每个区域中的入站和出站端点的数量对入站和出站端点使用相同的 VPC 入站端点和私有托管区域 VPC 对等连接共享子网中的 IP 地址您的网络与您在其中创建端点的网络之间的连接 VPCs 在共享规则时，您还会共享出站端点选择用于端点的协议在中使用为专用实例租期配置 VPCs 的 Resolver

创建入站和出站端点的注意事项

在 AWS 区域中创建入站和出站 Resolver 终端节点之前，请考虑以下问题。

主题

每个区域中的入站和出站端点的数量
对入站和出站端点使用相同的 VPC
入站端点和私有托管区域
VPC 对等连接
共享子网中的 IP 地址
您的网络与您在其中创建端点的网络之间的连接 VPCs
在共享规则时，您还会共享出站端点
选择用于端点的协议
在中使用为专用实例租期配置 VPCs 的 Resolver

每个区域中的入站和出站端点的数量

当你想将某个 AWS 区域的 DNS 与网络的 DNS 集成时，通常需要一个 Resolver 入站终端节点（用于你要转发到自己的 DNS 查询 VPCs）和一个出站终端节点（用于从你的网络转发 VPCs 到你的网络的查询）。 VPCs 您可以创建多个入站端点和多个出站端点，但一个端点足以处理各方向的 DNS 查询。请注意以下几点：

对于每个 Resolver 端点，您可以在不同的可用区中指定两个或更多 IP 地址。端点中的每个 IP 地址每秒可处理大量 DNS 查询。（有关针对端点中每个 IP 地址当前每秒处理的最大查询数，请参阅Route 53 Resolver 的配额）。如果您需要 Resolver 处理更多查询，则可以向现有端点添加更多 IP 地址，而不是添加其它端点。
Resolver 定价基于端点中的 IP 地址数以及端点处理的 DNS 查询数。每个端点包含至少两个 IP 地址。有关 Resolver 定价的更多信息，请参阅 Amazon Route 53 定价。
每个规则指定了 DNS 查询转发自的出站端点。如果您在 AWS 区域中创建了多个出站端点，并且您希望将部分或全部 Resolver 规则与每个 VPC 关联，则需要创建这些规则的多个副本。

对入站和出站端点使用相同的 VPC

您可以在同一 VPC 中创建入站和出站终端节点，也可以在同一区域的不同 VPCs VPC 中创建入站和出站终端节点。

有关更多信息，请参阅 Amazon Route 53 的最佳实践。

入站端点和私有托管区域

如果您希望 Resolver 使用私有托管区域中的记录解析入站 DNS 查询，请将私有托管区域与您创建入站端点的 VPC 关联。有关将私有托管区域与关联的信息 VPCs，请参阅使用私有托管区。

VPC 对等连接

无论您选择的 VPC 是否与其他 VPCs VPC 对等，您都可以将 AWS 区域中的任何 VPC 用于入站或出站终端节点。有关更多信息，请参阅 Amazon Virtual Private Cloud VPC 对等互联。

共享子网中的 IP 地址

创建入站或出站端点时，只有在当前账户创建了 VPC 时，才能在共享子网中指定 IP 地址。如果另一个账户创建 VPC 并与您的账户共享 VPC 中的子网，则您无法在该子网中指定 IP 地址。有关共享子网的更多信息，请参阅 Amazon VPC 用户指南 VPCs中的使用共享子网。

您的网络与您在其中创建端点的网络之间的连接 VPCs

您的网络与您在其中创建终端节点的 VPCs 网络之间必须有以下连接之一：

入站端点 — 在您的网络与为其创建入站端点的各个 VPC 之间，您必须设置 AWS Direct Connect 连接或 VPN 连接。
出站端点 — 在您的网络与您为其创建出站端点的各个 VPC 之间，您必须设置 AWS Direct Connect 连接、VPN 连接或网络地址转换 (NAT) 网关。

在创建规则时，您可以指定您希望 Resolver 用来将 DNS 查询转发到您的网络的出站端点。如果您与其他 AWS 账户共享规则，则还会间接共享您在规则中指定的出站终端节点。如果您 VPCs 在一个 AWS 地区使用多个 AWS 账户进行创建，则可以执行以下操作：

在该区域中创建一个出站端点。
使用一个 AWS 账户创建规则。
与在该地区创建 VPCs 的所有 AWS 账户共享规则。

这允许您使用一个区域中的一个出站终端节点将多个 DNS 查询转发到您的网络， VPCs 即使这些查询 VPCs 是使用不同的 AWS 账户创建的。

选择用于端点的协议

端点协议决定如何将数据传输到入站端点和从出站端点传输数据。不需要加密 VPC 流量的 DNS 查询，因为网络上的每个数据包流都要根据规则单独授权，以便在传输和传送其之前验证正确的源和目标。未经传输实体和接收实体特别授权，信息基本上不可能在实体之间任意传递。如果将数据包路由到目标，但没有与之匹配的规则，则该数据包将被丢弃。有关更多信息，请参阅 VPC 功能。

可用的协议包括：

Do53：端口 53 上的 DNS。使用 Route 53 Resolver 中继数据，无需额外加密。虽然外部各方无法读取数据，但可以在 AWS 网络内查看。使用 UDP 或 TCP 发送数据包。Do53 主要用于亚马逊内部和亚马逊 VPCs之间的流量。目前，这是唯一可用于委托入站端点的协议。
DoH：通过加密的 HTTPS 会话传输数据。DoH 可提升安全性，其中未经授权的用户无法解密数据，并且除预期接收方外，任何人都无法读取数据。不适用于委派入站端点。
DOH-FIPS：通过符合 FIPS 140-2 加密标准的加密 HTTPS 会话传输数据。仅入站端点支持有关更多信息，请参阅 FIPS PUB 140-2。不适用于委派入站端点。

对于转发类型的入站终端节点，您可以按以下方式应用协议：

结合使用 Do53 和 DoH。
结合使用 Do53 和 DoH-FIPS。
单独使用 Do53。
单独使用 DoH。
单独使用 DoH-FIPS。
无，即视为 Do53。

对于出站端点，可以按以下方式应用协议：

结合使用 Do53 和 DoH。
单独使用 Do53。
单独使用 DoH。
无，即视为 Do53。

另请参阅创建或编辑入站端点时指定的值和创建或编辑出站端点时指定的值。

在中使用为专用实例租期配置 VPCs 的 Resolver

当您创建 Resolver 端点时，无法指定将实例租赁属性设置为 dedicated 的 VPC。Resolver 不在单一租户硬件上运行。

您仍然可以使用 Resolver 来解析源自 VPC 中的 DNS 查询。创建至少一个将实例租赁属性设置为 default 的 VPC，并在您创建入站和出站端点时指定该 VPC。

当您创建转发规则时，可以将其与任何 VPC 关联，不论实例租约属性的设置如何。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

自动定义的系统规则

Route 53 Resolver 的可用性和扩展