¿Cómo configuro un punto de conexión de salida de Route 53 Resolver para resolver los registros DNS alojados en una red remota a partir de los recursos de mi VPC?

Descripción breve

Una VPC creada con Amazon VPC recibe una resolución de DNS automática de Route 53 Resolver. Puede configurar el Resolver para reenviar las consultas de DNS de nombres de dominio de las instancias EC2 de sus VPC de Amazon a los solucionadores de DNS de su red remota.

Para reenviar consultas de DNS, cree lo siguiente:

• Un punto de conexión de salida para enviar consultas de DNS a la red remota.
• Una regla de Resolver para especificar el nombre de dominio de las consultas de DNS que el Resolver reenvía a los servidores DNS remotos.

Resolución

Requisitos previos

• Active la resolución de DNS en los atributos de soporte de DNS de la VPC asociada a la regla de Resolver.
• Si utiliza un servidor DNS personalizado en la VPC: Configure el servidor DNS para reenviar condicionalmente las consultas de DNS del nombre de dominio correspondiente al Resolver. El servidor DNS personalizado debe usar la dirección IP reservada en la base del rango de redes IPv4 de VPC más dos.
• Si no utiliza un servidor DNS personalizado en la VPC: Defina los Servidores de nombres de dominio en las opciones de DHCP en una de las siguientes opciones:
  • AmazonProvidedDNS
  • La dirección IP reservada en la base del rango de redes IPv4 de VPC más dos

Configurar un punto de conexión de salida

1. Abra la consola de Route 53.
2. En el panel de navegación, seleccione Puntos de enlace de salida.
3. En la barra de navegación, elija la Región de la VPC en la que desee crear el punto de conexión de salida.
4. Elija Crear punto de enlace de salida.
5. En la página Crear punto de enlace de salida, complete la sección Configuración general del punto de enlace de salida. Elija un Grupo de seguridad que permita la conectividad TCP y UDP saliente con lo siguiente:
   • Direcciones IP que los solucionadores utilizan para las consultas de DNS en la red remota.
   • Puertos que los solucionadores utilizan para las consultas de DNS en la red remota.
6. Complete la sección Direcciones IP. Puede configurar el Resolver para que elija las direcciones IP por usted entre las direcciones IP disponibles en la subred. O bien, puede especificar direcciones IP. Elija entre dos (mínimo) y seis (máximo) direcciones IP para las consultas de DNS. Se recomienda elegir direcciones IP en al menos dos zonas de disponibilidad diferentes. En Subred, elija las subredes que tengan:

• Tablas de enrutamiento que incluyan rutas a las direcciones IP de los solucionadores de DNS de su red remota mediante AWS Direct Connect, una conexión VPN o una puerta de enlace de traducción de direcciones de red (NAT).
• Listas de control de acceso a la red (ACL) que permitan el tráfico UDP y TCP a las direcciones IP y los puertos que los solucionadores utilizan para las consultas de DNS en la red remota. Además, las ACL de la red que permiten el tráfico de los solucionadores en el puerto de destino oscilan entre 1024 y 65535.

8. (Opcional) Complete la sección Etiquetas.
9. Seleccione Enviar.

Configurar una regla de Resolver

Para crear una regla nueva:

1. Abra la consola de Route 53.
2. Elija Reglas en el panel de navegación de Route 53.
3. En la barra de navegación, elija la Región en la que se encuentra el punto de conexión de salida que acaba de crear.
4. Elija Crear regla.
5. En la página Crear regla, complete la sección Regla para el tráfico saliente. En Tipo de regla, configure una regla de reenvío y asóciela a la VPC desde donde se reenvían las consultas de DNS a la red remota. En Punto de enlace de salida, elija el que acaba de crear.
   Nota: No es necesario que la VPC asociada a esta regla sea la misma VPC en la que creaste el punto de conexión de salida.
6. Complete la sección Direcciones IP. En Dirección IP, especifique las direcciones IP de los solucionadores de DNS de la red remota. En Puerto, especifique los puertos que utilizan estos solucionadores para las consultas de DNS.
   Nota: El Resolver reenvía todas las consultas de DNS que coincidan con esta regla y se originen en una VPC asociada a esta regla al punto de conexión de salida al que se hace referencia. Por lo tanto, estas consultas se reenvían a las direcciones IP de destino que especifique en la sección Direcciones IP.
7. (Opcional) Complete la sección Etiquetas.
8. Seleccione Enviar.

Para usar una regla existente:

• Si ya tiene una regla para el mismo dominio en la misma región que la VPC de su cuenta: asocie la regla a su VPC en lugar de crear una regla nueva. Seleccione la regla en el panel de reglas y asóciela a las VPC aplicables de la región.
• Si ya tiene una regla para el mismo dominio en la misma región que su VPC, pero en una cuenta diferente: utilice AWS Resource Access Manager para compartir la regla de la cuenta remota con su cuenta. Al compartir una regla, también se comparte el punto de conexión de salida correspondiente. Después de compartir la regla con su cuenta, selecciónela en el panel de reglas y asóciela a las VPC de su cuenta.

Nota: No es necesario que haya conectividad de red para reenviar las consultas de DNS de una VPC asociada a una regla de Resolver a la VPC donde se encuentra el punto de conexión de salida. Esto es cierto independientemente de que las VPC estén o no en la misma cuenta. La conectividad de red con los solucionadores de DNS solo es necesaria desde la VPC donde residen los puntos de conexión de salida.

Probar la configuración

Realice una resolución de DNS desde una de las instancias de Amazon EC2 de su VPC:

• Para Linux o macOS: dig <record name> <record type>
• Para Windows: nslookup -type=<record type> <record name>

Información relacionada

Resolución de consultas de DNS entre las VPC y la red

Reenvío de consultas de DNS de salida a su red

Administración de puntos de conexión de salida