Escalado de los puntos de enlace de Resolver
Los grupos de seguridad de los puntos de enlace de Resolver utilizan el seguimiento de las conexiones para recopilar información sobre el tráfico hacia y desde los puntos de enlace. Cada interfaz de punto final tiene un número máximo de conexiones de las que se puede realizar un seguimiento, pero un gran volumen de consultas de DNS puede superar las conexiones y causar limitación controlada y pérdida de consultas. El seguimiento de las conexiones es el comportamiento predeterminado de AWS para supervisar el estado del tráfico que fluye a través de los grupos de seguridad (SG). El uso del seguimiento de las conexiones en los SG reducirá el rendimiento del tráfico; sin embargo, puede implementar conexiones sin seguimiento para reducir la sobrecarga y mejorar el rendimiento. Para obtener más información, consulte Conexiones sin seguimiento.
Si el seguimiento de conexiones se aplica mediante reglas restrictivas del grupo de seguridad o las consultas se enrutan a través del Equilibrador de carga de red (consulte Conexiones con seguimiento automático), el número máximo total de consultas por segundo por dirección IP para un punto de conexión puede ser tan bajo como 1500.
Recomendaciones de reglas del grupo de seguridad de entrada y salida para el punto de conexión de entrada de Resolver
| Reglas de entrada | ||
|---|---|---|
| Tipo de protocolo | Número de puerto | IP de origen |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
| Reglas de salida | ||
| Tipo de protocolo | Número de puerto | IP de destino |
| TCP | All | 0.0.0.0/0 |
| UDP | All | 0.0.0.0/0 |
Recomendaciones de reglas de grupos de seguridad de entrada y salida para el punto de conexión de salida de Resolver
| Reglas de entrada | ||
|---|---|---|
| Tipo de protocolo | Número de puerto | IP de origen |
| TCP | All | 0.0.0.0/0 |
| UDP | All | 0.0.0.0/0 |
| Reglas de salida | ||
| Tipo de protocolo | Número de puerto | IP de destino |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
nota
Requisitos de puerto del grupo de seguridad:
Los puntos de conexión de entrada requieren reglas de entrada que permitan que el TCP y el UDP del puerto 53 reciban consultas de DNS de su red. Las reglas de salida pueden permitir todos los puertos, ya que es posible que el punto de conexión deba responder a las consultas de diferentes puertos de origen.
Los puntos de conexión de salida requieren reglas de salida que permitan que el TCP y UDP accedan a los puertos que utiliza para las consultas de DNS en su red. En el ejemplo anterior se muestra el puerto 53 porque es el puerto DNS más común, pero es posible que su red utilice puertos diferentes. Las reglas de entrada pueden permitir que todos los puertos admitan las respuestas de sus servidores DNS.
Puntos de enlace de entrada de Resolver
Para los clientes que utilizan un punto de conexión de entrada de Resolver, la capacidad de la interfaz de red elástica se verá afectada si tiene más de 40 000 combinaciones únicas de direcciones IP y puertos que generan el tráfico DNS.
