Pourquoi ne suis-je pas en mesure de résoudre les problèmes de noms de domaine sur ma connexion d'appairage de VPC ?

Dernière mise à jour : 12/04/2022

Je ne parviens pas à résoudre les problèmes de noms de domaine sur ma connexion d'appairage Amazon VPC. Comment puis-je résoudre ce problème ?

Solution

Remarque : Les scénarios suivants partent du principe que le VPC est configuré avec AmazonProvidedDNS. Si vous utilisez un DNS personnalisé et que vous ne parvenez pas à résoudre les problèmes de noms de domaine, procédez comme suit :

  • Ajoutez les enregistrements dans le DNS personnalisé.
    -ou-
  • Configurez le DNS pour le transfert de certaines requêtes vers le DNS fourni par Amazon. Le DNS fourni par Amazon est l'adresse IP .2 du CIDR du VPC.

Scénario 1 : Résolution du problème de DNS public d'une instance Amazon EC2 créée dans le VPC appairé

Amazon Elastic Compute Cloud (Amazon EC2) attribue un nom de DNS privé et public lors de la création de l'instance. Les noms de domaine suivants sont attribués aux instances par défaut :

  • DNS privé : ip-172-31-19-128.ec2.internal (pour la région us-east-1) ou ip-172-31-12-97.us-west-2.compute.internal (pour les autres régions).
  • DNS public : ec2-54-147-16-116.compute-1.amazonaws.com ou ec2-35-88-61-144.us-west-2.compute.amazonaws.com.

Si vous configurez le jeu d'options DHCP avec un nom de domaine personnalisé, tel que « exemple.com », l'instance EC2 utilisera ce nom de domaine. Par exemple, ip-172-31-12-97.us-west-2.example.com.

La résolution d'un problème de DNS privé à partir d'une instance AWS se fait à une adresse IP privée du VPC sur lequel vous avez créé l'instance :

$ dig ip-172-31-12-97.us-west-2.compute.internal +short
172.31.12.97

La résolution du problème de DNS public de l'instance à partir d'une autre instance créée dans le VPC appairé se fait à l'adresse IP publique de l'instance :

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
35.88.61.144

Vous pouvez résoudre le problème de nom de domaine public à l'adresse IP privée de l'instance EC2. Pour ce faire, activez l'une des options suivantes sur la connexion d'appairage de VPC :

  • Résolution DNS du demandeur
    -ou-
  • Résolution DNS du receveur

Pour en savoir plus, consultez la section Activer la résolution du DNS pour une connexion d'appairage de VPC.

Après avoir activé la résolution du DNS, vous avez la possibilité de résoudre le problème de DNS public à l'adresse IP privée de l'instance, comme illustré dans l'exemple suivant :

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
172.31.12.97

Si la résolution du DNS ne fonctionne pas après l'avoir activée sur l'appairage de VPC, procédez comme suit pour résoudre le problème.

Étapes de dépannage

1.    Vérifiez le VPC source et l'identifiant du VPC de destination.

2.    Assurez-vous qu'il existe une connexion d'appairage active entre le VPC source et le VPC de destination à l'aide de l'appairage de VPC.

3.    Veillez à ce que les noms d'hôte DNS et la résolution DNS des deux VPC utilisés dans la connexion d'appairage soient activés.

4.    Vérifiez la configuration du DNS de la connexion d'appairage et assurez-vous que la résolution du DNS est activée sur les VPC du demandeur et ceux du receveur.

5.    Vérifiez que le nom de domaine public que vous résolvez existe. Vérifiez le VPC de destination pour vous assurer qu'il existe une instance comportant l'adresse IP publique contenue dans le nom de domaine.

6.    Vérifiez si la configuration du DNS du VPC est AmazonProvidedDNS ou CustomDNS. Si vous utilisez un DNS personnalisé, vérifiez que le DNS personnalisé résout le problème de nom de domaine de l'instance publique. Si le DNS personnalisé ne parvient pas à résoudre le problème de nom de domaine, effectuez l'une des opérations suivantes :

Ajoutez un enregistrement de DNS statique.

-ou-

Redirigez la requête vers AmazonProvidedDNS.

Scénario 2 : Résolution du problème de nom de domaine des services créés dans un VPC appairé

Lorsque vous créez un service comportant un nom de domaine, vous pouvez résoudre ce problème de nom de domaine à partir de l'instance de n'importe quel VPC appairé. En effet, les noms de domaine créés pour ces services sont des enregistrements publics et peuvent être résolus de n'importe où. Par exemple, les enregistrements du nom de domaine suivants peuvent être résolus publiquement :

  • testCLB-520693273.us-east-1.elb.amazonaws.com
  • test-87913728ca9b8a68.elb.us-east-1.amazonaws.com
  • vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com

Remarque : Même si le nom de domaine est destiné à un équilibreur de charge privé, l'enregistrement est public et le problème sera résolu à l'adresse IP privée.

Les problèmes de noms de domaine des points de terminaison de service, tels que « ssm.us-east-1.amazonaws.com », sont résolus à l'adresse IP publique. Cela est vrai même si le point de terminaison d'une interface est créé dans le VPC appairé avec l'option DNS privé activée. Vous pouvez résoudre le problème de nom de domaine des points de terminaison de service à l'adresse IP privée du point de terminaison de l'interface. Pour ce faire, la ressource doit faire partie du VPC sur lequel vous avez créé le point de terminaison de l'interface.

Exemple

Le point de terminaison d'un VPC d'interface est configuré sur VPCA. Vous essayez de résoudre le problème nom de domaine de service sur les adresses IP de point de terminaison d'un VPC d'interface dans VPCA à partir de VPCB. Dans ce scénario, vous avez besoin d'un point de terminaison de résolveur sortant Amazon Route 53 dans VPC B et d'un point de terminaison de résolveur entrant Route 53 dans VPCA.

