Warum kann ich keine Domänennamen über meine VPC-Peering-Verbindung auflösen?

Letzte Aktualisierung: 12.04.2022

Ich kann keine Domänennamen über meine Amazon Virtual Private Cloud (Amazon VPC)-Peering-Verbindung auflösen. Wie kann ich dies beheben?

Lösung

Hinweis: In den folgenden Szenarien wird davon ausgegangen, dass die VPC mit AmazonProvidedDNS konfiguriert ist. Wenn Sie benutzerdefiniertes DNS verwenden und Domänennamen nicht auflösen können, gehen Sie wie folgt vor:

  • Fügen Sie die Datensätze im benutzerdefinierten DNS hinzu.
    -oder-
  • Konfigurieren Sie das DNS so, dass bestimmte Abfragen an von Amazon bereitgestelltes DNS weitergeleitet werden. Der von Amazon bereitgestellte DNS-Server ist die IP-Adresse .2 des VPC-CIDR.

Szenario 1: Auflösung einer Amazon-EC2-Instance, die in der Peering-VPC erstellt wurde, in das öffentliche DNS

Amazon Elastic Compute Cloud (Amazon EC2) weist bei der Instancerstellung einen privaten und öffentlichen DNS-Namen zu. Die folgenden Domänennamen werden Instances standardmäßig zugewiesen:

  • Privates DNS: ip-172-31-19-128.ec2.internal (für Region us-east-1) oder ip-172-31-12-97.us-west-2.compute.internal (für andere Regionen).
  • Öffentliches DNS: ec2-54-147-16-116.compute-1.amazonaws.com oder ec2-35-88-61-144.us-west-2.compute.amazonaws.com.

Wenn Sie den DHCP-Optionssatz mit einem benutzerdefinierten Domänennamen wie „example.com“ konfigurieren, verwendet die EC2-Instance diesen Domänennamen. Zum Beispiel ip-172-31-12-97.us-west-2.example.com.

Das Auflösen in ein privates DNS von jeder Instance in AWS wird in eine private IP-Adresse der VPC aufgelöst, in der Sie die Instance erstellt haben:

$ dig ip-172-31-12-97.us-west-2.compute.internal +short
172.31.12.97

Das Auflösen des öffentlichen DNS der Instance von einer anderen Instance, die in der Peering-VPC erstellt wurde, wird zur öffentlichen IP-Adresse der Instance aufgelöst:

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
35.88.61.144

Sie können den Namen der öffentlichen Domäne in die private IP-Adresse der EC2-Instance auflösen. Schalten Sie dazu eine der folgenden Optionen in der VPC-Peering-Verbindung ein:

  • DNS-Auflösung durch den Anforderer
    -oder-
  • DNS-Auflösung durch den Abnehmer

Weitere Informationen finden Sie unter DNS-Auflösung für eine VPC-Peering-Verbindung aktivieren.

Nachdem Sie die DNS-Auflösung aktiviert haben, können Sie das öffentliche DNS auf die private IP-Adresse der Instance auflösen, wie im folgenden Beispiel gezeigt:

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
172.31.12.97

Wenn die DNS-Auflösung nicht funktioniert, nachdem Sie die DNS-Auflösung beim VPC-Peering aktiviert haben, führen Sie die folgenden Schritte aus, um das Problem zu beheben.

Schritte zur Fehlerbehebung

1.    Überprüfen Sie die Ids der Quell-VPC und Ziel-VPC.

2.    Stellen Sie mithilfe von VPC-Peering sicher, dass eine aktive Peering-Verbindung zwischen den Quell- und Ziel-VPCs besteht.

3.    Stellen Sie sicher, dass die DNS-Hostnamen und DNS-Auflösung für beide in der Peering-Verbindung verwendeten VPCs aktiviert sind.

4.    Überprüfen Sie die DNS-Konfiguration für die Peering-Verbindung und stellen Sie sicher, dass die DNS-Auflösung sowohl für die anfordernden als auch für die annehmenden VPCs aktiviert ist.

5.    Stellen Sie sicher, dass der Name der öffentlichen Domäne, in den Sie sich auflösen möchten, vorhanden ist. Überprüfen Sie die Ziel-VPC, um sicherzustellen, dass es eine Instance mit der im Domänennamen genannten öffentlichen IP gibt.

