如何使用 AWS Directory Service 解析 VPN 上的 Route 53 私有托管区域?
上次更新时间:2019 年 5 月 30 日
我这里有一个 Amazon Route 53 私有托管区域,并希望通过 VPN 访问它。如何使用 AWS Directory Service 来执行此操作?
简短描述
Route 53 私有托管区域名称服务器只响应来自 AWS DNS 服务器的查询。要从本地基础设施直接解析私有区域,不妨考虑使用 Simple Active Directory (Simple AD)。您可以使用 Simple AD 目录将来自 VPC 的 DNS 请求转发至 AWS DNS 服务器的 IP 地址。
这些 DNS 服务器可以解析在 Amazon Route 53 私有托管区域中配置的名称。通过将本地基础设施指向 Simple AD,您可以将 DNS 请求解析到您选择的私有托管区域。
注意:Simple AD 支持在以下区域使用:
- 美国东部(弗吉尼亚北部)
- 美国西部(俄勒冈)
- 亚太地区(新加坡)
- 亚太地区(悉尼)
- 亚太地区(东京)
- 欧洲(爱尔兰)
如果 Simple AD 未在您所在区域推出,您可以使用 AWS Managed Microsoft AD 来提供相同的 DNS 解析功能。有关更多信息,请参阅 How to Set Up DNS Resolution Between On-Premises Networks and AWS Using AWS Directory Service and Microsoft Active Directory。
解决方法
创建新的 Simple AD:
- 登录到 AWS Directory Service 控制台,然后选择设置目录。
- 选择 Simple AD,选择下一步。
- 对于目录大小信息,选择小型或大型。
- 对于目录 DNS 名称,输入域名。
注意:请确保域名不与您的私有托管区域和 Route 53 域名不同。如果 Route 53 名称和 Simple AD 域名相同,或者如果 Route 53 域是 Simple AD 域的一个子域,则 Simple AD 无法将请求转发至私有托管区域。 - 对于管理员密码和确认密码,输入密码,然后选择下一步。
- 对于 VPC,添加与私有托管区域关联的 VPC,选择下一步,然后选择创建目录。
- 当新 AD 的状态为活动时,选择 目录 ID,然后记下目录详细信息下的DNS 地址。您可以使用此 IP 地址配置本地 DNS 解析程序。
Directory Service 代表您为 Simple AD 控制器创建安全组。
请确保此安全组允许来自本地 IP 的流量:
- 登录 Amazon EC2 控制台,然后选择 安全组。
- 找到名为 directoryID_controllers 的安全组,其中 directoryID 为 Simple AD 的目录 ID。
- 打开安全组,然后编辑入站流量规则,以允许来自本地 CIDR 端口 53 上的 TCP/UDP 流量。
请确保 VPC 上的路由表具有适用于本地虚拟网关的正确条目。
配置完成后,您可以通过编辑 DHCP 选项集连接到 Simple AD。在 DHCP 中,设置 Simple AD 的 IP 地址,以便该地址与 DNS 服务器相同。您还可以在本地 DNS 服务器上设置转发服务器器或条件转发服务器。