¿Por qué no puedo resolver los nombres de dominio a través de mi conexión de emparejamiento de VPC?

Última actualización: 12-04-2022

No puedo resolver los nombres de dominio a través de mi conexión de interconexión de nube virtual privada de Amazon (Amazon VPC). ¿Cómo soluciono este problema?

Resolución

Nota: en las siguientes situaciones, se supone que la VPC está configurada con AmazonProvidedDNS. Si utiliza un DNS personalizado y no puede resolver los nombres de dominio, haga lo siguiente:

  • Agregue los registros en el DNS personalizado.
    o
  • Configure el DNS para que reenvíe ciertas consultas al DNS proporcionado por Amazon. El DNS proporcionado por Amazon es la dirección IP .2 del CIDR de la VPC.

Escenario 1: resolución en el DNS público de una instancia de Amazon EC2 creada en la VPC emparejada

Amazon Elastic Compute Cloud (EC2) asigna un nombre de DNS privado y público en la creación de la instancia. Los siguientes nombres de dominio se asignan a las instancias de forma predeterminada:

  • DNS privado: ip-172-31-19-128.ec2.internal (para la región us-east-1) o ip-172-31-12-97.us-west-2.compute.internal (para otras regiones).
  • DNS público: ec2-54-147-16-116.compute-1.amazonaws.com o ec2-35-88-61-144.us-west-2.compute.amazonaws.com.

Si configura el conjunto de opciones DHCP con un nombre de dominio personalizado, como “ejemplo.com”, la instancia de EC2 utilizará ese nombre de dominio. Por ejemplo, ip-172-31-12-97.us-west-2.ejemplo.com.

La resolución en un DNS privado desde cualquier instancia de AWS se resuelve en una dirección IP privada de la VPC en la que creó la instancia:

$ dig ip-172-31-12-97.us-west-2.compute.internal +short
172.31.12.97

Resolver el DNS público de la instancia desde otra instancia creada en la VPC emparejada se resuelve en la dirección IP pública de la instancia:

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
35.88.61.144

Puede resolver el nombre de dominio público en la dirección IP privada de la instancia de EC2. Para ello, active una de las siguientes opciones en la conexión de emparejamiento de VPC:

  • Resolución de DNS del solicitante
    o
  • Resolución de DNS de aceptador

Para obtener más información, consulte Habilitar la resolución de DNS para una conexión de emparejamiento de VPC.

Después de activar la resolución de DNS, puede resolver el DNS público en la dirección IP privada de la instancia, como se muestra en el siguiente ejemplo:

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
172.31.12.97

Si la resolución de DNS no funciona después de activar la resolución de DNS en el emparejamiento de VPC, sigue los pasos siguientes para solucionar el problema.

Pasos de solución

1.    Compruebe la VPC de origen y el ID de la VPC de destino.

2.    Asegúrese de que haya una conexión de emparejamiento activa entre las VPC de origen y de destino mediante el emparejamiento de VPC.

3.    Asegúrese de que los nombres de host DNS y la resolución de DNS estén activados para las dos VPC que se utilizan en la conexión de emparejamiento.

4.    Compruebe la configuración de DNS para la conexión de emparejamiento y asegúrese de que la resolución de DNS esté activada tanto para las VPC solicitantes como para las que aceptan.

5.    Verifique que exista el nombre de dominio público que está resolviendo. Compruebe la VPC de destino para asegurarse de que haya una instancia con la IP pública mencionada en el nombre de dominio.

6.    Compruebe si la configuración de DNS en la VPC es AmazonProvidedDNS o CustomDNS. Si utiliza un DNS personalizado, compruebe que el DNS personalizado resuelve el nombre de dominio de la instancia pública. Si el DNS personalizado no puede resolver el nombre de dominio, siga uno de estos procedimientos:

Agregue un registro DNS estático.

o

Redirija la consulta a AmazonProvidedDNS.

Escenario 2: resolver el nombre de dominio de los servicios creados en una VPC emparejada

Cuando crea un servicio con un nombre de dominio, puede resolver ese nombre de dominio desde una instancia en cualquier VPC emparejada. Esto se debe a que los nombres de dominio creados para estos servicios son registros públicos y se pueden resolver desde cualquier lugar. Por ejemplo, los siguientes registros de nombres de dominio se pueden resolver públicamente:

  • testCLB-520693273.us-east-1.elb.amazonaws.com
  • test-87913728ca9b8a68.elb.us-east-1.amazonaws.com
  • vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com

Nota: incluso si el nombre de dominio es para un equilibrador de carga privado, el registro es público y se resolverá en la dirección IP privada.

Los nombres de dominio de punto de conexión de servicio, como “ssm.us-east-1.amazonaws.com”, se resuelven en la dirección IP pública. Esto es así incluso si se ha creado un punto de conexión de interfaz en la VPC emparejada con la opción de DNS privado activada. Puede resolver el nombre de dominio de los puntos de conexión de servicio en la dirección IP privada del punto de conexión de interfaz. Para ello, el recurso debe formar parte de la VPC en la que creó el punto de conexión de interfaz.

