Comment résoudre des zones hébergées privées Route 53 depuis un réseau sur site à l'aide d'une instance Ubuntu ?

Dernière mise à jour : 12/08/2016

Brève description

Vous pouvez résoudre les noms de domaine de zones hébergées privées depuis votre réseau sur site en configurant un redirecteur DNS.

Résolution

Les instructions suivantes supposent que votre réseau sur site est configuré à l'aide d'un VPN ou d'AWS Direct Connect en VPC AWS et qu'une zone hébergée privée Route 53 est associée à ce VPC. Configurez un redirecteur DNS en procédant comme suit :

1.    Vérifiez que la résolution DNS et les noms d'hôte DNS sont activés sur le VPC cible.

Remarque : les noms d'hôte DNS sont activés pour les VPC par défaut et les VPC que vous créez à l'aide de l'assistant VPC dans la console Amazon VPC.

2.    Installez un serveur DNS BIND sur votre instance à l'aide de la commande suivante :

sudo apt-get install bind9 bind9utils bind9-doc

3.    Configurez le serveur BIND à l'aide d'une configuration de transmission uniquement, en modifiant le fichier named.conf.options. Par défaut, les fichiers de configuration BIND se trouvent sous /etc/bind.

Créez une liste de contrôle d'accès (ACL) pour le serveur BIND en remplaçant l'adresse IP de l'exemple suivant par une liste d'adresses IP que vous approuvez :

acl "trusted" {
              172.16.0.0/16
              localhost;
              localnets;
  };
Configurez BIND pour transmettre toutes les demandes DNS au serveur de noms Amazon VPC. Le serveur de noms VPC est toujours la seconde adresse disponible dans le VPC. Par exemple, si le CIDR du VPC est 10.10.0.0/16, l'adresse IP du serveur de noms VPC est 10.10.0.2, comme dans l'exemple suivant :

options {
                directory "/var/cache/bind";
                recursion yes;
                allow-query { trusted; };

                forwarders {
                            10.10.0.2;
                };

                forward only;
                
                dnssec-enable no;
                dnssec-validation no;
                dnssec-lookaside auto;
                auth-nxdomain no;
                listen-on-v6 { any; };
};

Remarque : dans l'exemple ci-dessus, DNSSEC est désactivé, car Route 53 ne le prend pas en charge pour le moment.

4.    Testez la syntaxe et redémarrez le service à l'aide des commandes suivantes :

sudo named-checkconf
sudo service bind9 restart
Remarque : confirmez que le port 53 TCP/UDP est accessible au réseau sur site dans le groupe de sécurité de votre serveur DNS.

5.    Configurez vos clients afin qu'ils utilisent le serveur DNS BIND pour résoudre le DNS. Pour obtenir des instructions, consultez la documentation du système d'exploitation de votre client.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?