将出站 DNS 查询转发到您的网络 - Amazon Route 53
配置出站转发创建或编辑出站端点时指定的值创建或编辑规则时指定的值
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

将出站 DNS 查询转发到您的网络

要将源自 Amazon EC2 实例中的一个或多个 VPC 的 DNS 查询转发到您的网络,可以创建一个出站端点以及一个或多个规则:

出站端点

要将 DNS 查询从 VPC 转发到网络,请创建出站端点。出站端点指定发起查询的 IP 地址。您从 VPC 可用的 IP 地址范围中选择的这些 IP 地址不是公有 IP 地址。这意味着,对于每个出站端点,您需要使用 Amazon Direct Connect 连接、VPN 连接或网络地址转换 (NAT) 网关来将 VPC 连接到网络。注意,同一区域中的多个 VPC 可以使用同一出站端点,您也可以创建多个出站端点。如果您希望出站终端节点使用 DNS64,则可以使用 Amazon Virtual Private Cloud 来启用 DNS64。有关更多信息,请参阅 Amazon VPC 用户指南中的 DNS64 和 NAT64

规则

要为希望转发到您的网络上的 DNS 解析程序的查询指定域名,您可以创建一个或多个规则。每个规则指定一个域名。然后,您可以将规则与要将查询转发到您的网络的 VPC 关联。

有关更多信息,请参阅以下主题:

配置出站转发

要配置 Resolver 将源自您 VPC 中的 DNS 查询转发到您的网络,请执行以下步骤。

重要

创建出站端点后,您必须创建一个或多个规则并与一个或多个 VPC 关联。规则指定要转发到您的网络的 DNS 查询的域名。

创建出站端点

  1. 登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Outbound endpoints (出站端点)

  3. 在导航栏上,选择您要在其中创建出站端点的区域。

  4. 选择 Create outbound endpoint (创建出站端点)

  5. 输入适用的值。有关更多信息,请参阅创建或编辑出站端点时指定的值

  6. 选择 Create (创建)

    注意

    创建出站端点仅需一两分钟。在第一个出站端点创建完成之前,您无法创建另一个出站端点。

  7. 创建一个或多个规则,指定要转发到您网络的 DNS 查询的域名。有关该过程的更多信息,请参阅接下来的步骤。

要创建一个或多个转发规则,请执行以下步骤。

创建转发规则,并将规则与一个或多个 VPC 关联

  1. 登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Rules (规则)

  3. 在导航栏上,选择您想要在其中创建规则的区域。

  4. 请选择 Create rule (创建规则)

  5. 输入适用的值。有关更多信息,请参阅创建或编辑规则时指定的值

  6. 选择保存

  7. 要添加其它规则,请重复步骤 4 到 6。

创建或编辑出站端点时指定的值

创建或编辑出站端点时,您指定以下值:

端点名称

可在控制面板上轻松找到出站端点的友好名称。

region-name 区域中的 VPC

所有出站 DNS 查询将在到达您的网络之前流经此 VPC。

此端点的安全组

您希望用于控制对此 VPC 的访问的一个或多个安全组的 ID。您指定的安全组必须包含 Amazon 为该 VPC (VPC CIDR + 2) 提供的 DNS (UDP) 和 DNS (TCP) 的入站规则。对于在您网络上用于 DNS 查询的端口,出站规则必须允许该端口上的 TCP 和 UDP 访问。创建端点后,您无法再更改此值。

有关更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全组

IP 地址

您 VPC 中的 IP 地址,您希望 DNS 查询在到达您网络中的解析程序之前,Resolver 将此 DNS 查询转发到该地址。它们不是您的网络中的 DNS 解析程序的 IP 地址;您在创建与一个或多个 VPC 关联的规则时指定解析程序 IP 地址。您必须至少指定两个 IP 地址,以实现冗余配置。

请注意以下几点:

多个可用区域

我们建议您在至少两个可用区中指定 IP 地址。您可以选择在这些可用区或其他可用区中指定其他 IP 地址。

IP 地址和 Amazon VPC 弹性网络接口

对于您指定的可用区、子网和 IP 地址的每个组合,Resolver 将创建一个 Amazon VPC 弹性网络接口。有关针对端点中每个 IP 地址当前每秒处理的最大 DNS 查询数,请参阅Route 53 Resolver 的配额。有关每个弹性网络接口定价的信息,请参阅 Amazon Route 53 定价页面上的“Amazon Route 53”。

IP 地址的顺序

您可以按任意顺序指定 IP 地址。转发 DNS 查询时,Resolver 不会按照 IP 地址列出的顺序选择 IP 地址。

对于每个 IP 地址,指定以下值。每个 IP 地址必须位于在 VPC in the region-name Region (<区域名称> 区域中的 VPC) 所指定 VPC 的可用区中。

可用区:

希望 DNS 查询在到达您的网络之前经过的可用区。您指定的可用区必须配置有子网。

子网

其中包含希望 DNS 查询在到达您的网络之前源自的 IP 地址的子网。子网必须具有一个可用 IP 地址。

指定 IPv4 地址的子网。不支持 IPv6。

IP 地址

希望 DNS 查询在到达您的网络之前源自的 IP 地址。

选择您希望 Resolver 从指定子网的可用 IP 地址中为您选择一个 IP 地址,还是希望自行指定 IP 地址。

如果选择自行指定 IP 地址,请输入 IPv4 地址。不支持 IPv6。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456

这是 Amazon Billing and Cost Management 提供用于整理 Amazon 账单的标签。有关对成本分配使用标签的更多信息,请参阅 Amazon Billing and Cost Management 用户指南中的使用成本分配标签

创建或编辑规则时指定的值

创建或编辑转发规则时,您指定以下值:

规则名称

通过友好名称可在控制面板上轻松找到规则。

Rule type

选择适用的值:

  • 转发 — 当您希望将指定域名的 DNS 查询转发到您网络上的 DNS 解析程序时,请选择此选项。

  • 系统 — 当您希望 Resolver 选择地覆盖转发规则中定义的行为时,请选择此选项。创建了系统规则时,Resolver 会解析对指定子域的 DNS 查询,如果没有系统规则,就会由您网络上的 DNS 解析程序解析。

默认情况下,转发规则会应用到一个域名及其所有子域。如果您希望将对某个域的查询转发到您网络上的解析程序,但不想为某些子域转发查询,则为这些子域创建系统规则。例如,如果您为 example.com 创建一个转发规则,但不希望转发针对 acme.example.com 的查询,则可以创建系统规则,为域名指定 acme.example.com。

使用此规则的 VPC

使用此规则转发对指定的一个或多个域名的 DNS 查询的 VPC。可以将一个规则应用于所需数目的 VPC。

域名

此域名的 DNS 查询将转发到您在 Target IP addresses (目标 IP 地址) 中指定的 IP 地址。有关更多信息,请参阅Resolver 如何确定查询中的域名是否与任何规则匹配

出站端点

Resolver 将 DNS 查询,通过您在此处指定的出站端点,转发到在 Target IP addresses(目标 IP 地址)中指定的 IP 地址。

目标 IP 地址

如果 DNS 查询与您在 Domain name (域名) 中指定的名称匹配,出站端点会将查询转发到您在此处指定的 IP 地址。这些通常是您网络上 DNS 解析程序的 IP 地址。

Target IP addresses (目标 IP 地址) 仅在 Rule type (规则类型) 的值为 Forward (转发) 时可用。

指定 IPv4 地址。不支持 IPv6。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456

这是 Amazon Billing and Cost Management 提供用于整理 Amazon 账单的标签。有关对成本分配使用标签的更多信息,请参阅 Amazon Billing and Cost Management 用户指南中的使用成本分配标签