Considerazioni per la creazione di endpoint in entrata e in uscita - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni per la creazione di endpoint in entrata e in uscita

Prima di creare endpoint Resolver in entrata e in uscita in una AWS regione, considerate i seguenti problemi.

Numero di endpoint in entrata e in uscita in ciascuna regione

Quando desideri integrare il DNS di una AWS regione con il DNS della tua rete, VPCs in genere hai bisogno di un endpoint Resolver in entrata (per le query DNS che stai inoltrando alla tua VPCs) e un endpoint in uscita (per le query che stai inoltrando dalla tua rete). VPCs Puoi creare più endpoint in entrata e più endpoint in uscita, ma un endpoint in entrata o in uscita è sufficiente per gestire le query DNS per ogni rispettiva direzione. Tieni presente quanto segue:

  • Per ogni endpoint di Resolver, è necessario specificare due o più indirizzi IP in diverse zone di disponibilità. Ogni indirizzo IP in un endpoint è in grado di gestire un numero elevato di query DNS al secondo. (Per quanto riguarda il numero massimo di query al secondo per indirizzo IP in un endpoint, consulta Quote relative a Route 53 Resolver). Se è necessario che Resolver gestisca più query, invece di aggiungere un altro endpoint puoi aggiungere altri indirizzi IP all'endpoint esistente.

  • I prezzi di Resolver sono calcolati in base al numero di indirizzi IP negli endpoint e sul numero di query DNS elaborate dall'endpoint. Ogni endpoint include almeno due indirizzi IP. Per ulteriori informazioni sui prezzi di Resolver, consulta Prezzi di Amazon Route 53.

  • Ogni regola specifica l'endpoint in uscita da cui vengono inoltrate le query DNS. Se crei più endpoint in uscita in una regione AWS e desideri associare alcune o tutte le regole di Resolver a ogni VPC, è necessario creare più copie di tali regole.

Utilizzare lo stesso VPC per gli endpoint in entrata e in uscita

È possibile creare endpoint in entrata e in uscita nello stesso VPC o in diversi VPCs punti della stessa regione.

Per ulteriori informazioni, consulta Best practice per Amazon Route 53.

Endpoint in entrata e zone ospitate private

Se desideri che Resolver risolva le query DNS in entrata utilizzando i record in una zona ospitata privata, associa la zona ospitata privata al VPC in cui è stato creato l'endpoint in entrata. Per informazioni sull'associazione di zone ospitate private a, consulta. VPCs Utilizzo delle zone ospitate private

Peering VPC

Puoi utilizzare qualsiasi VPC in una AWS regione per un endpoint in entrata o in uscita indipendentemente dal fatto che il VPC scelto sia peerizzato con altri. VPCs Per ulteriori informazioni, consulta la sezione relativa al peering Amazon Virtual Private Cloud (VPC).

Indirizzi IP nelle sottoreti condivise

Quando si crea un endpoint in ingresso o in uscita, è possibile specificare un indirizzo IP in una subnet condivisa solo se l'account corrente ha creato il VPC. Se un altro account crea un VPC e condivide una subnet nel VPC con l'account, non è possibile specificare un indirizzo IP in tale subnet. Per ulteriori informazioni sulle sottoreti condivise, consulta Working with shared VPCs nella Amazon VPC User Guide.

Connessione tra la tua rete e VPCs quella in cui crei gli endpoint

È necessario disporre di una delle seguenti connessioni tra la rete e VPCs quella in cui vengono creati gli endpoint:

Quando si condividono le regole, si condividono anche gli endpoint in uscita

Quando crei una regola, è necessario specificare l'endpoint in uscita che si desidera sia utilizzato da Resolver per inoltrare query DNS alla rete. Se condividi la regola con un altro AWS account, condividi anche indirettamente l'endpoint in uscita specificato nella regola. Se hai utilizzato più di un AWS account per creare VPCs in una AWS regione, puoi fare quanto segue:

  • Creare un endpoint in uscita nella regione.

  • Crea regole utilizzando un solo AWS account.

  • Condividi le regole con tutti gli AWS account creati VPCs nella Regione.

Ciò consente di utilizzare un endpoint in uscita in una regione per inoltrare le query DNS alla rete da più utenti, VPCs anche se VPCs sono state create utilizzando account diversi. AWS

Scelta dei protocolli per gli endpoint

I protocolli degli endpoint determinano il modo in cui i dati vengono trasmessi a un endpoint in entrata e da un endpoint in uscita. La crittografia delle query DNS per il traffico VPC non è necessaria perché ogni flusso di pacchetti nella rete viene autorizzato individualmente in base a una regola per convalidare l'origine e la destinazione corrette prima della sua trasmissione e consegna. È molto improbabile che le informazioni vengano trasmesse in modo arbitrario tra entità senza che siano specificamente autorizzate sia dall'entità trasmittente che da quella ricevente. Se viene indirizzato a una destinazione priva di una regola corrispondente, un pacchetto viene eliminato. Per ulteriori informazioni, consulta le funzionalità del VPC.

I protocolli disponibili sono:

  • Do53: DNS sulla porta 53. I dati vengono inoltrati utilizzando Route 53 Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, possono essere visualizzati all'interno delle reti. AWS Utilizza UDP o TCP per inviare i pacchetti. Do53 viene utilizzato principalmente per il traffico all'interno e tra Amazon VPCs. Attualmente, questo è l'unico protocollo disponibile per la delega degli endpoint in entrata.

  • DoH: i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto. Non disponibile per gli endpoint in entrata con delega.

  • DoH-FIPS: i dati vengono trasmessi attraverso una sessione HTTPS crittografata conforme allo standard di crittografia FIPS 140-2. Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, consulta FIPS PUB 140-2. Non disponibile per gli endpoint in entrata con delega.

Per un endpoint in entrata di tipo Forward, puoi applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 e DoH-FIPS in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • DoH-FIPS da solo.

  • Nessuno, il che equivale a Do53.

Per un endpoint in uscita è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • Nessuno, il che equivale a Do53.

Consulta anche Valori specificati durante la creazione o la modifica di endpoint in entrata e Valori specificati durante la creazione o la modifica degli endpoint in uscita.

Utilizzo di Resolver in quanto configurati per la VPCs tenancy di istanze dedicate

Quando crei un endpoint Resolver, non è possibile specificare un VPC con l'attributo di tenancy dell'istanza impostato su dedicated. Resolver non viene eseguito su hardware a tenant singolo.

Puoi comunque utilizzare Resolver per risolvere le query DNS che hanno origine in un VPC. Crea almeno un VPC che abbia l'attributo di tenancy dell'istanza impostato su default e specifica quel VPC al momento della creazione di endpoint in entrata e in uscita.

Quando si crea una regola di inoltro, è possibile associarla a qualsiasi VPC, indipendentemente dall'impostazione dell'attributo di tenancy dell'istanza.