翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リゾルバーエンドポイントのスケーリング
リゾルバーエンドポイントセキュリティグループは、エンドポイントを出入りするトラフィックに関する情報を収集するために接続追跡を使用します。各エンドポイントインターフェイスが追跡可能な接続には最大数の制限があり、この接続数を超える大量の DNS クエリが送られた場合は、スロットリングやクエリの損失が発生する可能性があります。接続追跡は、セキュリティグループ (SG) を通過するトラフィックの状態をモニタリングするための AWS のデフォルトの動作です。SG における接続追跡を使用することでトラフィックのスループットが低下しますが、追跡されていない接続を実装してオーバーヘッドを減らし、パフォーマンスを改善することができます。詳細については、「追跡されていない接続」を参照してください。
制限付きセキュリティグループルールを使用して接続追跡が強制される場合、またはクエリが Network Load Balancer (自動追跡された接続を参照) を介してルーティングされる場合、エンドポイントの IP アドレスごとの 1 秒あたりの合計最大クエリ数は 1,500 に抑えられます。
インバウンドリゾルバーエンドポイントの送受信セキュリティグループルールの推奨事項
| 受信ルール | ||
|---|---|---|
| プロトコルのタイプ | ポート番号 | 送信元 IP |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
| 送信ルール | ||
| プロトコルのタイプ | ポート番号 | 送信先 IP |
| TCP | All | 0.0.0.0/0 |
| UDP | All | 0.0.0.0/0 |
アウトバウンドリゾルバーエンドポイントの送受信セキュリティグループルールの推奨事項
| 受信ルール | ||
|---|---|---|
| プロトコルのタイプ | ポート番号 | 送信元 IP |
| TCP | All | 0.0.0.0/0 |
| UDP | All | 0.0.0.0/0 |
| 送信ルール | ||
| プロトコルのタイプ | ポート番号 | 送信先 IP |
| TCP | 53 | 0.0.0.0/0 |
| UDP | 53 | 0.0.0.0/0 |
注記
セキュリティグループポートの要件:
インバウンドエンドポイントには、ポート 53 の TCP と UDP がネットワークから DNS クエリを受信できるようにする進入ルールが必要です。エグレスルールでは、エンドポイントがさまざまなソースポートからのクエリに応答する必要がある可能性があるため、すべてのポートを許可できます。
アウトバウンドエンドポイントでは、エグレスルールにおいてネットワークの DNS クエリに使用するポートで TCP および UDP アクセスを許可する必要があります。ポート 53 は最も一般的な DNS ポートですが、ネットワークが異なるポートを使用する可能性があるため、上記の例に示しています。イングレスルールでは、すべてのポートが DNS サーバーからのレスポンスに対応できます。
インバウンドリゾルバーエンドポイント
インバウンドリゾルバーエンドポイントを使用するクライアントの場合、IP アドレスとポートの (DNS トラフィックを生成している) 固有の組み合わせが 40,000 個を超えると、Elastic Network Interface の容量に影響が生じます。
