Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

¿Cómo configuro un punto de conexión de entrada de Route 53 Resolver para resolver los registros de DNS de mi zona alojada privada desde mi red remota?

7 minutos de lectura
0

Quiero configurar un punto de conexión de entrada de Amazon Route 53 Resolver para resolver los registros de mi zona alojada privada desde mi red remota.

Descripción breve

Amazon Virtual Private Cloud (Amazon VPC) permite que su VPC reciba una resolución de DNS automática de Route 53 Resolver. Las instancias de Amazon Elastic Compute Cloud (Amazon EC2) de una VPC pueden enviar consultas de DNS a Resolver. Para ello, la instancia usa la dirección IP reservada en la base del rango de redes IPv4 CIDR de VPC más dos. Si hay conectividad de red entre la red remota y la VPC, los solucionadores de DNS de la red remota pueden reenviar las consultas de DNS al solucionador de VPC. Esta conectividad se logra mediante AWS Direct Connect o una conexión VPN. Sin embargo, Resolver no acepta consultas de DNS de direcciones IP que estén fuera del rango de la red de VPC. Para resolver este problema, cree un punto de conexión de entrada en su VPC. Este punto de conexión de entrada reenvía las consultas de DNS recibidas a Resolver. El procesamiento de estas consultas es el mismo que el de las consultas que se originan en la VPC.

Resolución

Complete los requisitos previos

Primero, active los nombres de host de DNS y la resolución de DNS en los atributos de compatibilidad de DNS de la VPC en la que desee crear un punto de conexión de entrada.

A continuación, asocie la zona alojada privada correspondiente a esa VPC.

Si la zona alojada privada y la VPC están en la misma cuenta, siga estos pasos:

  1. Abra la consola de Route 53.
  2. En el panel de navegación, elija Zonas alojadas.
  3. Elija la zona alojada privada que contenga los registros que desee consultar.
  4. En la barra de búsqueda, busque su VPC. A continuación, seleccione Asociar una VPC nueva.

Si la zona alojada privada y la VPC se encuentran en cuentas diferentes, utilice la Interfaz de la línea de comandos de AWS (AWS CLI) para llevar a cabo la asociación entre cuentas.

Nota: Si recibe errores al ejecutar los comandos de AWS CLI, asegúrese de utilizar la versión más reciente de AWS CLI.

Confirme que su servidor de DNS local solo envíe consultas recursivas. El solucionar de entrada de Route 53 no admite consultas iterativas.

Confirme que la tabla de enrutamiento que está asociada a las subredes en las que creó la resolución de puntos de conexión de entrada incluya una ruta a la red local.

Si utiliza listas de control de acceso de la red (ACL de la red) personalizadas con la subred en la que creó el punto de conexión de entrada, debe permitir cierto tráfico. Asegúrese de que las ACL de la red permitan el tráfico en los siguientes puertos:

  • Tráfico UDP y TCP (regla NACL de salida) al servidor de DNS local en el rango de puertos de destino 1024 a 65535.
  • Tráfico UDP y TCP (regla NACL de entrada) del servidor de DNS local en el puerto 53.
  • Cualquier grupo de seguridad asociado a la entrada debe permitir el tráfico en el puerto 53 de TCP y UDP desde la dirección IP del servidor de DNS local.

Si tiene un firewall entre la red local y AWS, el firewall debe permitir cierto tráfico. Asegúrese de que permita el tráfico en el puerto 53 de TCP y UDP para las direcciones IP del servidor de DNS local.

También debe establecer la conectividad con las direcciones IP de los puntos de conexión de entrada del solucionador a través de la conexión de AWS Direct Connect.

Configurar un punto de conexión de entrada

1.    Abra la consola de Route 53.

2.    En el panel de navegación, elija Puntos de conexión de entrada.

3.    En la barra de navegación, elija la región de AWS de la VPC en la que desee crear el punto de conexión de entrada.

4.    Elija Crear punto de conexión de entrada.

5.    Complete Configuración general del punto de conexión de entrada. Elija un grupo de seguridad para este punto de conexión que permita el tráfico UDP y TCP de entrada desde la red remota en el puerto de destino 53.

6.    Elija entre 2 y 6 direcciones IP para las consultas de DNS. Puede dejar que Resolver elija las direcciones IP entre las direcciones IP disponibles en la subred. O bien, puede especificar las direcciones IP. Se recomienda elegir direcciones IP en al menos dos zonas de disponibilidad diferentes.

7.    En Subred de cada dirección IP, elija subredes que tengan los siguientes valores:
Tablas de enrutamiento correspondientes: Estas tablas de enrutamiento deben incluir rutas a las direcciones IP de los solucionadores de DNS de su red remota a través de AWS Direct Connect o una VPN.
ACL de red: Deben permitir tanto el tráfico UDP como el TCP desde la red remota en el puerto de destino 53. Además, deben permitir el tráfico UDP y TCP a la red remota en el rango de puertos de destino de 1024 a 65535. En función del tipo de cliente, puede utilizar un rango diferente para las ACL de red.

8.    (Opcional) Complete la sección Etiquetas.

9.    Elija Crear punto de conexión de entrada.

Nota: No hay ningún FQDN para el solucionador de entrada. Por lo tanto, al crear un punto de conexión de entrada, Route 53 crea interfaces de red elásticas en la subred seleccionada. Las direcciones IP de estas interfaces de red reenvían las consultas de DNS.

Probar la configuración

Antes de llevar a cabo la prueba, confirme que la configuración cumple las siguientes condiciones:

  • El servidor de DNS de la red remota debe reenviar condicionalmente las consultas de DNS para el nombre de dominio de la zona alojada privada a las direcciones IP del punto de conexión de entrada.
  • El servidor de DNS remoto debe reenviar las consultas de DNS para el nombre de dominio en lugar de delegar la autoridad del nombre de dominio al punto de conexión de entrada.
  • Los puntos de conexión de entrada deben admitir únicamente consultas de DNS recursivas. Se agota el tiempo de espera de las consultas de DNS iterativas que se envían a los puntos de conexión de entrada. Si el servidor de DNS local envía una consulta de DNS con Recursión deseada establecida en 0 (falso), el punto de conexión de entrada no proporciona ninguna respuesta. Puede encontrar esta información en la captura de paquetes.
  • Si usa AWS Transit Gateway, compruebe que las subredes estén asociadas a la conexión de puerta de enlace de tránsito. Esto es necesario para resolver las consultas de DNS.

Para probar la configuración, lleve a cabo una resolución de DNS para uno de los registros de la zona alojada privada desde un cliente de la red remota. En los siguientes comandos, sustituya RECORD_NAME y RECORD_TYPE por los valores pertinentes:

Para Linux o macOS, ejecute dig RECORD_NAME RECORD_TYPE, como en el siguiente ejemplo:

dig example.com A

Para Windows, ejecute nslookup RECORD_NAME RECORD_TYPE, como en el siguiente ejemplo:

nslookup example.com

Información relacionada

Resolución de consultas de DNS entre las VPC y su red

Reenvío de consultas de DNS de salida a su red

Administración de puntos de conexión de salida

¿Cómo soluciono los problemas de resolución de DNS con los puntos de conexión de Route 53 Resolver?

Temas
Redes y entrega de contenido
Etiquetas
Amazon Route 53
Idioma
Español

Vídeos relacionados

Vea el vídeo de Abhishek para obtener más información (4:35)
Vea el vídeo de Abhishek para obtener más información (4:35)
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año

Contenido relevante