Resolver consultas de DNS entre VPCs e sua rede

Além disso, o Resolver contém endpoints configurados para responder a consultas ao DNS para e do ambiente on-premises.

nota

O encaminhamento de consultas ao DNS privadas para qualquer endereço VPC CIDR + 2 de seus servidores DNS on-premises não é suportado e pode causar resultados instáveis. Em vez disso, recomendamos o uso de um endpoint de entrada do Resolver.

Também é possível integrar a resolução de DNS entre os resolvedores de DNS e o Resolver na sua rede, configurando regras de encaminhamento. Sua rede pode incluir qualquer rede acessível de sua VPC, como o seguinte:

• A própria VPC

• Outra VPC emparelhada

• Uma rede on-premises conectada à AWS com o AWS Direct Connect, uma VPN, ou um gateway de Conversão de Endereços de Rede (NAT)

Antes de começar a encaminhar consultas, crie endpoints de entrada e/ou saída do Resolver na VPC conectada. Esses endpoints fornecem um caminho para consultas de entrada ou saída:

Endpoint de entrada: os resolvedores de DNS em sua rede podem encaminhar consultas de DNS para o Route 53 Resolver, por meio desse endpoint

Isso permite que os resolvedores de DNS resolvam facilmente os nomes de domínio para recursos da AWS, como instâncias do EC2 ou registros em uma zona hospedada privada do Route 53. Para obter mais informações, consulte Como resolvedores de DNS em sua rede encaminham consultas de DNS para endpoints do Route 53 Resolver.

Endpoint de saída: o Resolver encaminha condicionalmente consultas para resolvedores em sua rede por meio desse endpoint

Para encaminhar consultas selecionadas, crie regras do Resolver que especificam os nomes de domínio para as consultas de DNS que você quer encaminhar (como example.com) e os endereços IP dos resolvedores de DNS na rede para os quais você quer encaminhar as consultas. Se uma consulta corresponder a várias regras (example.com, acme.example.com), o Resolver escolherá a regra com a correspondência mais específica (acme.example.com) e encaminhará a consulta aos endereços IP especificados nessa regra. Para obter mais informações, consulte Como o endpoint do Route 53 Resolver encaminha consultas de DNS das VPCs para a rede.

Assim como a Amazon VPC, o Resolver é regional. Em cada região em que possua VPCs, você pode escolher se deseja encaminhar consultas de suas VPCs à rede (consultas de saída), da rede para as VPCs (consultas de entrada), ou ambos.

nota

Quando você cria um endpoint do Resolver, não é possível especificar uma VPC que tenha o atributo de locação de instância definido como dedicated. Para obter mais informações, consulte Using Resolver in VPCs that are configured for dedicated instance tenancy.

Para usar o encaminhamento de entrada ou de saída, crie um endpoint do Resolver na VPC. Como parte da definição de um endpoint, especifique os endereços IP para os quais deseja encaminhar consultas de DNS de entrada ou os endereços IP dos quais deseja que as consultas de saída sejam originadas. Para cada endereço IP especificado, o Resolver cria automaticamente uma interface de rede elástica da VPC.

O diagrama a seguir mostra o caminho de uma consulta de DNS de um resolvedor de DNS na rede para endpoints do Route 53 Resolver.

O diagrama a seguir mostra o caminho de uma consulta de DNS a partir de uma instância do EC2 em uma das VPCs para um resolvedor de DNS na rede.

Para obter uma visão geral sobre interfaces de rede da VPC, consulte Interfaces de rede elástica no Manual do usuário da Amazon VPC.

Tópicos

• Como resolvedores de DNS em sua rede encaminham consultas de DNS para endpoints do Route 53 Resolver

• Como o endpoint do Route 53 Resolver encaminha consultas de DNS das VPCs para a rede

• Considerações ao criar endpoints de entrada e de saída

Como resolvedores de DNS em sua rede encaminham consultas de DNS para endpoints do Route 53 Resolver

Quando quiser encaminhar consultas de DNS de sua rede para o Route 53 Resolver em uma região da AWS, execute as seguintes etapas:

1. Você cria um endpoint de entrada do Route 53 Resolver em uma VPC e especifica os endereços IP para os quais os resolvedores em sua rede encaminham consultas de DNS.

   Para cada endereço IP que você especificar para o endpoint de entrada, o Resolver criará uma interface de rede elástica da VPC na VPC em que você criou o endpoint de entrada.