6.    Prüfen Sie, ob die DNS-Konfiguration in der VPC AmazonProvidedDNS oder CustomDNS ist. Wenn Sie benutzerdefiniertes DNS verwenden, stellen Sie sicher, dass das benutzerdefinierte DNS den Domänennamen der öffentlichen Instance auflöst. Wenn das benutzerdefinierte DNS den Domänennamen nicht auflösen kann, führen Sie einen der folgenden Schritte aus:

Fügen Sie einen statischen DNS-Datensatz hinzu.

-oder-

Leiten Sie die Abfrage an AmazonProvidedDNS um.

Szenario 2: Auflösung der in einer Peering-VPC erstellten Services in den Domänennamen

Wenn Sie einen Service mit einem Domänenamen erstellen, können Sie diesen Domänennamen aus einer Instance in jeder Peering-VPC auflösen. Dies liegt daran, dass die für diese Services erstellten Domänennamen öffentliche Aufzeichnungen sind und von überall aus aufgelöst werden können. Beispielsweise können die folgenden Domänenamen-Datensätze öffentlich aufgelöst werden:

  • testCLB-520693273.us-east-1.elb.amazonaws.com
  • test-87913728ca9b8a68.elb.us-east-1.amazonaws.com
  • vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com

Hinweis: Selbst wenn der Domänenname für eine private Lastenverteilung bestimmt ist, ist der Datensatz öffentlich und wird in die private IP-Adresse aufgelöst.

Domänennamen für Service-Endpunkte wie „ssm.us-east-1.amazonaws.com“ werden in die öffentliche IP-Adresse aufgelöst. Dies gilt auch dann, wenn in der Peering-VPC ein Schnittstellen-Endpunkt mit aktivierter privater DNS-Option erstellt wurde. Sie können den Domänennamen von Service-Endpunkten in die private IP-Adresse des Schnittstellen-Endpunkts auflösen. Dazu muss die Ressource Teil der VPC sein, in der Sie den Schnittstellen-Endpunkt erstellt haben.

Beispiel

Der Schnittstellen-VPC-Endpunkt ist auf VPCA konfiguriert. Sie versuchen, den Service-Domänennamen von VPCB auf die VPC-Endpunkt-IPs der Schnittstelle in VPCA aufzulösen. In diesem Szenario benötigen Sie einen ausgehenden Resolver-Endpunkt von Amazon Route 53 in VPC B und einen eingehenden Resolver-Endpunkt von Route 53 in VPCA.

Hinweis: Informationen zum Konfigurieren von Route 53 Resolver mithilfe des Assistenten finden Sie unter Erste Schritte mit Route 53 Resolver.

  1. Erstellen Sie einen ausgehenden Route-53-Resolver-Endpunkt in VPCB (wo Sie auf das Endpunkt-DNS zugreifen möchten).
  2. Erstellen Sie einen eingehenden Route-53-Resolver-Endpunkt in VPCA (wo Sie den Endpunkt erstellt haben).
  3. Erstellen Sie eine Route-53-Resolver-Regel mit dem Domänennamen und den Ziel-IP-Adressen in Region VPCA.

Der ausgehende Endpunkt in VPCB leitet die DNS-Abfragen für den Service-Domänennamen an die IPs des eingehenden Resolver-Endpunkts in VPCA weiter. Der eingehende Endpunkt in VPCA empfängt die DNS-Abfrage für den Domänennamen des Services. Der eingehende Endpunkt leitet die Abfrage dann zur Lösung an den von Amazon bereitgestellten DNS-Server in VPCA weiter.

Nachdem die Route-53-Resolver-Endpunkte aktiv sind, können Sie mit dem privaten DNS-Namen auf den Endpunkt zugreifen.

Schritte zur Fehlerbehebung

1.    Überprüfen Sie die Ids der Quell-VPC und Ziel-VPC.

2.    Stellen Sie sicher, dass eine aktive Peering-Verbindung zwischen der Quell- und der Ziel-VPC besteht.

3.    Stellen Sie sicher, dass die DNS-Hostnamen und DNS-Auflösung für beide in der Peering-Verbindung verwendeten VPCs aktiviert sind.

4.    Überprüfen Sie die DNS-Konfiguration für die Peering-Verbindung und stellen Sie sicher, dass die DNS-Auflösung sowohl für die anfordernden als auch für die annehmenden VPCs aktiviert ist.

5.    Stellen Sie sicher, dass der Name der öffentlichen Domäne, in den Sie sich auflösen möchten, vorhanden ist. Überprüfen Sie die Ziel-VPC und stellen Sie sicher, dass in der VPC ein VPC-Schnittstellen-Endpunkt mit aktivierter privater DNS-Option erstellt wurde.

