Comment configurer un point de terminaison sortant d'un Route 53 Resolver pour résoudre les enregistrements DNS hébergés sur un réseau distant à partir de ressources de mon VPC ?

Dernière mise à jour : 15/09/2020

Comment configurer un point de terminaison sortant d'un Amazon Route 53 Resolver pour résoudre les enregistrements DNS hébergés sur un réseau distant à partir d'instances Amazon Elastic Compute Cloud (Amazon EC2) dans mon Amazon Virtual Private Cloud (Amazon VPC) ?

Brève description

Un VPC créé avec Amazon VPC reçoit une résolution DNS automatique de la part de Route 53 Resolver. Les instances EC2 d'un VPC peuvent envoyer des requêtes DNS au Résolveur à l'aide de l'adresse IP réservée à la base de la plage réseau CIDR IPv4 de votre VPC, plus deux. Vous pouvez configurer le Résolveur pour transférer les requêtes DNS pour les noms de domaine depuis les instances Amazon EC2 de vos VPC vers les résolveurs DNS de votre réseau distant.

Pour réacheminer les requêtes DNS, créez les éléments suivants :

  • Un point de terminaison sortant pour envoyer des requêtes DNS au réseau distant.
  • Une règle de Résolveur pour spécifier le nom de domaine des requêtes DNS que le Résolveur transmet aux serveurs DNS distants.

Résolution

Remplissez les conditions préalables

  • Activez la résolution DNS dans les attributs de support DNS pour le VPC dans lequel vous créez un point de terminaison sortant.
  • Si vous utilisez un serveur DNS personnalisé dans le VPC : vérifiez qu'il est configuré pour transférer de manière conditionnelle les requêtes DNS pour le nom de domaine applicable vers le Résolveur à l'aide de l'adresse IP réservée à la base de la plage réseau IPv4 de votre VPC, plus deux.
  • Si vous n'utilisez pas de serveur DNS personnalisé dans le VPC : vérifiez que les Domain name servers (Serveurs de noms de domaine) du jeu d'options DHCP sont définis sur  AmazonProvidedDNS ou sur l'adresse IP réservée à la base de la plage de réseau IPv4 de votre VPC, plus deux.

Configurez un point de terminaison sortant

  1. Ouvrez la console Route 53.
  2. Dans le volet de navigation, sélectionnez Outbound endpoints (Points de terminaison sortants).
  3. Dans la barre de navigation, sélectionnez la région pour le VPC dans lequel vous souhaitez créer le point de terminaison sortant.
  4. Sélectionnez Create outbound endpoint (Créer un point de terminaison sortant).
  5. Sur la page Create outbound endpoint (Créer un point de terminaison sortant ), remplissez la section General settings for outbound endpoint (Paramètres généraux pour le point de terminaison sortant). Sélectionnez un Security group (groupe de sécurité) qui autorise la connectivité TCP et UDP sortante aux adresses IP et aux ports que les résolveurs utilisent pour les requêtes DNS sur votre réseau distant.
  6. Remplissez la section IP addresses (Adresses IP). Vous pouvez laisser le Résolveur choisir des adresses IP pour vous à partir des adresses IP disponibles dans le sous-réseau, ou spécifier vous-même des adresses IP. Choisissez entre deux (minimum) et six (maximum) adresses IP pour les requêtes DNS. Il est recommandé de choisir des adresses IP dans au moins deux zones de disponibilité différentes. Pour Subnet (Sous-réseau), choisissez des sous-réseaux qui ont en commun :
    • Des tables de routage qui incluent des routes vers les adresses IP des résolveurs DNS sur votre réseau distant à l'aide d'AWS Direct Connect, d'une connexion VPN ou d'une passerelle NAT (Network Address Translation).
    • Des listes de contrôle d'accès (ACL) réseau qui autorisent le trafic UDP et TCP vers les adresses IP et les ports que les résolveurs utilisent pour les requêtes DNS sur votre réseau distant et depuis les résolveurs sur la plage de ports de destination 1024-65535.
  7. (Facultatif) Remplissez la section Tags (Balises).
  8. Sélectionnez Submit (Envoyer).

Configurez une règle de Résolveur

Pour créer une nouvelle règle :

  1. Ouvrez la console Route 53.
  2. Choisissez Rules (Règles) dans le volet de navigation Route 53.
  3. Dans la barre de navigation, sélectionnez la région dans laquelle le point de terminaison sortant nouvellement créé existe.
  4. Sélectionnez Create rule (Créer une règle).
  5. Sur la page Create rule (Créer une règle), remplissez les sections Rule for sortant traffic (Règle pour le trafic sortant). Pour Rule type (Type de règle), configurez une règle de réacheminement et associez-la au VPC à partir duquel vous réacheminerez les requêtes DNS vers votre réseau distant. Pour Outbound endpoint (Point de terminaison sortant), choisissez le point de terminaison sortant que vous venez de créer.
    Remarque : le VPC auquel vous associez cette règle n'a pas besoin d'être le même VPC que celui où vous avez créé le point de terminaison sortant.
  6. Remplissez la section IP addresses (Adresses IP). Pour IP address (Adresse IP) spécifiez les adresses IP des résolveurs DNS sur votre réseau distant. Pour Port, spécifiez les ports que ces résolveurs utilisent pour les requêtes DNS.
    Remarque : le Résolveur transmet toute requête DNS qui correspond à cette règle et provient d'un VPC associé à cette règle au point de terminaison sortant référencé. Par conséquent, ces requêtes sont transférées vers les adresses IP cibles que vous spécifiez ici.
  7. (Facultatif) Remplissez la section Tags (Balises).
  8. Sélectionnez Submit (Envoyer).

Pour utiliser une règle existante :

  • Vous disposez déjà d'une règle pour le domaine concerné dans la même région que le VPC de votre compte ? Associez cette règle à votre VPC au lieu de créer une nouvelle règle. Sélectionnez la règle dans le tableau de bord des règles et associez-la aux VPC applicables dans la région.
  • Vous disposez déjà d'une règle pour le domaine concerné dans la même région que votre VPC, mais dans un autre compte ? Utilisez le gestionnaire d'accès aux ressources pour partager la règle du compte distant à votre compte. Lorsque vous partagez une règle, vous partagez également le point de terminaison sortant correspondant. Une fois que vous avez partagé la règle avec votre compte, sélectionnez la règle dans le tableau de bord des règles et associez-la aux VPC de votre compte.

Remarque : la connectivité réseau n'est pas nécessaire pour transférer les requêtes DNS d'un VPC associé à une règle Résolveur vers le VPC où se trouve le point de terminaison sortant. Cela est vrai que les VPC se trouvent dans le même compte ou non.

Testez votre configuration

Effectuez une résolution DNS à partir de l'une des instances Amazon EC2 de votre VPC :

  • Pour Linux ou macOS – dig <record name> <record type>
  • Pour Windows – nslookup -type=<record type> <record name>