Perché non riesco a risolvere i nomi di dominio tramite la mia connessione peering VPC?

Ultimo aggiornamento: 12/04/2022

Non riesco a risolvere i nomi di dominio tramite la mia connessione peering Amazon VPC (Amazon Virtual Private Cloud). In che modo posso risolvere il problema?

Risoluzione

Nota: i seguenti scenari presuppongono che il VPC sia configurato con AmazonProvidedDNS. Se utilizzi un DNS personalizzato e non riesci a risolvere i nomi di dominio, procedi come segue:

  • Aggiungi i record nel DNS personalizzato.
    -oppure-
  • Configura il DNS per inoltrare determinate query al DNS fornito da Amazon. Il DNS fornito da Amazon è l'indirizzo IP .2 del CIDR VPC.

Scenario 1: risoluzione del DNS pubblico di un'istanza Amazon EC2 creata nel VPC in peering

Amazon EC2 (Amazon Elastic Compute Cloud) assegna un nome DNS privato e pubblico al momento della creazione dell'istanza. I seguenti nomi di dominio sono assegnati alle istanze per impostazione predefinita:

  • DNS privato: ip-172-31-19-128.ec2.internal (per la Regione us-east-1) o ip-172-31-12-97.us-west-2.compute.internal (per le altre Regioni).
  • DNS pubblico: ec2-54-147-16-116.compute-1.amazonaws.com o ec2-35-88-61-144.us-west-2.compute.amazonaws.com.

Se configuri il set di opzioni DHCP con un nome di dominio personalizzato, ad esempio "example.com", l'istanza EC2 utilizza quel nome di dominio. Ad esempio, ip-172-31-12-97.us-west-2.example.com.

La risoluzione di un DNS privato di un' istanza in AWS si risolve in un indirizzo IP privato del VPC in cui è stata creata l'istanza:

$ dig ip-172-31-12-97.us-west-2.compute.internal +short
172.31.12.97

La risoluzione nel DNS pubblico dell'istanza da un'altra istanza creata nel VPC in peering si risolve nell'indirizzo IP pubblico dell'istanza:

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
35.88.61.144

È possibile risolvere il nome di dominio pubblico nell'indirizzo IP privato dell'istanza EC2. A tale scopo, attiva una delle seguenti opzioni sulla connessione peering VPC:

  • Risoluzione DNS del richiedente
    -oppure-
  • Risoluzione DNS dell'accettante

Per ulteriori informazioni, consulta Abilitare la risoluzione DNS per una connessione peering VPC.

Dopo aver attivato la risoluzione DNS, puoi risolvere il DNS pubblico nell'indirizzo IP privato dell'istanza, come mostrato nell'esempio seguente:

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
172.31.12.97

Se la risoluzione DNS non funziona dopo aver attivato la risoluzione DNS nel peering VPC, segui i passaggi seguenti per risolvere il problema.

Passaggi per la risoluzione del problema

1.    Verifica l'ID del VPC di origine e del VPC di destinazione.

2.    Assicurati che vi sia una connessione peering attiva tra i VPC di origine e di destinazione utilizzando il peering VPC.

3.    Assicurati che i nomi host DNS e la risoluzione DNS siano attivati per entrambi i VPC utilizzati nella connessione peering.

4.    Controlla la configurazione DNS per la connessione peering e assicurati che la risoluzione DNS sia attivata per il VPC del richiedente e per il VPC dell'accettante.

5.    Verifica che il nome di dominio pubblico che stai risolvendo esista. Controlla il VPC di destinazione per assicurarti che esista un'istanza con l'IP pubblico menzionato nel nome di dominio.

6.    Verifica se la configurazione DNS nel VPC è AmazonProvidedDNS o CustomDNS. Se utilizzi un DNS personalizzato, verifica che il DNS personalizzato risolva il nome di dominio dell'istanza pubblica. Se il DNS personalizzato non è in grado di risolvere il nome di dominio, effettua una delle seguenti operazioni:

Aggiungi un record DNS statico.

-oppure-

Reindirizza la query ad AmazonProvidedDNS.

Scenario 2: risoluzione del nome di dominio dei servizi creati in un VPC in peering

Quando crei un servizio con un nome di dominio, puoi risolvere quel nome di dominio da un'istanza in qualsiasi VPC in peering. Questo perché i nomi di dominio creati per questi servizi sono registri pubblici e possono essere risolti da qualsiasi luogo. Ad esempio, i seguenti record di nomi di dominio sono risolvibili pubblicamente:

  • testCLB-520693273.us-east-1.elb.amazonaws.com
  • test-87913728ca9b8a68.elb.us-east-1.amazonaws.com
  • vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com

Nota: anche se il nome di dominio è per un bilanciatore del carico privato, il record è pubblico e verrà risolto nell'indirizzo IP privato.

I nomi di dominio degli endpoint di servizio, ad esempio "ssm.us-east-1.amazonaws.com", vengono risolti nell'indirizzo IP pubblico. Questo vale anche se è presente un endpoint di interfaccia creato nel VPC in peering con l'opzione DNS privato attivata. È possibile risolvere il nome di dominio degli endpoint di servizio nell'indirizzo IP privato dell'endpoint di interfaccia. A tale scopo, la risorsa deve far parte del VPC in cui è stato creato l'endpoint di interfaccia.

Esempio

L'endpoint VPC di interfaccia è configurato su VPCA. Stai cercando di risolvere il nome di dominio di servizio negli IP dell'endpoint VPC di interfaccia in VPCA da VPCB. In questo scenario, è necessario un endpoint in uscita del resolver di Amazon Route 53 in VPC B e un endpoint in ingresso del resolver di Route 53 in VPCA.

Nota: per informazioni sulla configurazione del resolver di Route 53 utilizzando la procedura guidata, consulta Operazioni di base sul resolver di Route 53.

  1. Crea un endpoint in uscita del resolver di Route 53 in VPCB (dove desideri accedere al DNS dell'endpoint).
  2. Crea un endpoint in ingresso del resolver di Route 53 in VPCA (dove hai creato l'endpoint).
  3. Crea una regola del resolver di Route 53 con il nome di dominio e gli indirizzi IP di destinazione nella Regione VPCA.

L'endpoint in uscita in VPCB inoltra le query DNS per il nome di dominio del servizio agli IP dell'endpoint del resolver in ingresso in VPCA. L'endpoint in ingresso in VPCA riceve la query DNS per il nome di dominio del servizio. L'endpoint in ingresso inoltra quindi la query al server DNS fornito da Amazon in VPCA per la risoluzione.

Una volta che gli endpoint del resolver di Route 53 sono attivi, puoi accedere all'endpoint con il nome DNS privato.

Passaggi per la risoluzione del problema

1.    Verifica l'ID del VPC di origine e del VPC di destinazione.

2.    Assicurati che vi sia una connessione peering attiva tra il VPC di origine e quello di destinazione.

3.    Assicurati che i nomi host DNS e la risoluzione DNS siano attivati per entrambi i VPC utilizzati nella connessione peering.

4.    Controlla la configurazione DNS per la connessione peering e assicurati che la risoluzione DNS sia attivata per il VPC del richiedente e per il VPC dell'accettante.

5.    Verifica che il nome di dominio pubblico che stai risolvendo esista. Controlla il VPC di destinazione e assicurati che sia presente un endpoint di interfaccia VPC creato nel VPC con l'opzione DNS privato abilitata.

6.    Verifica se il DNS configurato nel VPC è AmazonProvidedDNS o CustomDNS. Se utilizzi un DNS personalizzato, verifica che il DNS personalizzato possa risolvere il nome di dominio. Se il DNS personalizzato non è in grado di risolvere il nome di dominio, aggiungi un record DNS statico o configura un DNS personalizzato per inoltrare la query ad AmazonProvidedDNS.

7.    Verifica che le tabelle di routing associate alle sottoreti con gli endpoint del resolver VPC abbiano un routing di peering che punti al VPC di origine o di destinazione. Esegui questa operazione per tutti gli endpoint del resolver VPC in ingresso e in uscita in entrambi i VPC.

8.    Verifica che gli ACL di rete associati alle sottoreti in cui vengono creati gli endpoint del resolver consentano il traffico in ingresso dai CIDR VPC in peering.

9.    Verifica che i resolver in ingresso e in uscita siano configurati correttamente e che dispongano delle regole corrette per inoltrare il traffico all'hop successivo. Per maggiori informazioni, consulta Come posso risolvere i problemi di risoluzione DNS con gli endpoint Route 53 Resolver?

Scenario 3: nome di dominio personalizzato creato in una zona ospitata privata

Hai creato una zona ospitata privata per un nome di dominio personalizzato che viene utilizzata per risolvere il dominio in un record creato in una zona ospitata privata. Il VPC A è associato a una zona ospitata privata. Il VPC B presenta una connessione peering al VPC A. Desideri risolvere il nome di dominio personalizzato dal VPC B al VPC A, dove puoi risolvere il dominio personalizzato.

Esistono due metodi per farlo:

  • Soluzione 1: inoltra la query dal VPC B al DNS principale del VPC A. Questa configurazione è simile allo scenario 2.
  • Soluzione 2: associa il VPC B alla zona ospitata privata per il dominio personalizzato in cui hai creato il record. Dopo aver creato l'associazione, puoi risolvere il nome di dominio personalizzato in una zona ospitata privata dalle risorse in entrambi i VPC in peering.

Passaggi per la risoluzione del problema

Nota: per la soluzione 1, segui i passaggi per la risoluzione dei problemi indicati nello Scenario 2.

1.    Verifica l'ID del VPC di origine e del VPC di destinazione.

2.    Verifica se il DNS configurato nel VPC è AmazonProvidedDNS o CustomDNS. Se utilizzi un DNS personalizzato, non puoi risolvere i record ospitati nelle zone ospitate private. Per risolvere questo problema, aggiungi un record di nome di dominio statico nel DNS personalizzato. Oppure, configura il DNS personalizzato per inoltrare la query ad AmazonProvidedDNS.

3.    Se utilizzi il DNS fornito da Amazon, verifica il dominio che stai cercando di risolvere e dove è ospitato (Amazon Route 53 o in locale). Se è ospitato in locale, assicurati che l'endpoint del resolver in uscita utilizzato per inoltrare la query al DNS in locale sia configurato correttamente.

4.    Se ospitato in una zona ospitata privata di Route 53, verifica che il VPC di origine sia associato alla zona ospitata privata. Il VPC di origine è la posizione da cui stai tentando di risolvere il nome di dominio personalizzato.

5.    Assicurati che il nome di dominio completo (FQDN) che stai cercando di risolvere abbia un record creato nella zona ospitata privata.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?