Utilizzo di regole per controllare quali query vengono inoltrate alla rete - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di regole per controllare quali query vengono inoltrate alla rete

Le regole controllano quali query DNS vengono inoltrate dall'endpoint di Route 53 Resolver ai resolver DNS sulla rete e a quali risponde direttamente Resolver.

Puoi categorizzare le regole in due modi. Un modo è basato su chi crea le regole:

  • Regole autodefinite: Resolver crea automaticamente regole autodefinite e le associa alle tue. VPCs La maggior parte di queste regole si applica ai nomi di dominio AWS specifici per i quali Resolver risponde alle domande. Per ulteriori informazioni, consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite.

  • Regole personalizzate: crei regole personalizzate e le associ a. VPCs Attualmente è possibile creare due tipi di regole personalizzate, regole di inoltro condizionale, note anche come regole di inoltro, e regole di delega. Le regole di inoltro fanno sì che Resolver inoltri le query DNS dall'utente VPCs agli indirizzi IP per i resolver DNS sulla rete.

    Se crei una regola di inoltro per lo stesso dominio di una regola autodefinita, Resolver inoltra le query per quel nome di dominio ai resolver DNS sulla rete in base alle impostazioni della regola di inoltro.

    Le regole di delega inoltrano le query DNS con i record di delega contenuti nella regola di delega che corrispondono ai record NS in risposta ai resolver della rete.

L'altro modo per categorizzare le regole è in base ai loro effetti:

  • Regole di inoltro condizionali: è possibile creare regole di inoltro condizionale (note anche come regole di inoltro) quando vuoi inoltrare query DNS per i nomi di dominio specificati ai resolver DNS sulla rete.

  • Regole di sistema: le regole di sistema fanno sì che Resolver sostituisca in modo selettivo il comportamento definito in una regola di inoltro. Quando crei una regola di sistema, Resolver risolve le query DNS per sottodomini specificati che altrimenti verrebbero risolti dai resolver DNS sulla rete.

    Per impostazione predefinita, le regole di inoltro valgono per un nome di dominio e per tutti i relativi sottodomini. Se vuoi inoltrare le query per un dominio a un resolver sulla rete ma non vuoi inoltrare query per alcuni sottodomini, devi creare una regola di sistema per i sottodomini. Ad esempio, se crei una regola di inoltro per esempio.com ma non vuoi inoltrare query per acme.esempio.com, devi creare una regola di sistema e specificare acme.esempio.com come nome di dominio.

  • Regola ricorsiva: Resolver crea automaticamente una regola ricorsiva denominata Resolver di Internet. Questa regola consente a Route 53 Resolver di funzionare come resolver ricorsivo per tutti i nomi di dominio per i quali non sono state create regole personalizzate e per i quali Resolver non ha creato regole autodefinite. Per informazioni su come ignorare questo comportamento, consulta la sezione "Inoltrare tutte le query alla rete" più avanti in questo argomento.

Puoi creare regole personalizzate che si applicano a nomi di dominio specifici (il tuo o la maggior parte dei nomi di AWS dominio), ai nomi di dominio pubblici o a AWS tutti i nomi di dominio.

Inoltro di query per nomi di dominio specifici alla rete

Per inoltrare query per un nome di dominio specifico, come esempio.com, alla rete, devi creare una regola e specificare il nome di dominio. Per le regole di inoltro, specificate anche gli indirizzi IP dei resolver DNS della rete a cui desiderate inoltrare le query oppure, per le regole di delega, create il record di delega per il quale desiderate delegare l'autorità ai resolver locali. Quindi associ ogni regola a quella per cui desideri inoltrare le query DNS alla tua rete. VPCs Ad esempio, è possibile creare regole separate per esempio.com, esempio.org ed esempio.net. È quindi possibile associare le regole a quelle di una AWS regione VPCs in qualsiasi combinazione.

Inoltro di query per amazonaws.com alla rete

Il nome di dominio amazonaws.com è il nome di dominio pubblico per AWS risorse come EC2 istanze e bucket S3. Se desideri inoltrare le query relative a amazonaws.com alla tua rete, crea una regola, specifica amazonaws.com per il nome di dominio e specifica Forward o Delegation per il tipo di regola a seconda del metodo che desideri utilizzare.

Nota

Resolver non inoltra automaticamente query DNS per alcuni sottodomini di amazonaws.com, neanche se crei una regola di inoltro per amazonaws.com. Per ulteriori informazioni, consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite. Per informazioni su come ignorare questo comportamento, consulta la sezione immediatamente successiva "Inoltrare tutte le query alla rete".

Inoltrare tutte le query alla rete

Se desideri inoltrare tutte le query alla tua rete, crea una regola, specifica «.» (punto) per il nome di dominio e associa la regola a quella VPCs per cui desideri inoltrare tutte le query DNS alla tua rete. Resolver continua a non inoltrare tutte le query DNS alla rete perché l'utilizzo di un resolver DNS esterno comprometterebbe alcune funzionalità. AWS Ad esempio, alcuni nomi di AWS dominio interni hanno intervalli di indirizzi IP interni che non sono accessibili dall'esterno di. AWS Per un elenco dei nomi di dominio per i quali le query non vengono inoltrate alla rete quando crei una regola per ".", consulta Nomi di dominio per cui Resolver crea regole di sistema autodefinite.

Tuttavia, le regole di sistema definite automaticamente per il DNS inverso possono essere disabilitate, consentendo alla regola «.» di inoltrare tutte le query DNS inverse alla rete. Per ulteriori informazioni su come disattivare le regole autodefinite, consultare Regole di inoltro per le query DNS inverse in Resolver.

Se vuoi provare a inoltrare query DNS per tutti i nomi di dominio alla rete, compresi i nomi di dominio esclusi dall'inoltro per impostazione predefinita, puoi creare una regola "." e procedere in uno dei seguenti modi:

Importante

Se inoltri tutti i nomi di dominio alla rete, compresi i nomi di dominio esclusi dal Resolver quando crei una regola ".", alcune funzionalità potrebbero smettere di funzionare.