Como configuro um endpoint de entrada do Route 53 Resolver para resolver registros de DNS na minha zona hospedada privada a partir da minha rede remota?

Breve descrição

O Amazon Virtual Private Cloud (Amazon VPC) permite que sua VPC receba resolução automática de DNS do Route 53 Resolver. As instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma VPC podem enviar consultas de DNS para o Resolver. Para fazer isso, a instância usa o endereço IP reservado na base do intervalo de rede IPv4 VPC CIDR mais dois. Se houver conectividade de rede entre a rede remota e a VPC, os resolvedores de DNS da rede remota poderão encaminhar consultas de DNS para o resolvedor da VPC. O AWS Direct Connect ou uma conexão VPN realiza essa conectividade. No entanto, o Resolver não aceita consultas de DNS de endereços IP que estão fora do alcance da rede VPC. Para resolver isso, crie um endpoint de entrada em sua VPC. Esse endpoint de entrada encaminha suas consultas de DNS recebidas para o Resolver. O processamento dessas consultas é o mesmo das consultas originadas na VPC.

Resolução

Preencha os pré-requisitos

Primeiro, ative os nomes de host de DNS e a resolução de DNS nos atributos de suporte de DNS para a VPC em que você deseja criar um endpoint de entrada.

Em seguida, associe a zona hospedada privada aplicável a essa VPC.

Se a zona hospedada privada e a VPC estiverem na mesma conta, conclua as seguintes etapas:

1. Abra o console do Route 53.
2. No painel de navegação, escolha Zonas hospedadas.
3. Escolha a zona hospedada privada que contém os registros que você deseja consultar.
4. Na barra de pesquisa, pesquise sua VPC. Em seguida, escolha Associar nova VPC.

Se a zona hospedada privada e a VPC estiverem em contas diferentes, use a AWS Command Line Interface (AWS CLI) para realizar a associação entre contas.

Observação: se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.

Confirme se seu servidor DNS on-premises envia somente consultas recursivas. O resolvedor de entrada do Route 53 não oferece suporte a consultas iterativas.

Confirme se a tabela de rotas associada às sub-redes em que você criou o resolvedor de endpoint de entrada inclui uma rota para a rede on-premises.

Se você usar listas personalizadas de controle de acesso à rede (ACLs de rede) com a sub-rede em que criou o endpoint de entrada, deverá permitir determinado tráfego. Certifique-se de que as ACLs de rede permitam tráfego nas seguintes portas:

• Tráfego UDP e TCP de saída para (regra NACL de saída) o servidor DNS on-premises no intervalo de portas de destino 1024-65535.
• Tráfego UDP e TCP do (regra NACL de entrada) servidor DNS on-premises na porta 53.
• Qualquer grupo de segurança associado à entrada deve permitir o tráfego na porta TCP e UDP 53 a partir do endereço IP do seu servidor DNS on-premises.

Se você tiver um firewall entre a rede on-premises e a AWS, o firewall deverá permitir determinado tráfego. Certifique-se de que ele permita tráfego na porta TCP e UDP 53 para seus endereços IP do servidor DNS on-premises.

É preciso ter conectividade com os endereços IP do endpoint do resolvedor de entrada por meio da conexão do AWS Direct Connect.

Configurar um endpoint de entrada

1.    Abra o console do Route 53.

2.    No painel de navegação, escolha Inbound endpoints (Endpoints de entrada).

3.    Na barra de navegação, escolha a região da AWS para a VPC em que você deseja criar o endpoint de entrada.

4.    Escolha Create inbond endpoint (Criar endpoint de entrada).

5.    Complete as General settings for inbound endpoint (Configurações gerais do endpoint de entrada). Escolha um Security group for this endpoint (Grupo de segurança para esse endpoint) que permita tráfego UDP e TCP de entrada da rede remota na porta de destino 53.

6.    Escolha de 2 a 6 endereços IP para consultas de DNS. Você pode permitir que o Resolver escolha endereços IP para você entre os endereços IP disponíveis na sub-rede. Ou você pode especificar os endereços IP. É uma prática recomendada escolher endereços IP em pelo menos duas zonas de disponibilidade diferentes.

7.    Para a sub-rede de cada endereço IP, escolha sub-redes que tenham os seguintes valores:
Tabelas de rotas correspondentes: essas tabelas de rotas devem incluir rotas para os endereços IP dos resolvedores de DNS em sua rede remota por meio do AWS Direct Connect ou de uma VPN.
ACLs de rede: devem permitir tráfego UDP e TCP da rede remota na porta de destino 53. Além disso, devem permitir tráfego UDP e TCP para a rede remota no intervalo de portas de destino de 1024-65535. Dependendo do seu tipo de cliente, você pode usar um intervalo diferente para suas ACLs de rede.

8.    (Opcional) Preencha a seção Tags.

9.    Escolha Criar endpoint de entrada.

Observação: não há FQDN para o resolvedor de entrada. Portanto, quando você cria um endpoint de entrada, o Route 53 cria interfaces de rede elásticas na sub-rede selecionada. Os endereços IP dessas interfaces de rede encaminham as consultas de DNS.

Teste sua configuração

Antes de testar, confirme se sua configuração considera as seguintes condições:

• o servidor DNS da rede remota deve encaminhar condicionalmente as consultas DNS do nome de domínio da zona hospedada privada para os endereços IP do endpoint de entrada.
• O servidor DNS remoto deve encaminhar consultas de DNS para o nome de domínio em vez de delegar a autoridade do nome de domínio ao endpoint de entrada.
• Os endpoints de entrada devem oferecer suporte somente a consultas de DNS recursivas. As consultas de DNS iterativas enviadas aos endpoints de entrada atingem o tempo limite. Se o servidor DNS on-premises enviar uma consulta ao DNS com Recursão desejada definida como 0 (false), o endpoint de entrada não fornecerá uma resposta. Você pode encontrar essas informações na captura de pacotes.
• Se você usa o AWS Transit Gateway, verifique se as sub-redes estão associadas aos anexos do gateway de trânsito. Isso é necessário para resolver consultas de DNS.

Para testar sua configuração, execute a resolução de DNS para um dos registros na zona hospedada privada de um cliente na rede remota. Nos comandos a seguir, substitua RECORD_NAME e RECORD_TYPE pelos valores relevantes:

Para Linux ou macOS, execute dig RECORD_NAME RECORD_TYPE, como no exemplo a seguir:

dig example.com A

Para Windows, execute nslookup ** RECORD_NAME RECORD_TYPE**, como no exemplo a seguir:

nslookup example.com

Informações relacionadas

Resolver consultas de DNS entre VPCs e sua rede

Encaminhar consultas de DNS de saída para sua rede

Gerenciar endpoints de saída

Como soluciono problemas de resolução de DNS com os endpoints do Route 53 Resolver?