As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Considerações ao criar endpoints de entrada e de saída
Antes de criar endpoints do Resolver de entrada e saída em uma AWS região, considere os seguintes problemas.
Tópicos
Número de endpoints de entrada e saída em cada região da
Quando você deseja integrar o DNS de uma AWS região com o VPCs DNS da sua rede, normalmente precisa de um endpoint de entrada do Resolver (para consultas de DNS que você está encaminhando para a sua VPCs) e um endpoint de saída (para consultas que você está encaminhando da sua para a sua rede). VPCs Você pode criar vários endpoints de entrada e de saída, mas um endpoint de entrada ou de saída é suficiente para processar as consultas de DNS em qualquer direção respectiva. Observe o seguinte:
-
Para cada endpoint do Resolver, você especifica dois ou mais endereços IP em diferentes zonas de disponibilidade. Cada endereço IP em um endpoint pode lidar com um grande número de consultas de DNS por segundo. (Para saber o atual número máximo de consultas por segundo por endereço IP em um endpoint, consulte Cotas no Route 53 Resolver.) Se precisa que o Resolver processe mais consultas, você pode adicionar mais endereços IP ao seu endpoint existente em vez de adicionar outro endpoint.
-
A definição de preço do Resolver é baseada no número de endereços IP em seus endpoints e no número de consultas de DNS que o endpoint processa. Cada endpoint inclui um mínimo de dois endereços IP. Para obter mais informações sobre o preço do Resolver, consulte Preço do Amazon Route 53
. -
Cada regra especifica o endpoint de saída a partir do qual as consultas de DNS são encaminhadas. Se criar vários endpoints de saída em uma região da AWS e quiser associar algumas ou todas as regras do Resolver a cada VPC, você precisará criar várias cópias dessas regras.
Uso da mesma VPC para endpoints de entrada e de saída
Você pode criar endpoints de entrada e saída na mesma VPC ou em diferentes VPCs na mesma região.
Para obter mais informações, consulte Práticas recomendadas do Amazon Route 53.
Endpoints de entrada e zonas hospedadas privadas
Se você quiser que o Resolver resolva consultas de DNS de entrada usando registros em uma zona hospedada privada, associe a zona hospedada privada à VPC na qual você criou o endpoint de entrada. Para obter informações sobre como associar zonas hospedadas privadas com VPCs, consulteTrabalhar com zonas hospedadas privadas.
emparelhamento da VPC
Você pode usar qualquer VPC em uma AWS região para um endpoint de entrada ou saída, independentemente de a VPC escolhida estar emparelhada com outra. VPCs Para obter mais informações, consulte Emparelhamento de Amazon Virtual Private Cloud VPC.
Endereços IP em sub-redes compartilhadas
Ao criar um endpoint de entrada ou de saída, é possível especificar um endereço IP em uma sub-rede compartilhada somente se a conta atual criou a VPC. Se outra conta criar uma VPC e compartilhar uma sub-rede na VPC com sua conta, não será possível especificar um endereço IP nessa sub-rede. Para obter mais informações sobre sub-redes compartilhadas, consulte Como trabalhar com o compartilhado VPCs no Guia do usuário da Amazon VPC.
Conexão entre sua rede e VPCs aquela em que você cria endpoints
Você deve ter uma das seguintes conexões entre sua rede e aquela em VPCs que você cria endpoints:
-
Endpoints de entrada: é necessário configurar uma conexão do AWS Direct Connect ou uma conexão VPN entre a rede e cada VPC para a qual criou um endpoint de entrada.
-
Endpoints de saída: é necessário configurar uma conexão do AWS Direct Connect, uma conexão VPN ou um gateway de Conversão de endereços de rede (NAT) entre a rede e cada VPC para a qual foi criado um endpoint de saída.
Quando compartilha regras, você também compartilha endpoints de saída
Ao criar uma regra, você especifica o endpoint de saída que você quer que o Resolver use para encaminhar consultas de DNS para sua rede. Se você compartilhar a regra com outra AWS conta, também compartilhará indiretamente o endpoint de saída especificado na regra. Se você usou mais de uma AWS conta para criar VPCs em uma AWS região, você pode fazer o seguinte:
-
Crie um endpoint de saída na região.
-
Crie regras usando uma AWS conta.
-
Compartilhe as regras com todas as AWS contas criadas VPCs na região.
Isso permite que você use um endpoint de saída em uma região para encaminhar consultas de DNS para sua rede a partir de várias, VPCs mesmo que VPCs tenham sido criadas usando contas diferentes. AWS
Escolher protocolos para os endpoints
Os protocolos dos endpoints determinam como os dados são transmitidos para um endpoint de entrada e de um endpoint de saída. Não é necessário criptografar as consultas ao DNS para tráfego na VPC porque todo fluxo de pacotes na rede é autorizado individualmente de acordo com uma regra para validar a origem e o destino corretos antes de ser transmitido e entregue. A troca arbitrária de informações entre entidades sem a autorização específica da entidade transmissora e da entidade receptora é extremamente improvável. Se um pacote for roteado para um destino sem que haja uma regra correspondente, ele será descartado. Para obter mais informações, consulte Recursos da VPC.
Os protocolos disponíveis são:
-
Do53: DNS pela porta 53. Os dados são retransmitidos usando o Route 53 Resolver sem criptografia adicional. Embora os dados não possam ser lidos por terceiros, eles podem ser visualizados nas AWS redes. Usa UDP ou TCP para enviar os pacotes. O Do53 é usado principalmente para tráfego dentro e entre a Amazon VPCs. Atualmente, esse é o único protocolo disponível para endpoints de entrada de delegação.
-
DoH: os dados são transmitidos em uma sessão HTTPS criptografada. O DoH adiciona mais um nível de segurança em que os dados não podem ser descriptografados por usuários não autorizados e não podem ser lidos por ninguém, a não ser pelo destinatário pretendido. Não disponível para endpoints de entrada de delegação.
-
DoH-FIPS: os dados são transmitidos em uma sessão HTTPS criptografada conforme o padrão criptográfico FIPS 140-2. Compatível apenas com endpoints de entrada. Para obter mais informações, consulte FIPS PUB 140-2
. Não disponível para endpoints de entrada de delegação.
Para um endpoint de entrada do tipo Forward, você pode aplicar os protocolos da seguinte forma:
Do53 e DoH combinados.
Do53 e DoH-FIPS combinados.
D53 sozinho.
DoH sozinho.
DoH-FIPS sozinho.
Nenhum, o que é tratado como Do53.
Para um endpoint de saída, você pode aplicar os protocolos da seguinte maneira:
Do53 e DoH combinados.
D53 sozinho.
DoH sozinho.
Nenhum, o que é tratado como Do53.
Consulte também Valores especificados ao criar ou editar endpoints de entrada e Valores especificados ao criar ou editar endpoints de saída.
Usando o Resolver em VPCs que estão configurados para locação de instâncias dedicadas
Quando você cria um endpoint do Resolver, não é possível especificar uma VPC que tenha o atributo de locação de instância definido como dedicated. O Resolver não é executado no hardware de locação única.
Você ainda pode usar o Resolver para resolver consultas de DNS que se originam em uma VPC. Crie pelo menos uma VPC com o atributo de locação de instância definido como default e especifique essa VPC ao criar endpoints de entrada e saída.
Quando você cria uma regra de encaminhamento, pode associá-la a qualquer VPC, independentemente da configuração do atributo de locação de instância.
