将出站 DNS 查询转发到您的网络 - Amazon Route 53
配置出站转发创建或编辑出站端点时指定的值创建或编辑规则时指定的值
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将出站 DNS 查询转发到您的网络

要将来自一个或多个 Amazon EC2 实例的 DNS 查询转发 VPCs 到您的网络,您需要创建一个出站终端节点和一条或多条规则:

出站端点

要将您的 DNS 查询转发 VPCs 到您的网络,您需要创建一个出站终端节点。出站端点指定发起查询的 IP 地址。您从 VPC 可用的 IP 地址范围中选择的这些 IP 地址不是公有 IP 地址。这意味着,对于每个出站端点,您需要使用 Amazon Direct Connect 连接、VPN 连接或网络地址转换 (NAT) 网关来将 VPC 连接到网络。请注意,您可以为同一地区的多个 VPCs 出站终端节点使用相同的出站终端节点,也可以创建多个出站终端节点。如果您希望使用您的出站终端节点 DNS64,则可以 DNS64 使用 Amazon Virtual Private Cloud 启用。有关更多信息,请参阅 Amazon VPC 用户指南 NAT64中的DNS64 和

Route 53 Resolver 规则中的目标 IP 由 Resolver 随机选择,其在选择特定目标 IP 上没有偏好。如果目标 IP 未响应转发的 DNS 请求,则解析器将重试目标中的随机 IP 地址。 IPs

确保所有目标 IP 地址都可以从解析器端点访问。如果 Resolver 无法将出站 DNS 查询转发到任何目标 IP,则可能会导致 DNS 解析时间延长。

规则

要为希望转发到您的网络上的 DNS 解析程序的查询指定域名,您可以创建一个或多个规则。每个规则指定一个域名。然后,您可以将规则与要向您的网络转发查询的规则相关联。 VPCs

有关更多信息,请参阅以下主题:

配置出站转发

要配置 Resolver 将源自您 VPC 中的 DNS 查询转发到您的网络,请执行以下步骤。

重要

创建出站终端节点后,必须创建一个或多个规则并将其与一个或多个规则相关联 VPCs。规则指定要转发到您的网络的 DNS 查询的域名。

创建出站端点

  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Outbound endpoints (出站端点)

  3. 在导航栏上,选择您要在其中创建出站端点的区域。

  4. 选择 Create outbound endpoint (创建出站端点)

  5. 输入适用的值。有关更多信息,请参阅 创建或编辑出站端点时指定的值

  6. 选择创建

    注意

    创建出站端点仅需一两分钟。在第一个出站端点创建完成之前,您无法创建另一个出站端点。

  7. 创建一个或多个规则,指定要转发到您网络的 DNS 查询的域名。有关该过程的更多信息,请参阅接下来的步骤。

要创建一个或多个转发规则,请执行以下步骤。

创建转发规则并将这些规则与一个或多个规则关联 VPCs

  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择规则

  3. 在导航栏上,选择您想要在其中创建规则的区域。

  4. 选择创建规则

  5. 输入适用的值。有关更多信息,请参阅 创建或编辑规则时指定的值

  6. 选择 Save

  7. 要添加其它规则,请重复步骤 4 到 6。

创建或编辑出站端点时指定的值

创建或编辑出站端点时,您指定以下值:

Outpost ID

如果您要在 Amazon Outposts VPC 上为解析器创建终端节点,则这是 Amazon Outposts ID。

端点名称

可在控制面板上轻松找到出站端点的友好名称。

region-name 区域中的 VPC

所有出站 DNS 查询将在到达您的网络之前流经此 VPC。

此端点的安全组

您希望用于控制对此 VPC 的访问的一个或多个安全组的 ID。所指定的安全组必须包含一个或多个出站规则。对于在您网络上用于 DNS 查询的端口,出站规则必须允许该端口上的 TCP 和 UDP 访问。创建端点后,您无法再更改此值。

某些安全组规则会导致连接受到跟踪,并可能影响每秒内从出站端点到目标名称服务器发出的最大查询次数。为避免安全组导致的连接跟踪,请参阅未跟踪的连接

有关更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全组

端点类型

端点类型可以是 IPv4 IPv6、或双栈 IP 地址。对于双栈终端节点,该终端节点将同时包含 IPv4 和 IPv6 地址,您的网络上的 DNS 解析器可以将 DNS 查询转发到该地址。

注意

出于安全考虑,我们拒绝所有双栈和 IPv6 IP 地址的直接 IPv6 流量访问公共互联网。

IP 地址

您 VPC 中的 IP 地址,您希望 DNS 查询在到达您网络中的解析程序之前,Resolver 将此 DNS 查询转发到该地址。这些不是您网络上 DNS 解析器的 IP 地址;您在创建与一个或多个关联的规则时指定解析器 IP 地址。 VPCs您必须至少指定两个 IP 地址,以实现冗余配置。

注意

Resolver 端点具有私有 IP 地址。这些 IP 地址在端点的生命周期内不会发生变化。

请注意以下几点:

