

Inoltro di query per nomi di dominio specifici alla rete

Per inoltrare query per un nome di dominio specifico, come esempio.com, alla rete, devi creare una regola e specificare il nome di dominio. Devi anche specificare gli indirizzi IP dei resolver DNS sulla rete a cui vuoi inoltrare le query. Associ quindi ciascuna regola ai VPC per i quali desideri inoltrare le query DNS alla rete. Ad esempio, è possibile creare regole separate per esempio.com, esempio.org ed esempio.net. Quindi puoi associare le regole ai VPC di una AWS regione in qualsiasi combinazione.

Inoltro di query per amazonaws.com alla rete

Il nome di dominio amazonaws.com è il nome di dominio pubblico per AWS risorse come le istanze EC2 e i bucket S3. Se vuoi inoltrare le query per amazonaws.com alla rete, crea una regola, specifica amazonaws.com come nome di dominio e specifica Forward (Inoltro) per il tipo di regola.

Nota

Resolver non inoltra automaticamente query DNS per alcuni sottodomini di amazonaws.com, neanche se crei una regola di inoltro per amazonaws.com. Per ulteriori informazioni, consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite. Per informazioni su come ignorare questo comportamento, consulta la sezione immediatamente successiva "Inoltrare tutte le query alla rete".

Inoltrare tutte le query alla rete

Se desideri inoltrare tutte le query alla rete, devi creare una regola, specificare "." (punto) per il nome di dominio e associare la regola ai VPC per i quali vuoi inoltrare tutte le query DNS alla rete. Resolver continua a non inoltrare tutte le query DNS alla rete perché l'utilizzo di un resolver DNS esterno comprometterebbe alcune funzionalità. AWS Ad esempio, alcuni nomi di AWS dominio interni hanno intervalli di indirizzi IP interni che non sono accessibili dall'esterno di. AWS Per un elenco dei nomi di dominio per i quali le query non vengono inoltrate alla rete quando crei una regola per ".", consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite.

Tuttavia, le regole di sistema definite automaticamente per il DNS inverso possono essere disabilitate, consentendo alla regola «.» di inoltrare tutte le query DNS inverse alla rete. Per ulteriori informazioni su come disattivare le regole autodefinite, consultare Regole di inoltro per le query DNS inverse in Resolver.

Se vuoi provare a inoltrare query DNS per tutti i nomi di dominio alla rete, compresi i nomi di dominio esclusi dall'inoltro per impostazione predefinita, puoi creare una regola "." e procedere in uno dei seguenti modi:

Importante

Se inoltri tutti i nomi di dominio alla rete, compresi i nomi di dominio esclusi dal Resolver quando crei una regola ".", alcune funzionalità potrebbero smettere di funzionare.

Come Resolver determina se il nome di dominio in una query corrisponde alle regole

Route 53 Resolver confronta il nome di dominio nella query DNS con il nome di dominio nelle regole associate al VPC da cui è stata originata la query. Resolver considera che i nomi di dominio corrispondano nei seguenti casi:

  • I nomi di dominio corrispondono esattamente

  • Il nome di dominio nella query è un sottodominio del nome di dominio nella regola

Ad esempio, se il nome di dominio nella regola è acme.esempio.com, Resolver considera i seguenti nomi di dominio in una query DNS come corrispondenti:

  • acme.esempio.com

  • zenith.acme.esempio.com

I seguenti nomi di dominio non sono una corrispondenza:

  • esempio.com

  • nadir.esempio.com

Se il nome di dominio in una query corrisponde al nome di dominio in più di una regola (come esempio.com e www.esempio.com), Resolver instrada le query DNS in uscita utilizzando la regola che contiene il nome di dominio più specifico (www.esempio.com).

In che modo Resolver determina dove inoltrare le query DNS

Quando un'applicazione eseguita su un'istanza EC2 in un VPC invia una query DNS, Route 53 Resolver completa i seguenti passaggi:

  1. Il resolver controlla i nomi di dominio nelle regole.

    Se il nome di dominio in una query corrisponde al nome di dominio in una regola, Resolver inoltra la query all'indirizzo IP specificato al momento della creazione dell'endpoint in uscita. L'endpoint in uscita inoltra quindi la query agli indirizzi IP dei resolver sulla rete, da te indicati al momento della creazione della regola.

