将入站 DNS 查询转发到您的 VPC - Amazon Route 53
配置入站转发创建或编辑入站端点时指定的值
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将入站 DNS 查询转发到您的 VPC

要将 DNS 查询从您的网络转发到 Resolver,您可以创建入站端点。入站端点指定您希望网络上的 DNS 解析程序将 DNS 查询转发到的 IP 地址(在您的 VPC 可用的 IP 地址范围中)。这些 IP 地址不是公有 IP 地址,因此对于每个入站终端节点,您需要使用连接或 VPN Amazon Direct Connect 连接将 VPC 连接到您的网络。

配置入站转发

要创建入站端点,请执行以下步骤。

创建入站端点

  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为 https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Inbound endpoints (入站端点)

  3. 在导航栏上,选择您要在其中创建入站端点的区域。

  4. 选择 Create inbound endpoint (创建入站端点)

  5. 输入适用的值。有关更多信息,请参阅 创建或编辑入站端点时指定的值

  6. 选择创建

  7. 配置您网络上的 DNS 解析程序,将相应的 DNS 查询转发到您入站端点的 IP 地址。有关更多信息,请参阅您 DNS 应用程序的文档。

创建或编辑入站端点时指定的值

创建或编辑入站端点时,您指定以下值:

Outpost ID

如果您要在 Amazon Outposts VPC 上为解析器创建终端节点,则这是 Amazon Outposts ID。

端点名称

可在控制面板上轻松找到入站端点的友好名称。

region-name 区域中的 VPC

来自您网络的所有入站 DNS 查询经过此 VPC 流向 Resolver。

此端点的安全组

您希望用于控制对此 VPC 的访问的一个或多个安全组的 ID。所指定的安全组必须包含一个或多个入站规则。入站规则必须允许端口 53 上的 TCP 和 UDP 访问。创建端点后,您无法更改此值。

某些安全组规则会导致您的连接被跟踪,并且入站终端节点每个 IP 地址的每秒最大查询总数可能低至 1500。为避免安全组导致的连接跟踪,请参阅未跟踪的连接

注意

要添加多个安全组,请使用 Amazon CLI 命令create-resolver-endpoint。有关更多信息,请参阅 create-resolver-endpoint

有关更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全组

端点类型

端点类型可以是 IPv4、IPv6 或双堆栈 IP 地址。对于双堆栈端点,该端点将同时具有 IPv4 和 IPv6 地址,您的网络上的 DNS 解析程序可以将 DNS 查询转发到该地址。

注意

出于安全考虑,我们拒绝所有双栈和 IPv6 IP 地址从公共互联网直接访问 IPv6 流量。

IP 地址

您希望网络上的 DNS 解析程序将 DNS 查询转发到的 IP 地址。您必须至少指定两个 IP 地址,以实现冗余配置。请注意以下几点:

多个可用区域

我们建议您在至少两个可用区中指定 IP 地址。您可以选择在这些可用区或其他可用区中指定其他 IP 地址。

IP 地址和 Amazon VPC 弹性网络接口

对于您指定的可用区、子网和 IP 地址的每个组合,Resolver 将创建一个 Amazon VPC 弹性网络接口。有关针对端点中每个 IP 地址当前每秒处理的最大 DNS 查询数,请参阅Route 53 Resolver 的配额。有关每个弹性网络接口定价的信息,请参阅 Amazon Route 53 定价页面上的“Amazon Route 53”。

注意

Resolver 端点具有私有 IP 地址。这些 IP 地址在端点的生命周期内不会发生变化。

对于每个 IP 地址,指定以下值。每个 IP 地址必须位于在 VPC in the region-name Region (<区域名称> 区域中的 VPC) 所指定 VPC 的可用区中。

可用区

希望 DNS 查询在到达您的 VPC 之前经过的可用区。您指定的可用区必须配置有子网。

子网

包含您要分配给解析器端点 ENI 的 IP 地址的子网。这些是您将发送 DNS 查询的地址。子网必须具有一个可用 IP 地址。

子网 IP 地址必须与端点类型相匹配。

IP 地址

您要将 DNS 查询转发到的 IP 地址。

选择您希望 Resolver 从指定子网的可用 IP 地址中为您选择一个 IP 地址,还是希望自行指定 IP 地址。

如果您选择自己指定 IP 地址,请输入 IPv4 或 IPv6 地址,或同时输入两者。

协议

端点协议确定如何将数据传输到入站端点。根据所需的安全级别选择一个或多个协议。

  • Do53:(默认)使用 Route 53 Resolver 中继数据,无需额外加密。虽然外部各方无法读取数据,但可以在 Amazon 网络内查看该数据。

  • DoH:通过加密的 HTTPS 会话传输数据。DoH 可提升安全性,其中未经授权的用户无法解密数据,并且除预期接收方外,任何人都无法读取数据。

  • DOH-FIPS:通过符合 FIPS 140-2 加密标准的加密 HTTPS 会话传输数据。仅入站端点支持 有关更多信息,请参阅 FIPS PUB 140-2

对于入站端点,可以按以下方式应用协议:

  • 结合使用 Do53 和 DoH。

  • 结合使用 Do53 和 DoH-FIPS。

  • 单独使用 Do53。

  • 单独使用 DoH。

  • 单独使用 DoH-FIPS。

  • 无,即视为 Do53。

重要

不能将入站端点的协议直接从仅使用 Do53 更改为仅使用 DoH 或 DoH-FIPS。这是为了防止依赖于 Do53 的传入流量突然中断。要将协议从 Do53 更改为 DoH 或 DoH-FIPS,必须先启用 Do53 和 DoH,或者启用 Do53 和 DoH-FIPS,以确保使用 DoH 协议或 DoH-FIPS 传输所有传入流量,然后移除 Do53。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456