As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Encaminhando DNS consultas recebidas para o seu VPCs
Para encaminhar DNS consultas da sua rede para o Resolver, você cria um endpoint de entrada. Um endpoint de entrada especifica os endereços IP (do intervalo de endereços IP disponíveis para vocêVPC) para os quais você deseja que os DNS resolvedores da sua rede encaminhem consultas. DNS Esses endereços IP não são endereços IP públicos, portanto, para cada endpoint de entrada, você precisa conectá-lo VPC à sua rede usando uma AWS Direct Connect conexão ou uma VPN conexão.
Tópicos
Configurar o encaminhamento de entrada
Para criar um endpoint de entrada, execute o seguinte procedimento.
Para criar um endpoint de entrada
Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/
. No painel de navegação, escolha Inbound endpoints (Endpoints de entrada).
Na barra de navegação, escolha a Região onde deseja criar um endpoint de entrada.
Escolha Create inbound endpoint (Criar endpoint de entrada).
Insira os valores aplicáveis. Para obter mais informações, consulte Valores especificados ao criar ou editar endpoints de entrada.
Escolha Criar.
Configure DNS os resolvedores em sua rede para encaminhar DNS as consultas aplicáveis aos endereços IP do seu endpoint de entrada. Para obter mais informações, consulte a documentação do seu DNS aplicativo.
Valores especificados ao criar ou editar endpoints de entrada
Ao criar ou editar um endpoint de entrada, especifique os seguintes valores:
- ID do Outpost
Se você estiver criando o endpoint para um resolvedor em um AWS Outposts VPC, esse é o AWS Outposts ID.
- Nome do endpoint
Um nome amigável que permite encontrar facilmente um endpoint de entrada no painel.
- VPCna região com o nome da região
Todas as DNS consultas de entrada da sua rede passam por isso VPC no caminho para o Resolver.
- Grupo de segurança para este endpoint
O ID de um ou mais grupos de segurança que você deseja usar para controlar o acesso a eleVPC. O grupo de segurança especificado deve incluir uma ou mais regras de entrada. As regras de entrada devem permitir TCP e UDP acessar na porta 53. Não é possível alterar esse valor depois de criar o endpoint.
Algumas regras de grupo de segurança farão com que sua conexão seja rastreada e o total máximo de consultas por segundo por endereço IP para um endpoint de entrada pode ser até 1.500 apenas. Para evitar rastreamento de conexão causado por um grupo de segurança, consulte Conexões não rastreadas.
nota
Para adicionar vários grupos de segurança, use o AWS CLI comando
create-resolver-endpoint
. Para ter mais informações, consulte create-resolver-endpointPara obter mais informações, consulte Grupos de segurança para você VPC no Guia VPC do usuário da Amazon.
- Tipo de endpoint
O tipo de endpoint pode ser um ou dois IPv4 endereços IPv6 IP de pilha dupla. Para um endpoint de pilha dupla, o endpoint terá um IPv6 endereço para o qual seu DNS resolvedor na rede poderá encaminhar a consulta. IPv4 DNS
nota
Por motivos de segurança, estamos negando o acesso direto ao IPv6 tráfego da Internet pública para todos os endereços IP e de pilha dupla. IPv6
- Endereços IP
Os endereços IP para os quais você deseja que DNS os resolvedores da sua rede encaminhem DNS consultas. Exigimos que você especifique um mínimo de dois endereços IP para redundância. Observe o seguinte:
- Várias zonas de disponibilidade
É recomendável especificar endereços IP em pelo menos duas zonas de disponibilidade. Opcionalmente, você pode especificar endereços IP adicionais nessas ou em outras zonas de disponibilidade.
- Endereços IP e interfaces de rede VPC elástica da Amazon
Para cada combinação de zona de disponibilidade, sub-rede e endereço IP que você especificar, o Resolver cria uma interface de rede VPC elástica da Amazon. Para saber o número máximo atual de DNS consultas por segundo por endereço IP em um endpoint, consulte. Cotas no Route 53 Resolver Para obter informações sobre os preços de cada interface de rede elástica, consulte “Amazon Route 53”, na página de preços do Amazon Route 53
.
nota
O endpoint do Resolver tem um endereço IP privado. Esses endereços IP não mudarão ao longo da vida útil de um endpoint.
Para cada endereço IP, especifique os valores a seguir. Cada endereço IP deve estar em uma zona de disponibilidade na VPC que você especificou VPCna região do nome da região.
- Zona de disponibilidade
A zona de disponibilidade pela qual você deseja que DNS as consultas passem até suaVPC. A zona de disponibilidade especificada deve ser configurada com uma sub-rede.
- Sub-rede
A sub-rede que contém os endereços IP que você deseja atribuir ao seu endpoint ENIs do Resolver. Esses são os endereços para os quais você enviará DNS consultas. A sub-rede deve ter um endereço IP disponível.
O endereço IP da sub-rede deve corresponder ao Tipo de endpoint.
- Endereço IP
O endereço IP para o qual você deseja encaminhar DNS as consultas.
Decida se você quer que o Resolver escolha um endereço IP para você entre os endereços IP disponíveis na sub-rede especificada ou se quer especificar você mesmo o endereço IP.
Se você optar por especificar o endereço IP por conta própria, insira um IPv6 endereço IPv4 ou ambos.
- Protocolos
O protocolo do endpoint determina como os dados são transmitidos ao endpoint de entrada. Escolha um ou mais protocolos dependendo do nível de segurança necessário.
Do53: (padrão) os dados são retransmitidos usando o Route 53 Resolver sem criptografia adicional. Embora os dados não possam ser lidos por terceiros, eles podem ser visualizados nas redes da AWS .
DoH: Os dados são transmitidos por uma HTTPS sessão criptografada. O DoH adiciona mais um nível de segurança em que os dados não podem ser descriptografados por usuários não autorizados e não podem ser lidos por ninguém, a não ser pelo destinatário pretendido.
DoH-FIPS: Os dados são transmitidos por uma HTTPS sessão criptografada compatível com o padrão criptográfico FIPS 140-2. Compatível apenas com endpoints de entrada. Para obter mais informações, consulte FIPSPUB140-2
. nota
Para endpoints de FIPS entrada DoH/DoH, há um problema conhecido com a publicação incorreta do IP de origem no registro de consultas do Resolvedor do Route 53.
Para um endpoint de entrada, você pode aplicar os protocolos da seguinte maneira:
Do53 e DoH combinados.
Do53 e DoH- FIPS em combinação.
D53 sozinho.
DoH sozinho.
DoH- FIPS sozinho.
Nenhum, o que é tratado como Do53.
Importante
Você não pode alterar o protocolo de um endpoint de entrada diretamente de apenas Do53 para somente DoH ou DoH-. FIPS Isso evita uma interrupção repentina no tráfego de entrada que usa o Do53. Para alterar o protocolo de Do53 para DoH, ou DoH-FIPS, você deve primeiro habilitar Do53 e DoH, ou Do53 e DoH-FIPS, para garantir que todo o tráfego de entrada tenha sido transferido para o uso do protocolo DoH, ou DoH-, e depois remover o Do53. FIPS
- Tags
Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o Cost center (Centro de custo) para Key (Chave) e especificar 456 para Value (Valor).