    Per ulteriori informazioni, consulta Come Resolver determina se il nome di dominio in una query corrisponde alle regole.

  2. L'endpoint di Resolver inoltre le query DNS in base alle impostazioni nella regola ".".

    Se il nome di dominio in una query non corrisponde al nome di dominio in qualsiasi altra regola, Resolver inoltra la query in base alle impostazione nella regola autodefinita "." (punto). La regola del punto si applica a tutti i nomi di dominio ad eccezione di alcuni nomi di dominio AWS interni e nomi di record nelle zone ospitate private. Questa regola permette a Resolver di inoltrare query DNS ai server di nomi pubblici se i nomi di dominio nelle query non corrispondono ai nomi nelle regole di inoltro personalizzate. Se vuoi inoltrare tutte le query ai resolver DNS sulla rete, puoi creare una regola di inoltro personalizzata, specificare "." per il nome di dominio, specificare Forwarding (Inoltro) per Type (Tipo) e specificare gli indirizzi IP di questi resolver.

  3. Resolver restituisce la risposta all'applicazione che ha inviato la query.

Utilizzo di regole in più regioni

Route 53 Resolver è un servizio regionale, quindi gli oggetti creati in una AWS regione sono disponibili solo in quella regione. Per utilizzare la stessa regola in più di una regione, è necessario creare la regola in ciascuna regione.

L' AWS account che ha creato una regola può condividerla con altri AWS account. Per ulteriori informazioni, consulta Condivisione delle regole Resolver con altri AWS account e utilizzo di regole condivise.

Nomi di dominio per cui Resolver crea regole di sistema autodefinite

Il resolver crea automaticamente regole di sistema autodefinite che definiscono la modalità predefinita utilizzata per risolvere le query per i domini selezionati:

  • Per le zone ospitate private e i nomi di dominio specifici per Amazon EC2 (come compute.amazonaws.com e compute.internal), le regole autodefinite assicurano che le tue zone ospitate private e le istanze EC2 continuino a risolversi se crei regole di inoltro condizionale per nomi di dominio meno specifici come "." (punto) o "com".

  • Per i nomi di dominio riservati pubblicamente (come localhost e 10.in-addr.arpa), le best practice DNS consigliano che le query vengano risposte a livello locale invece che inoltrate ai server di nomi pubblici. Consulta RFC 6303, zone DNS servite localmente.

Nota

Se crei una regola di inoltro condizionale per "." (punto) o "com", ti consigliamo di creare anche una regola di sistema per amazonaws.com. (Le regole di sistema fanno si che Resolver risolva le query DNS in locale per domini e sottodomini specifici.) La creazione di questa regola di sistema migliora le prestazioni, riduce il numero di query che vengono inoltrate alla rete e riduce i costi di Resolver.

Se desideri sostituire una regola autodefinita, puoi creare una regola di inoltro condizionale per lo stesso nome di dominio.

Puoi anche disabilitare alcune delle regole definite automaticamente. Per ulteriori informazioni, consulta Regole di inoltro per le query DNS inverse in Resolver.

Il resolver crea le seguenti regole autodefinite.

Regole per zone ospitate private

Per ogni zona ospitata privata che viene associata a un VPC, Resolver crea una regola e la associa al VPC. Se associ le zone ospitate private a più VPC, Resolver associa la regola agli stessi VPC.

La regola è di tipo Forward (Inoltro).

Regole per vari nomi di dominio AWS interni

Tutte le regole per i nomi di dominio interni in questa sezione sono di tipo Forward. Resolver inoltra query DNS per questi nomi di dominio ai server di nomi ufficiali del VPC.

Nota

Resolver crea la maggior parte di queste regole quando si imposta l'indicatore enableDnsHostnames per un VPC su true. Resolver crea le regole anche se non utilizzi endpoint Resolver.

Resolver crea le seguenti regole autodefinite e le associa a un VPC quando imposti l'indicatore enableDnsHostnames per il VPC su true:

  • Region-name.compute.internal, ad esempio eu-west-1.compute.internal. La regione us-east-1 non utilizza questo nome di dominio.

  • Region-name.compute.amazon-domain-name, ad esempio eu-west-1.compute.amazonaws.com o cn-north-1.compute.amazonaws.com.cn. La regione us-east-1 non utilizza questo nome di dominio.

  • ec2.internal. Solo la regione us-east-1 utilizza questo nome di dominio.

