View a markdown version of this page

Valori specificati durante la creazione o la modifica di endpoint in entrata - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valori specificati durante la creazione o la modifica di endpoint in entrata

Quando crei o modifichi un endpoint in entrata, devi specificare i seguenti valori:

ID Outpost

Se stai creando l'endpoint per un VPC Resolver su AWS Outposts un VPC, questo è l'ID. AWS Outposts

Nome endpoint

Un nome descrittivo che ti consenta di trovare facilmente un endpoint in entrata nel pannello di controllo.

Categoria di endpoint

Scegli Predefinito o Delega. Quando la categoria è impostata su Predefinita, il resolver della rete inoltra le richieste DNS all'indirizzo IP dell'endpoint in entrata. Quando la categoria è Delega, l'autorità per un dominio viene delegata al VPC Resolver.

VPC nella regione region-name.

Tutte le query DNS in entrata dalla rete passano attraverso questo VPC fino a VPC Resolver.

Gruppo di sicurezza per questo endpoint

L'ID di uno o più gruppi di sicurezza che si desidera utilizzare per controllare l'accesso a questo VPC. Il gruppo di sicurezza specificato deve includere una o più regole in entrata. Le regole in entrata devono autorizzare l'accesso TCP e UDP sulla porta 53. Se si utilizza il protocollo DoH, sarà inoltre necessario consentire la porta 443 nel gruppo di sicurezza. Non è possibile modificare questo valore dopo aver creato l'endpoint.

Alcune regole del gruppo di sicurezza consentiranno il tracciamento della connessione e il numero massimo complessivo di query al secondo per indirizzo IP per un endpoint in entrata può essere pari a 1500. Per evitare il tracciamento delle connessioni causato da un gruppo di sicurezza, vedi Connessioni non tracciate.

Nota

Per aggiungere più gruppi di sicurezza, usa il AWS CLI comando. create-resolver-endpoint Per ulteriori informazioni, consulta create-resolver-endpoint

Per ulteriori informazioni, consultare Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

Tipo di endpoint

Il tipo di endpoint può essere un indirizzo IP IPv4, IPv6 o dual-stack. Nel caso di un endpoint dual-stack, l'endpoint avrà indirizzi sia IPv4 sia IPv6 a cui il resolver DNS può inoltrare la query DNS sulla tua rete.

Nota

Per motivi di sicurezza, stiamo negando l'accesso diretto al traffico IPv6 dalla rete Internet pubblica per tutti gli indirizzi IP dual-stack e IPv6.

Indcirizzi IP

Gli indirizzi IP a cui vuoi che i resolver DNS sulla rete inoltrino le query DNS. Richiediamo di specificare un minimo di due indirizzi IP per la ridondanza. Se hai creato un endpoint di delega in entrata, usa questi indirizzi IP come record NS collante per il sottodominio per il quale desideri delegare l'autorità a VPC Resolver. Tenere presente quanto segue:

Zone di disponibilità multiple

Consigliamo di specificare indirizzi IP in almeno due zone di disponibilità. È anche possibile specificare ulteriori indirizzi IP in quelle o in altre zone di disponibilità.

Indirizzi IP e interfacce di rete elastiche di Amazon VPC

Per ogni combinazione di zona di disponibilità, sottorete e indirizzo IP specificata, VPC Resolver crea un'interfaccia di rete elastica Amazon VPC. Per quanto riguarda il numero massimo di query DNS al secondo per ogni indirizzo IP in un endpoint, consulta Quote sul Resolver VPC Route 53. Per informazioni sui prezzi per ogni interfaccia di rete elastica, consulta "Amazon Route 53" nella Pagina dei prezzi di Amazon Route 53.

Nota

L'endpoint del risolutore ha un indirizzo IP privato. Questi indirizzi IP non cambieranno nel corso della vita di un endpoint.

Per ogni indirizzo IP, specifica i seguenti valori. Ogni indirizzo IP deve trovarsi in una zona di disponibilità del VPC specificato in VPC in the region-name Region (VPC nella regione region-name).

Zona di disponibilità

La zona di disponibilità nella quale desideri che le query DNS passino in direzione del VPC. La zona di disponibilità specificata deve essere configurata con una sottorete.

Sottorete

La sottorete che contiene gli indirizzi IP da assegnare agli ENI dell'endpoint Resolver. Questi sono gli indirizzi a cui invierai le query DNS. La sottorete deve avere a disposizione un indirizzo IP.

L'indirizzo IP della sottorete deve corrispondere al Tipo di endpoint.

IP address (Indirizzo IP)

L'indirizzo IP che desideri assegnare agli endpoint in entrata.

Scegli se vuoi che VPC Resolver scelga un indirizzo IP per te tra gli indirizzi IP disponibili nella sottorete specificata o se desideri specificare tu stesso l'indirizzo IP.

Se scegli di specificare tu stesso l'indirizzo IP, inserisci un indirizzo IPv4 o IPv6 o entrambi.

Protocolli

Il protocollo dell'endpoint determina il modo in cui i dati vengono trasmessi all'endpoint in entrata. Scegliete uno o più protocolli, a seconda del livello di sicurezza necessario.

  • Do53: (impostazione predefinita) I dati vengono inoltrati utilizzando il VPC Resolver Route 53 senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, possono essere visualizzati all'interno delle reti. AWS Questo è l'unico protocollo attualmente disponibile per la categoria di endpoint in entrata Delegation.

  • DoH: i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.

  • DoH-FIPS: I dati vengono trasmessi tramite una sessione HTTPS crittografata conforme allo standard crittografico FIPS 140-2. Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, consulta FIPS PUB 140-2.

    Nota

    Per gli endpoint DoH/DoH-FIPS in entrata, esiste un problema noto a causa della pubblicazione di un IP di origine errato nella registrazione delle query di VPC Resolver.

Per un endpoint in entrata, è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • DoH-FIPS Do53 e in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • DoH-FIPS da solo.

  • Nessuno, il che equivale a Do53.

Importante

Non è possibile modificare il protocollo di un endpoint in entrata direttamente dal solo Do53 al solo DoH, oppure. DoH-FIPS Ciò serve a prevenire un'interruzione improvvisa del traffico in entrata basato su Do53. Per modificare il protocollo da Do53 a DoH, oppure DoH-FIPS, devi prima abilitare sia Do53 che DoH o Do53 e, per assicurarti che tutto il traffico in entrata sia passato all'utilizzo del protocollo DoH DoH-FIPS, oppure, e quindi rimuovere il Do53. DoH-FIPS

DNS64

Abilita DNS64 per consentire a VPC Resolver di sintetizzare i record AAAA (IPv6) per i servizi. IPv4-only Quando un IPv6-only client richiede un servizio che non ha un indirizzo IPv6, VPC Resolver sintetizza un indirizzo IPv6 anteponendo il prefisso noto all'indirizzo IPv4. 64:ff9b::/96 Ciò consente ai IPv6-only client che IPv4-only inviano query tramite l'endpoint in entrata di accedere ai servizi. DNS64 collabora con NAT64 per fornire una traduzione completa. IPv6-to-IPv4

Per ulteriori informazioni, consultare IDNS64 and NAT64 nella Guida per l'utente di Amazon VPC.

Tag

Specificate una o più chiavi e i valori corrispondenti. Ad esempio, è possibile specificare Cost center (Centro di costo) per Key (Chiave) e specificare 456 per Value (Valore).