2. Configure os resolvedores na rede para encaminhar consultas de DNS dos nomes de domínio aplicáveis para os endereços IP especificados no endpoint de entrada. Para obter mais informações, consulte Considerações ao criar endpoints de entrada e de saída.

Veja como o Resolver resolve consultas de DNS que se originam na rede:

1. Um navegador da Web ou outra aplicação da rede envia uma consulta de DNS para um nome de domínio encaminhado ao Resolver.

2. Um resolvedor na rede encaminha a consulta para os endereços IP no endpoint de entrada.

3. O endpoint de entrada encaminha a consulta ao Resolver.

4. O Resolver obtém o valor aplicável para o nome de domínio na consulta de DNS, internamente ou executando uma busca recursiva nos servidores de nome público.

5. O Resolver retorna o valor para o endpoint de entrada.

6. O endpoint de entrada retorna o valor ao resolvedor na rede.

7. O resolvedor na rede retorna o valor ao aplicativo.

8. Usando o valor que foi retornado pelo Resolver, a aplicação envia uma solicitação HTTP, por exemplo, uma solicitação para um objeto em um bucket do Amazon S3.

A criação de um endpoint de entrada não altera o comportamento do Resolver, apenas fornece um caminho de um local fora da rede da AWS para o Resolver.

Como o endpoint do Route 53 Resolver encaminha consultas de DNS das VPCs para a rede

Quando quiser encaminhar consultas de DNS de instâncias do EC2 em uma ou mais VPCs em uma região da AWS para a sua rede, execute as seguintes etapas.

1. Você cria um endpoint de saída do Route 53 Resolver em uma VPC e especifica diversos valores:

   • A VPC pela qual deseja que as consultas de DNS passem a caminho dos resolvedores em sua rede.

   • Os endereços IP na VPC na qual você quer que o Resolver encaminhe as consultas de DNS. Para hosts em sua rede, esses são os endereços IP em que as consultas de DNS se originam.

   • Um grupo de segurança da VPC

   Para cada endereço IP que você especificar para o endpoint de entrada, o Resolver criará uma interface de rede elástica da Amazon VPC na VPC que você especificar. Para obter mais informações, consulte Considerações ao criar endpoints de entrada e de saída.

2. Você cria uma ou mais regras, que especificam os nomes de domínio das consultas de DNS que você quer que o Resolver encaminhe aos resolvedores na rede. Especifique também os endereços IP dos resolvedores. Para obter mais informações, consulte Uso de regras para controlar quais consultas são encaminhadas para sua rede.

3. Associe cada regra às VPCs para as quais você deseja encaminhar consultas de DNS para sua rede.

Uso de regras para controlar quais consultas são encaminhadas para sua rede

As regras controlam quais consultas de DNS o endpoint do Route 53 Resolver encaminha aos resolvedores de DNS na rede e quais consultas o Resolver responde por si só.

Você pode categorizar as regras de diversas maneiras. Uma delas é por quem as cria:

• Regras autodefinidas: o Resolver cria automaticamente regras autodefinidas e associa as regras às VPCs. A maioria dessas regras se aplica aos nomes de domínio específicos da AWS para os quais o Resolver responde às consultas. Para obter mais informações, consulte Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas.

• Regras personalizadas: você cria regras personalizadas e associa as regras às VPCs. Atualmente, você pode criar apenas um tipo de regra personalizada, regras de encaminhamento condicional, também conhecidas como regras de encaminhamento. O encaminhamento de regras faz com que o Resolver encaminhe consultas de DNS de suas VPCs para os endereços IP dos resolvedores de DNS na rede.

  Se você criar uma regra de encaminhamento para o mesmo domínio como uma regra autodefinida, o Resolver encaminhará as consultas desse nome de domínio para os resolvedores de DNS na rede com base nas configurações da regra de encaminhamento.

Outra maneira de categorizar as regras é pelo que elas fazem:

• Regras de encaminhamento condicional: crie regras de encaminhamento condicional (também conhecidas como regras de encaminhamento) quando quiser encaminhar consultas de DNS de nomes de domínio específicos para resolvedores de DNS na rede.

• Regras do sistema: as regras do sistema fazem com que o Resolver substitua de forma seletiva o comportamento definido em uma regra de encaminhamento. Ao criar uma regra de sistema, o Resolver resolve consultas de DNS de subdomínios especificados que, de outra forma, seriam resolvidas por resolvedores de DNS na rede.

