将出站 DNS 查询转发到您的网络 - Amazon Route 53
配置出站转发创建或编辑出站端点时指定的值创建或编辑规则时指定的值
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将出站 DNS 查询转发到您的网络

要将源自 Amazon EC2 实例中的一个或多个 VPC 的 DNS 查询转发到您的网络,可以创建一个出站端点以及一个或多个规则:

出站端点

要将 DNS 查询从 VPC 转发到网络,请创建出站端点。出站端点指定发起查询的 IP 地址。您从 VPC 可用的 IP 地址范围中选择的这些 IP 地址不是公有 IP 地址。这意味着,对于每个出站端点,您需要使用 Amazon Direct Connect 连接、VPN 连接或网络地址转换 (NAT) 网关来将 VPC 连接到网络。注意,同一区域中的多个 VPC 可以使用同一出站端点,您也可以创建多个出站端点。如果您希望出站终端节点使用 DNS64,则可以使用 Amazon Virtual Private Cloud 来启用 DNS64。有关更多信息,请参阅 Amazon VPC 用户指南中的 DNS64 和 NAT64

Route 53 Resolver 规则中的目标 IP 由解析器随机选择,并且不优先选择特定的目标 IP 而不是另一个目标 IP。如果目标 IP 未响应转发的 DNS 请求,则解析器将重试其他 IP。当所有定义的 IP 地址都可用时,将对目标 IP 地址使用轮询法。

规则

要为希望转发到您的网络上的 DNS 解析程序的查询指定域名,您可以创建一个或多个规则。每个规则指定一个域名。然后,您可以将规则与要将查询转发到您的网络的 VPC 关联。

有关更多信息,请参阅以下主题:

配置出站转发

要配置 Resolver 将源自您 VPC 中的 DNS 查询转发到您的网络,请执行以下步骤。

重要

创建出站端点后,您必须创建一个或多个规则并与一个或多个 VPC 关联。规则指定要转发到您的网络的 DNS 查询的域名。

创建出站端点

  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为 https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Outbound endpoints (出站端点)

  3. 在导航栏上,选择您要在其中创建出站端点的区域。

  4. 选择 Create outbound endpoint (创建出站端点)

  5. 输入适用的值。有关更多信息,请参阅 创建或编辑出站端点时指定的值

  6. 选择创建

    注意

    创建出站端点仅需一两分钟。在第一个出站端点创建完成之前,您无法创建另一个出站端点。

  7. 创建一个或多个规则,指定要转发到您网络的 DNS 查询的域名。有关该过程的更多信息,请参阅接下来的步骤。

要创建一个或多个转发规则,请执行以下步骤。

创建转发规则,并将规则与一个或多个 VPC 关联

  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为 https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择规则

  3. 在导航栏上,选择您想要在其中创建规则的区域。

  4. 选择创建规则

  5. 输入适用的值。有关更多信息,请参阅 创建或编辑规则时指定的值

  6. 选择 Save(保存)。

  7. 要添加其它规则,请重复步骤 4 到 6。

创建或编辑出站端点时指定的值

创建或编辑出站端点时,您指定以下值:

Outpost ID

如果您要在 Amazon Outposts VPC 上为解析器创建终端节点,则这是 Amazon Outposts ID。

端点名称

可在控制面板上轻松找到出站端点的友好名称。

region-name 区域中的 VPC

所有出站 DNS 查询将在到达您的网络之前流经此 VPC。

此端点的安全组

您希望用于控制对此 VPC 的访问的一个或多个安全组的 ID。所指定的安全组必须包含一个或多个出站规则。对于在您网络上用于 DNS 查询的端口,出站规则必须允许该端口上的 TCP 和 UDP 访问。创建端点后,您无法再更改此值。

某些安全组规则会导致您的连接被跟踪,并可能影响每秒从出站端点到目标名称服务器的最大查询次数。为避免安全组导致的连接跟踪,请参阅未跟踪的连接

有关更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全组

端点类型

端点类型可以是 IPv4、IPv6 或双堆栈 IP 地址。对于双堆栈端点,该端点将同时具有 IPv4 和 IPv6 地址,您的网络上的 DNS 解析程序可以将 DNS 查询转发到该地址。

注意

出于安全考虑,我们拒绝所有双栈和 IPv6 IP 地址的 IPv6 流量直接访问公共互联网。

IP 地址

您 VPC 中的 IP 地址,您希望 DNS 查询在到达您网络中的解析程序之前,Resolver 将此 DNS 查询转发到该地址。它们不是您的网络中的 DNS 解析程序的 IP 地址;您在创建与一个或多个 VPC 关联的规则时指定解析程序 IP 地址。您必须至少指定两个 IP 地址,以实现冗余配置。

