Anzahl der eingehenden und ausgehenden Endpunkte in den einzelnen -Regionen Verwenden Sie dieselbe VPC für eingehende und ausgehende Endpunkte Eingehende Endpunkte und privat gehostete Zonen VPC-Peering IP-Adressen in freigegebenen Subnetzen Verbindung zwischen Ihrem Netzwerk und dem VPCs , in dem Sie Endpoints erstellen Wenn Sie Regeln freigeben, geben Sie auch ausgehende Endpunkte frei Auswählen von Protokollen für die Endpunkte Verwenden Sie Resolver in VPCs , die für dedizierte Instance-Tenancy konfiguriert sind

Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten

Bevor Sie Resolver-Endpoints für eingehenden und ausgehenden Datenverkehr in einer AWS Region erstellen, sollten Sie die folgenden Punkte berücksichtigen.

Themen

Anzahl der eingehenden und ausgehenden Endpunkte in den einzelnen -Regionen
Verwenden Sie dieselbe VPC für eingehende und ausgehende Endpunkte
Eingehende Endpunkte und privat gehostete Zonen
VPC-Peering
IP-Adressen in freigegebenen Subnetzen
Verbindung zwischen Ihrem Netzwerk und dem VPCs , in dem Sie Endpoints erstellen
Wenn Sie Regeln freigeben, geben Sie auch ausgehende Endpunkte frei
Auswählen von Protokollen für die Endpunkte
Verwenden Sie Resolver in VPCs , die für dedizierte Instance-Tenancy konfiguriert sind

Anzahl der eingehenden und ausgehenden Endpunkte in den einzelnen -Regionen

Wenn Sie DNS für eine AWS Region mit DNS für Ihr Netzwerk integrieren möchten, benötigen Sie VPCs in der Regel einen Resolver-Endpunkt für eingehende Anfragen (für DNS-Abfragen, die Sie an Ihren weiterleiten VPCs) und einen ausgehenden Endpunkt (für Anfragen, die Sie von Ihrem zu Ihrem Netzwerk weiterleiten). VPCs Sie können mehrere eingehende und mehrere ausgehende Endpunkte erstellen, aber ein eingehender oder ausgehender Endpunkt reicht aus, um die DNS-Abfragen für die jeweilige Richtung zu verarbeiten. Beachten Sie Folgendes:

Für jeden Resolver-Endpunkt legen Sie zwei oder mehr IP-Adressen in verschiedenen Availability Zones fest. Jede IP-Adresse in einem Endpunkt kann eine große Anzahl von DNS-Abfragen pro Sekunde verarbeiten. (Informationen zu dem aktuellen Höchstwerten für die Anzahl der Abfragen pro Sekunde und IP-Adresse in einem Endpunkt finden Sie unter Kontingente bei Route 53 Resolver.) Wenn Resolver mehr Abfragen verarbeiten muss, können Sie weitere IP-Adressen zu Ihrem vorhandenen Endpunkt hinzufügen, anstatt einen neuen Endpunkt hinzufügen zu müssen.
Resolver-Preise basieren auf der Anzahl der IP-Adressen in Ihren Endpunkten und auf der Anzahl der DNS-Abfragen, die der Endpunkt verarbeitet. Jeder Endpunkt enthält mindestens zwei IP-Adressen. Weitere Informationen zu Resolver-Preisen finden Sie unter Amazon Route 53 Preise.
Jede Regel gibt den ausgehenden Endpunkt an, von dem DNS-Abfragen weitergeleitet werden. Wenn Sie mehrere ausgehende Endpunkte in einer AWS -Region erstellen und einige oder alle Resolver-Regeln mit einzelnen VPCs in Bezug setzen möchten, müssen Sie mehrere Kopien dieser Regeln erstellen.

Verwenden Sie dieselbe VPC für eingehende und ausgehende Endpunkte

Sie können eingehende und ausgehende Endpoints in derselben VPC oder in verschiedenen VPCs in derselben Region erstellen.

Weitere Informationen finden Sie unter Bewährte Methoden für Amazon Route 53.

Eingehende Endpunkte und privat gehostete Zonen

Wenn Sie möchten, dass Resolver eingehende DNS-Abfragen mittels Datensätzen in einer privat gehosteten Zone auflöst, setzen Sie die privat gehostete Zone mit der VPC in Bezug, in der Sie den eingehenden Endpunkt erstellt haben. Informationen zum Zuordnen von privat gehosteten Zonen zu finden Sie unter. VPCs Arbeiten mit privat gehosteten Zonen

VPC-Peering

Sie können jede VPC in einer AWS Region für einen eingehenden oder ausgehenden Endpunkt verwenden, unabhängig davon, ob die von Ihnen gewählte VPC mit anderen gepeert wird. VPCs Weitere Informationen finden Sie unter Amazon Virtual Private Cloud VPC Peering.

IP-Adressen in freigegebenen Subnetzen

Wenn Sie einen eingehenden oder ausgehenden Endpunkt erstellen, können Sie nur dann eine IP-Adresse in einem freigegebenen Subnetz angeben, wenn das aktuelle Konto die VPC erstellt hat. Wenn ein anderes Konto eine VPC erstellt und ein Subnetz in der VPC für Ihr Konto freigibt, können Sie keine IP-Adresse in diesem Subnetz angeben. Weitere Informationen zu gemeinsam genutzten Subnetzen finden Sie unter Arbeiten mit geteilten Subnetzen VPCs im Amazon VPC-Benutzerhandbuch.

