當您建立或編輯傳入端點時所指定的值 - Amazon Route 53

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

當您建立或編輯傳入端點時所指定的值

當您建立或編輯傳入端點時,請指定下列值:

Outpost ID

如果您要在 AWS Outposts VPC 上建立解析程式的端點,這是 AWS Outposts ID。

Endpoint name (端點名稱)

易記的名稱可讓您在儀表板中輕鬆找出傳入端點。

端點類別

選擇預設委派。當類別為預設時,您網路上的解析程式會將 DNS 請求轉送到傳入端點的 IP 地址。當類別為委派時,網域的授權會委派給 Route 53 Resolver。

區域名稱區域中的 VPC

所有來自您網路的傳入 DNS 查詢,都會通過此 VPC 前往 Resolver。

此端點的安全群組

您想用來控制存取此 VPC 之一或多個安全群組的 ID。您指定的安全群組必須包含一或多個傳入規則。傳入規則必須允許連接埠 53 上的 TCP 和 UDP 存取權限。如果您使用的是 DoH 通訊協定,您也必須在安全群組中允許連接埠 443。建立端點之後,您無法變更此值。

某些安全群組規則將導致追蹤您的連線,且傳入端點的每個 IP 地址每秒的整體查詢上限可能低至 1500。若要避免由安全群組造成的連線追蹤,請參閱未追蹤連線

注意

若要新增多個安全群組,請使用 AWS CLI 命令 create-resolver-endpoint。如需詳細資訊,請參閱 create-resolver-endpoint

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 VPC 安全群組規則

端點類型

端點類型可為 IPv4、IPv6 或雙堆疊 IP 地址。對於雙堆疊端點,端點將同時具有 IPv4 和 IPv6 地址,網路上的 DNS 解析程式可將 DNS 查詢轉送至此類地址。

注意

基於安全考量,我們拒絕所有雙堆疊和 IPv6 IP 地址從公有網際網路直接存取 IPv6 流量。

IP 地址

您希望您網路上的 DNS 解析程式將 DNS 查詢轉送到這些 IP 地址。我們需要您至少指定兩個 IP 地址以供備援使用。如果您建立了委派傳入端點,請使用這些 IP 地址做為您要將授權委派給 Route 53 Resolver 之子網域的黏附 NS 記錄。注意下列事項:

多個可用區域

建議您至少在兩個可用區域中指定 IP 地址。您可以在那些或其他可用區域選擇性指定其他 IP 地址。

IP 地址和 Amazon VPC 彈性網路介面

針對您指定的可用區域、子網路和 IP 地址的各種組合,Resolver 會建立 Amazon VPC 彈性網路介面。如需了解端點中每個 IP 地址每秒的 DNS 查詢次數的目前上限,請參閱 Route 53 Resolver 的配額。如需每個彈性網路介面的定價的相關資訊,請參閱 Amazon Route 53 定價頁面上的「Amazon Route 53」。

注意

Resolver 端點具有私有 IP 地址。這些 IP 位址在端點的生命週期中不會變更。

針對每個 IP 地址,指定以下值。每個 IP 地址都必須位在您指定之 VPC 的可用區域內,您的 VPC 是在 VPC in the region-name Region (區域名稱區域中的 VPC) 中指定。

可用區域

您希望 DNS 查詢通往 VPC 途中所經過的可用區域。您指定的可用區域必須設定子網路。

子網路

子網路,其中包含您想要指派給解析程式端點 ENIs IP 地址。這些是您傳送 DNS 查詢的地址。子網路必須有可用的 IP 地址。

子網路 IP 地址必須符合端點類型

IP 地址

您想要將 DNS 查詢轉送到此 IP 地址。

選擇要讓 Resolver 從指定之子網路的可用 IP 地址當中為您選擇 IP 地址,還是您想要自己指定 IP 地址。

如果您選擇自行指定 IP 地址,請輸入 IPv4 或 IPv6 地址或兩者。

通訊協定

端點協定確定如何將資料傳輸至傳入端點。根據所需的安全層級,選擇協定。

  • Do53: (預設值) 透過使用 Route 53 Resolver 轉送資料,而無需額外加密。雖然外部方無法讀取資料,但可以在 AWS 網路中檢視。這是委派傳入端點類別目前唯一可用的通訊協定。

  • DoH:透過加密的 HTTPS 工作階段傳輸資料。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。

  • DoH-FIPS:透過符合 FIPS 140-2 密碼編譯標準的加密 HTTPS 工作階段傳輸資料。僅支援傳入端點。如需詳細資訊,請參閱 FIPS PUB 140-2

    注意

    對於 DoH/DoH-FIPS 傳入端點,Route 53 Resolver 查詢日誌中發佈了來源 IP 不正確的已知問題。

對於傳入端點,您可以按如下方式套用協定:

  • Do53 和 DOH 組合。

  • Do53 和 DoH-FIPS 組合。

  • 單獨 Do53。

  • 單獨 DoH。

  • 單獨 DoH-FIPS。

  • 無,視為 Do53。

重要

您無法將傳入端點的協定直接從僅 Do53 變更為僅 DoH 或 DoH-FIPS。這是為了防止依賴 Do53 的傳入流量突然中斷。若要將協定從 Do53 變更為 DoH 或 DoH-FIPS,您必須先同時啟用 Do53 和 DoH,或同時啟用 Do53 和 DoH-FIPS,以確保所有傳入流量都已使用 DoH 協定或 DoH-FIPS 傳輸,然後移除 Do53。

標籤

指定一或多個金鑰和對應的值。例如,您可以為 Key (金鑰) 指定 Cost center (成本中心),為 Value (值) 指定 456