6.    Überprüfen Sie, ob das in der VPC konfigurierte DNS von AmazonProvidedDNS oder CustomDNS ist. Wenn Sie ein benutzerdefiniertes DNS verwenden, stellen Sie sicher, dass das benutzerdefinierte DNS den Domänennamen auflösen kann. Wenn das benutzerdefinierte DNS den Domänennamen nicht auflösen kann, fügen Sie einen statischen DNS-Datensatz hinzu oder konfigurieren Sie ein benutzerdefiniertes DNS, um die Abfrage an AmazonProvidedDNS weiterzuleiten.

7.    Stellen Sie sicher, dass die Routing-Tabellen, die den Subnetzen der VPC-Resolver-Endpunkte zugeordnet sind, über eine Peering-Route verfügen, die zur Quell- oder Ziel-VPC zeigt. Tun Sie dies für alle eingehenden und ausgehenden VPC-Resolver-Endpunkte in beiden VPCs.

8.    Stellen Sie sicher, dass die Netzwerk-ACLs, die Subnetzen zugeordnet sind, in denen Resolver-Endpunkte erstellt werden, eingehenden Datenverkehr von den Peer-VPC-CIDRs erlauben.

9.    Stellen Sie sicher, dass die eingehenden und ausgehenden Resolver korrekt konfiguriert sind und über die richtigen Regeln verfügen, um den Datenverkehr zum nächsten Sprung weiterzuleiten. Weitere Informationen finden Sie unter Wie behebe ich Probleme mit der DNS-Auflösung bei Route-53-Resolver-Endpunkten?

Szenario 3: Benutzerdefinierter Domänenname wurde in einer privaten gehosteten Zone erstellt

Sie haben eine private gehostete Zone für einen benutzerdefinierten Domänennamen erstellt, mit dem die Domäne in einen Datensatz aufgelöst wird, der in einer privat gehosteten Zone erstellt wurde. VPC A ist einer privaten gehosteten Zone zugeordnet. VPC B hat eine Peering-Verbindung zu VPC A. Sie möchten den benutzerdefinierten Domänennamen von VPC B in VPC A auflösen, wo Sie die benutzerdefinierte Domäne auflösen können.

Dafür gibt es zwei Methoden:

  • Lösung 1: Leiten Sie die Abfrage von VPC B an das DNS der Haupt-VPC A weiter. Diese Einrichtung ähnelt Szenario 2.
  • Lösung 2: Ordnen Sie die VPC B der privaten gehosteten Zone der benutzerdefinierte Domäne zu, in der Sie den Datensatz erstellt haben. Nachdem Sie die Zuordnung vorgenommen haben, können Sie den benutzerdefinierten Domänennamen in einer privaten gehosteten Zone aus Ressourcen in beiden Peering-VPCs auflösen.

Schritte zur Fehlerbehebung

Hinweis: Befolgen Sie für Lösung 1 die in Szenario 2 genannten Schritte zur Fehlerbehebung.

1.    Überprüfen Sie die Ids der Quell-VPC und Ziel-VPC.

2.    Überprüfen Sie, ob das in der VPC konfigurierte DNS von AmazonProvidedDNS oder CustomDNS ist. Wenn Sie benutzerdefiniertes DNS verwenden, können Sie keine Datensätze auflösen, die in privaten gehosteten Zonen gehostet werden. Um dies zu korrigieren, fügen Sie einen statischen Domänennamen-Datensatz im benutzerdefinierten DNS hinzu. Oder konfigurieren Sie ein benutzerdefiniertes DNS, um die Abfrage an AmazonProvidedDNS weiterzuleiten.

3.    Wenn Sie von Amazon bereitgestelltes DNS verwenden, überprüfen Sie die Domäne, die Sie auflösen möchten, und wo sie gehostet wird (Amazon Route 53 oder On-Premises). Wenn On-Premises, stellen Sie sicher, dass der Endpunkt des ausgehenden Resolvers, der zur Weiterleitung der Abfrage an das On-Premises-DNS verwendet wird, korrekt konfiguriert ist.

4.    Wenn sie in einer privaten gehosteten Zone von Route 53 gehostet werden, überprüfen Sie, ob die Quell-VPC mit der privaten gehosteten Zone verknüpft ist. Die Quell-VPC ist der Ort, von dem aus Sie versuchen, den benutzerdefinierten Domänennamen aufzulösen.

5.    Stellen Sie sicher, dass der FQDN, den Sie auflösen möchten, einen Datensatz enthält, der in der privat gehosteten Zone erstellt wurde.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?