Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Resolver-Endpunkt-Skalierung
Resolver-Endpunkt Sicherheitsgruppen verwenden die Verbindungsverfolgung zum Sammeln von Informationen über Datenverkehr zu und von den Endpunkten. Jede Endpunktschnittstelle verfügt über eine maximale Anzahl von Verbindungen, die verfolgt werden können, und eine hohe Anzahl von DNS-Abfragen kann die Verbindungen überschreiten und zu Drosselung und Abfrageverlust führen. Die Verbindungsverfolgung AWS ist das Standardverhalten zur Überwachung des Datenverkehrs, der durch Sicherheitsgruppen fließt (SGs). Durch die Verwendung der Verbindungsverfolgung SGs wird der Durchsatz des Datenverkehrs reduziert. Sie können jedoch Verbindungen ohne Nachverfolgung implementieren, um den Overhead zu reduzieren und die Leistung zu verbessern. Weitere Informationen finden Sie unter Verbindungen ohne Nachverfolgung.
Wenn die Verbindungsverfolgung entweder mithilfe restriktiver Sicherheitsgruppenregeln erzwungen wird oder Abfragen über den Network Load Balancer weitergeleitet werden (siehe Automatisch verfolgte Verbindungen), kann die maximale Gesamtzahl der Abfragen pro Sekunde und IP-Adresse für einen Endpunkt bis zu 1500 betragen.
Regelempfehlungen für Sicherheitsgruppen für eingehenden und ausgehenden Datenverkehr für den Resolver-Endpunkt für eingehende Anrufe
| Regeln für eingehenden Datenverkehr | ||
|---|---|---|
| Protokolltyp | Port-Nummer | Quell-IP |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
| Regeln für ausgehenden Verkehr | ||
| Protokolltyp | Port-Nummer | Ziel-IP |
| TCP | Alle | 0.0.0.0/0 |
| UDP | Alle | 0.0.0.0/0 |
Empfehlungen für Sicherheitsgruppenregeln für eingehenden und ausgehenden Datenverkehr für den Outbound-Resolver-Endpunkt
| Regeln für eingehenden Datenverkehr | ||
|---|---|---|
| Protokolltyp | Port-Nummer | Quell-IP |
| TCP | Alle | 0.0.0.0/0 |
| UDP | Alle | 0.0.0.0/0 |
| Regeln für ausgehenden Verkehr | ||
| Protokolltyp | Port-Nummer | Ziel-IP |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
Anmerkung
Port-Anforderungen für Sicherheitsgruppen:
Für eingehende Endpunkte sind Eingangsregeln erforderlich, die es TCP und UDP auf Port 53 ermöglichen, DNS-Anfragen von Ihrem Netzwerk zu empfangen. Ausgangsregeln können alle Ports zulassen, da der Endpunkt möglicherweise auf Anfragen von verschiedenen Quellports antworten muss.
Für ausgehende Endpunkte sind Ausgangsregeln erforderlich, die den TCP- und UDP-Zugriff auf die Ports ermöglichen, die Sie für DNS-Abfragen in Ihrem Netzwerk verwenden. Port 53 wird im obigen Beispiel gezeigt, da es sich um den gängigsten DNS-Port handelt, Ihr Netzwerk jedoch möglicherweise andere Ports verwendet. Durch Eingangsregeln können alle Ports Antworten von Ihren DNS-Servern aufnehmen.
Resolver-Endpunkt
Bei Clients, die einen eingehenden Resolverendpunkt verwenden, wird die Kapazität der elastic network interface beeinträchtigt, wenn Sie über 40.000 eindeutige IP-Adress- und Portkombinationen verfügen, die den DNS-Datenverkehr generieren.