  Por padrão, o encaminhamento de regras se aplica a um nome de domínio e todos os seus subdomínios. Se quiser encaminhar consultas de um domínio para um resolvedor na rede, mas não quiser encaminhar as consultas de alguns subdomínios, crie uma regra de sistema para os subdomínios. Por exemplo, se você criar uma regra de encaminhamento para exemplo.com mas não quiser encaminhar consultas para acme.exemplo.com, crie uma regra de sistema e especifique acme.exemplo.com para o nome de domínio.

• Regra recursiva: o Resolver cria automaticamente uma regra recursiva chamada Internet Resolver (Resolvedor de Internet). Essa regra faz com que o Resolver do Route 53 atue como um resolvedor recursivo para todos os nomes de domínio para os quais você não criou regras personalizadas e para os quais o Resolver não criou regras definidas automaticamente. Para obter informações sobre como substituir esse comportamento, consulte "Encaminhamento de todas as consultas para sua rede" mais adiante neste tópico.

Você cria regras personalizadas que se aplicam a nomes de domínio específicos (seus ou a maioria dos nomes de domínio da AWS), a nomes de domínios da AWS públicos ou a todos os nomes de domínio.

Encaminhamento de consultas de nomes de domínio específicos à rede

Para encaminhar consultas de um nome de domínio específico, como exemplo.com, à sua rede, crie uma regra e especifique esse nome de domínio. Especifique também os endereços IP dos resolvedores de DNS na rede para os quais deseja encaminhar as consultas. Em seguida, associe cada regra às VPCs para as quais você deseja encaminhar consultas de DNS para sua rede. Por exemplo, crie regras separadas para exemplo.com, exemplo.org e exemplo.net. Em seguida, você associa as regras às VPCs em uma região da AWS em qualquer combinação.

Encaminhamento de consultas de amazonaws.com para sua rede

O nome de domínio amazonaws.com é o nome de domínio público para recursos da AWS, como instâncias do EC2 e buckets do S3. Se quiser encaminhar consultas de amazonaws.com à sua rede, crie uma regra, especifique amazonaws.com para o nome de domínio e especifique Forward (Encaminhar) para o tipo de regra.

nota

O Resolver não encaminha automaticamente consultas de DNS de alguns subdomínios amazonaws.com, mesmo se você criar uma regra de encaminhamento para amazonaws.com. Para obter mais informações, consulte Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas. Para obter informações sobre como substituir esse comportamento, consulte "Encaminhamento de todas as consultas para sua rede" logo a seguir.

Encaminhamento de todas as consultas para sua rede

Se quiser encaminhar todas as consultas à sua rede, crie uma regra, especifique “.” (ponto) para o nome de domínio e associe a regra com as VPCs para as quais quer encaminhar todas as consultas de DNS à sua rede. O Resolver ainda não encaminha todas as consultas de DNS para sua rede porque usando um resolvedor DNS fora da AWS interromperia alguma funcionalidade. Por exemplo, alguns nomes de domínio internos da AWS têm endereços IP internos que não estão acessíveis de fora da AWS. Para obter uma lista dos nomes de domínio para os quais as consultas não são encaminhadas à sua rede ao criar uma regra para ".", consulte Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas.

Porém, regras de sistema automaticamente definidas para DNS reverso podem ser desabilitadas, permitindo que a regra “.” encaminhe todas as consultas de DNS reverso à sua rede. Para saber mais sobre como desativar as regras definidas automaticamente, consulte Regras de encaminhamento para consultas DNS reversas no Resolver.

Se quiser tentar encaminhar consultas de DNS de todos os nomes de domínio para sua rede, incluindo os nomes de domínio que estão excluídos do encaminhamento por padrão, crie uma regra "." e execute uma das seguintes ações:

• Defina o sinalizador enableDnsHostnames da VPC para false

• Crie regras para os nomes de domínio que estão listados em Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas

Importante

Se você encaminhar todos os nomes de domínio para sua rede, incluindo os nomes de domínio excluídos pelo Resolver ao criar uma regra “.”, alguns recursos poderão parar de funcionar.

Como o Resolver determina se o nome do domínio em uma consulta corresponde a uma regra

O Route 53 Resolver compara o nome de domínio na consulta de DNS com o nome de domínio nas regras associadas à VPC a partir da qual a consulta se originou. O Resolver considera os nomes de domínio para corresponder nos seguintes casos:

• Os nomes de domínio correspondem exatamente

• O nome de domínio na consulta é um subdomínio do nome de domínio na regra

Por exemplo, se o nome de domínio na regra for acme.example.com, o Resolver considerará os seguintes nomes de domínio em uma consulta de DNS para correspondência:

• acme.example.com

• zenith.acme.example.com

Os nome de domínio a seguir não correspondem:

• exemplo.com

• nadir.exemplo.com

Se o nome de domínio em uma consulta corresponder ao nome de domínio em mais de uma regra (como example.com e www.example.com), o Resolver direcionará consultas de DNS de saída usando a regra que contém o nome de domínio mais específico (www.example.com).

