¿Por qué no puedo resolver los nombres de dominio de servicio para un punto de conexión de VPC de interfaz?

Actualización más reciente: 04 de abril de 2022

Utilizo un punto de conexión de nube virtual privada de Amazon (Amazon VPC) de interfaz para un servicio de AWS. Quiero usar el nombre de dominio de servicio predeterminado (por ejemplo, ec2.us-east-1.amazonaws.com) para acceder al servicio a través del punto de conexión de VPC de interfaz. ¿Por qué no puedo resolver los nombres de dominio de servicio para un punto de conexión de VPC de interfaz?

Resolución

Para resolver los nombres de dominio de servicio (por ejemplo, ec2.us-east-2-amazonaws.com) para un punto de conexión de VPC de interfaz, tenga en cuenta lo siguiente:

  • Si desea resolver los nombres de dominio de servicio en las IP privadas del punto de conexión de VPC de interfaz, debe enviar las consultas de DNS al DNS proporcionado por Amazon de la VPC en la que se creó el punto de conexión de interfaz. El DNS proporcionado por Amazon es la base del CIDR de la VPC más dos.
  • En la VPC en la que creó el punto de conexión de VPC de interfaz, compruebe que ambos atributos DNS de la VPC, los nombres de host DNS y la resolución de DNS estén activados.
  • Al utilizar puntos de conexión de VPC de interfaz para acceder a los servicios de AWS disponibles, como Amazon Elastic Compute Cloud (EC2), puede activar los nombres de DNS privados en el punto de conexión. Cuando se activa este parámetro, las consultas del nombre de dominio del servicio se resuelven en direcciones IP privadas. Estas direcciones IP privadas son las direcciones IP de las interfaces de red elásticas creadas en cada una de las subredes asociadas para un punto de conexión de interfaz determinado.
    Con los nombres de DNS privados activados, puede ejecutar llamadas a la API de AWS con el nombre de dominio del servicio (por ejemplo, ec2.us-east-1.amazonaws.com) en AWS PrivateLink.
    Para el punto de conexión de VPC de interfaz, compruebe que los nombres de DNS privados estén activados. Si los nombres DNS privados no están activados, el nombre de dominio del servicio o el nombre de dominio del punto de conexión se resuelven en IP públicas regionales. Para ver los pasos para activar los nombres de DNS privados, consulte Modificar un punto de conexión de interfaz.
  • Puede designar servidores de nombres de dominio personalizados en el conjunto de opciones de DHCP para la VPC. Cuando se utilizan servidores de nombres de dominio personalizados, las consultas DNS para los nombres de dominio de servicio se envían a los servidores de nombres de dominio personalizados para su resolución. Los servidores de nombres de dominio personalizados pueden estar ubicados dentro o fuera de la VPC.
    Los servidores de nombres de dominio personalizados deben reenviar el nombre de dominio del servicio al servidor DNS proporcionado por Amazon de la VPC donde se crean los puntos de conexión de interfaz.
  • Si intenta acceder a un punto de conexión de interfaz desde fuera de la VPC (entre VPC o de manera local), asegúrese de tener la arquitectura de DNS implementada. La arquitectura de DNS debe reenviar las consultas DNS para el nombre de dominio del servicio al servidor DNS proporcionado por Amazon de la VPC donde se crean los puntos de conexión de interfaz.
    Puede usar herramientas como nslookup o buscar en el nombre de dominio del servicio de la red de origen para confirmar las direcciones IP a las que se está resolviendo.
    O bien, puedes usar nombres de dominio de puntos de conexión regionales en su SDK para ejecutar llamadas a la API. Los nombres de dominio de puntos de conexión regionales de puntos de conexión de interfaz se pueden resolver desde cualquier red. A continuación, se muestra un ejemplo para realizar una llamada de descripción mediante AWS Command Line Interface (AWS CLI):
$aws ec2 describe-instances --endpoint-url https://vpce-aaaabbbbcccc-dddd.vpce-svc-12345678.us-east-1.vpce.amazonaws.com
  • Si creó una zona alojada privada de Amazon Route 53 para el nombre de dominio del servicio, asegúrese de adjuntar la VPC de origen correcta a la zona alojada. Para más información, consulte ¿Cómo puedo solucionar problemas de resolución de DNS con mi zona alojada privada de Route 53?
    Nota: debe establecer la conectividad desde la red a la VPC mediante el emparejamiento de VPC, AWS Transit Gateway, etc., para enrutar consultas de DNS.