  • compute-1.internal. Solo la regione us-east-1 utilizza questo nome di dominio.

  • compute-1.amazonaws.com. Solo la regione us-east-1 utilizza questo nome di dominio.

Le seguenti regole autodefinite valgono per la ricerca DNS inversa per le regole create da Resolver quando imposti l'indicatore enableDnsHostnames per il VPC su true.

  • 10.in-addr.arpa

  • Da 16.172.in-addr.arpa a 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • Regole di ciascuna delle gamme CIDR per il VPC. Ad esempio, se un VPC ha una gamma di CIDR 10.0.0.0/23, Resolver crea le seguenti regole:

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

Anche le seguenti regole autodefinite, per i domini correlati ai localhost, vengono create e associate a un VPC quando imposti il flag enableDnsHostnames per il VPC su true:

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver crea le seguenti regole autodefinite e le associa al VPC quando colleghi il VPC a un altro VPC tramite gateway di transito o peering VPC e con il supporto DNS abilitato:

  • La ricerca DNS inversa per gli intervalli di indirizzi IP del VPC in peering, ad esempio 0.192.in-addr.arpa

    Se aggiungi un blocco CIDR IPv4 a un VPC, Resolver aggiunge una regola autodefinita per il nuovo intervallo di indirizzi IP.

  • Se l'altro VPC si trova in un'altra regione, i seguenti nomi di dominio:

    • Region-name.compute.internal. La regione us-east-1 non utilizza questo nome di dominio.

    • Region-name.compute.amazon-domain-name. La regione us-east-1 non utilizza questo nome di dominio.

    • ec2.internal. Solo la regione us-east-1 utilizza questo nome di dominio.

    • compute-1.amazonaws.com. Solo la regione us-east-1 utilizza questo nome di dominio.

Una regola per tutti gli altri domini

Resolver crea una regola "." (punto) valida per tutti i nomi di dominio non specificati prima in questo argomento. La regola "." è di tipo ricorsivo, il che significa che fa in modo che Resolver agisca da resolver ricorsivo.

Considerazioni per la creazione di endpoint in entrata e in uscita

Prima di creare endpoint Resolver in entrata e in uscita in una AWS regione, considera i seguenti problemi.

Numero di endpoint in entrata e in uscita in ciascuna regione

Quando desideri integrare il DNS per i VPC in una AWS regione con il DNS per la tua rete, in genere hai bisogno di un endpoint Resolver in entrata (per le query DNS che stai inoltrando ai tuoi VPC) e un endpoint in uscita (per le query che stai inoltrando dai tuoi VPC alla tua rete). Puoi creare più endpoint in entrata e più endpoint in uscita, ma un endpoint in entrata o in uscita è sufficiente per gestire le query DNS per ogni rispettiva direzione. Tieni presente quanto segue:

  • Per ogni endpoint di Resolver, è necessario specificare due o più indirizzi IP in diverse zone di disponibilità. Ogni indirizzo IP in un endpoint è in grado di gestire un numero elevato di query DNS al secondo. (Per quanto riguarda il numero massimo di query al secondo per indirizzo IP in un endpoint, consulta Quote relative a Route 53 Resolver). Se è necessario che Resolver gestisca più query, invece di aggiungere un altro endpoint puoi aggiungere altri indirizzi IP all'endpoint esistente.

  • I prezzi di Resolver sono calcolati in base al numero di indirizzi IP negli endpoint e sul numero di query DNS elaborate dall'endpoint. Ogni endpoint include almeno due indirizzi IP. Per ulteriori informazioni sui prezzi di Resolver, consulta Prezzi di Amazon Route 53.

  • Ogni regola specifica l'endpoint in uscita da cui vengono inoltrate le query DNS. Se crei più endpoint in uscita in una regione AWS e desideri associare alcune o tutte le regole di Resolver a ogni VPC, è necessario creare più copie di tali regole.

Utilizzare lo stesso VPC per gli endpoint in entrata e in uscita

È possibile creare endpoint in entrata e in uscita nello stesso VPC o in diversi VPC nella stessa regione.

Per ulteriori informazioni, consulta Best practice per Amazon Route 53.

Endpoint in entrata e zone ospitate private

Se desideri che Resolver risolva le query DNS in entrata utilizzando i record in una zona ospitata privata, associa la zona ospitata privata al VPC in cui è stato creato l'endpoint in entrata. Per ulteriori informazioni sull'associazione delle zone ospitate private ai VPC, consulta Utilizzo delle zone ospitate private.

