本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建或编辑入站端点时指定的值 创建或编辑入站端点时,您指定以下值: **前哨基地 ID** 如果您要在 VPC 上为 VPC 解析器创建终端节点,则这是 AWS Outposts ID。 AWS Outposts **端点名称** 可在控制面板上轻松找到入站端点的友好名称。 **端点类别** 选择**默认**或**委托**。当类别为**默认**时,您网络上的解析程序会将 DNS 请求转发到入站端点的 IP 地址。当类别为 “**委**托” 时,域的权限将委托给 VPC 解析器。 ***region-name* 区域中的 VPC** 来自您的网络的所有入站 DNS 查询都会在发往 VPC 解析器的途中通过此 VPC。 **此端点的安全组** 您希望用于控制对此 VPC 的访问的一个或多个安全组的 ID。所指定的安全组必须包含一个或多个入站规则。入站规则必须允许端口 53 上的 TCP 和 UDP 访问。如果您使用的是 DoH 协议,则还必须允许安全组中的端口 443。创建端点后,您无法更改此值。 某些安全组规则会导致连接受到跟踪,对于入站端点来说,每个 IP 地址在每秒内的最大查询总数可能低至 1500。为避免安全组导致的连接跟踪,请参阅[未跟踪的连接](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)。 要添加多个安全组,请使用 AWS CLI 命令`create-resolver-endpoint`。有关更多信息,请参阅 [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)。 有关更多信息,请参阅 *Amazon VPC 用户指南*中的[您的 VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。 **端点类型** 端点类型可以是 IPv4 IPv6、或双栈 IP 地址。对于双栈终端节点,该终端节点将同时包含 IPv4 和 IPv6 地址,您的网络上的 DNS 解析器可以将 DNS 查询转发到该地址。 出于安全考虑,我们拒绝所有双栈和 IPv6 IP 地址从公共互联网直接访问 IPv6 流量。 **IP 地址** 您希望网络上的 DNS 解析程序将 DNS 查询转发到的 IP 地址。您必须至少指定两个 IP 地址,以实现冗余配置。如果您创建了委托入站终端节点,请使用这些 IP 地址作为要将权限委托给 VPC Resolver 的子域的粘合 NS 记录。注意以下几点: **多个可用区域** 我们建议您在至少两个可用区中指定 IP 地址。您可以选择在这些可用区或其他可用区中指定其他 IP 地址。 **IP 地址和 Amazon VPC 弹性网络接口** 对于您指定的可用区、子网和 IP 地址的每种组合,VPC 解析器都会创建一个 Amazon VPC 弹性网络接口。有关针对端点中每个 IP 地址当前每秒处理的最大 DNS 查询数,请参阅[Route 53 VPC 解析器的配额](DNSLimitations.md#limits-api-entities-resolver)。有关每个弹性网络接口定价的信息,请参阅 [Amazon Route 53 定价页面](https://aws.amazon.com/route53/pricing/)上的“Amazon Route 53”。 Resolver 端点具有私有 IP 地址。这些 IP 地址在端点的生命周期内不会发生变化。 对于每个 IP 地址,指定以下值。每个 IP 地址必须位于在 **VPC in the *region-name* Region (<区域名称> 区域中的 VPC)** 所指定 VPC 的可用区中。 **可用区** 希望 DNS 查询在到达您的 VPC 之前经过的可用区。您指定的可用区必须配置有子网。 **子网** 包含您要分配给解析器端点 ENIs的 IP 地址的子网。这些是您要发送 DNS 查询的地址。子网必须具有一个可用 IP 地址。 子网 IP 地址必须与**端点类型**相匹配。 **IP 地址** 您要分配到入站端点的 IP 地址。 选择是希望 VPC 解析器从指定子网中的可用 IP 地址中为您选择 IP 地址,还是要自己指定 IP 地址。 如果您选择自己指定 IP 地址,请输入或 IPv6 地址, IPv4 或同时输入两者。 **协议** 端点协议确定如何将数据传输到入站端点。根据所需的安全级别选择一个或多个协议。 + **Do53:**(默认)使用 Route 53 VPC 解析器中继数据,无需额外加密。虽然外部各方无法读取数据,但可以在 AWS 网络内查看。这是目前唯一可用于**委托**入站端点类别的协议。 + **DoH:**通过加密的 HTTPS 会话传输数据。DoH 可提升安全性,其中未经授权的用户无法解密数据,并且除预期接收方外,任何人都无法读取数据。 + **DoH-FIPS:**通过符合 FIPS 140-2 加密标准的加密 HTTPS 会话传输数据。仅入站端点支持 有关更多信息,请参阅 [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)。 **注意** 对于 DOH/DOH-FIPS 入站终端节点,存在已知问题,即在 VPC 解析器查询日志中发布的源 IP 不正确。 对于入站端点,可以按以下方式应用协议: + 结合使用 Do53 和 DoH。 + 结合使用 Do53 和 DoH-FIPS。 + 单独使用 Do53。 + 单独使用 DoH。 + 单独使用 DoH-FIPS。 + 无,即视为 Do53。 不能将入站端点的协议直接从仅使用 Do53 更改为仅使用 DoH 或 DoH-FIPS。这是为了防止依赖于 Do53 的传入流量突然中断。要将协议从 Do53 更改为 DoH 或 DoH-FIPS,必须先启用 Do53 和 DoH,或者启用 Do53 和 DoH-FIPS,以确保使用 DoH 协议或 DoH-FIPS 传输所有传入流量,然后移除 Do53。 **标签** 指定一个或多个键及对应的值。例如,您可以为 **Key**(密钥)指定 **Cost center**(成本中心),并为 **Value**(值)指定 **456**。