Como o Resolver determina para onde encaminhar consultas de DNS

Quando uma aplicação é executada em uma instância do EC2 em uma VPC que envia uma consulta de DNS, o Route 53 Resolver executa as seguintes etapas:

1. O resolvedor verifica os nomes de domínio em regras.

   Se o nome de domínio em uma consulta corresponder ao nome de domínio em uma regra, o Resolver encaminhará a consulta ao endereço IP especificado durante a criação do endpoint de saída. Em seguida, o endpoint de saída encaminha a consulta aos endereços IP dos resolvedores na rede, especificados durante a criação da regra.

   Para obter mais informações, consulte Como o Resolver determina se o nome do domínio em uma consulta corresponde a uma regra.

2. O endpoint do Resolver encaminhará as consultas de DNS com base nas configurações da regra “.”.

   Se o nome de domínio em uma consulta não corresponder ao nome do domínio em qualquer outra regra, o Resolver encaminhará a consulta com base nas configurações da regra de “.” (ponto) autodefinida. A regra de ponto se aplica a todos os nomes de domínio, exceto alguns nomes de domínio internos da AWS e nomes de registro em zonas hospedadas privadas. Essa regra faz com que o Resolver encaminhe consultas de DNS para servidores de nome públicos se os nomes de domínio em consultas não corresponderem a nenhum dos nomes das regras de encaminhamento personalizadas. Se quiser encaminhar todas as consultas aos resolvedores de DNS em sua rede, crie uma regra de encaminhamento personalizada, especifique "." para o nome de domínio, especifique Forwarding (Encaminhamento) para Type (Tipo) e especifique os endereços IP desses resolvedores.

3. O Resolver retorna a resposta à aplicação que enviou a consulta.

Usar regras em várias regiões

O Route 53 Resolver é um serviço regional. Portanto, os objetos criados em uma região da AWSsó estão disponíveis nessa região. Para usar a mesma regra em mais de uma Região, é necessário criar a regra em cada Região.

A conta da AWS que criou uma regra pode compartilhar a regra com outras contas da AWS. Para obter mais informações, consulte Compartilhamento de regras de encaminhamento com outras contas da AWS e uso de regras compartilhadas.

Nomes de domínio para os quais o Resolver cria regras de sistema autodefinidas

O resolvedor cria automaticamente regras de sistema autodefinidas que definem como as consultas de domínios selecionados são resolvidas por padrão:

• Para zonas hospedadas privadas e para nomes de domínio específicos do Amazon EC2 (como compute.amazonaws.com e compute.internal), regras autodefinidas garantem que suas zonas hospedadas privadas e instâncias do EC2 continuem a ser resolvidas, se você criar regras de encaminhamento condicional para nomes de domínio menos específicos, como “.” (ponto) ou “com”.

• Para nomes de domínio publicamente reservados (como localhost and 10.in-addr.arpa), as melhores práticas de DNS recomendam que as consultas sejam respondidas localmente em vez de serem encaminhadas aos servidores de nome públicos. Consulte RFC 6303, zonas de DNS atendidas localmente.

nota

Se você criar uma regra de encaminhamento condicional para "." (ponto) ou "com", recomendamos que também crie uma regra de sistema para amazonaws.com. (As regras de sistema fazem com que o Resolver resolva localmente as consultas de DNS para domínios e subdomínios específicos.) A criação dessa regra de sistema melhora a performance, reduz o número de consultas que são encaminhadas para sua rede e reduz os encargos do Resolver.

Se desejar substituir uma regra autodefinida, você poderá criar uma regra de encaminhamento condicional para o mesmo nome de domínio.

Também é possível desabilitar as regras definidas automaticamente. Para obter mais informações, consulte Regras de encaminhamento para consultas DNS reversas no Resolver.

O resolvedor cria as seguintes regras autodefinidas.

Regras para zonas hospedadas privadas

Para cada zona hospedada privada associada a uma VPC, o Resolver cria uma regra e associa ela a uma VPC. Se você associar a zona hospedada privada a várias VPCs, o Resolver associará a regra às mesmas VPCs.