Ejemplo

El punto de conexión de VPC de interfaz está configurado en la VPC A. Estás intentando resolver el nombre de dominio del servicio en las IP de punto de conexión de VPC de interfaz en VPC A desde la VPC B. En este escenario, necesita un punto de conexión de resolvedor saliente de Amazon Route 53 en la VPC B y un punto de conexión de resolvedor entrante de Route 53 en la VPC A.

Nota: para obtener información sobre la configuración de Route 53 Resolver mediante el asistente, consulte Introducción a Route 53 Resolver.

  1. Cree un punto de conexión saliente de resolvedor de Route 53 en la VPC B (donde desea acceder al DNS del punto de conexión).
  2. Cree un punto de conexión entrante de resolvedor de Route 53 en la VPC A (donde creó el punto de conexión).
  3. Cree una regla de resolvedor de Route 53 con el nombre de dominio y las direcciones IP de destino en la región de la VPC A.

El punto de conexión saliente en la VPC B reenvía las consultas DNS para el nombre de dominio del servicio a las direcciones IP del punto de conexión de resolvedor entrante en la VPC A. El punto de conexión de entrada en la VPC A recibe la consulta de DNS para el nombre de dominio del servicio. A continuación, el punto de conexión entrante reenvía la consulta al servidor DNS proporcionado por Amazon en la VPC A para su resolución.

Una vez que los puntos de conexión de resolvedor de Route 53 estén activos, puede acceder al punto de conexión con el nombre de DNS privado.

Pasos de solución

1.    Compruebe la VPC de origen y el ID de la VPC de destino.

2.    Asegúrese de que haya una conexión de emparejamiento activa entre la VPC de origen y la de destino.

3.    Asegúrese de que los nombres de host DNS y la resolución de DNS estén activados para las dos VPC que se utilizan en la conexión de emparejamiento.

4.    Compruebe la configuración de DNS para la conexión de emparejamiento y asegúrese de que la resolución de DNS esté activada tanto para las VPC solicitantes como para las que aceptan.

5.    Verifique que exista el nombre de dominio público que está resolviendo. Compruebe la VPC de destino y asegúrese de que haya un punto de conexión de la interfaz de VPC creado en la VPC con la opción DNS privado habilitada.

6.    Compruebe si el DNS configurado en la VPC es AmazonProvidedDNS o CustomDNS. Si utiliza un DNS personalizado, verifique que el DNS personalizado pueda resolver el nombre de dominio. Si el DNS personalizado no puede resolver el nombre de dominio, agregue un registro DNS estático o configure el DNS personalizado para reenviar la consulta a AmazonprovidedDNS.

7.    Compruebe que las tablas de enrutamiento asociadas a las subredes con los puntos de conexión de resolvedor de VPC tengan una ruta de emparejamiento que apunte a la VPC de origen o de destino. Haga esto para todos los puntos de conexión de resolvedor de VPC entrantes y salientes en ambas VPC.

8.    Compruebe que las ACL de red asociadas a las subredes en las que se crean los puntos de conexión de resolvedor permitan el tráfico entrante desde los CIDR de la VPC emparejada.

9.    Compruebe que los resolvedores entrantes y salientes estén configurados correctamente y que tengan las reglas correctas para reenviar el tráfico al siguiente salto. Para más información, consulte ¿Cómo puedo solucionar los problemas de resolución de DNS con los puntos de conexión de Route 53 Resolver?.

Escenario 3: nombre de dominio personalizado creado en una zona alojada privada

Creó una zona alojada privada para un nombre de dominio personalizado que se usa para resolver el dominio en un registro creado en una zona alojada privada. La VPC A está asociada a una zona alojada privada. La VPC B tiene una conexión de emparejamiento con la VPC A. Desea resolver el nombre de dominio personalizado de la VPC B a la VPC A, donde puede resolver el dominio personalizado.

Existen dos métodos para hacerlo:

  • Solución 1: reenvíe la consulta de la VPC B al DNS principal de la VPC A. Esta configuración es similar a la del Escenario 2.
  • Solución 2: asocie la VPC B a la zona alojada privada para el dominio personalizado en el que creó el registro. Después de realizar la asociación, puede resolver el nombre de dominio personalizado en una zona alojada privada a partir de los recursos de ambas VPC emparejadas.

Pasos de solución

Nota: para la Solución 1, siga los pasos de solución de problemas mencionados en el Escenario 2.

1.    Compruebe la VPC de origen y el ID de la VPC de destino.

2.    Compruebe si el DNS configurado en la VPC es AmazonProvidedDNS o CustomDNS. Si utiliza un DNS personalizado, no podrá resolver los registros alojados en zonas alojadas privadas. Para corregir esto, agregue un registro de nombre de dominio estático en el DNS personalizado. O bien, configure el DNS personalizado para reenviar la consulta a AmazonprovidedDNS.

3.    Si utiliza un DNS proporcionado por Amazon, verifique el dominio que intenta resolver y dónde está alojado (Amazon Route 53 o local). Si es local, asegúrese de que el punto de conexión de resolvedor saliente utilizado para reenviar la consulta al DNS local esté configurado correctamente.

4.    Si se aloja en una zona alojada privada de Route 53, compruebe que la VPC de origen esté asociada a la zona alojada privada. La VPC de origen es la ubicación desde la que intenta resolver el nombre de dominio personalizado.

5.    Asegúrese de que el FQDN que intenta resolver tiene un registro creado en la zona alojada privada.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?