Come posso configurare un endpoint in entrata del resolver di Route 53 per risolvere i record DNS nella mia zona ospitata privata dalla mia rete remota?

6 minuti di lettura
0

Voglio configurare un endpoint in entrata del risolutore Amazon Route 53 per risolvere i record nella mia zona ospitata privata dalla mia rete remota.

Breve descrizione

Amazon Virtual Private Cloud (Amazon VPC) consente al VPC di ricevere la risoluzione DNS automatica dal resolver Route 53. Le istanze Amazon Elastic Compute Cloud (Amazon EC2) di un VPC possono inviare query DNS al resolver. A tale scopo, l'istanza utilizza l'indirizzo IP riservato alla base dell'intervallo di rete VPC CIDR IPv4 più due. Se è disponibile la connettività di rete tra la rete remota e il VPC, i resolver DNS della rete remota possono inoltrare le query DNS al resolver del VPC. AWS Direct Connect o una connessione VPN realizzano questa connettività. Tuttavia, il resolver non accetta query DNS da indirizzi IP esterni all'intervallo della rete VPC. È possibile risolvere questo problema creando un endpoint in entrata nel VPC. Questo endpoint in entrata inoltra le query DNS ricevute al resolver. L'elaborazione di queste query è identica a quella delle query generate all'interno del VPC.

Risoluzione

Completa i prerequisiti

Per prima cosa, attiva i nomi host DNS e la risoluzione DNS negli attributi di supporto DNS per il VPC in cui desideri creare un endpoint in entrata.

Quindi, associa la zona ospitata privata applicabile al VPC.

Se la zona ospitata privata e il VPC si trovano nello stesso account, completa i seguenti passaggi:

  1. Apri la console Route 53.
  2. Nel pannello di navigazione, seleziona Zone ospitate.
  3. Seleziona la zona ospitata privata che contiene i record per cui desideri eseguire query.
  4. Nella barra di ricerca, cerca il VPC. Quindi, seleziona Associa nuovo VPC.

Se la zona ospitata privata e il VPC si trovano in account diversi, utilizza l'interfaccia della linea di comando AWS (AWS CLI) per eseguire l'associazione tra account.

Nota: Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS, assicurati di utilizzare la versione più recente dell'interfaccia della linea di comando AWS.

Verifica che il server DNS on-premise invii solo query ricorsive. Il resolver in entrata Route 53 non supporta le query iterative.

Verifica che la tabella di routing associata alle sottoreti in cui è stato creato il resolver degli endpoint in entrata includa un percorso verso la rete on-premise.

Se utilizzi liste di controllo degli accessi alla rete (ACL) personalizzate con la sottorete in cui hai creato l'endpoint in entrata, devi consentire un determinato traffico. Assicurati che le ACL consentano il traffico sulle seguenti porte:

  • Traffico UDP e TCP verso (regola NACL in uscita) il server DNS on-premise sull'intervallo di porte di destinazione 1024-65535.
  • Traffico UDP e TCP da (regola NACL in entrata) il server DNS on-premise sulla porta 53.
  • Qualsiasi gruppo di sicurezza associato alla porta in entrata deve consentire il traffico sulla porta TCP e UDP 53 dall'indirizzo IP del server DNS on-premise.

Se è presente un firewall tra la rete on-premise e AWS, il firewall deve consentire un determinato traffico. Assicurati che consenta il traffico sulla porta TCP e UDP 53 per gli indirizzi IP dei server DNS on-premise.

È inoltre necessario stabilire la connettività agli indirizzi IP degli endpoint del resolver in entrata tramite la connessione AWS Direct Connect.

Configurazione di un endpoint in entrata

1.    Apri la console Route 53.

2.    Nel pannello di navigazione, seleziona Endpoint in entrata.

3.    Nella barra di navigazione, seleziona la regione AWS per il VPC in cui desideri creare l'endpoint in entrata.

4.    Seleziona Crea endpoint in entrata.

5.    Completa le Impostazioni generali per l'endpoint in entrata. Seleziona un gruppo di sicurezza per questo endpoint che consenta il traffico UDP e TCP in entrata dalla rete remota sulla porta di destinazione 53.

6.    Seleziona 2-6 indirizzi IP per le query DNS. Il resolver può selezionare gli indirizzi IP tra quelli disponibili nella sottorete. Oppure puoi specificare gli indirizzi IP desiderati. È consigliabile scegliere indirizzi IP in almeno due diverse zone di disponibilità.

7.    Per ogni indirizzo IP, seleziona le sottoreti che presentano i seguenti valori:
Tabelle di routing corrispondenti: Queste tabelle di routing devono includere i percorsi verso gli indirizzi IP dei resolver DNS sulla rete remota tramite AWS Direct Connect o una VPN.
**ACL di rete:**Devono consentire il traffico UDP e TCP dalla rete remota sulla porta di destinazione 53. Inoltre, devono consentire il traffico UDP e TCP verso la rete remota nell'intervallo di porte di destinazione 1024-65535. A seconda del tipo di client, è possibile utilizzare un intervallo diverso per le ACL di rete.

8.    (Facoltativo) Completa la sezione Tag.

9.    Seleziona Crea endpoint in entrata.

**Nota:**Non esiste un FQDN per il resolver in entrata. Pertanto, quando si crea un endpoint in entrata, Route 53 crea interfacce di rete elastiche nella sottorete selezionata. Gli indirizzi IP di queste interfacce di rete inoltrano le query DNS.

Testa la tua configurazione

Prima del test, verifica che la configurazione tenga conto delle seguenti condizioni:

  • Il server DNS della rete remota deve inoltrare in modo condizionale le query DNS per il nome di dominio della zona ospitata privata agli indirizzi IP dell'endpoint in entrata.
  • Il server DNS remoto deve inoltrare le query DNS per il nome di dominio anziché delegare l'autorità del nome di dominio all'endpoint in entrata.
  • Gli endpoint in entrata devono supportare solo le query DNS ricorsive. Le query DNS iterative inviate agli endpoint in entrata scadono. Se il server DNS on-premise invia una query DNS quando Ricorsione desiderata è impostato su 0 (falso), l'endpoint in entrata non fornisce una risposta. Queste informazioni sono disponibili nell'acquisizione di pacchetti.
  • Se utilizzi AWS Transit Gateway, verifica che le sottoreti siano associate ai collegamenti del gateway di transito alla VPN. Ciò è necessario per risolvere le query DNS.

Per testare la configurazione, esegui la risoluzione DNS per uno dei record nella zona ospitata privata da un client sulla rete remota. Nei seguenti comandi, sostituisci RECORD_NAME e RECORD_TYPE con i valori corrispondenti:

Per Linux o MacOS, esegui dig RECORD_NAME RECORD_TYPE, come nell'esempio seguente:

dig example.com A

Per Windows, esegui nslookup RECORD_NAME RECORD_TYPE, come nell'esempio seguente:

nslookup example.com

Informazioni correlate

Risoluzione di query DNS tra i VPC e la rete

Inoltro di query DNS in uscita alla rete

Gestione degli endpoint in uscita

Come posso risolvere i problemi di risoluzione DNS con gli endpoint del resolver Route 53?

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa