Pertimbangan saat membuat titik akhir masuk dan keluar - Amazon Route 53
Jumlah titik akhir masuk dan keluar di setiap Wilayah Menggunakan VPC yang sama untuk titik akhir masuk dan keluarTitik akhir masuk dan zona yang di-hosting privatPeering VPCAlamat IP dalam subnet bersamaKoneksi antara jaringan Anda dan titik akhir VPCs yang Anda buatKetika berbagi aturan, Anda juga berbagi titik akhir keluarMemilih protokol untuk titik akhirMenggunakan Resolver VPCs yang dikonfigurasi untuk penyewaan instance khusus

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan saat membuat titik akhir masuk dan keluar

Sebelum Anda membuat titik akhir Resolver masuk dan keluar di AWS Wilayah, pertimbangkan masalah berikut.

Jumlah titik akhir masuk dan keluar di setiap Wilayah

Saat Anda ingin mengintegrasikan DNS untuk VPCs di AWS Wilayah dengan DNS untuk jaringan Anda, Anda biasanya memerlukan satu titik akhir masuk Resolver (untuk kueri DNS yang diteruskan ke Anda VPCs) dan satu titik akhir keluar (untuk kueri yang diteruskan dari jaringan Anda). VPCs Anda dapat membuat beberapa titik akhir masuk dan beberapa titik akhir keluar, tetapi satu titik akhir masuk atau keluar cukup untuk menangani kueri DNS untuk setiap arah masing-masing. Perhatikan hal berikut:

  • Untuk setiap titik akhir Resolver, Anda menentukan dua atau lebih alamat IP di Availability Zone yang berbeda. Setiap alamat IP di titik akhir dapat menangani sejumlah besar kueri DNS per detik. (Untuk jumlah maksimum kueri saat ini per detik per alamat IP di titik akhir, lihat Kuota pada Route 53 Resolver.) Jika membutuhkan Resolver untuk menangani lebih banyak kueri, Anda dapat menambahkan lebih banyak alamat IP ke titik akhir yang ada, alih-alih menambahkan titik akhir lain.

  • Harga Resolver didasarkan pada jumlah alamat IP di titik akhir Anda dan jumlah kueri DNS yang diproses titik akhir. Setiap titik akhir mencakup minimal dua alamat IP. Untuk informasi selengkapnya tentang harga Resolver, lihat Harga Amazon Route 53.

  • Setiap aturan menentukan titik akhir keluar tempat kueri DNS diteruskan. Jika Anda membuat beberapa titik akhir keluar di Wilayah AWS dan ingin mengaitkan beberapa atau semua aturan Resolver dengan setiap VPC, Anda perlu membuat beberapa salinan dari aturan.

Menggunakan VPC yang sama untuk titik akhir masuk dan keluar

Anda dapat membuat titik akhir masuk dan keluar di VPC yang sama atau berbeda VPCs di Wilayah yang sama.

Untuk informasi selengkapnya, lihat Praktik terbaik untuk Amazon Route 53.

Titik akhir masuk dan zona yang di-hosting privat

Jika Anda ingin Resolver menyelesaikan kueri DNS masuk menggunakan catatan di zona yang di-hosting privat, kaitkan zona yang di-hosting privat dengan VPC yang digunakan untuk membuat titik akhir masuk. Untuk informasi tentang mengaitkan zona yang dihosting pribadi dengan VPCs, lihatBekerja dengan zona yang di-hosting privat.

Peering VPC

Anda dapat menggunakan VPC apa pun di AWS Wilayah untuk titik akhir masuk atau keluar terlepas dari apakah VPC yang Anda pilih diintip dengan yang lain. VPCs Untuk informasi selengkapnya, lihat Menyambungkan Amazon Virtual Private Cloud VPC.

Alamat IP dalam subnet bersama

Ketika membuat titik akhir masuk atau keluar, Anda dapat menentukan alamat IP di subnet bersama hanya jika VPC dibuat oleh akun saat ini. Jika akun lain membuat VPC dan berbagi subnet di VPC dengan akun, Anda tidak dapat menentukan alamat IP di subnet tersebut. Untuk informasi selengkapnya tentang subnet bersama, lihat Bekerja dengan berbagi VPCs di Panduan Pengguna Amazon VPC.

Koneksi antara jaringan Anda dan titik akhir VPCs yang Anda buat

Anda harus memiliki salah satu koneksi berikut antara jaringan Anda dan titik akhir VPCs yang Anda buat di:

Ketika berbagi aturan, Anda juga berbagi titik akhir keluar

Ketika membuat aturan, Anda menentukan titik akhir keluar yang ingin digunakan Resolver untuk meneruskan kueri DNS ke jaringan. Jika Anda membagikan aturan dengan AWS akun lain, Anda juga secara tidak langsung membagikan titik akhir keluar yang Anda tentukan dalam aturan. Jika Anda menggunakan lebih dari satu AWS akun untuk membuat VPCs di AWS Wilayah, Anda dapat melakukan hal berikut:

  • Buat satu titik akhir keluar di Wilayah.

  • Buat aturan menggunakan satu AWS akun.

  • Bagikan aturan dengan semua AWS akun yang dibuat VPCs di Wilayah.

Ini memungkinkan Anda menggunakan satu titik akhir keluar di Wilayah untuk meneruskan kueri DNS ke jaringan Anda dari beberapa VPCs meskipun VPCs dibuat menggunakan akun yang berbeda. AWS

Memilih protokol untuk titik akhir

Protokol endpoint menentukan bagaimana data ditransmisikan ke titik akhir masuk dan dari titik akhir keluar. Enkripsi query DNS untuk lalu lintas VPC tidak diperlukan karena setiap aliran paket pada jaringan secara individual diotorisasi terhadap aturan untuk memvalidasi sumber dan tujuan yang benar sebelum dikirim dan dikirim. Sangat tidak mungkin bagi informasi untuk secara sewenang-wenang melewati antar entitas tanpa secara khusus diberi wewenang oleh entitas pengirim dan penerima. Jika sebuah paket dialihkan ke tujuan tanpa aturan yang cocok dengannya, paket tersebut dijatuhkan. Untuk informasi selengkapnya, lihat fitur VPC.

Protokol yang tersedia adalah:

  • Do53: DNS melalui port 53. Data disampaikan dengan menggunakan Resolver Route 53 tanpa enkripsi tambahan. Meskipun data tidak dapat dibaca oleh pihak eksternal, data dapat dilihat di dalam AWS jaringan. Menggunakan UDP atau TCP untuk mengirim paket. Do53 terutama digunakan untuk lalu lintas di dalam dan di antara Amazon VPCs. Saat ini, ini adalah satu-satunya protokol yang tersedia untuk titik akhir masuk delegasi.

  • DoH: Data ditransmisikan melalui sesi HTTPS terenkripsi. DoH menambahkan tingkat keamanan tambahan di mana data tidak dapat didekripsi oleh pengguna yang tidak sah, dan tidak dapat dibaca oleh siapa pun kecuali penerima yang dituju. Tidak tersedia untuk titik akhir masuk delegasi.

  • DOH-FIPS: Data ditransmisikan melalui sesi HTTPS terenkripsi yang sesuai dengan standar kriptografi FIPS 140-2. Didukung hanya untuk titik akhir inbound. Untuk informasi lebih lanjut, lihat FIPS PUB 140-2. Tidak tersedia untuk titik akhir masuk delegasi.

Untuk titik akhir inbound tipe Forward, Anda dapat menerapkan protokol sebagai berikut:

  • Do53 dan DoH dalam kombinasi.

  • Do53 dan DOH-FIP dalam kombinasi.

  • Do53 sendiri.

  • DoH sendiri.

  • Doh-fips sendirian.

  • Tidak ada, yang diperlakukan sebagai Do53.

Untuk titik akhir keluar, Anda dapat menerapkan protokol sebagai berikut:

  • Do53 dan DoH dalam kombinasi.

  • Do53 sendiri.

  • DoH sendiri.

  • Tidak ada, yang diperlakukan sebagai Do53.

Lihat juga Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir masuk dan Nilai yang Anda tentukan ketika membuat atau mengedit titik akhir keluar.

Menggunakan Resolver VPCs yang dikonfigurasi untuk penyewaan instance khusus

Ketika membuat titik akhir Resolver, Anda tidak dapat menentukan VPC dengan atribut penghunian instans yang diatur ke dedicated. Resolver tidak berjalan di perangkat keras penghuni tunggal.

Anda masih dapat menggunakan Resolver untuk menyelesaikan kueri DNS yang berasal dari VPC. Buat setidaknya satu VPC yang memiliki atribut penhunian instans yang diatur ke default, dan tentukan VPC tersebut ketika Anda membuat titik akhir masuk dan keluar.

Ketika membuat aturan penerusan, Anda dapat mengaitkannya dengan VPC apa pun, terlepas dari pengaturan untuk atribut penghunian instans.