Verbindung zwischen Ihrem Netzwerk und dem VPCs , in dem Sie Endpoints erstellen

Sie benötigen eine der folgenden Verbindungen zwischen Ihrem Netzwerk und dem Netzwerk VPCs , in dem Sie Endgeräte erstellen:

Eingehende Endpunkte - Sie müssen entweder eine AWS Direct Connect-Verbindung oder eine VPN-Verbindung zwischen Ihrem Netzwerk und jeder VPC einrichten, für die Sie einen eingehenden Endpunkt erstellen.
Ausgehende Endpunkte - Sie müssen eine AWS Direct Connect-Verbindung, eine VPN-Verbindung oder ein Network Address Translation NAT-Gateway zwischen Ihrem Netzwerk und jeder VPC einrichten, für die Sie einen ausgehenden Endpunkt erstellen.

Wenn Sie eine Regel erstellen, geben Sie den ausgehenden Endpunkt an, von dem Sie möchten, dass Resolver ihn zum Weiterleiten von DNS-Abfragen an Ihr Netzwerk verwendet. Wenn Sie die Regel mit einem anderen AWS Konto teilen, teilen Sie indirekt auch den ausgehenden Endpunkt, den Sie in der Regel angeben. Wenn Sie für die Erstellung VPCs in einer AWS Region mehr als ein AWS Konto verwendet haben, können Sie wie folgt vorgehen:

Einen ausgehenden Endpunkt in der Region erstellen.
Erstellen Sie Regeln mit einem AWS Konto.
Teilen Sie die Regeln mit allen AWS Konten, die VPCs in der Region erstellt wurden.

Auf diese Weise können Sie einen ausgehenden Endpunkt in einer Region verwenden, um DNS-Anfragen von mehreren an Ihr Netzwerk weiterzuleiten, VPCs auch wenn diese mit unterschiedlichen AWS Konten erstellt VPCs wurden.

Auswählen von Protokollen für die Endpunkte

Endpunktprotokolle bestimmen, wie Daten an einen eingehenden Endpunkt und von einem ausgehenden Endpunkt übertragen werden. Die Verschlüsselung von DNS-Abfragen für den VPC-Datenverkehr ist nicht erforderlich, da jeder Paketfluss im Netzwerk einzeln anhand einer Regel autorisiert wird, um die korrekte Quelle und das korrekte Ziel zu überprüfen, bevor er übertragen und zugestellt wird. Es ist höchst unwahrscheinlich, dass Informationen willkürlich zwischen Entitäten ausgetauscht werden, ohne dass dies von der sendenden und der empfangenden Entität ausdrücklich genehmigt wurde. Wenn ein Paket an ein Ziel geleitet wird, für das es keine passende Regel gibt, wird das Paket verworfen. Weitere Informationen finden Sie unter VPC-Features.

Die verfügbaren Protokolle sind:

Do53: DNS über Port 53. Die Daten werden mit Hilfe des Route-53-Resolver ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, können aber innerhalb der AWS Netzwerke eingesehen werden. Verwendet entweder UDP oder TCP, um die Pakete zu senden. Do53 wird hauptsächlich für den Verkehr innerhalb und zwischen Amazon VPCs verwendet. Derzeit ist dies das einzige Protokoll, das für die Delegierung eingehender Endpunkte verfügbar ist.
DoH: Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können. Nicht verfügbar für Delegierung eingehender Endpunkte.
DoH-FIPS: Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen, die mit dem Verschlüsselungsstandard FIPS 140-2 konform ist. Wird nur für eingehende Endpunkte unterstützt. Weitere Informationen finden Sie unter FIPS PUB 140-2. Nicht verfügbar für Delegierung eingehender Endpunkte.

Für einen eingehenden Endpunkt vom Typ Forward können Sie die Protokolle wie folgt anwenden:

Do53 und DoH in Kombination.
Do53 und DoH-FIPS in Kombination.
Nur Do53.
Nur DoH.
Nur DoH-FIPS.
Keins, was als Do53 behandelt wird.

Für einen ausgehenden Endpunkt können Sie die Protokolle wie folgt anwenden:

Do53 und DoH in Kombination.
Nur Do53.
Nur DoH.
Keins, was als Do53 behandelt wird.

Weitere Informationen finden Sie auch unter Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben und Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben.

Verwenden Sie Resolver in VPCs , die für dedizierte Instance-Tenancy konfiguriert sind

Wenn Sie einen Resolver-Endpunkt erstellen, können Sie keine VPC angeben, für die das Instance-Tenancy-Attribut auf dedicated festgelegt ist. Resolver wird nicht auf Einzelmandantenhardware ausgeführt.

Sie können Resolver weiterhin verwenden, um DNS-Abfragen aufzulösen, die aus einer VPC stammen. Erstellen Sie mindestens eine VPC, deren Instance-Tenancy-Attribut auf default festgelegt ist, und geben Sie diese VPC beim Erstellen von eingehenden und ausgehenden Endpunkten an.

Wenn Sie eine Weiterleitungsregel erstellen, können Sie diese mit einer beliebigen VPC verknüpfen, unabhängig von der Einstellung für das Instance-Tenancy-Attribut.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Automatisch definierte Systemregeln

Verfügbarkeit und Skalierung von Route 53 Resolver