將傳出 DNS 查詢轉送到您的網路 - Amazon Route 53
設定傳出轉送當您建立或編輯傳出端點時所指定的值當您建立或編輯規則時所指定的值

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將傳出 DNS 查詢轉送到您的網路

若要將一或多個 VPC 中的 Amazon EC2 執行個體上所產生的 DNS 查詢轉送到您的網路,請建立傳出端點和一項或多項規則:

傳出端點

若要將 DNS 查詢從 VPC 轉送到網路,請建立傳出端點。傳出端點會指定查詢的來源 IP 地址。您從 VPC 可用的 IP 地址範圍選擇的這些 IP 地址並非公有 IP 地址。也就是說,針對每個傳出端點,您都需要使用 AWS Direct Connect 連線、VPN 連線或網路位址轉譯 (NAT) 閘道來將 VPC 連接到網路。請注意,您可以在相同的區域為多個 VPC 使用同一個傳出端點,或者也可以建立多個傳出端點。如果您希望輸出端點使用 DNS64,您可以使用 Amazon Virtual Private Cloud 啟用 DNS64。如需更多詳細資訊,請參閱《Amazon VPC 使用者指南》中的「DNS64 和 NAT64」。

解析器隨機選擇 Route 53 解析器規則中的目標 IP,並且沒有偏好選擇特定目標 IP 而不是另一個。如果目標 IP 不響應轉發的 DNS 請求,解析器將重試到目標 IP 之間的隨機 IP 地址。

規則

若要指定您想要轉送到您網路上 DNS 解析程式之查詢的網域名稱,您可以建立一或多項規則。每項規則指定一個網域名稱。然後,將規則與您要轉送查詢至網路的 VPC 建立關聯。

如需詳細資訊,請參閱下列主題:

設定傳出轉送

要設定 Resolver 將 VPC 中產生的 DNS 查詢轉送到您的網路的,請執行以下程序。

重要

在建立傳出端點後,您必須建立一或多項規則,並將它們與一或多個 VPC 相關聯。規則指定您想要轉送到您網路的 DNS 查詢的網域名稱。

建立傳出端點

  1. 登入 AWS Management Console 並開啟路線 53 主控台,網址為 https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇 Outbound endpoints (傳出端點)

  3. 在導覽列上,選擇您要建立傳出端點的區域。

  4. 選擇 Create outbound endpoint (建立傳出端點)

  5. 輸入適用的值。如需詳細資訊,請參閱 當您建立或編輯傳出端點時所指定的值

  6. 選擇 Create (建立)。

    注意

    建立傳出端點需要幾分鐘。在第一個傳出端點建立完成前,您無法建立另一個。

  7. 建立一或多項規則,指定您想要轉送到您網路的 DNS 查詢網域名稱。如需詳細資訊,請參閱下一程序。

若要建立一或多項轉送規則,請執行以下程序。

建立轉送規則並建立規則與一或多個 VPC 的關聯

  1. 登入 AWS Management Console 並開啟路線 53 主控台,網址為 https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇規則

  3. 在導覽列上,選擇您建立規則的區域。

  4. 選擇建立規則

  5. 輸入適用的值。如需詳細資訊,請參閱 當您建立或編輯規則時所指定的值

  6. 選擇 Save (儲存)。

  7. 若要新增另一個規則,請重複步驟 4 至 6。

當您建立或編輯傳出端點時所指定的值

當您建立或編輯傳出端點時,請指定下列值:

Outpost ID

如果要在 AWS Outposts VPC 上為解析器建立端點,則此為 ID。 AWS Outposts

Endpoint name (端點名稱)

易記的名稱可讓您在儀表板中輕鬆找出傳出端點。

區域名稱區域中的 VPC

所有傳出的 DNS 查詢會流經此 VPC 前往您的網路。

此端點的安全群組

您想用來控制存取此 VPC 之一或多個安全群組的 ID。您指定的安全群組必須包含一或多項傳出規則。傳出規則必須允許您網路 DNS 查詢連接埠上的 TCP 和 UDP 存取。您無法在建立端點之後變更此值。

某些安全群組規則會導致追蹤您的連線,並可能影響從輸出端點到目標名稱伺服器的每秒查詢次數上限。若要避免安全性群組造成的連線追蹤,請參閱未追蹤的連線

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 VPC 安全群組規則

端點類型

端點類型可為 IPv4、IPv6 或雙堆疊 IP 地址。對於雙堆疊端點,端點將同時具有 IPv4 和 IPv6 地址,網路上的 DNS 解析程式可將 DNS 查詢轉送至此類地址。

注意

出於安全理由,我們拒絕所有雙堆棧和 IPv6 IP 地址的 IPv6 流量直接訪問公共互聯網。

IP 地址

在前往您網路的解析程式途中,您希望 Resolver 將 DNS 查詢轉送至您 VPC 中的這個 IP 地址。這些不是您網路的 DNS 解析程式的 IP 地址;當您建立規則與一或多個 VPC 相關聯時,您會指定解析程式 IP 地址。我們需要您至少指定兩個 IP 地址以供備援使用。

