Comment configurer un point de terminaison entrant du Résolveur Route 53 pour résoudre les enregistrements DNS de ma zone hébergée privée à partir de mon réseau distant ?

Date de la dernière mise à jour : 11/10/2019

Comment configurer un point de terminaison entrant du Résolveur Amazon Route 53 pour résoudre les enregistrements de ma zone hébergée privée à partir de mon réseau distant ?

Brève description

Un VPC créé avec Amazon Virtual Private Cloud (Amazon VPC) reçoit une résolution DNS automatique de la part du Résolveur Route 53. Les instances Amazon Elastic Compute Cloud (Amazon EC2) d'un VPC peuvent envoyer des requêtes DNS au Résolveur à l'aide de l'adresse IP réservée à la base de la plage réseau CIDR IPv4 de votre VPC, plus deux. S'il existe une connectivité réseau entre le réseau distant et le VPC, les résolveurs DNS d'un réseau distant peuvent transmettre les requêtes DNS au Résolveur dans un VPC. Cette connectivité s'effectue à l'aide d'AWS Direct Connect ou d'une connexion VPN. Toutefois, le Résolveur n'accepte pas les requêtes DNS provenant d'adresses IP en dehors de la plage réseau VPC. Pour résoudre ce problème, vous pouvez créer un point de terminaison entrant dans votre VPC. Les requêtes DNS reçues par un point de terminaison entrant sont transmises au Résolveur. Ces requêtes sont traitées de la même manière que les requêtes provenant du VPC lui-même.

Résolution

Remplissez les conditions préalables

Tout d'abord, activez les noms d'hôte DNS et la résolution DNS dans les attributs de support DNS pour le VPC dans lequel vous créez un point de terminaison entrant.

Ensuite, associez la zone hébergée privée applicable au VPC dans lequel vous souhaitez créer le point de terminaison entrant.

Si la zone hébergée privée et le VPC se trouvent dans le même compte :

  1. Ouvrez la console Route 53.
  2. Dans le volet de navigation, sélectionnez Hosted zones (Zones hébergées).
  3. Sélectionnez la zone hébergée privée qui contient les enregistrements à interroger.
  4. Dans la barre de recherche, recherchez votre VPC, puis sélectionnez Associate New VPC (Associer un nouveau VPC).

Si la zone hébergée privée et le VPC se trouvent dans des comptes différents, utilisez l'interface de ligne de commande AWS (CLI AWS) pour effectuer une association entre comptes.

Configurez un point de terminaison entrant

  1. Ouvrez la console Route 53.
  2. Dans le volet de navigation, choisissez Inbound endpoints (Points de terminaison entrants).
  3. Dans la barre de navigation, choisissez la région pour le VPC dans lequel vous souhaitez créer le point de terminaison entrant.
  4. Sélectionnez Create inbound endpoint (Créer un point de terminaison entrant).
  5. Sur la page Create inbound endpoint (Créer un point de terminaison entrant), remplissez la section General settings for inbound endpoint (Paramètres généraux pour le point de terminaison entrant). Sélectionnez un Security group for this endpoint (groupe de sécurité pour ce point de terminaison) qui autorise le trafic UDP et TCP entrant depuis le réseau distant sur le port de destination 53.
  6. Remplissez la section IP addresses (Adresses IP). Vous pouvez laisser le Résolveur choisir des adresses IP pour vous à partir des adresses IP disponibles dans le sous-réseau, ou spécifier vous-même des adresses IP. Choisissez entre deux (minimum) et six (maximum) adresses IP pour les requêtes DNS. Il est recommandé de choisir des adresses IP dans au moins deux zones de disponibilité différentes. Pour Subnet (Sous-réseau), choisissez des sous-réseaux qui ont pour points communs :
    • Des tables de routage qui incluent des routes vers les adresses IP des résolveurs DNS sur votre réseau distant à l'aide d'AWS Direct Connect ou d'une connexion VPN.
    • Des listes de contrôle d'accès (ACL) réseau qui autorisent le trafic UDP et TCP vers le réseau distant sur le port de destination 53 et depuis le réseau distant sur la plage de ports de destination 1024-65535. Notez qu'en fonction de votre type de client, vous pouvez utiliser une plage différente pour vos listes de contrôle d'accès réseau.
  7. (Facultatif) Remplissez la section Tags (Balises).
  8. Sélectionnez Submit (Envoyer).

Testez votre configuration

Avant de procéder au test, vérifiez que vous avez configuré :

  • Le serveur DNS sur le réseau distant pour transférer de manière conditionnelle les requêtes DNS pour le nom de domaine de la zone hébergée privée vers les adresses IP du point de terminaison entrant.
  • Le serveur DNS distant pour réacheminer les requêtes DNS pour le nom de domaine au lieu de déléguer l'autorité du nom de domaine au point de terminaison entrant.
    Remarque : les points de terminaison entrants prennent en charge uniquement les requêtes DNS récursives. Les requêtes DNS itératives envoyées au point de terminaison entrant expirent.

Ensuite, effectuez la résolution DNS pour l'un des enregistrements de la zone hébergée privée à partir d'un client sur le réseau distant à l'aide des commandes suivantes :

  • Pour Linux ou MacOS : dig <record name> <record type>
  • Pour Windows : nslookup <record name> <record type>