Nombre de points de terminaison entrants et sortants dans chaque région Utilisation du même VPC pour les points de terminaison entrants et sortants Points de terminaison entrants et zones hébergées privées Appairage de VPC Adresses IP dans des sous-réseaux partagés Connexion entre votre réseau et le terminal dans VPCs lequel vous créez des points de terminaison Lorsque vous partagez des règles, vous partagez également des points de terminaison sortants Choisir des protocoles pour les points de terminaison Utilisation d'un résolveur configuré pour la location d'instance dédiée VPCs

Considérations lors de la création de points de terminaison entrants et sortants

Avant de créer des points de terminaison de résolution entrants et sortants dans une AWS région, prenez en compte les points suivants.

Rubriques

Nombre de points de terminaison entrants et sortants dans chaque région
Utilisation du même VPC pour les points de terminaison entrants et sortants
Points de terminaison entrants et zones hébergées privées
Appairage de VPC
Adresses IP dans des sous-réseaux partagés
Connexion entre votre réseau et le terminal dans VPCs lequel vous créez des points de terminaison
Lorsque vous partagez des règles, vous partagez également des points de terminaison sortants
Choisir des protocoles pour les points de terminaison
Utilisation d'un résolveur configuré pour la location d'instance dédiée VPCs

Nombre de points de terminaison entrants et sortants dans chaque région

Lorsque vous souhaitez intégrer le DNS d'une AWS région VPCs au DNS de votre réseau, vous avez généralement besoin d'un point de terminaison entrant Resolver (pour les requêtes DNS que vous transférez vers votre VPCs) et d'un point de terminaison sortant (pour les requêtes que vous transférez de votre VPCs vers votre réseau). Vous pouvez créer plusieurs points de terminaison entrants et sortants, mais un seul point de terminaison entrant ou sortant suffit pour traiter les requêtes DNS dans l'une ou l'autre direction. Remarques :

Pour chaque point de terminaison Resolver, vous spécifiez deux ou plusieurs adresses IP dans différentes zones de disponibilité. Chaque adresse IP dans un point de terminaison peut traiter un grand nombre de requêtes DNS par seconde. (Pour le nombre maximum actuel de requêtes par seconde et par adresse IP dans un point de terminaison, consultez Quotas sur Route 53 Resolver.) Si vous voulez que Resolver traite plus de requêtes, vous pouvez ajouter d'autres adresses IP à votre point de terminaison existant, au lieu d'ajouter un autre point de terminaison.
La tarification de Resolver est basée sur le nombre d'adresses IP dans vos points de terminaison et sur le nombre de requêtes DNS traitées par le point de terminaison. Chaque point de terminaison inclut un minimum de deux adresses IP. Pour en savoir plus sur la tarification de Resolver, veuillez consulter Tarification Amazon Route 53.
Chaque règle spécifie le point de terminaison sortant à partir duquel les requêtes DNS sont transférées. Si vous créez plusieurs points de terminaison sortants au sein d'une région AWS et que vous souhaitez associer certaines ou toutes les règles Resolver avec chaque VPC, vous devez créer plusieurs copies de ces règles.

Utilisation du même VPC pour les points de terminaison entrants et sortants

Vous pouvez créer des points de terminaison entrants et sortants dans le même VPC ou dans un autre VPCs dans la même région.

Pour de plus amples informations, veuillez consulter Bonnes pratiques relatives à Amazon Route 53.

Points de terminaison entrants et zones hébergées privées

Si vous voulez que Resolver résolve les requêtes DNS entrantes à l'aide de registres dans une zone hébergée privée, associez la zone hébergée privée avec le VPC dans lequel vous avez créé le point de terminaison entrant. Pour plus d'informations sur l'association de zones hébergées privées à VPCs, consultezUtilisation des zones hébergées privées.

Appairage de VPC

Vous pouvez utiliser n'importe quel VPC d'une AWS région pour un point de terminaison entrant ou sortant, que le VPC que vous choisissez soit apparié ou non à un autre. VPCs Pour en savoir plus, consultez Amazon Virtual Private Cloud VPC Peering.

Adresses IP dans des sous-réseaux partagés

Lorsque vous créez un point de terminaison entrant ou sortant, vous pouvez spécifier une adresse IP dans un sous-réseau partagé uniquement si le compte actuel a créé le VPC. Si un autre compte crée un VPC et partage un sous-réseau dans le VPC avec votre compte, vous ne pouvez pas spécifier d'adresse IP dans ce sous-réseau. Pour plus d'informations sur les sous-réseaux partagés, consultez la section Travailler avec le partage VPCs dans le guide de l'utilisateur Amazon VPC.

Connexion entre votre réseau et le terminal dans VPCs lequel vous créez des points de terminaison

Vous devez disposer de l'une des connexions suivantes entre votre réseau et le point de terminaison dans VPCs lequel vous créez :

Points de terminaison entrants - Vous devez configurer une connexion AWS Direct Connect ou une connexion VPN entre votre réseau et chaque VPC pour lequel vous créez un point de terminaison entrant.
Points de terminaison sortants - Vous devez configurer une connexion AWS Direct Connect, une connexion VPN ou une passerelle de traduction d'adresse réseau (NAT) entre votre réseau et chaque VPC pour lequel vous créez un point de terminaison sortant.

Lorsque vous créez une règle, vous spécifiez le point de terminaison sortant que vous voulez que Resolver utilise pour réacheminer les requêtes DNS vers votre réseau. Si vous partagez la règle avec un autre AWS compte, vous partagez également indirectement le point de terminaison sortant que vous spécifiez dans la règle. Si vous avez utilisé plusieurs AWS comptes pour créer VPCs dans une AWS région, vous pouvez effectuer les opérations suivantes :

Créer un point de terminaison sortant dans la région.
Créez des règles à l'aide d'un seul AWS compte.
Partagez les règles avec tous les AWS comptes créés VPCs dans la région.

Cela vous permet d'utiliser un point de terminaison sortant dans une région pour transférer des requêtes DNS à votre réseau à partir de plusieurs, VPCs même si VPCs elles ont été créées à l'aide de AWS comptes différents.

Choisir des protocoles pour les points de terminaison

Les protocoles de point de terminaison déterminent la manière dont les données sont transmises à un point de terminaison entrant et à partir d'un point de terminaison sortant. Le chiffrement des requêtes DNS pour le trafic VPC n'est pas nécessaire, car chaque flux de paquets sur le réseau est autorisé individuellement selon une règle permettant de valider la source et la destination correctes avant d'être transmis et livré. Il est hautement improbable que des informations passent arbitrairement d'une entité à l'autre sans l'autorisation spécifique de l'entité émettrice et réceptrice. Si un paquet est acheminé vers une destination sans règle qui lui correspond, le paquet est abandonné. Pour plus d'informations, consultez Fonctionnalités VPC.

Les protocoles disponibles sont :

Do53 : DNS sur le port 53. Les données sont relayées à l'aide du Route 53 Resolver sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des tiers, elles peuvent être consultées au sein des AWS réseaux. Utilise UDP ou TCP pour envoyer les paquets. Do53 est principalement utilisé pour le trafic au sein d'Amazon et entre Amazon VPCs. Il s'agit actuellement du seul protocole disponible pour les points de terminaison entrants de délégation.
DoH : Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu. Non disponible pour les points de terminaison entrants de délégation.
DOH-FIPS : Les données sont transmises via une session HTTPS chiffrée conforme à la norme de chiffrement FIPS 140-2. Pris en charge uniquement pour les points de terminaison entrants. Pour plus d'informations, veuillez consulter FIPS PUB 140-2. Non disponible pour les points de terminaison entrants de délégation.

Pour un point de terminaison entrant de type Forward, vous pouvez appliquer les protocoles comme suit :

Do53 et DoH en combinaison.
Do53 et DoH-FIPS en combinaison.
Do53 uniquement.
DoH uniquement.
DoH-FIPS uniquement.
Aucun, qui est traité comme Do53.

Pour un point de terminaison sortant, vous pouvez appliquer les protocoles comme suit :

Do53 et DoH en combinaison.
Do53 uniquement.
DoH uniquement.
Aucun, qui est traité comme Do53.

Voir aussi Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants et Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants.

Utilisation d'un résolveur configuré pour la location d'instance dédiée VPCs

Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas indiquer un VPC doté de l'attribut de location d'instance défini sur dedicated. Resolver ne s'exécute pas sur un matériel à utilisateur unique.

Vous pouvez toujours utiliser Resolver pour résoudre les requêtes DNS provenant d'un VPC. Créez au moins un VPC doté de l'attribut de location d'instance défini sur default, et spécifiez ce VPC lorsque vous créez des points de terminaison entrants et sortants.

Lorsque vous créez une règle de réacheminement, vous pouvez l'associer à n'importe quel VPC, quelle que soit la valeur de l'attribut de location d'instance.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Règles système définies automatiquement

Disponibilité et évolutivité du résolveur Route 53