Warum kann ich keine Servicedomänennamen für einen Schnittstellen-VPC-Endpunkt auflösen?

Letzte Aktualisierung: 04.04.2022

Ich verwende einen Schnittstellenendpunkt in der Amazon Virtual Private Cloud (Amazon VPC) für einen AWS-Service. Ich möchte anhand des Standard-Servicedomänennamens (z. B. ec2.us-east-1.amazonaws.com) über den VPC-Schnittstellenendpunkt auf den Service zuzugreifen. Warum kann ich keine Servicedomänennamen für einen Schnittstellen-VPC-Endpunkt auflösen?

Auflösung

Beachten Sie Folgendes zur Auflösung von Servicedomänennamen (z. B. ec2.us-east-2-amazonaws.com) für einen Schnittstellen-VPC-Endpunkt:

  • Um Servicedomänennamen in die privaten IPs des Schnittstellen-VPC-Endpunkts aufzulösen, müssen Sie die DNS-Abfragen an den von Amazon bereitgestellten DNS der VPC senden, in der der Schnittstellenendpunkt erstellt ist. Der von Amazon bereitgestellte DNS ist die Basis des VPC-CIDR plus zwei.
  • Stellen Sie in der VPC, in der Sie den Schnittstellen-VPC-Endpunkt erstellt haben, sicher, dass beide DNS-Attribute der VPC, DNS-Hostnamen und DNS-Auflösung, aktiviert sind.
  • Wenn Sie Schnittstellen-VPC-Endpunkte für den Zugriff auf verfügbare AWS-Services wie Amazon Elastic Compute Cloud (Amazon EC2) verwenden, können Sie private DNS-Namen auf dem Endpunkt aktivieren. Wenn Sie diesen Parameter aktiviert haben, werden Abfragen für den Servicedomänennamen in private IP-Adressen aufgelöst. Diese privaten IP-Adressen sind die IP-Adressen der Elastic-Network-Schnittstellen, die in jedem der zugehörigen Subnetze für einen bestimmten Schnittstellenendpunkt erstellt wurden.
    Wenn private DNS-Namen aktiviert sind, können Sie AWS-API-Aufrufe mithilfe des Servicedomänennamens (z. B. ec2.us-east-1.amazonaws.com) über AWS PrivateLink ausführen.
    Stellen Sie für den Schnittstellen-VPC-Endpunkt sicher, dass private DNS-Namen aktiviert sind. Wenn private DNS-Namen nicht aktiviert sind, wird der Servicedomänenname oder der Endpunktdomänenname in regionale öffentliche IPs aufgelöst. Schritte zum Aktivieren privater DNS-Namen finden Sie unter Ändern eines Schnittstellenendpunkts.
  • Sie können benutzerdefinierte Domänennamenserver im DHCP-Optionssatz für die VPC festlegen. Bei Verwendung benutzerdefinierter Domänennamenserver werden die DNS-Abfragen für die Servicedomänennamen zur Auflösung an die Server mit benutzerdefinierten Domänennamen gesendet. Die benutzerdefinierten Domänennamenserver können sich innerhalb der VPC oder außerhalb der VPC befinden.
    Benutzerdefinierte Domainnamenserver müssen den Servicedomänennamen an den von Amazon bereitgestellten DNS-Server der VPC weiterleiten, in der die Schnittstellenendpunkte erstellt sind.
  • Wenn Sie versuchen, von außerhalb der VPC auf einen Schnittstellenendpunkt zuzugreifen (VPC-übergreifend oder On-Premises), stellen Sie sicher, dass Sie über die DNS-Architektur verfügen. Die DNS-Architektur sollte die DNS-Abfragen für den Servicedomänennamen an den von Amazon bereitgestellten DNS-Server der VPC weiterleiten, in der die Schnittstellenendpunkte erstellt sind.
    Sie können Tools wie nslookup oder dig für den Servicedomänennamen aus dem Quellnetzwerk verwenden, um die IPs zu bestätigen, in die er aufgelöst wird.
    Oder Sie können regionale Endpunktdomänennamen in Ihrem SDK verwenden, um API-Aufrufe auszuführen. Die regionalen Endpunktdomänennamen der Schnittstellenendpunkte können von jedem Netzwerk aus aufgelöst werden. Im Folgenden finden Sie ein Beispiel für die Durchführung eines Describe-Aufrufs mithilfe der AWS Command Line Interface (AWS CLI):
$aws ec2 describe-instances --endpoint-url https://vpce-aaaabbbbcccc-dddd.vpce-svc-12345678.us-east-1.vpce.amazonaws.com
  • Wenn Sie eine private gehostete Amazon-Route-53-Zone für den Servicedomänennamen erstellt haben, stellen Sie sicher, dass Sie die richtige Quell-VPC an die gehostete Zone anhängen. Weitere Informationen finden Sie unter Wie kann ich DNS-Auflösungsprobleme mit meiner privaten gehosteten Route-53-Zone beheben?
    Hinweis: Sie müssen Konnektivität vom Netzwerk zur VPC mithilfe von VPC-Peering, AWS Transit Gateway usw. herstellen, um DNS-Abfragen weiterzuleiten.