Come posso risolvere i record di risorse nella mia zona ospitata privata utilizzando Client VPN?

4 minuti di lettura
0

Sto creando un endpoint VPN Client di AWS. Devo consentire agli utenti finali (client connessi a Client VPN) di interrogare i record di risorse ospitati nella mia zona ospitata privata di Amazon Route 53. Come posso farlo?

Soluzione

Per consentire agli utenti finali di interrogare i record in una zona ospitata privata utilizzando Client VPN:

  1. Conferma di aver abilitato la "risoluzione DNS" e i "nomi host DNS" nel tuo Amazon Virtual Private Cloud (Amazon VPC). Queste impostazioni devono essere abilitate per accedere alle zone ospitate private. Per ulteriori informazioni, consulta Visualizzazione e aggiornamento degli attributi DNS per il VPC.
  2. Crea un endpoint Client VPN, se non l'hai già fatto. Assicurati di configurare il parametro "Indirizzo IP del server DNS" con l'indirizzo IP del server DNS raggiungibile dagli utenti finali per le query di risoluzione DNS. In alternativa, puoi modificare un endpoint Client VPN esistente per aggiornare le impostazioni del server DNS.

A seconda della configurazione del server e dei valori specificati per il parametro "Indirizzo IP del server DNS", la risoluzione del dominio della zona ospitata privata varia:

  • Con il server Amazon DNS (intervallo di rete VPC IPv4 più due): gli utenti finali possono risolvere i record di risorse della zona ospitata privata associata al VPC.
  • Con un server DNS personalizzato situato nello stesso VPC del VPC associato all'endpoint Client VPN, puoi configurare il server DNS personalizzato per servire le query DNS come richiesto. Per risolvere i record di risorse, configura il server DNS personalizzato come server di inoltro per inoltrare le query DNS per il dominio ospitato privato al resolver DNS VPC predefinito. Per utilizzare il server DNS personalizzato per tutte le risorse del VPC, assicurati di configurare le opzioni DHCP di conseguenza.
    Nota: Il server DNS personalizzato potrebbe anche risiedere in un VPC con peering. In tal caso, la configurazione personalizzata del server DNS è la stessa di cui sopra. Assicurati di associare la tua zona ospitata privata a entrambi i VPC.
  • Con un server DNS personalizzato on-premise e il parametro "Indirizzo IP del server DNS" in Client VPN disabilitato o vuoto: le query DNS per il dominio della zona ospitata privata vengono inoltrate al resolver in ingresso Route 53. È necessario creare regole di inoltro condizionale nel server DNS personalizzato locale per inoltrare le query all'indirizzo IP del resolver in entrata Route 53 nel VPC tramite AWS Direct Connect o VPN sito-sito AWS.
    Nota: Se il dispositivo client non dispone di un percorso verso il server DNS locale quando viene stabilita la connessione Client VPN, le query DNS hanno esito negativo. In questo caso, è necessario aggiungere manualmente una route statica preferita al server DNS on-premise personalizzato nella tabella di routing del dispositivo client.
  • Con il parametro "Indirizzo IP del server DNS" disabilitato: il dispositivo client utilizza il resolver DNS locale per risolvere le query DNS. Se il resolver locale è impostato su un resolver DNS pubblico, non puoi risolvere i record nelle zone ospitate private.

Nota: Quanto segue si riferisce a ciascuno dei quattro tipi di configurazioni dei server DNS:

  • Se la modalità full-tunnel è abilitata, viene aggiunta una route per tutto il traffico attraverso il tunnel VPN alla tabella di routing del dispositivo client. Gli utenti finali possono connettersi a Internet se le regole di autorizzazione e le rispettive route vengono aggiunte alla tabella di routing di sottorete associata all'endpoint Client VPN.
  • Se la modalità split-tunnel è abilitata, le route nella tabella di routing dell'endpoint Client VPN vengono aggiunte alla tabella di routing del dispositivo client.

Informazioni correlate

How does DNS work with my AWS Client VPN endpoint?

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa