Come configuro un endpoint in uscita del risolutore Route 53 per risolvere i record DNS ospitati su una rete remota a partire dalle risorse del mio VPC?

Breve descrizione

Un VPC creato con Amazon VPC riceve una risoluzione DNS automatica dal risolutore Route 53. Puoi configurare il risolutore per inoltrare le query DNS per i nomi di dominio dalle istanze EC2 nei tuoi Amazon VPC ai risolutori DNS sulla tua rete remota.

Per inoltrare le query DNS, crea ognuna delle seguenti opzioni:

• Un endpoint in uscita per inviare query DNS alla rete remota.
• Una regola risolutore per specificare il nome di dominio delle query DNS che il risolutore inoltra ai server DNS remoti.

Risoluzione

Prerequisiti

• Attiva la risoluzione DNS negli attributi di supporto DNS per il VPC associato alla regola risolutore.
• Se utilizzi un server DNS personalizzato nel VPC: configura il server DNS per inoltrare in modo condizionale le query DNS per il nome di dominio applicabile al risolutore. Il server DNS personalizzato deve utilizzare l'indirizzo IP riservato alla base dell'intervallo di rete IPv4 VPC più due.
• Se non utilizzi un server DNS personalizzato nel VPC: imposta i server dei nomi di dominio nelle opzioni DHCP su uno dei seguenti:
  • DNSfornitodaAmazon
  • L'indirizzo IP riservato alla base dell'intervallo di rete VPC IPv4 più due

Configurazione di un endpoint in uscita

1. Apri la console Route 53.
2. Nel pannello di navigazione, seleziona Endpoint in uscita.
3. Nella barra di navigazione, seleziona la regione del VPC in cui desideri creare l'endpoint in uscita.
4. Seleziona Crea endpoint in uscita.
5. Nella pagina Crea endpoint in uscita, completa la sezione Impostazioni generali per l'endpoint in uscita. Seleziona un gruppo di sicurezza che consenta la connettività TCP e UDP in uscita per quanto segue:
   • Indirizzi IP utilizzati dai risolutore per le query DNS sulla tua rete remota.
   • Porte utilizzate dai risolutore per le query DNS sulla tua rete remota.
6. Completa la sezione indirizzi IP. Puoi impostare il risolutore in modo che scelga gli indirizzi IP per te tra gli indirizzi IP disponibili nella sottorete. In alternativa, puoi specificare gli indirizzi IP. Seleziona tra due (minimo) e sei (massimo) indirizzi IP per le query DNS. È consigliabile selezionare indirizzi IP in almeno due diverse zone di disponibilità. Per la sottorete, seleziona le sottoreti con:

• Tabelle di routing che includono i percorsi verso gli indirizzi IP dei risolutori DNS sulla tua rete remota utilizzando AWS Direct Connect, una connessione VPN o un gateway NAT (Network Address Translation).
• Liste di controllo degli accessi (ACL) alla rete che consentono il traffico UDP e TCP verso gli indirizzi IP e le porte utilizzate dai risolutori per le query DNS sulla tua rete remota. Inoltre, ACL di rete che consentono il traffico proveniente dai risolutori sull'intervallo di porte di destinazione 1024-65535.

8. (Facoltativo) Compila la sezione tag.
9. Seleziona Invia.

Configurazione di una regola risolutore

Per creare una nuova regola:

1. Apri la console Route 53.
2. Seleziona Regole dal pannello di navigazione Route 53.
3. Nella barra di navigazione, seleziona la regione in cui esiste l'endpoint in uscita appena creato.
4. Seleziona Crea regola.
5. Nella pagina Crea regola, completa le sezioni Regola per il traffico in uscita. Per il tipo di regola, configura una regola di inoltro e associala al VPC da cui le query DNS vengono inoltrate alla tua rete remota. Per l'endpoint in uscita, seleziona l'endpoint in uscita che hai appena creato.
   Nota: non è necessario che il VPC associato a questa regola sia lo stesso VPC in cui hai creato l'endpoint in uscita.
6. Completa la sezione indirizzi IP. Per l'indirizzo IP, specifica gli indirizzi IP dei risolutori DNS sulla tua rete remota. Per la porta, specifica le porte utilizzate da questi risolutori per le query DNS.
   Nota: il risolutore inoltra tutte le query DNS che corrispondono a questa regola e provengono da un VPC associato a questa regola all'endpoint in uscita di riferimento. Quindi, queste query vengono inoltrate agli indirizzi IP di destinazione da te specificati nella sezione Indirizzi IP.
7. (Facoltativo) Compila la sezione tag.
8. Seleziona Invia.

Per utilizzare una regola esistente:

• **Se disponi già di una regola per lo stesso dominio nella stessa regione del VPC nel tuo account:**associa la regola al tuo VPC invece di crearne una nuova. Seleziona la regola dal pannello di controllo delle regole e associala ai VPC applicabili nella regione.
• Se disponi già di una regola per lo stesso dominio nella stessa regione del tuo VPC ma in un account diverso:usa AWS Resource Access Manager per condividere la regola dall'account remoto al tuo account. Quando condividi una regola, condividi anche l'endpoint in uscita corrispondente. Dopo aver condiviso la regola con il tuo account, seleziona la regola dal pannello di controllo delle regole e associala ai VPC del tuo account.

Nota: la connettività di rete non è richiesta per inoltrare le query DNS da un VPC associato a una regola risolutore al VPC in cui si trova l'endpoint in uscita. Questo è vero indipendentemente dal fatto che i VPC siano o meno nello stesso account. La connettività di rete ai risolutori DNS è richiesta solo dal VPC in cui risiedono gli endpoint in uscita.

Testa la tua configurazione

Esegui una risoluzione DNS da una delle istanze Amazon EC2 nel tuo VPC:

• Per Linux o macOS: dig <record name> <record type>
• Per Windows: nslookup -type=<record type> <record name>

Informazioni correlate

Risoluzione delle query DNS tra i VPC e la tua rete

Inoltro di query DNS in uscita alla tua rete

Gestione degli endpoint in uscita