Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come posso risolvere i problemi di risoluzione del DNS con gli endpoint Route 53 Resolver?

5 minuti di lettura
0

Non riesco a risolvere i record DNS utilizzando un endpoint in entrata o in uscita in Amazon Route 53.

Risoluzione

Risolvi i problemi relativi agli endpoint in entrata

Completa i seguenti passaggi per assicurarti che i resolver DNS della tua rete possano inoltrare le query DNS a Route 53 Resolver utilizzando l'endpoint in entrata:

  • Se il server DNS locale deve inoltrare le query DNS all'endpoint in entrata per i tuoi domini, crea una regola di inoltro condizionale. La regola di inoltro condizionale deve essere creata sul server DNS locale. Questa configurazione si applica alle zone ospitate private e ai domini pubblici.

  • Verifica di disporre della connettività agli indirizzi IP degli endpoint del resolver in ingresso tramite la connessione AWS Direct Connect o la VPN. Questo passaggio verifica se è possibile raggiungere l'indirizzo IP dell'endpoint del resolver in entrata dalla rete locale. Utilizza il seguente comando telnet per testare la connettività tra l'indirizzo IP del resolver dell'endpoint in ingresso sulla porta 53:** telnet <inbound endpoint resolver IP address> 53**.

  • Controlla il gruppo di sicurezza associato all'endpoint del resolver in entrata. Il gruppo di sicurezza deve consentire il traffico sulla porta TCP e UDP 53 dall'indirizzo IP del server DNS locale.

  • Verifica che gli elenchi di controllo dell'accesso alla rete personalizzati (ACL di rete) utilizzati con la sottorete in cui è stato creato l'endpoint in entrata consentano quanto segue:

  • Traffico UPD e TCP in ingresso dal server DNS locale sulla porta 53.

  • Traffico UDP e TCP in uscita verso il server DNS locale sull'intervallo di porte di destinazione 1024-65535.

  • Verificare che la tabella delle rotte associata alla sottorete in cui è stato creato il resolver degli endpoint in entrata includa un percorso verso la rete locale. È possibile configurare il percorso tramite una connessione Direct Connect o VPN. Questo percorso consente al resolver dell'endpoint in entrata di restituire una risposta alla query DNS.

  • Per convalidare la risoluzione del dominio, completa una ricerca del nome di dominio dal server DNS locale o dall'host locale.

  • Per Windows:** nslookup <private hosted zone domain name>**

  • Per Linux o macOS:** dig <private hosted zone domain name>**

  • Se i comandi precedenti non restituiscono un record, puoi bypassare il server DNS locale. Invia la query DNS direttamente all'indirizzo IP dell'endpoint del resolver in entrata utilizzando i seguenti comandi.

  • Per Windows:** nslookup <private hosted zone domain name> @ <inbound endpoint IP address>**

  • Per Linux o macOS:** dig <private hosted zone domain name> @ <inbound endpoint IP address>**

  • Verifica che il server DNS locale invii solo interrogazioni ricorsive. Il resolver in entrata Route 53 non supporta le query iterative.

  • Se stai risolvendo in una zona ospitata privata, conferma che gli endpoint del resolver in entrata e la zona ospitata privata siano associati al VPC corretto.

Risolvi i problemi relativi agli endpoint in uscita

Completa i seguenti passaggi per assicurarti che Route 53 Resolver inoltri in modo condizionale le query ai resolver della rete utilizzando l'endpoint in uscita:

  • Conferma di utilizzare un DNS fornito da Amazon. I server DNS personalizzati sulle istanze del tuo VPC devono indirizzare le query DNS private all'indirizzo IP dei server DNS del tuo VPC forniti da Amazon. L'indirizzo IP dei server DNS fornito da Amazon è l'indirizzo IP alla base dell'intervallo di rete VPC più due.

  • Conferma la regola di uscita del gruppo di sicurezza associato all'endpoint del resolver in uscita. La regola di uscita deve consentire il traffico UDP e TCP 53 verso gli indirizzi IP del server DNS locale.

  • Verifica che le regole personalizzate per gli ACL di rete corrispondenti alle sottoreti in cui sono state create le interfacce degli endpoint in uscita consentano quanto segue:

  • Traffico UDP e TCP in uscita verso il server DNS locale sulla porta 53.

  • Traffico UDP e TCP in ingresso dal server DNS locale sull'intervallo di porte effimere 1024-65535.

  • Verifica che la tabella delle rotte associata alla sottorete dell'endpoint del resolver in uscita abbia un percorso verso il server DNS locale. Il percorso può essere configurato tramite una connessione Direct Connect o VPN.

  • Determina se i tuoi server DNS locali sono protetti da un firewall. Se i server sono protetti da un firewall, verifica che il firewall consenta il traffico dagli indirizzi IP degli endpoint del resolver in uscita.

  • Tieni presente che una regola Resolver che indirizza il traffico verso la tua rete per lo stesso nome di dominio ha la precedenza sulle zone ospitate private.

  • Nota che Resolver indirizza le query DNS in uscita utilizzando la regola che contiene il nome di dominio più specifico. Per ulteriori informazioni, vedi Come Resolver determina se il nome di dominio in una query corrisponde a qualche regola.

  • Se stai utilizzando una regola condivisa, conferma che la regola condivisa sia associata al tuo VPC.

  • Utilizza i registri di flusso VPC per acquisire informazioni sul flusso sulle interfacce di rete utilizzate dai resolver. Filtra in base al nome del resolver per visualizzare i log per l'interfaccia di rete elastica del resolver.

Argomenti
Networking e distribuzione di contenuti
Tag
Amazon Route 53
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente