如何解析使用客户端 VPN 的私有托管区域中的资源记录?

上次更新时间:2020 年 4 月 27 日

我正在创建一个 AWS Client VPN 终端节点。我需要允许最终用户(连接到客户端 VPN 的客户端)查询我的 Amazon Route 53 私有托管区域中托管的资源记录。该如何操作?

解决方法

为了允许最终用户查询使用客户端 VPN 的私有托管区域中的记录:

  1. 确认您已在您的 Amazon Virtual Private Cloud (Amazon VPC) 中启用了“DNS 解析”和“DNS 主机名”。必须启用这些设置才能访问私有托管区域。有关更多信息,请参阅查看和更新您的 VPC 的 DNS 支持
  2. 如果尚未创建,则创建客户端 VPN 终端节点。请务必使用进行 DNS 解析查询的最终用户可访问的 DNS 服务器 IP 地址配置“DNS 服务器 IP 地址”参数。或者,您也可以修改现有客户端 VPN 终端节点以更新 DNS 服务器设置。

根据您的服务器配置,以及您为“DNS 服务器 IP 地址”参数指定的值,私有托管区域的域分辨率会发生变化:

  • 使用 Amazon DNS 服务器(VPC IPv4 网络范围 + 2)– 最终用户可以解析与 VPC 关联的私有托管区域中的资源记录。
  • 使用与客户端 VPN 终端节点的关联 VPC 位于相同 VPC 中的自定义 DNS 服务器 – 您可以配置自定义 DNS 服务器来响应 DNS 查询。要解析资源记录,请将自定义 DNS 服务器配置为转发器以将私有托管域的 DNS 查询转发到默认 VPC 的 DNS 解析器。要将自定义 DNS 服务器用于 VPC 中的所有资源,请确保相应地配置 DHCP 选项
    注意:自定义 DNS 服务器还可能驻留在对等 VPC 中。在这种情况下,自定义 DNS 服务器配置与上面的相同。请务必关联这两个 VPC 中的私有托管区域
  • 使用位于本地的自定义 DNS 服务器,且客户端 VPN 中的“DNS 服务器 IP 地址”参数为已禁用/空白 – 私有托管区域的域 DNS 查询转发到 Route 53 入站解析器。您必须在本地自定义 DNS 服务器中创建条件转发规则,以通过 AWS Direct Connect 或 AWS 站点到站点 VPN 将查询转发到 VPC 中的 Route 53 入站解析器的 IP 地址。
    注意:如果当客户端 VPN 连接建立时客户端设备没有指向本地 DNS 服务器的路由,则 DNS 查询失败。在这种情况下,您必须在客户端设备的路由表上手动添加指向自定义本地 DNS 服务器的首选静态路由。
  • “DNS 服务器 IP 地址”参数已禁用 – 客户端设备使用本地 DNS 解析器来解析 DNS 查询。如果您的本地解析器设置为公共 DNS 解析器,则您无法解析私有托管区域中的记录。

注意:以下内容分别适用于四个类型的 DNS 服务器配置:

  • 如果启用了完整隧道模式,则通过 VPN 隧道的所有流量的路由将添加到客户端设备的路由表。如果授权规则相应路由已添加到客户端 VPN 终端节点的关联子网路由表,最终用户可以连接到 Internet。
  • 如果启用了分离隧道模式,则客户端 VPN 终端节点的路由表中的路由将添加到该客户端设备的路由表。

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?