Encaminhamento de consultas de DNS de entrada para as VPCs - Amazon Route 53
Configurar o encaminhamento de entradaValores especificados ao criar ou editar endpoints de entrada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Encaminhamento de consultas de DNS de entrada para as VPCs

Para encaminhar consultas de DNS de sua rede para o Resolver, crie um endpoint de entrada. Um endpoint de entrada especifica os endereços IP (do intervalo de endereços IP disponíveis para sua VPC) para os quais você deseja que os resolvedores de DNS em sua rede encaminhem consultas de DNS. Esses endereços IP não são endereços IP públicos. Portanto, para cada endpoint de entrada, você precisa conectar sua VPC à sua rede usando uma AWS Direct Connect conexão ou uma conexão VPN.

Configurar o encaminhamento de entrada

Para criar um endpoint de entrada, execute o seguinte procedimento.

Para criar um endpoint de entrada

  1. Faça login AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Inbound endpoints (Endpoints de entrada).

  3. Na barra de navegação, escolha a Região onde deseja criar um endpoint de entrada.

  4. Escolha Create inbound endpoint (Criar endpoint de entrada).

  5. Insira os valores aplicáveis. Para ter mais informações, consulte Valores especificados ao criar ou editar endpoints de entrada.

  6. Escolha Criar.

  7. Configure os resolvedores de DNS na rede para encaminhar consultas de DNS aplicáveis aos endereços IP do endpoint de entrada. Para obter mais informações, consulte a documentação de seu aplicativo de DNS.

Valores especificados ao criar ou editar endpoints de entrada

Ao criar ou editar um endpoint de entrada, especifique os seguintes valores:

ID do Outpost

Se você estiver criando o endpoint para um resolvedor em uma AWS Outposts VPC, esse é AWS Outposts o ID.

Nome do endpoint

Um nome amigável que permite encontrar facilmente um endpoint de entrada no painel.

VPC na Região region-name

Todas as consultas de DNS de entrada da rede passam por essa VPC em direção do Resolver.

Grupo de segurança para este endpoint

O ID de um ou mais grupos de segurança que deseja usar para controlar o acesso a essa VPC. O grupo de segurança especificado deve incluir uma ou mais regras de entrada. As regras de entrada devem permitir o acesso TCP e UDP na porta 53. Não é possível alterar esse valor depois de criar o endpoint.

Algumas regras do grupo de segurança farão com que sua conexão seja rastreada e o máximo geral de consultas por segundo por endereço IP para um endpoint de entrada pode ser tão baixo quanto 1500. Para evitar o rastreamento de conexão causado por um grupo de segurança, consulte Conexões não rastreadas.

nota

Para adicionar vários grupos de segurança, use o AWS CLI comandocreate-resolver-endpoint. Para obter mais informações, consulte create-resolver-endpoint

Para mais informações, consulte Grupos de segurança para a VPC no Guia do usuário da Amazon VPC.

Tipo de endpoint

O tipo de endpoint pode ser endereços IP IPv4, IPv6 ou de pilha dupla. Para um endpoint de pilha dupla, o endpoint terá endereços IPv4 e IPv6 para os quais o resolver de DNS na rede pode encaminhar a consulta ao DNS.

nota

Por motivos de segurança, estamos negando o acesso direto ao tráfego IPv6 da Internet pública para todos os endereços IP de pilha dupla e IPv6.

Endereços IP

Os endereços IP para os quais deseja que os resolvedores de DNS encaminhem as consultas de DNS. Exigimos que você especifique um mínimo de dois endereços IP para redundância. Observe o seguinte:

Várias zonas de disponibilidade

É recomendável especificar endereços IP em pelo menos duas zonas de disponibilidade. Opcionalmente, você pode especificar endereços IP adicionais nessas ou em outras zonas de disponibilidade.

Endereços IP e interfaces de rede elástica da Amazon VPC

Para cada combinação de zona de disponibilidade, sub-rede e endereço IP que você especificar, o Resolver criará uma interface de rede elástica da Amazon VPC. Para saber o atual número máximo de consultas de DNS por segundo por endereço IP em um endpoint, consulte Cotas no Route 53 Resolver. Para obter informações sobre os preços de cada interface de rede elástica, consulte “Amazon Route 53”, na página de preços do Amazon Route 53.

nota

O endpoint do Resolver tem um endereço IP privado. Esses endereços IP não mudarão ao longo da vida útil de um endpoint.

Para cada endereço IP, especifique os valores a seguir. Cada endereço IP deve estar em uma zona de disponibilidade na VPC especificada em VPC na região region-name (nome da região).

Availability Zone (zona de disponibilidade)

A zona de disponibilidade pelas quais você deseja que as consultas de DNS passem a caminho de sua VPC. A zona de disponibilidade especificada deve ser configurada com uma sub-rede.

Sub-rede

A sub-rede que contém os endereços IP que você deseja atribuir aos ENIs do endpoint do Resolver. Esses são os endereços para os quais você enviará consultas de DNS. A sub-rede deve ter um endereço IP disponível.

O endereço IP da sub-rede deve corresponder ao Tipo de endpoint.

Endereço IP

Um endereço IP para o qual você deseja encaminhar consultas de DNS.

Decida se você quer que o Resolver escolha um endereço IP para você entre os endereços IP disponíveis na sub-rede especificada ou se quer especificar você mesmo o endereço IP.

Se você optar por especificar o endereço IP sozinho, insira um endereço IPv4 ou IPv6, ou ambos.

Protocolos

O protocolo do endpoint determina como os dados são transmitidos ao endpoint de entrada. Escolha um ou mais protocolos dependendo do nível de segurança necessário.

  • Do53: (padrão) os dados são retransmitidos usando o Route 53 Resolver sem criptografia adicional. Embora os dados não possam ser lidos por terceiros, eles podem ser visualizados nas redes da AWS .

  • DoH: os dados são transmitidos em uma sessão HTTPS criptografada. O DoH adiciona mais um nível de segurança em que os dados não podem ser descriptografados por usuários não autorizados e não podem ser lidos por ninguém, a não ser pelo destinatário pretendido.

  • DoH-FIPS: os dados são transmitidos em uma sessão HTTPS criptografada conforme o padrão criptográfico FIPS 140-2. Compatível apenas com endpoints de entrada. Para obter mais informações, consulte FIPS PUB 140-2.

Para um endpoint de entrada, você pode aplicar os protocolos da seguinte maneira:

  • Do53 e DoH combinados.

  • Do53 e DoH-FIPS combinados.

  • D53 sozinho.

  • DoH sozinho.

  • DoH-FIPS sozinho.

  • Nenhum, o que é tratado como Do53.

Importante

Você não pode alterar o protocolo de um endpoint de entrada diretamente do Do53 sozinho para o DoH sozinho ou para o DoH-FIPS. Isso evita uma interrupção repentina no tráfego de entrada que usa o Do53. Para mudar o protocolo do Do53 para o DoH ou para o DoH-FIPS, você deve primeiro habilitar ambos o Do53 e o DoH ou o Do53 e o DoH-FIPS para garantir que todo o tráfego de entrada passe a usar o protocolo DoH ou DoH-FIPS antes que o Do53 seja removido.

Tags

Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o Cost center (Centro de custo) para Key (Chave) e especificar 456 para Value (Valor).