本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Resolver 端点扩展
<a name="best-practices-resolver-endpoint-scaling"></a>

Resolver 端点安全组使用连接跟踪来收集有关进出端点的流量信息。每个端点接口都具有可跟踪的最大连接数，并且大量 DNS 查询可能会超过连接，从而导致节流和查询丢失。连接跟踪 Amazon是监控流经安全组的流量状态的默认行为（SGs）。在中使用连接跟踪 SGs 会降低流量的吞吐量，但是，您可以实现未跟踪的连接以减少开销并提高性能。有关更多信息，请参阅[未跟踪的连接](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)。

如果使用限制性安全组规则强制执行连接跟踪，或者通过网络负载均衡器路由查询（请参阅[自动跟踪的连接](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking)），则对于一个端点来说，每个 IP 地址每秒处理的最大查询总数可能低至 1500。

**入站 Resolver 端点的入口和出口安全组规则建议**


****  

| 
| 
| **入口规则** | 
| --- |
| 协议类型 | 端口号 | 源 IP | 
| TCP  | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 
| **出口规则** | 
| --- |
| 协议类型 | 端口号 | 目的地 IP | 
| TCP | 全部 | 0.0.0.0/0 | 
| UDP | 全部 | 0.0.0.0/0 | 

**出站 Resolver 端点的入口和出口安全组规则建议**


****  

| 
| 
| **入口规则** | 
| --- |
| 协议类型 | 端口号 | 源 IP | 
| TCP  | 全部 | 0.0.0.0/0 | 
| UDP | 全部 | 0.0.0.0/0 | 
| **出口规则** | 
| --- |
| 协议类型 | 端口号 | 目的地 IP | 
| TCP | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 

**注意**  
**安全组端口要求：**  
**入站端点**需要入口规则，这些规则允许端口 53 上的 TCP 和 UDP 接收来自您网络的 DNS 查询。出口规则可以允许所有端口，因为端点可能需要响应来自不同源端口的查询。
**出站端点**需要出口规则，这些规则允许 TCP 和 UDP 访问您网络上用于 DNS 查询的端口。上面的示例中显示端口 53，因为它是最常见的 DNS 端口，但您的网络可能使用不同的端口。入口规则可以允许所有端口容纳来自 DNS 服务器的响应。

**入站 Resolver 端点**

对于使用入站解析程序端点的客户端，如果您拥有超过 40,000 个唯一 IP 地址和端口组合来生成 DNS 流量，弹性网络接口的容量将受到影响。