Peering VPC

Puoi utilizzare qualsiasi VPC in una AWS regione per un endpoint in entrata o in uscita indipendentemente dal fatto che il VPC scelto sia peerizzato con altri VPC. Per ulteriori informazioni, consulta la sezione relativa al peering Amazon Virtual Private Cloud (VPC).

Indirizzi IP nelle sottoreti condivise

Quando si crea un endpoint in ingresso o in uscita, è possibile specificare un indirizzo IP in una subnet condivisa solo se l'account corrente ha creato il VPC. Se un altro account crea un VPC e condivide una subnet nel VPC con l'account, non è possibile specificare un indirizzo IP in tale subnet. Per ulteriori informazioni sulle sottoreti condivise, consulta Utilizzo di VPC condivisi nella Guida per l'utente Amazon VPC.

Connessione tra la rete e il VPC in cui sono stati creati gli endpoint

È necessario disporre di uno dei seguenti collegamenti tra la rete e il VPC in cui sono stati creati gli endpoint:

Quando si condividono le regole, si condividono anche gli endpoint in uscita

Quando crei una regola, è necessario specificare l'endpoint in uscita che si desidera sia utilizzato da Resolver per inoltrare query DNS alla rete. Se condividi la regola con un altro AWS account, condividi anche indirettamente l'endpoint in uscita specificato nella regola. Se hai utilizzato più di un AWS account per creare VPC in una AWS regione, puoi fare quanto segue:

  • Creare un endpoint in uscita nella regione.

  • Crea regole utilizzando un solo AWS account.

  • Condividi le regole con tutti gli AWS account che hanno creato VPC nella regione.

Ciò consente di utilizzare un endpoint in uscita in una regione per inoltrare le query DNS alla rete da più VPC anche se i VPC sono stati creati utilizzando account diversi. AWS

Scelta dei protocolli per gli endpoint

I protocolli degli endpoint determinano il modo in cui i dati vengono trasmessi a un endpoint in entrata e da un endpoint in uscita. La crittografia delle query DNS per il traffico VPC non è necessaria perché ogni flusso di pacchetti nella rete viene autorizzato individualmente in base a una regola per convalidare l'origine e la destinazione corrette prima della sua trasmissione e consegna. È molto improbabile che le informazioni vengano trasmesse in modo arbitrario tra entità senza che siano specificamente autorizzate sia dall'entità trasmittente che da quella ricevente. Se viene indirizzato a una destinazione priva di una regola corrispondente, un pacchetto viene eliminato. Per ulteriori informazioni, consulta le funzionalità del VPC.

I protocolli disponibili sono:

  • Do53: DNS sulla porta 53. I dati vengono inoltrati utilizzando Route 53 Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, possono essere visualizzati all'interno delle reti. AWS Utilizza UDP o TCP per inviare i pacchetti. Do53 viene utilizzato principalmente per il traffico all'interno di una VPC Amazon e tra VPC Amazon.

  • DoH: i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.

  • DoH-FIPS: i dati vengono trasmessi attraverso una sessione HTTPS crittografata conforme allo standard di crittografia FIPS 140-2. Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, consulta FIPS PUB 140-2.

Per un endpoint in entrata, è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 e DoH-FIPS in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • DoH-FIPS da solo.

  • Nessuno, il che equivale a Do53.

Per un endpoint in uscita è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • Nessuno, il che equivale a Do53.

Consulta anche Valori specificati durante la creazione o la modifica di endpoint in entrata e Valori specificati durante la creazione o la modifica degli endpoint in uscita.

Uso di Resolver in VPC configurati per la tenancy di istanze dedicate

Quando crei un endpoint Resolver, non è possibile specificare un VPC con l'attributo di tenancy dell'istanza impostato su dedicated. Resolver non viene eseguito su hardware a tenant singolo.

Puoi comunque utilizzare Resolver per risolvere le query DNS che hanno origine in un VPC. Crea almeno un VPC che abbia l'attributo di tenancy dell'istanza impostato su default e specifica quel VPC al momento della creazione di endpoint in entrata e in uscita.

Quando si crea una regola di inoltro, è possibile associarla a qualsiasi VPC, indipendentemente dall'impostazione dell'attributo di tenancy dell'istanza.