注意

Resolver 端點具有私有 IP 地址。這些 IP 位址在端點的生命週期中不會變更。

注意下列事項:

多個可用區域

建議您至少在兩個可用區域中指定 IP 地址。您可以在那些或其他可用區域選擇性指定其他 IP 地址。

IP 地址和 Amazon VPC 彈性網路介面

針對您指定的可用區域、子網路和 IP 地址的各種組合,Resolver 會建立 Amazon VPC 彈性網路介面。如需了解端點中每個 IP 地址每秒的 DNS 查詢次數的目前上限,請參閱 Route 53 Resolver 的配額。如需每個彈性網路介面的定價的相關資訊,請參閱 Amazon Route 53 定價頁面上的「Amazon Route 53」。

IP 地址的順序

您可以依任何順序指定 IP 地址。轉送 DNS 查詢時,Resolver 不會根據 IP 地址列出的順序選擇 IP 地址。

針對每個 IP 地址,指定以下值。每個 IP 地址都必須位在您指定之 VPC 的可用區域內,您的 VPC 是在 VPC in the region-name Region (區域名稱區域中的 VPC) 中指定。

可用區域

您希望 DNS 查詢通往您網路途中所經過的可用區域。您指定的可用區域必須設定子網路。

子網路

該子網路包含您希望在通往您的網路途中發出 DNS 查詢的 IP 地址。子網路必須有可用的 IP 地址。

子網路 IP 地址必須符合端點類型

IP 地址

您希望在通往您的網路途中發出 DNS 查詢的 IP 地址。

選擇要讓 Resolver 從指定之子網路的可用 IP 地址當中為您選擇 IP 地址,還是您想要自己指定 IP 地址。

如果您選擇自行指定 IP 位址,請輸入 IPv4 或 IPv6 位址,或同時輸入兩者。

通訊協定

端點協定確定如何從傳出端點傳輸資料。根據所需的安全層級,選擇協定。

  • Do53: (預設值) 透過使用 Route 53 Resolver 轉送資料,而無需額外加密。雖然外部各方無法讀取資料,但可以在 AWS 網路內檢視資料。

  • DoH:透過加密的 HTTPS 工作階段傳輸資料。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。

對於傳出端點,您可以按如下方式套用協定:

  • Do53 和 DOH 組合。

  • 單獨 Do53。

  • 單獨 DoH。

  • 無,視為 Do53。

目前,不支援透過輸出端點進行 DoH 查詢的 TLS SNI 延伸模組。

標籤

指定一或多個金鑰和對應的值。例如,您可以為 Key (金鑰) 指定 Cost center (成本中心),為 Value (值) 指定 456

當您建立或編輯規則時所指定的值

當您建立或編輯轉送規則時,請指定下列值:

規則名稱

易記的名稱可讓您在儀表板中輕鬆找出規則。

規則類型

請選擇適用的值:

  • Forward (轉送) – 當您想要將指定網域名稱的 DNS 查詢轉送到您網路上的解析程式時,請選擇此選項。

  • System (系統) – 當您希望 Resolver 選擇性地覆寫轉送規則中定義的行為時,請選擇此選項。當您建立系統規則時,Resolver 會解析指定子網域的 DNS 查詢,否則即由您網路的 DNS 解析程式解析。

根據預設,轉送規則適用於網域名稱及其所有子網域。如果您想要將網域查詢轉送到網路的解析程式,但不想轉送某些子網域的查詢,您可以建立針對子網域的系統規則。例如,如果您為 example.com 建立了轉送規則,但不想轉送 acme.example.com 的查詢,您可以建立一項系統規則,並指定 acme.example.com 為網域名稱。

使用此規則的 VPC

使用此規則轉送指定網域名稱或名稱之 DNS 查詢的 VPC。您可以套用規則至任意數量的 VPC。

網域名稱

此網域名稱的 DNS 查詢會轉送到您在 Target IP addresses (目標 IP 地址) 中指定的 IP 地址。如需詳細資訊,請參閱 Resolver 如何判斷查詢中的網域名稱是否符合任何規則

傳出端點

Resolver 透過您在此處指定的傳出端點將 DNS 查詢轉送到您在目標 IP 地址中指定的 IP 地址。

目標 IP 地址

當 DNS 查詢符合您在 Domain name (網域名稱) 指定的名稱時,傳出端點會將查詢轉送到您在這裡指定的 IP 地址。這些通常是您網路 DNS 解析程式的 IP 地址。

目標 IP 地址僅在 Rule type (規則類型) 值是 Forward (轉送) 時才可用。

指定 IPv4 或 IPv6 地址,以及要用於端點的協定。

標籤

指定一或多個金鑰和對應的值。例如,您可以為 Key (金鑰) 指定 Cost center (成本中心),為 Value (值) 指定 456

這些是用於組織 AWS 帳單的標籤。 AWS Billing and Cost Management 如需有關使用成本配置標籤的詳細資訊,請參閱 AWS Billing 使用者指南中的使用成本分配標籤