本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # VPC 解析器的最佳实践 本节提供优化 Amazon Route 53 VPC 解析器的最佳实践,涵盖以下主题: 1. **避免使用 Resolver 端点循环配置:** + 确保同一 VPC 不会同时与 Resolver 规则及其入站端点相关联,从而防止路由循环。 + 利用 AWS RAM 它在账户 VPCs 之间共享,同时保持正确的路由配置。 有关更多信息,请参阅 [避免使用 Resolver 端点循环配置](best-practices-resolver-endpoints.md)。 1. **Resolver 端点扩展:** + 实施根据连接状态允许通信的安全组规则,以减少连接跟踪开销 + 遵循针对入站和出站 Resolver 端点的推荐安全组规则,最大程度地提高查询吞吐量。 + 监控生成 DNS 流量的唯一 IP 地址和端口组合,避免出现容量限制。 有关更多信息,请参阅 [Resolver 端点扩展](best-practices-resolver-endpoint-scaling.md)。 1. **Resolver 端点的高可用性:** + 创建入站端点,采用至少两个可用区中的 IP 地址以实现冗余。 + 配置额外的网络接口,以确保维护或流量激增期间的可用性 有关更多信息,请参阅 [解析程序端点的高可用性](best-practices-resolver-endpoint-high-availability.md)。 1. **防止 DNS 区域步行攻击:** + 注意潜在的 DNS 区域步行攻击,攻击者会试图从 DNSSEC 签名的 DNS 区域检索所有内容。 + 如果您的终端由于怀疑区域行走而出现限流,请联系 Support AWS 寻求帮助。 有关更多信息,请参阅 [DNS 区域步行](best-practices-resolver-zone-walking.md)。 通过遵循这些最佳实践,您可以优化 VPC Resolver 部署的性能、可扩展性和安全性,从而确保您的应用程序和资源可靠、高效地解析 DNS。