如何設定 Route 53 解析器出埠端點，以從我的 VPC 中的資源解析遠端網路上託管的 DNS 記錄？

2 分的閱讀內容

我想要設定 Amazon Route 53 Resolver 出埠端點來解析 DNS 記錄。在我的 Amazon Virtual Private Cloud (Amazon VPC) 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的遠端網路上託管這些記錄。

簡短說明

使用 Amazon VPC 建立的 VPC 會接收來自 Route 53 Resolver 的自動 DNS 解析。您可以設定解析器，將網域名稱的 DNS 查詢從 Amazon VPC 中的 EC2 執行個體轉遞至遠端網路上的 DNS 解析器。

若要轉遞 DNS 查詢，請建立下列各項：

傳送 DNS 查詢至遠端網路的「出埠端點」。
解析器規則是指定 DNS 查詢的網域名稱，該查詢是由解析器轉遞至遠端 DNS 伺服器。

解決方案

先決條件

為與解析器規則相關聯的 VPC 開啟 DNS 支援屬性中的 DNS 解析。
如果您在 VPC 中使用自訂 DNS 伺服器：將 DNS 伺服器設定為有條件地將適用網域名稱的 DNS 查詢轉遞至解析器。自訂 DNS 伺服器必須以 VPC IPv4 網路範圍加二基礎使用保留 IP 地址。
如果您未在 VPC 中使用自訂 DNS 伺服器：將 DHCP 選項中的「網域名稱伺服器」設為下列其中一項：
- AmazonProvidedDNS
- 以 VPC IPv4 網路範圍加二基礎的保留 IP 地址

設定出埠端點

開啟 Route 53 主控台。
在導覽窗格中，選擇「出埠端點」。
在導覽列上，選擇您想要在其中建立出埠端點的 VPC 的「區域」。
選擇「建立出埠端點」。
在「建立出埠端點」頁面上，完成「出埠端點的一般設定」區段。選擇允許出埠 TCP 和 UDP 連線至下列項目的「安全群組」：
- 解析器用於遠端網路上 DNS 查詢的 IP 位址。
- 解析器用於遠端網路上 DNS 查詢的連接埠。
完成「IP 地址」區段。您可以設定解析器，為您從子網路的可用 IP 地址中選擇 IP 地址。或者，您可以指定 IP 地址。針對 DNS 查詢，請選擇兩個 (最少) 和六個 (最多) 之間的 IP 地址。最佳實務是在至少兩個不同的可用區域中選擇 IP 地址。對於「子網路」，選擇具有對應地址的子網路：

路由表包含使用 AWS Direct Connect、VPN 連線或網路位址轉譯 (NAT) 閘道遞送至遠端網路上 DNS 解析器的 IP 地址。
網路存取控制清單 (ACL) 允許 UDP 和 TCP 流量傳輸到解析器用來在遠端網路上進行 DNS 查詢的 IP 地址和連接埠。而且，允許來自目標連接埠範圍 1024-65535 上解析器流量的網路 ACL。

(選用) 完成「標籤」區段。
選擇「提交」。

設定解析器規則

若要建立新規則：

開啟 Route 53 主控台。
從 Route 53 導覽窗格中選擇「規則」。
在導覽列上，選擇新建出埠端點所在的「區域」。
選擇「建立規則」。
在「建立規則」頁面上，完成「出埠流量規則」區段。針對「規則類型」，設定轉遞規則，並將其與將 DNS 查詢轉遞至遠端網路的 VPC 建立關聯。對於「出埠端點」，選擇您剛建立的出埠端點。
**注意事項：**與此規則關聯的 VPC 不需要與您建立出埠端點的 VPC 相同。
完成「IP 地址」區段。對於「IP 地址」，請指定遠端網路上 DNS 解析器的 IP 地址。對於「連接埠」，請指定這些解析器用於 DNS 查詢的連接埠。
**注意事項：**解析器會將符合此規則且源自與此規則相關聯的 VPC 的任何 DNS 查詢轉遞至參考的出埠端點。因此，這些查詢會轉遞至您在「IP 地址」區段中指定的目標 IP 地址。
(選用) 完成「標籤」區段。
選擇「提交」。

若要使用現有的規則：

**如果您的帳戶中的 VPC 在相同區域中已有相同網域的規則：**請將規則與 VPC 建立關聯，而不要建立新規則。從規則儀表板中選取規則，並將其與區域中適用的 VPC 建立關聯。
如果在相同區域中已有與您 VPC 相同網域的規則，但在不同的帳戶中：使用 AWS Resource Access Manager 以將來自遠端帳戶的規則與您的帳戶共用。共用規則時，您還會共用對應的出埠端點。與帳戶共用規則後，請從規則儀表板選取規則，並將其與帳戶中的 VPC 建立關聯。

**注意事項：**無需網路連線，即可將 DNS 查詢從與解析器規則相關聯的 VPC 轉遞至出埠端點所在的 VPC。無論 VPC 是否在同一個帳戶中，都是如此。僅需要從出埠端點所在的 VPC 到 DNS 解析器的網路連線。