Número de puntos de conexión de entrada y salida en cada región Uso de la misma VPC para los puntos de conexión de entrada y salida Puntos de conexión de entrada y zonas alojadas privadas Emparejamiento de VPC Direcciones IP en subredes compartidas Conexión entre su red y la red en la VPCs que crea los puntos de enlace Al compartir reglas, también comparte los puntos de conexión de salida Elección de protocolos para los puntos de conexión Uso de Resolver en los VPCs que están configurados para la tenencia de instancias dedicadas

Consideraciones al crear puntos de conexión de entrada y salida

Antes de crear puntos finales de Resolver entrantes y salientes en una AWS región, tenga en cuenta los siguientes aspectos.

Temas

Número de puntos de conexión de entrada y salida en cada región
Uso de la misma VPC para los puntos de conexión de entrada y salida
Puntos de conexión de entrada y zonas alojadas privadas
Emparejamiento de VPC
Direcciones IP en subredes compartidas
Conexión entre su red y la red en la VPCs que crea los puntos de enlace
Al compartir reglas, también comparte los puntos de conexión de salida
Elección de protocolos para los puntos de conexión
Uso de Resolver en los VPCs que están configurados para la tenencia de instancias dedicadas

Número de puntos de conexión de entrada y salida en cada región

Si desea integrar el DNS de una AWS región con el VPCs DNS de su red, normalmente necesitará un extremo de entrada de Resolver (para las consultas de DNS que reenvía a su red VPCs) y un punto final de salida (para las consultas que reenvía de su red a su red). VPCs Puede crear varios puntos de conexión de entrada y varios puntos de conexión de salida, pero un punto de conexión es suficiente para gestionar las consultas de DNS para cualquier dirección. Tenga en cuenta lo siguiente:

Para cada punto de conexión de Resolver, debe especificar dos o más direcciones IP en diferentes zonas de disponibilidad. Cada dirección IP de un punto de conexión puede gestionar un amplio número de consultas de DNS por segundo. (Para obtener información acerca del número máximo actual de consultas por segundo por cada dirección IP de un punto de conexión, consulte Cuotas en Route 53 Resolver.) Si necesita que Resolver gestione más consultas, puede agregar más direcciones IP al punto de conexión existente en lugar de agregar otro punto de conexión.
Los precios de Resolver se basan en el número de direcciones IP de sus puntos de conexión y en el número de consultas de DNS que procesa el punto de conexión. Cada punto de conexión incluye un mínimo de dos direcciones IP. Para obtener más información acerca de los precios de Resolver, consulte Precios de Amazon Route 53.
Cada regla especifica el punto de conexión de salida desde el que se reenvían las consultas de DNS. Si crea varios puntos de conexión de salida en una región de AWS y quiere asociar algunas o todas las reglas de Resolver con cada VPC, tiene que crear varias copias de esas reglas.

Uso de la misma VPC para los puntos de conexión de entrada y salida

Puede crear puntos de enlace entrantes y salientes en la misma VPC o en diferentes VPCs puntos de la misma región.

Para obtener más información, consulte Prácticas recomendadas de Amazon Route 53.

Puntos de conexión de entrada y zonas alojadas privadas

Si quiere que Resolver resuelva las consultas de DNS de entrada mediante los registros de la zona alojada privada, asocie la zona alojada privada a la VPC en la que ha creado el punto de conexión de entrada. Para obtener información sobre cómo asociar zonas alojadas privadas a, consulte. VPCs Uso de zonas alojadas privadas

Emparejamiento de VPC

Puede usar cualquier VPC de una AWS región para un punto final entrante o saliente, independientemente de si la VPC que elija está emparejada con otra. VPCs Para obtener más información, consulte Amazon Virtual Private Cloud (VPC).

Direcciones IP en subredes compartidas

Al crear un punto de conexión de entrada o salida, solo puede especificar una dirección IP en una subred compartida si la cuenta actual creó la VPC. Si otra cuenta crea una VPC y comparte una subred en la VPC con su cuenta, no puede especificar una dirección IP en esa subred. Para obtener más información sobre las subredes compartidas, consulte Trabajar con subredes compartidas VPCs en la Guía del usuario de Amazon VPC.