多个可用区域

我们建议您在至少两个可用区中指定 IP 地址。您可以选择在这些可用区或其他可用区中指定其他 IP 地址。

IP 地址和 Amazon VPC 弹性网络接口

对于您指定的可用区、子网和 IP 地址的每个组合,Resolver 将创建一个 Amazon VPC 弹性网络接口。有关针对端点中每个 IP 地址当前每秒处理的最大 DNS 查询数,请参阅Route 53 Resolver 的配额。有关每个弹性网络接口定价的信息,请参阅 Amazon Route 53 定价页面上的“Amazon Route 53”。

IP 地址的顺序

您可以按任意顺序指定 IP 地址。转发 DNS 查询时,Resolver 不会按照 IP 地址列出的顺序选择 IP 地址。

对于每个 IP 地址,指定以下值。每个 IP 地址必须位于在 VPC in the region-name Region (<区域名称> 区域中的 VPC) 所指定 VPC 的可用区中。

可用区

希望 DNS 查询在到达您的网络之前经过的可用区。您指定的可用区必须配置有子网。

子网

其中包含希望 DNS 查询在到达您的网络之前源自的 IP 地址的子网。子网必须具有一个可用 IP 地址。

子网 IP 地址必须与端点类型相匹配。

IP 地址

希望 DNS 查询在到达您的网络之前源自的 IP 地址。

选择您希望 Resolver 从指定子网的可用 IP 地址中为您选择一个 IP 地址,还是希望自行指定 IP 地址。

如果您选择自己指定 IP 地址,请输入 IPv4 或 IPv6 地址,或同时输入两者。

协议

端点协议决定如何从出站端点传输数据。根据所需的安全级别选择一个或多个协议。

  • Do53:(默认)使用 Route 53 Resolver 中继数据,无需额外加密。虽然外部各方无法读取数据,但可以在 Amazon 网络内查看该数据。

  • DoH:通过加密的 HTTPS 会话传输数据。DoH 可提升安全性,其中未经授权的用户无法解密数据,并且除预期接收方外,任何人都无法读取数据。

对于出站端点,可以按以下方式应用协议:

  • 结合使用 Do53 和 DoH。

  • 单独使用 Do53。

  • 单独使用 DoH。

  • 无,即视为 Do53。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456

创建或编辑规则时指定的值

创建或编辑转发规则时,您指定以下值:

Rule name(规则名称)

通过友好名称可在控制面板上轻松找到规则。

Rule type

选择适用的值:

  • 转发 — 当您希望将指定域名的 DNS 查询转发到您网络上的 DNS 解析程序时,请选择此选项。

  • 系统 — 当您希望 Resolver 选择地覆盖转发规则中定义的行为时,请选择此选项。创建了系统规则时,Resolver 会解析对指定子域的 DNS 查询,如果没有系统规则,就会由您网络上的 DNS 解析程序解析。

默认情况下,转发规则会应用到一个域名及其所有子域。如果您希望将对某个域的查询转发到您网络上的解析程序,但不想为某些子域转发查询,则为这些子域创建系统规则。例如,如果您为 example.com 创建一个转发规则,但不希望转发针对 acme.example.com 的查询,则可以创建系统规则,为域名指定 acme.example.com。

VPCs 那些使用这条规则的人

使用 VPCs 此规则转发对指定域名或名称的 DNS 查询的。您可以根据需要将规则应用于 VPCs 任意数量。

域名

此域名的 DNS 查询将转发到您在 Target IP addresses (目标 IP 地址) 中指定的 IP 地址。有关更多信息,请参阅 Resolver 如何确定查询中的域名是否与任何规则匹配

出站端点

Resolver 将 DNS 查询,通过您在此处指定的出站端点,转发到在 Target IP addresses(目标 IP 地址)中指定的 IP 地址。

目标 IP 地址

如果 DNS 查询与您在 Domain name (域名) 中指定的名称匹配,出站端点会将查询转发到您在此处指定的 IP 地址。这些通常是您网络上 DNS 解析程序的 IP 地址。

Target IP addresses (目标 IP 地址) 仅在 Rule type (规则类型) 的值为 Forward (转发) 时可用。

指定 IPv4 要用于终端节点 IPv6 的地址、协议和 ServerNameIndication 协议。 ServerNameIndication 仅当所选协议为 DoH 时才适用。

不支持通过出站端点解析网络上 DoH 解析程序的 FQDN 的目标 IP 地址。出站端点需要有网络上 DoH 解析程序的目标 IP 地址才能转发 DoH 查询。如果您网络上的 DoH 解析器需要在 TLS SNI 和 HTTP 主机标头中提供 FQDN,ServerNameIndication 则必须提供。

ServerNameIndication

想要转发查询的目标 DoH 服务器的服务器名称指示。此选项仅用于协议为 DoH 的情况。

标签

指定一个或多个键及对应的值。例如,您可以为 Key(密钥)指定 Cost center(成本中心),并为 Value(值)指定 456

这些是 Amazon 账单与成本管理 用于整理 Amazon 账单的标签。有关对成本分配使用标签的更多信息,请参阅 Amazon Billing 用户指南中的使用成本分配标签