本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Resolver 端點擴展
<a name="best-practices-resolver-endpoint-scaling"></a>

Resolver 端點安全群組使用連線追蹤來來收集傳入和流出端點的相關資訊。每個端點截面都有可以追蹤的連線數目上限，而且大量的 DNS 查詢可能會超過連線數，引發調節和查詢丟失。連線追蹤是監控流經安全群組 (SGs) 之流量狀態 AWS的預設行為。在 SGs 中使用連線追蹤將降低流量的輸送量，不過，您可以實作未追蹤的連線，以減少額外負荷並改善效能。如需詳細資訊，請參閱[未追蹤連線](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)。

如果使用限制性安全群組規則強制執行連線追蹤，或透過 Network Load Balancer 路由查詢 （請參閱[自動追蹤連線](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking))，端點的每個 IP 地址每秒的整體查詢上限可能低至 1500。

**傳入解析程式端點的傳入和傳出安全群組規則建議**


****  

| 
| 
| **傳入規則** | 
| --- |
| 通訊協定類型 | 連接埠號碼 | 來源 IP | 
| TCP  | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 
| **輸出規則** | 
| --- |
| 通訊協定類型 | 連接埠號碼 | 目標 IP | 
| TCP | All | 0.0.0.0/0 | 
| UDP | All | 0.0.0.0/0 | 

**傳出解析程式端點的傳入和傳出安全群組規則建議**


****  

| 
| 
| **傳入規則** | 
| --- |
| 通訊協定類型 | 連接埠號碼 | 來源 IP | 
| TCP  | All | 0.0.0.0/0 | 
| UDP | All | 0.0.0.0/0 | 
| **輸出規則** | 
| --- |
| 通訊協定類型 | 連接埠號碼 | 目標 IP | 
| TCP | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 

**注意**  
**安全群組連接埠需求：**  
**傳入端點**需要輸入規則，允許連接埠 53 上的 TCP 和 UDP 從網路接收 DNS 查詢。輸出規則可以允許所有連接埠，因為端點可能需要回應來自各種來源連接埠的查詢。
**傳出端點**需要輸出規則，允許 TCP 和 UDP 存取您用於網路上 DNS 查詢的連接埠。連接埠 53 如上述範例所示，因為它是最常見的 DNS 連接埠，但您的網路可能會使用不同的連接埠。輸入規則可以允許所有連接埠容納來自 DNS 伺服器的回應。

**傳入 Resolver 端點**

對於使用傳入 Resolver 端點的用戶端，如果您有超過 40,000 個唯一 IP 地址和連接埠組合產生 DNS 流量，彈性網路介面的容量就將受到影響。