A regra tem o tipo Forward (Encaminhar).

Regras para vários nomes de domínio internos da AWS

Todas as regras para os nomes de domínio internos nesta seção são do tipo Forward (Encaminhar). O Resolver encaminha consultas de DNS para esses nomes de domínio aos servidores de nome confiáveis da VPC.

nota

O Resolver cria a maioria dessas regras quando você define o sinalizador enableDnsHostnames de uma VPC para true. O Resolver cria as regras mesmo se você não estiver usando endpoints do Resolver.

O Resolver cria as seguintes regras autodefinidas e associa elas a uma VPC ao definir o sinalizador enableDnsHostnames da VPC como true:

• Region-name.compute.internal, por exemplo, eu-west-1.compute.internal. A região us-east-1 não usa este nome de domínio.

• Nome da região .compute. amazon-domain-name, por exemplo, eu-west-1.compute.amazonaws.com ou cn-north-1.compute.amazonaws.com.cn. A região us-east-1 não usa este nome de domínio.

• ec2.internal. Somente a região us-east-1 usa este nome de domínio.

• compute-1.internal. Somente a região us-east-1 usa este nome de domínio.

• compute-1.amazonaws.com. Somente a região us-east-1 usa este nome de domínio.

As regras autodefinidas a seguir se referem à pesquisa de DNS reversa para as regras criadas pelo Resolver ao definir o sinalizador enableDnsHostnames para a VPC como true.

• 10.in-addr.arpa

• 16.172.in-addr.arpa por meio de 31.172.in-addr.arpa

• 168.192.in-addr.arpa

• 254.169.254.169.in-addr.arpa

• Regras para cada um dos intervalos CIDR da VPC. Por exemplo, se uma VPC tiver um intervalo CIDR de 10.0.0.0/23, o Resolver criará as seguintes regras:

  • 0.0.10.in-addr.arpa

  • 1.0.10.in-addr.arpa

As regras autodefinidas a seguir, para domínios relacionados ao host local, também são criadas e associadas a uma VPC ao definir o sinalizador enableDnsHostnames da VPC como true:

• localhost

• localdomain

• 127.in-addr.arpa

• 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

• 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

O Resolver cria as seguintes regras autodefinidas e associa elas à sua VPC ao conectar a VPC a outra VPC por meio de gateway de trânsito ou emparelhamento de VPC e com suporte a DNS habilitado:

• A pesquisa de DNS reversa para os intervalos de endereços IP da VPC pareada, por exemplo, 0.192.in-addr.arpa

  Se você adicionar um bloco CIDR IPv4 a uma VPC, o Resolver adicionará uma regra autodefinida para o novo intervalo de endereços IP.

• Se a outra VPC estiver em outra Região, os seguintes nomes de domínio:

  • Region-name.compute.internal. A região us-east-1 não usa este nome de domínio.

  • Nome da região .compute. amazon-domain-name. A região us-east-1 não usa este nome de domínio.

  • ec2.internal. Somente a região us-east-1 usa este nome de domínio.

  • compute-1.amazonaws.com. Somente a região us-east-1 usa este nome de domínio.

Uma regra para todos os outros domínios

O Resolver cria uma regra “.” (ponto) que se aplica a todos os nomes de domínio que não foram especificados anteriormente neste tópico. A regra “.” é do tipo Recursive (Recursiva), o que significa que a regra faz com que o Resolver atue como um resolvedor recursivo.

Considerações ao criar endpoints de entrada e de saída

Antes de criar endpoints do Resolver de entrada e de saída em uma região da AWS, considere os seguintes problemas.

Tópicos

• Number of inbound and outbound endpoints in each Region

• Using the same VPC for inbound and outbound endpoints

• Inbound endpoints and private hosted zones

• VPC peering

• IP addresses in shared subnets

• Connection between your network and the VPCs that you create endpoints in

• When you share rules, you also share outbound endpoints

• Using Resolver in VPCs that are configured for dedicated instance tenancy

Número de endpoints de entrada e saída em cada região da AWS

Quando quiser integrar o DNS para as VPCs em uma região da AWS com o DNS da rede, normalmente você precisará de um endpoint de entrada do (para consultas de DNS que esteja encaminhando para as VPCs) e um endpoint de saída (para consultas que esteja encaminhando das VPCs à rede). Você pode criar vários endpoints de entrada e de saída, mas um endpoint de entrada ou de saída é suficiente para processar as consultas de DNS em qualquer direção respectiva. Observe o seguinte:

• Para cada endpoint do Resolver, você especifica dois ou mais endereços IP em diferentes zonas de disponibilidade. Cada endereço IP em um endpoint pode lidar com um grande número de consultas de DNS por segundo. (Para saber o atual número máximo de consultas por segundo por endereço IP em um endpoint, consulte Cotas no Route 53 Resolver.) Se precisa que o Resolver processe mais consultas, você pode adicionar mais endereços IP ao seu endpoint existente em vez de adicionar outro endpoint.

• A definição de preço do Resolver é baseada no número de endereços IP em seus endpoints e no número de consultas de DNS que o endpoint processa. Cada endpoint inclui um mínimo de dois endereços IP. Para obter mais informações sobre o preço do Resolver, consulte Preço do Amazon Route 53.

• Cada regra especifica o endpoint de saída a partir do qual as consultas de DNS são encaminhadas. Se criar vários endpoints de saída em uma região da AWS e quiser associar algumas ou todas as regras do Resolver a cada VPC, você precisará criar várias cópias dessas regras.

Uso da mesma VPC para endpoints de entrada e de saída

Você pode criar endpoints de entrada e de saída na mesma VPC ou em diferentes VPCs na mesma região.

Para obter mais informações, consulte Práticas recomendadas do Amazon Route 53.

Endpoints de entrada e zonas hospedadas privadas

Se você quiser que o Resolver resolva consultas de DNS de entrada usando registros em uma zona hospedada privada, associe a zona hospedada privada à VPC na qual você criou o endpoint de entrada. Para obter informações sobre como associar zonas hospedadas privadas a VPCs, consulte Trabalhar com zonas hospedadas privadas.

Emparelhamento de VPC

Use qualquer VPC em uma região da AWS para um endpoint de entrada ou de saída, independentemente da VPC escolhida estar emparelhada com outras VPCs. Para obter mais informações, consulte Emparelhamento de Amazon Virtual Private Cloud VPC.

Endereços IP em sub-redes compartilhadas

Ao criar um endpoint de entrada ou de saída, é possível especificar um endereço IP em uma sub-rede compartilhada somente se a conta atual criou a VPC. Se outra conta criar uma VPC e compartilhar uma sub-rede na VPC com sua conta, não será possível especificar um endereço IP nessa sub-rede. Para obter mais informações sobre sub-redes compartilhadas, consulte Como trabalhar com VPCs compartilhadas no Manual do usuário da Amazon VPC.

Conexão entre a rede e as VPCs nas quais você cria endpoints

Você deve ter uma das seguintes conexões entre a rede e as VPCs nas quais cria endpoints:

• Endpoints de entrada: é necessário configurar uma conexão do AWS Direct Connect ou uma conexão VPN entre a rede e cada VPC para a qual criou um endpoint de entrada.

• Endpoints de saída: é necessário configurar uma conexão do AWS Direct Connect, uma conexão VPN ou um gateway de Conversão de endereços de rede (NAT) entre a rede e cada VPC para a qual foi criado um endpoint de saída.

Quando compartilha regras, você também compartilha endpoints de saída

Ao criar uma regra, você especifica o endpoint de saída que você quer que o Resolver use para encaminhar consultas de DNS para sua rede. Se você compartilhar a regra com outra conta da AWS, você também compartilhará indiretamente o endpoint de saída que especificar na regra. Se tiver usado mais de uma conta da AWS para criar VPCs em uma região da AWS, você poderá fazer o seguinte:

• Crie um endpoint de saída na região.

• Criar regras usando uma conta da AWS.

• Compartilhar as regras com todas as contas da AWS que criaram VPCs na região.

Isso permite usar um endpoint de saída em uma região para encaminhar consultas de DNS à rede de várias VPCs, mesmo se as VPCs foram criadas usando diferentes contas da AWS.

Como usar o resolvedor em VPCs que são configuradas para locação de instâncias dedicadas

Quando você cria um endpoint do Resolver, não é possível especificar uma VPC que tenha o atributo de locação de instância definido como dedicated. O Resolver não é executado no hardware de locação única.

Você ainda pode usar o Resolver para resolver consultas de DNS que se originam em uma VPC. Crie pelo menos uma VPC com o atributo de locação de instância definido como default e especifique essa VPC ao criar endpoints de entrada e saída.

Quando você cria uma regra de encaminhamento, pode associá-la a qualquer VPC, independentemente da configuração do atributo de locação de instância.