Wie löse ich Ressourceneinträge in meiner privaten gehosteten Zone mithilfe von Client-VPN auf?

Lesedauer: 3 Minute
0

Ich erstelle einen AWS-Client-VPN-Endpunkt. Ich muss Endbenutzern (mit Client-VPN verbundenen Kunden) die Abfrage von Ressourcendatensätzen ermöglichen, die in meiner privaten gehosteten Amazon Route 53-Zone gehostet werden. Wie kann ich das machen?

Behebung

Um Endbenutzern das Abfragen von Datensätzen in einer privaten gehosteten Zone mithilfe von Client-VPN zu ermöglichen, gehen Sie wie folgt vor:

  1. Bestätigen Sie, dass Sie „DNS-Auflösung“ und „DNS-Hostnamen“ in Ihrer Amazon Virtual Private Cloud (Amazon VPC) aktiviert haben. Diese Einstellungen müssen aktiviert sein, um auf private gehostete Zonen zugreifen zu können. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC anzeigen und aktualisieren.
  2. Erstellen Sie einen Client-VPN-Endpunkt, falls Sie dies noch nicht getan haben. Stellen Sie sicher, dass Sie den Parameter „DNS-Server-IP-Adresse“ mit der DNS-Server-IP-Adresse konfigurieren, die von den Endbenutzern für die DNS-Auflösungsabfragen erreicht werden kann. Sie können auch einen vorhandenen Client-VPN-Endpunkt ändern, um die DNS-Servereinstellungen zu aktualisieren.

Abhängig von Ihrer Serverkonfiguration und den Werten, die Sie für den Parameter „DNS-Server-IP-Adresse“ angeben, variiert die Auflösung der Domain der privaten gehosteten Zone:

  • Mit dem Amazon DNS-Server (VPC-IPv4-Netzwerkbereich plus zwei) können Endbenutzer die Ressourceneinträge der privaten gehosteten Zone, die der VPC zugeordnet ist, auflösen.
  • Mit einem benutzerdefinierten DNS-Server, der sich in derselben VPC wie die dem Client-VPN-Endpunkt zugeordnete VPC befindet — Sie können den benutzerdefinierten DNS-Server so konfigurieren, dass er DNS-Abfragen nach Bedarf verarbeitet. Um die Ressourceneinträge aufzulösen, konfigurieren Sie den benutzerdefinierten DNS-Server als Weiterleitung, um DNS-Abfragen für die private gehostete Domain an den Standard-VPC-DNS-Resolver weiterzuleiten. Um den benutzerdefinierten DNS-Server für alle Ressourcen in der VPC zu verwenden, stellen Sie sicher, dass Sie die DHCP-Optionen entsprechend konfigurieren.
    Hinweis: Der benutzerdefinierte DNS-Server kann sich auch in einer Peer-VPC befinden. In diesem Fall ist die benutzerdefinierte DNS-Serverkonfiguration dieselbe wie oben. Stellen Sie sicher, dass Sie Ihre private gehostete Zone beiden VPCs zuordnen.
  • Wenn sich ein benutzerdefinierter DNS-Server vor Ort befindet und der Parameter „DNS-Server-IP-Adresse“ im Client-VPN deaktiviert/leer ist — Die DNS-Abfragen für die private Hostedzone-Domain werden an den Route 53-Inbound-Resolver weitergeleitet. Sie müssen auf dem lokalen benutzerdefinierten DNS-Server bedingte Weiterleitungsregeln erstellen, um Abfragen über AWS Direct Connect oder AWS Site-to-Site VPN an die IP-Adresse des Route 53-Eingangsresolvers in der VPC weiterzuleiten.
    Hinweis: Wenn das Client-Gerät keine Route zum lokalen DNS-Server hat, wenn die Client-VPN-Verbindung hergestellt wird, schlagen die DNS-Abfragen fehl. In diesem Fall müssen Sie dem benutzerdefinierten lokalen DNS-Server in der Routentabelle des Clientgeräts manuell eine bevorzugte statische Route hinzufügen.
  • Wenn der Parameter „DNS-Server-IP-Adresse“ deaktiviert ist — Das Client-Gerät verwendet den lokalen DNS-Resolver, um DNS-Abfragen zu lösen. Wenn Ihr lokaler Resolver auf einen öffentlichen DNS-Resolver eingestellt ist, können Sie Datensätze in privaten Hosting-Zonen nicht auflösen.

Hinweis: Das Folgende bezieht sich auf jede der vier Arten von DNS-Serverkonfigurationen:


Weitere Informationen

Wie funktioniert DNS mit meinem AWS-Client-VPN-Endpunkt?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren