教程:创建你的第一个 Route 53 全球解析器 - Amazon Route 53
先决条件步骤 1:创建全局解析器步骤 2:创建 DNS 视图并配置身份验证步骤 3:配置 DNS 过滤规则(可选)第 4 步:测试您的配置步骤 5:监控 DNS 活动步骤 6:清理(可选)后续步骤

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

教程:创建你的第一个 Route 53 全球解析器

本入门指南演示了 Route 53 Global Resolver 的基本组件,并可选择创建简单的 DNS 过滤设置。本教程涵盖了核心概念,但不包括客户机配置、日志记录或私有域解析等生产要求。

完成后,您将获得基本的 Route 53 全球解析器设置,该设置可以过滤 DNS 查询并阻止恶意域。

以下各节介绍如何使用 Route 53 全球解析器快速开始使用 DNS 安全和筛选。

先决条件

在使用 Route 53 Global Resolver 之前,您需要一个 AWS 帐户和相应的权限才能访问、查看和编辑 Route 53 全球解析器组件。您的系统管理员必须完成中的步骤为 Route 53 Global Resolver 设置账户访问权限,然后返回本教程。

步骤 1:创建全局解析器

首先,创建一个全球解析器实例,然后选择它将运行的 AWS 区域。

  1. 打开 Route 53 全球解析器控制台,网址为https://console.aws.amazon.com/route53globalresolver/

  2. 选择 “创建全局解析器”。

  3. 在 “名称” 中,输入全球解析器的描述性名称。

  4. 描述中,可以选择输入描述。

  5. 对于区域,选择两个或更多要 AWS 区域 在其中实例化全局解析器。选择离客户最近的区域,以获得最佳性能。

  6. (可选)添加标签以帮助组织和管理您的资源。

  7. 选择 “创建全局解析器”。

您将立即收到任播 IPv4 地址,您的客户可以使用这些地址来联系解析器。全局解析器创建过程需要几分钟才能完成,地址才会起作用。

步骤 2:创建 DNS 视图并配置身份验证

创建 DNS 视图以组织您的客户端,并使用 IP 访问源配置身份验证。本教程使用基于 IP 的身份验证。您也可以将访问令牌用于卫生部/交通部协议。

  1. 在 Route 53 全球解析器控制台中,选择您的全局解析器。

  2. 选择创建 DNS 视图

  3. 名称中,输入您的 DNS 视图的描述性名称。

  4. 描述中,可以选择输入描述。

  5. 选择创建 DNS 视图

  6. 创建 DNS 视图后,选择访问源,然后选择创建访问源

  7. 对于 CIDR 阻止,请输入您的客户机的 IP 地址范围(例如,203.0.113.0/24)。

  8. 对于协议,请选择 Do53(端口 53 上的 DNS)进行基本设置。

  9. 选择 “创建访问源规则”

步骤 3:配置 DNS 过滤规则(可选)

设置基本的 DNS 过滤规则以阻止对恶意域的访问。

  1. 在 DNS 视图中,选择防火墙规则,然后选择创建防火墙规则

  2. 名称中,输入规则的描述性名称。

  3. 对于 “优先级”,输入100(数字越小优先级越高)。

  4. 在 “操作” 中,选择 “屏蔽”。

  5. 对于域列表类型,请选择AWS 托管域列表

  6. 托管域列表中,选择恶意软件AmazonGuardDutyThreatList和僵尸网络命令与控制以阻止已知的恶意域(您可以添加其他托管列表或稍后创建自定义列表)。

  7. 选择创建防火墙规则

第 4 步:测试您的配置

测试您的 Route 53 全局解析器配置是否正常运行。

  1. 在您配置的 CIDR 范围内的客户端计算机上,使用全局解析器提供的任播 IP 地址测试 DNS 解析:

    nslookup example.com <anycast-ip-address>

  2. 验证合法域名是否能正确解析。

  3. 测试被屏蔽的域名是否被正确过滤。您可以使用测试域创建自定义域名列表,以验证您的防火墙规则是否正常运行。有关托管域列表的更多信息,请参阅托管域列表

  4. 查看 Route 53 全球解析器控制台,了解查询日志和筛选活动。

有关全面的测试程序和故障排除,请参阅 Route 53 全球解析器故障排除

步骤 5:监控 DNS 活动

为您的 DNS 活动配置日志记录。

  1. 选择可观测性区域。

  2. 选择查询日志的目的地。

有关全面的测试程序和故障排除,请参阅 R oute 53 Global Resolver 的测试和故障排除

步骤 6:清理(可选)

如果您创建此配置是出于测试目的,并且不想继续使用 Route 53 Global Resolver,请清理资源以避免持续收费。

  1. 在 Route 53 全球解析器控制台中,删除您创建的所有防火墙规则。

  2. 删除您创建的所有访问源规则。

  3. 删除 DNS 视图。

  4. 删除全局解析器。

重要

删除这些资源将停止任何配置为使用这些资源的客户机的 DNS 解析。在删除解析器或移除访问规则之前,请更新您的客户端配置。

后续步骤

现在您已经有了基本的 Route 53 全局解析器配置,您可以探索其他功能:

  • 将客户端设备配置为使用您的解析器(生产时需要)。更新您的客户端 DNS 设置以使用您的全局解析器提供的任播 IP 地址。

  • 设置日志以进行监控和合规性(建议用于生产)。配置到亚马逊 CloudWatch、亚马逊 S3 或 Amazon Data Firehose 的日志以进行监控和分析。有关更多信息,请参阅

  • 为内部域配置私有托管区域转发(如果您有私有 AWS 资源,则为必填项)。有关更多信息,请参阅使用私有托管区域

  • 使用 DNS-over-HTTPS (DoH) 或 DNS-over-TLS (DoT) 设置加密的 DNS 连接。有关更多信息,请参阅配置加密 DNS

  • 创建自定义域名列表和高级过滤规则。有关更多信息,请参阅 DNS 筛选