Comment utiliser et remplacer des règles DNS inverses avec le résolveur Route 53 ?

Date de la dernière mise à jour : 02/07/2020

Comment utiliser et remplacer des règles DNS inverses définies automatiquement avec le résolveur Amazon Route 53 ?

Solution

Pour utiliser les règles Résolveur :

Une fois que « DNSHostname » est activé, le résolveur crée automatiquement des règles système définies automatiquement qui définissent la résolution par défaut des requêtes des domaines sélectionnés. Pour remplacer une règle définie automatiquement, créez une règle de transfert (règle Résolveur) pour le nom de domaine. La résolution de nom DNS inverse avec le résolveur dépend des règles définies automatiquement, des règles Résolveur et des configurations de zone hébergée privée.

Le résolveur DNS fourni par Amazon évalue la règle du « nom de domaine le plus spécifique » dans l'ordre de priorité suivant :

  • Règles Résolveur : règles configurées manuellement pour le nom de domaine que le résolveur transmet à l'adresse IP cible.
  • Règles pour les zones hébergées privées : pour chaque zone hébergée privée que vous associez à un VPC, le résolveur crée une règle et l'associe au résolveur DNS du VPC. Si vous associez la zone hébergée privée à plusieurs VPC, le résolveur associe la règle au résolveur DNS de chaque VPC.
  • Règles définies automatiquement pour le DNS inverse : le résolveur crée des règles définies automatiquement pour la recherche DNS inverse et les domaines liés à l'hôte local lorsque vous définissez l'attribut « enableDnsHostnames » du VPC associé sur « true ».

Les règles s'appliquent aux plages de blocs d'adresses CIDR d'un VPC et à tous les VPC connectés avec la prise en charge DNS activée. Le résolveur crée les règles les plus génériques possibles en fonction de la plage de blocs d'adresses CIDR.

Exemple de remplacement des règles définies automatiquement

Les ressources de cet exemple sont les suivantes :

  • Source de requête DNS VPC1 avec CIDR 10.237.52.0/22
  • Attribut DNSHostname = Activé
  • Attribut DNSSupport = Activé
  • VPC2 connecté (connecté via une passerelle de transit ou un appairage de VPC avec prise en charge DNS activée) avec le CIDR 10.104.2.0/24
  • Résolveur DNS du VPC = Résolveur DNS fourni par Amazon
  • Point de terminaison sortant du résolveur Route 53 avec connectivité à la plage 192.168.1.4/32 (serveur DNS situé dans un autre réseau)

Les règles système définies automatiquement suivantes ont été créées par le résolveur :

Règles pour les adresses IP privées Règles pour le CIDR VPC1 Règles pour le CIDR VPC2 (VPC appairé)
10.in-addr.arpa. 52.237.10.in-addr.arpa. 2.104.10.in-addr.arpa.
16.172.in-addr.arpa. via 31.172.in-addr.arpa 52.237.10.in-addr.arpa.  
168.192.in-addr.arpa. 52.237.10.in-addr.arpa.  
254.169.254.169.in-addr.arpa. 52.237.10.in-addr.arpa.  

Les exigences de la résolution DNS pour l'environnement dans lequel les requêtes sont transférées sont les suivantes :

Numéro de priorité CIDR pour une requête DNS inverse Serveur DNS de destination
1 10.237.53.0/24 192.168.1.4/32 (un autre réseau)
2 10.237.52.0/22 sauf 10.237.53.0/24 Résolveur DNS fourni par Amazon
3 10.104.2.0/24 Zone hébergée privée
4 10.0.0.0/8 sauf tous les éléments ci-dessus 192.168.1.4/32 (un autre réseau)

Les étapes suivantes permettent d'obtenir la configuration précédente :
Remarque : la source exécutant la requête DNS est VPC1 et toutes les requêtes sont envoyées à l'adresse IP DNS fournie par Amazon.

  1. Étant donné que la plage d'adresses IP 10.237.53.0/24 fait partie du CIDR VPC1 10.237.52.0/22, des règles système définies automatiquement s'appliquent déjà à cette plage d'adresses IP. Créez une règle Résolveur pour le domaine 53.237.10.in-addr.arpa. afin de remplacer la règle système définie automatiquement pour les adresses IP de la plage 10.237.53.0/24. Définissez l'adresse IP cible sur 192.168.1.4/32.
  2. Des règles système définies automatiquement sont disponibles pour les adresses IP de la plage 10.237.52.0/22, à l'exception de la plage 10.237.53.0/24. Le résolveur DNS fourni par Amazon résout ces requêtes DNS.
  3. Pour les adresses IP de la plage 10.104.2.0/24, une règle définie automatiquement la plus spécifique est déjà disponible pour le CIDR VPC2. Cependant, comme les règles des zones hébergées privées sont prioritaires par rapport aux règles définies automatiquement, une zone hébergée privée doit être créée pour le nom de domaine 2.104.10.in-addr.arpa.
  4. Créez une règle Résolveur pour le nom de domaine 10.in-addr.arpa. Cette règle envoie des requêtes DNS inverses pour les adresses IP de la plage 10.0.0.0/8 (à l'exception des adresses IP des plages 10.237.52.0/22 et 10.104.2.0/24) à un serveur DNS d'un autre réseau avec l'adresse IP 192.168.1.4/32. La règle remplace également la règle système définie automatiquement.

Les règles suivantes répondent désormais aux exigences et sont étudiées par le résolveur en fonction de leur priorité :

  • Règles Résolveur personnalisés : 53.237.10.in-addr.arpa. et 10.in-addr.arpa.
  • Règle créée pour la zone hébergée privée : 2.104.10.in-addr.arpa.

La requête DNS inverse pour les adresses IP de la plage 10.0.0.0/8 est résolue en fonction de la priorité de la règle Résolveur. La règle de la zone hébergée privée et les règles définies automatiquement basées sur la règle de nom de domaine la plus spécifique sont les suivantes :

Numéro de priorité Plage d'adresses IP pour une requête DNS inverse Serveur DNS de destination
1 10.237.53.0/24 Par 192.169.1.4/32 à l'aide de la « règle Résolveur la plus spécifique »
2 10.237.52.0/22 sauf 10.27.53.0/24 Par le résolveur DNS fourni par Amazon à l'aide des règles par défaut (« règle système la plus spécifique »)
3 10.104.2.0/24 Par le résolveur DNS fourni par Amazon à l'aide des règles par défaut créées pour la zone hébergée privée
4 10.0.0.0/8 sauf tous les éléments ci-dessus Par 192.168.1.4/32 à l'aide de la règle Résolveur (Aucune autre règle plus spécifique n'est disponible. La règle Résolveur avec le nom de domaine 10.in-addr.arpa. est prioritaire par rapport aux règles définies automatiquement pour le même nom de domaine.)

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?