Remarque : Pour en savoir plus sur la configuration du résolveur Route 53 à l'aide de l'Assistant, consultez la section de Mise en route avec le résolveur Route 53.

  1. Créez un point de terminaison sortant du résolveur Route 53 dans VPCB (où vous souhaitez accéder au DNS du point de terminaison).
  2. Créez un point de terminaison entrant du résolveur Route 53 dans VPCA (où vous avez créé le point de terminaison).
  3. Créez une règle de résolveur Route 53 avec le nom de domaine et les adresses IP cibles dans la région VPCA.

Le point de terminaison sortant dans VPCB transmet les requêtes DNS du nom de domaine de service aux adresses IP du point de terminaison du résolveur entrant dans VPCA. Le point de terminaison entrant dans VPCA reçoit la requête DNS du nom de domaine de service. Le point de terminaison entrant transmet ensuite la requête au serveur DNS fourni par Amazon dans VPCA pour résolution.

Une fois que les points de terminaison du résolveur Route 53 sont actifs, vous avez la possibilité d'accéder au point de terminaison avec le nom DNS privé.

Étapes de dépannage

1.    Vérifiez le VPC source et l'identifiant du VPC de destination.

2.    Vérifiez qu'une connexion d'appairage active existe entre le VPC source et le VPC de destination.

3.    Veillez à ce que les noms d'hôte DNS et la résolution DNS des deux VPC utilisés dans la connexion d'appairage soient activés.

4.    Vérifiez la configuration du DNS de la connexion d'appairage et assurez-vous que la résolution du DNS est activée sur les VPC du demandeur et ceux du receveur.

5.    Vérifiez que le nom de domaine public que vous résolvez existe. Vérifiez le VPC de destination et assurez-vous qu'un point de terminaison d'interface VPC a été créé dans le VPC avec l'option DNS privé activée.

6.    Veillez à ce que le DNS configuré dans le VPC soit AmazonProvidedDNS ou CustomDNS. Si vous utilisez un DNS personnalisé, vérifiez que le DNS personnalisé peut résoudre le nom de domaine. Si le DNS personnalisé ne peut pas résoudre le nom de domaine, ajoutez un enregistrement de DNS statique ou configurez un DNS personnalisé pour le transfert de la requête vers AmazonProvidedDNS.

7.    Assurez-vous que les tables de routage associées aux sous-réseaux comportant les points de terminaison du résolveur de VPC comportent un chemin d'appairage pointant vers le VPC source ou de destination. Procédez comme suit pour tous les points de terminaison de résolution de VPC entrants et sortants des deux VPC.

8.    Vérifiez que les listes de contrôle d'accès réseau (ACL) associées aux sous-réseaux où les points de terminaison du résolveur sont créés autorisent le trafic entrant en provenance des CIDR de VPC appairés.

9.    Vérifiez que les résolveurs entrants et sortants sont correctement configurés et qu'ils appliquent les règles appropriées pour le transfert du trafic vers la prochaine saut. Pour en savoir plus, consultez la section Comment puis-je résoudre les problèmes de résolution DNS avec les points de terminaison Route 53 Resolver ?

Scénario 3 : Nom de domaine personnalisé créé dans une zone hébergée privée

Vous avez créé une zone hébergée privée pour un nom de domaine personnalisé utilisé pour résoudre le problème de domaine sur un enregistrement créé dans une zone hébergée privée. Le VPC A est associé à une zone hébergée privée. Le VPC B possède une connexion d'appairage au VPC A. Vous souhaitez résoudre le problème de nom de domaine personnalisé du VPC B sur le VPC A où vous pouvez résoudre le problème de domaine personnalisé.

Il existe deux méthodes pour y parvenir :

  • Solution 1 : Transférer la requête du VPC B vers le principal DNS du VPC A. Cette configuration est similaire au scénario 2.
  • Solution 2 : Associez le VPC B à la zone hébergée privée du domaine personnalisé dans lequel vous avez créé l'enregistrement. Une fois l'association établie, vous pouvez résoudre le problème de nom de domaine personnalisé dans une zone hébergée privée à partir des ressources des deux VPC appairés.

Étapes de dépannage

Remarque : Suivez les étapes de dépannage mentionnées dans le scénario 2 pour la solution 1.

1.    Vérifiez le VPC source et l'identifiant du VPC de destination.

2.    Veillez à ce que le DNS configuré dans le VPC soit AmazonProvidedDNS ou CustomDNS. Si vous utilisez un DNS personnalisé, vous ne pouvez pas résoudre les problèmes d'enregistrements hébergés dans des zones hébergées privées. Pour corriger cela, ajoutez un enregistrement de nom de domaine statique sur le DNS personnalisé. Vous pouvez également configurer un DNS personnalisé pour le transfert de la requête vers AmazonProvidedDNS.

3.    Si vous utilisez un DNS fourni par Amazon, vérifiez le domaine que vous essayez de résoudre et l'endroit où il est hébergé (Amazon Route 53 ou sur site). S'il est sur site, assurez-vous que le point de terminaison du résolveur sortant utilisé pour le transfert de la requête vers le DNS sur site est correctement configuré.

4.    S'il est hébergé dans une zone hébergée privée Route 53, assurez-vous que le VPC source est associé à la zone hébergée privée. Le VPC source est l'emplacement à partir duquel vous essayez de résoudre le nom de domaine personnalisé.

5.    Assurez-vous que le nom de domaine complet de la requête que vous essayez de résoudre possède un enregistrement créé dans la zone hébergée privée.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?