注意

Resolver 端点具有私有 IP 地址。这些 IP 地址在端点的生命周期内不会发生变化。

请注意以下几点:

多个可用区域

我们建议您在至少两个可用区中指定 IP 地址。您可以选择在这些可用区或其他可用区中指定其他 IP 地址。

IP 地址和 Amazon VPC 弹性网络接口

对于您指定的可用区、子网和 IP 地址的每个组合,Resolver 将创建一个 Amazon VPC 弹性网络接口。有关针对端点中每个 IP 地址当前每秒处理的最大 DNS 查询数,请参阅Route 53 Resolver 的配额。有关每个弹性网络接口定价的信息,请参阅 Amazon Route 53 定价页面上的“Amazon Route 53”。

IP 地址的顺序

您可以按任意顺序指定 IP 地址。转发 DNS 查询时,Resolver 不会按照 IP 地址列出的顺序选择 IP 地址。

对于每个 IP 地址,指定以下值。每个 IP 地址必须位于在 VPC in the region-name Region (<区域名称> 区域中的 VPC) 所指定 VPC 的可用区中。

可用区

希望 DNS 查询在到达您的网络之前经过的可用区。您指定的可用区必须配置有子网。

子网

其中包含希望 DNS 查询在到达您的网络之前源自的 IP 地址的子网。子网必须具有一个可用 IP 地址。

子网 IP 地址必须与端点类型相匹配。

IP 地址

希望 DNS 查询在到达您的网络之前源自的 IP 地址。

选择您希望 Resolver 从指定子网的可用 IP 地址中为您选择一个 IP 地址,还是希望自行指定 IP 地址。

如果您选择自己指定 IP 地址,请输入 IPv4 或 IPv6 地址,或同时输入两者。

协议

端点协议决定如何从出站端点传输数据。根据所需的安全级别选择一个或多个协议。

  • Do53:(默认)使用 Route 53 Resolver 中继数据,无需额外加密。虽然外部各方无法读取数据,但可以在 Amazon 网络内查看该数据。

  • DoH:通过加密的 HTTPS 会话传输数据。DoH 可提升安全性,其中未经授权的用户无法解密数据,并且除预期接收方外,任何人都无法读取数据。

对于出站端点,可以按以下方式应用协议:

  • 结合使用 Do53 和 DoH。

  • 单独使用 Do53。

  • 单独使用 DoH。

  • 无,即视为 Do53。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456

创建或编辑规则时指定的值

创建或编辑转发规则时,您指定以下值:

Rule name(规则名称)

通过友好名称可在控制面板上轻松找到规则。

Rule type

选择适用的值:

  • 转发 — 当您希望将指定域名的 DNS 查询转发到您网络上的 DNS 解析程序时,请选择此选项。

  • 系统 — 当您希望 Resolver 选择地覆盖转发规则中定义的行为时,请选择此选项。创建了系统规则时,Resolver 会解析对指定子域的 DNS 查询,如果没有系统规则,就会由您网络上的 DNS 解析程序解析。

默认情况下,转发规则会应用到一个域名及其所有子域。如果您希望将对某个域的查询转发到您网络上的解析程序,但不想为某些子域转发查询,则为这些子域创建系统规则。例如,如果您为 example.com 创建一个转发规则,但不希望转发针对 acme.example.com 的查询,则可以创建系统规则,为域名指定 acme.example.com。

使用此规则的 VPC

使用此规则转发对指定的一个或多个域名的 DNS 查询的 VPC。可以将一个规则应用于所需数目的 VPC。

域名

此域名的 DNS 查询将转发到您在 Target IP addresses (目标 IP 地址) 中指定的 IP 地址。有关更多信息,请参阅 Resolver 如何确定查询中的域名是否与任何规则匹配

出站端点

Resolver 将 DNS 查询,通过您在此处指定的出站端点,转发到在 Target IP addresses(目标 IP 地址)中指定的 IP 地址。

目标 IP 地址

如果 DNS 查询与您在 Domain name (域名) 中指定的名称匹配,出站端点会将查询转发到您在此处指定的 IP 地址。这些通常是您网络上 DNS 解析程序的 IP 地址。

Target IP addresses (目标 IP 地址) 仅在 Rule type (规则类型) 的值为 Forward (转发) 时可用。

指定 IPv4 或 IPv6 地址,以及要用于端点的协议。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456

这些是 Amazon Billing and Cost Management 用于整理 Amazon 账单的标签。有关对成本分配使用标签的更多信息,请参阅 Amazon Billing 用户指南中的使用成本分配标签