View a markdown version of this page

Valores especificados ao criar ou editar endpoints de entrada - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Valores especificados ao criar ou editar endpoints de entrada

Ao criar ou editar um endpoint de entrada, especifique os seguintes valores:

ID do Posto Avançado

Se você estiver criando o endpoint para um resolvedor de VPC em uma AWS Outposts VPC, esse é o ID. AWS Outposts

Nome do endpoint

Um nome amigável que permite encontrar facilmente um endpoint de entrada no painel.

Categoria do endpoint

Escolha Padrão ou Delegação. Quando a categoria é Padrão, o resolvedor na rede encaminha as solicitações de DNS ao endereço IP do endpoint de entrada. Quando a categoria é Delegação, a autoridade de um domínio é delegada ao VPC Resolver.

VPC na Região region-name

Todas as consultas DNS de entrada da sua rede passam por essa VPC a caminho do VPC Resolver.

Grupo de segurança para este endpoint

O ID de um ou mais grupos de segurança que deseja usar para controlar o acesso a essa VPC. O grupo de segurança especificado deve incluir uma ou mais regras de entrada. As regras de entrada devem permitir o acesso TCP e UDP na porta 53. Se estiver usando o protocolo DoH, também será necessário permitir a porta 443 no grupo de segurança. Você não pode alterar esse valor depois de criar o endpoint.

Algumas regras de grupo de segurança farão com que sua conexão seja rastreada e o total máximo de consultas por segundo por endereço IP para um endpoint de entrada pode ser até 1.500 apenas. Para evitar rastreamento de conexão causado por um grupo de segurança, consulte Conexões não rastreadas.

nota

Para adicionar vários grupos de segurança, use o AWS CLI comandocreate-resolver-endpoint. Para obter mais informações, consulte create-resolver-endpoint

Para mais informações, consulte Grupos de segurança para a VPC no Guia do usuário da Amazon VPC.

Endpoint type

O tipo de endpoint pode ser endereços IP IPv4, IPv6 ou de pilha dupla. Para um endpoint de pilha dupla, o endpoint terá endereços IPv4 e IPv6 para os quais o resolver de DNS na rede pode encaminhar a consulta ao DNS.

nota

Por motivos de segurança, estamos negando acesso direto ao tráfego IPv6 da Internet pública para todos os endereços IP IPv6 e de pilha dupla.

Endereços IP

Os endereços IP para os quais deseja que os resolvedores de DNS encaminhem as consultas de DNS. Exigimos que você especifique um mínimo de dois endereços IP para redundância. Se você criou um endpoint de entrada de delegação, use esses endereços IP como registros NS de cola para o subdomínio para o qual você deseja delegar a autoridade ao VPC Resolver. Observe o seguinte:

Várias zonas de disponibilidade

É recomendável especificar endereços IP em pelo menos duas zonas de disponibilidade. Opcionalmente, você pode especificar endereços IP adicionais nessas ou em outras zonas de disponibilidade.

Endereços IP e interfaces de rede elástica da Amazon VPC

Para cada combinação de zona de disponibilidade, sub-rede e endereço IP que você especificar, o VPC Resolver cria uma interface de rede elástica Amazon VPC. Para saber o atual número máximo de consultas de DNS por segundo por endereço IP em um endpoint, consulte Cotas no Route 53 VPC Resolver. Para obter informações sobre os preços de cada interface de rede elástica, consulte “Amazon Route 53”, na página de preços do Amazon Route 53.

nota

O endpoint do Resolver tem um endereço IP privado. Esses endereços IP não mudarão ao longo da vida útil de um endpoint.

Para cada endereço IP, especifique os valores a seguir. Cada endereço IP deve estar em uma zona de disponibilidade na VPC especificada em VPC na região region-name (nome da região).

Zona de disponibilidade

A zona de disponibilidade pelas quais você deseja que as consultas de DNS passem a caminho de sua VPC. A zona de disponibilidade especificada deve ser configurada com uma sub-rede.

Sub-rede

A sub-rede que contém os endereços IP que você deseja atribuir às ENIs de endpoint do Resolver. Esses são os endereços para os quais você enviará as consultas ao DNS. A sub-rede deve ter um endereço IP disponível.

O endereço IP da sub-rede deve corresponder ao Tipo de endpoint.

IP address (endereço de IP)

O endereço IP que você deseja atribuir aos endpoints de entrada.

Escolha se você deseja que o VPC Resolver escolha um endereço IP para você dentre os endereços IP disponíveis na sub-rede especificada ou se deseja especificar o endereço IP você mesmo.

Se decidir especificar você mesmo o endereço IP, insira um endereço IPv4 ou IPv6, ou ambos.

Protocolos

O protocolo do endpoint determina como os dados são transmitidos ao endpoint de entrada. Escolha um ou mais protocolos dependendo do nível de segurança necessário.

  • Do53: (Padrão) Os dados são retransmitidos usando o Route 53 VPC Resolver sem criptografia adicional. Embora os dados não possam ser lidos por terceiros, eles podem ser visualizados nas AWS redes. Este é o único protocolo disponível atualmente para a categoria de endpoint de entrada de Delegação.

  • DoH: os dados são transmitidos em uma sessão HTTPS criptografada. O DoH adiciona mais um nível de segurança em que os dados não podem ser descriptografados por usuários não autorizados e não podem ser lidos por ninguém, a não ser pelo destinatário pretendido.

  • DoH-FIPS: os dados são transmitidos por uma sessão HTTPS criptografada compatível com o padrão criptográfico FIPS 140-2. Compatível apenas com endpoints de entrada. Para obter mais informações, consulte FIPS PUB 140-2.

    nota

    Para endpoints de DoH/DoH-FIPS entrada, há um problema conhecido com a publicação incorreta do IP de origem no registro de consultas do VPC Resolver.

Para um endpoint de entrada, você pode aplicar os protocolos da seguinte maneira:

  • Do53 e DoH combinados.

  • Do53 e DoH-FIPS em combinação.

  • D53 sozinho.

  • DoH sozinho.

  • DoH-FIPS sozinho.

  • Nenhum, que é tratado como Do53.

Importante

Você não pode alterar o protocolo de um endpoint de entrada diretamente de apenas Do53 para somente DoH, ou. DoH-FIPS Isso evita uma interrupção repentina no tráfego de entrada que usa o Do53. Para alterar o protocolo de Do53 para DoH, ou DoH-FIPS, você deve primeiro habilitar Do53 e DoH, ou Do53 e DoH-FIPS, para garantir que todo o tráfego de entrada tenha sido transferido para o uso do protocolo DoH ou DoH-FIPS, em seguida, remover o Do53.

DNS64

Ative o DNS64 para permitir que o VPC Resolver sintetize registros AAAA (IPv6) para serviços. IPv4-only Quando um IPv6-only cliente consulta um serviço que não tem endereço IPv6, o VPC Resolver sintetiza um endereço IPv6 adicionando o prefixo conhecido ao endereço IPv4. 64:ff9b::/96 Isso permite que IPv6-only os clientes que enviam consultas por meio do endpoint de entrada acessem os serviços. IPv4-only O DNS64 trabalha com o NAT64 para fornecer uma tradução completa. IPv6-to-IPv4

Para obter mais informações, consulte DNS64 e NAT64, no Guia do usuário da Amazon VPC.

Tags

Especifique uma ou mais chaves e os valores correspondentes. Por exemplo, você pode especificar o Cost center (Centro de custo) para Key (Chave) e especificar 456 para Value (Valor).