Conexión entre su red y la red en la VPCs que crea los puntos de enlace

Debe tener una de las siguientes conexiones entre la red y la red en la VPCs que crea los puntos finales:

Puntos de conexión de entrada: debe configurar una conexión de AWS Direct Connect o una conexión de VPN entre su red y cada VPC para la que cree un punto de conexión de entrada o salida.
Puntos de conexión de salida: debe configurar una conexión de AWS Direct Connect, una conexión de VPN o una puerta de enlace de traducción de dirección de red (NAT) entre su red y cada VPC para la que cree un punto de conexión de salida.

Cuando crea una regla, especifica el punto de conexión de salida que desea que Resolver utilice para reenviar consultas de DNS a su red. Si comparte la regla con otra AWS cuenta, también comparte indirectamente el punto final de salida que especifique en la regla. Si ha utilizado más de una AWS cuenta para crear VPCs en una AWS región, puede hacer lo siguiente:

Cree un punto de conexión de salida en la región.
Cree reglas con una AWS cuenta.
Comparte las reglas con todas las AWS cuentas que se hayan creado VPCs en la región.

Esto le permite usar un punto final de salida en una región para reenviar consultas de DNS a su red desde varios puntos de vista, VPCs incluso si VPCs se crearon con AWS cuentas diferentes.

Elección de protocolos para los puntos de conexión

Los protocolos de punto de conexión determinan cómo se transmiten los datos a un punto de conexión de entrada y desde un punto de conexión de salida. No es necesario cifrar las consultas de DNS para el tráfico de VPC porque cada flujo de paquetes de la red se autoriza individualmente según una regla para validar el origen y el destino correctos antes de transmitirlos y entregarlos. Es muy poco probable que la información pase arbitrariamente entre entidades sin la autorización específica tanto de la entidad emisora como de la entidad receptora. Si un paquete se enruta a un destino sin una regla que lo iguale, el paquete se descarta. Para obtener más información, consulte Características de VPC.

Los protocolos disponibles son:

Do53: DNS a través del puerto 53. Los datos se retransmiten mediante Route 53 Resolver sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las AWS redes. Utiliza UDP o TCP para enviar los paquetes. Do53 se utiliza principalmente para el tráfico dentro y entre Amazon VPCs. Actualmente, este es el único protocolo disponible para los puntos finales entrantes de delegación.
DoH: los datos se transmiten a través de una sesión HTTPS cifrada. DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto. No está disponible para los puntos finales de entrada de las delegaciones.
Doh-FIPS: los datos se transmiten en una sesión HTTPS cifrada que cumple con el estándar criptográfico FIPS 140-2. Admite solo puntos de conexión de entrada. Para obtener más información, consulte FIPS PUB 140-2. No está disponible para los puntos finales entrantes de las delegaciones.

Para un punto final de entrada de tipo Forward, puede aplicar los protocolos de la siguiente manera:

Do53 y DoH en combinación.
Do53 y DOH-FIPS en combinación.
Do53 solo.
DoH solo.
DoH-FIPS solo.
Ninguno, por lo que se trata como Do53.

Para un punto de conexión de salida, puede aplicar los protocolos de la siguiente manera:

Do53 y DoH en combinación.
Do53 solo.
DoH solo.
Ninguno, por lo que se trata como Do53.

Consulte también Valores que se especifican al crear o editar puntos de conexión de entrada y Valores que se especifican al crear o editar puntos de conexión de salida.

Uso de Resolver en los VPCs que están configurados para la tenencia de instancias dedicadas

Cuando se crea un punto de conexión de Resolver, no se puede especificar una VPC que tenga el atributo de tenencia de la instancia establecido en dedicated. El solucionador no se ejecuta en hardware de inquilino único.

Puede seguir utilizando Resolver para solucionar consultas de DNS originadas en una VPC. Cree al menos una VPC que tenga el atributo de propiedad de instancia establecido en default y especifique esa VPC cuando cree puntos de conexión de entrada y salida.

Al crear una regla de reenvío, puede asociarla con cualquier VPC, independientemente de la configuración del atributo de propiedad de instancia.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Reglas de sistema autodefinidas

Disponibilidad y escalado de Route 53 Resolver