Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Wie konfiguriere ich einen eingehenden Route 53 Resolver-Endpunkt, um DNS-Datensätze in meiner privaten gehosteten Zone von meinem Remote-Netzwerk aus aufzulösen?

Lesedauer: 5 Minute
0

Ich möchte einen eingehenden Amazon Route 53 Resolver-Endpunkt konfigurieren, um Datensätze in meiner privaten gehosteten Zone von meinem Remote-Netzwerk aus aufzulösen.

Kurzbeschreibung

Amazon Virtual Private Cloud (Amazon VPC) ermöglicht es Ihrer VPC, eine automatische DNS-Auflösung vom Route 53-Resolver zu erhalten. Amazon Elastic Compute Cloud (Amazon EC2)-Instances in einer VPC können DNS-Abfragen an den Resolver senden. