建立傳入和傳出端點時的注意事項 - Amazon Route 53
每個 區域中的傳入和傳出端點數量針對傳入和傳出端點使用相同的 VPC傳入端點和私有託管區域VPC 對等互連共用子網路中的 IP 位址在您的網路和您建立端點的 VPC 之間的連線當您共用規則時,您也會共用傳出端點選擇端點的協定在為專用執行個體租戶設定的 VPC 中使用 Resolver

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立傳入和傳出端點時的注意事項

在 AWS 區域中建立傳入和傳出解析程式端點之前,請考慮下列問題。

每個 區域中的傳入和傳出端點數量

當您想要將 AWS 區域中 VPCs的 DNS 與網路的 DNS 整合時,通常需要一個解析程式傳入端點 (適用於轉送至 VPCs 的 DNS 查詢) 和一個傳出端點 (適用於從 VPCs至網路的查詢)。您可以建立多個傳入端點和多個傳出端點,但一個傳入或傳出端點就足夠處理每一相應方向的 DNS 查詢。注意下列事項:

  • 對於每個 Resolver 端點,您需要指定位於不同可用區域的兩個或更多個 IP 地址。端點中的每個 IP 地址每秒可以處理大量的 DNS 查詢。(如需了解端點中每個 IP 地址每秒的查詢次數的目前上限,請參閱 Route 53 Resolver 的配額。) 如果您需要 Resolver 來處理更多的查詢,您可以將多個 IP 地址新增到現有的端點,而不是新增其他端點。

  • Resolver 定價是根據端點中的 IP 地址數量和該端點處理的 DNS 查詢數量。每個端點包含至少兩個 IP 地址。如需 Resolver 定價的詳細資訊,請參閱 Amazon Route 53 定價

  • 每個規則指定 DNS 查詢轉送自哪個傳出端點。如果您在 AWS 區域中建立多個傳出端點,並且想要將部分或全部 Resolver 規則與每個 VPC 建立關聯,您需要建立這些規則的多個副本。

針對傳入和傳出端點使用相同的 VPC

您可以在相同 VPC 中或相同區域中的不同 VPC 中建立傳入和傳出端點。

如需詳細資訊,請參閱Amazon Route 53 的最佳實務

傳入端點和私有託管區域

如果您希望 Resolver 使用私有託管區域中的記錄來解析傳入 DNS 查詢,請將私有託管區域與您建立傳入端點的 VPC 建立關聯。如需有關將私有託管區域與 VPC 建立關聯的詳細資訊,請參閱 使用私有託管區域

VPC 對等互連

無論您選擇的 VPC 是否與其他 VPC 對等互連,您都可以將 AWS 區域中的任何 VPCs 用於傳入或傳出端點。如需詳細資訊,請參閱 Amazon Virtual Private Cloud VPC 對等互連

共用子網路中的 IP 位址

當您建立傳入或傳出端點時,只有在目前帳戶建立 VPC 時,才能在共用子網路中指定 IP 地址。如果另一個帳戶建立 VPC 並與您的帳戶共用 VPC 中的子網路,則您無法在該子網路中指定 IP 地址。如需共用子網路的詳細資訊,請參閱 Amazon VPC 使用者指南中的使用共用 VPC

在您的網路和您建立端點的 VPC 之間的連線

在您的網路和您建立端點的 VPC 之間,您必須有以下其中一個連線:

當您共用規則時,您也會共用傳出端點

當您建立規則時,您需要指定傳出端點,供 Resolver 用來將 DNS 查詢轉送到您的網路。如果您與其他 AWS 帳戶共用規則,也會間接共用您在規則中指定的傳出端點。如果您使用多個 AWS 帳戶在 AWS 區域中建立 VPCs,您可以執行下列動作:

  • 在該區域中建立一個傳出端點。

  • 使用一個 AWS 帳戶建立規則。

  • 與在 區域中建立 VPCs的所有 AWS 帳戶共用規則。

這可讓您使用區域中的一個傳出端點,從多個 VPCs 將 DNS 查詢轉送至您的網路,即使 VPCs是使用不同的 AWS 帳戶建立。

選擇端點的協定

端點協定確定如何將資料傳輸至傳入端點以及從傳出端點傳輸資料。不需要加密 VPC 流量的 DNS 查詢,因為網路上的每個封包流程都根據規則個別授權,以在傳輸和交付之前驗證正確的來源和目的地。未同時經傳輸和接收實體明確授權,資訊在實體之間任意傳遞的可能性極小。如果封包路由至目的地時沒有與其相符的規則,則此封包會捨棄。如需詳細資訊,請參閱 VPC 功能

可用的通訊協定包括:

  • Do53:透過連接埠 53 的 DNS。透過使用 Route 53 Resolver 轉送資料,而無需額外加密。雖然外部方無法讀取資料,但可以在 AWS 網路中檢視。使用 UDP 或 TCP 傳送封包。Do53 主要用於 Amazon VPC 內部和之間的流量。目前,這是可用於委派傳入端點的唯一通訊協定。

  • DoH:透過加密的 HTTPS 工作階段傳輸資料。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。不適用於委派傳入端點。

  • DoH-FIPS:透過符合 FIPS 140-2 密碼編譯標準的加密 HTTPS 工作階段傳輸資料。僅支援傳入端點。如需詳細資訊,請參閱 FIPS PUB 140-2。不適用於委派傳入端點。

對於轉送類型的傳入端點,您可以套用通訊協定,如下所示:

  • Do53 和 DOH 組合。

  • Do53 和 DoH-FIPS 組合。

  • 單獨 Do53。

  • 單獨 DoH。

  • 單獨 DoH-FIPS。

  • 無,視為 Do53。

對於傳出端點,您可以按如下方式套用協定:

  • Do53 和 DOH 組合。

  • 單獨 Do53。

  • 單獨 DoH。

  • 無,視為 Do53。

另請參閱 當您建立或編輯傳入端點時所指定的值當您建立或編輯傳出端點時所指定的值

在為專用執行個體租戶設定的 VPC 中使用 Resolver

建立 Resolver 端點時,您無法指定執行個體租用屬性設定為 dedicated 的 VPC。Resolver 不會在單一租戶硬體上執行。

您可以繼續使用 Resolver 解析源自於 VPC 的 DNS 查詢。至少建立一個執行個體租用屬性設為 default 的 VPC ,並在建立傳入和傳出端點時指定該 VPC。

當您建立轉送規則時,可以將其與任何 VPC 建立關聯,無論該執行個體租用屬性的設定為何。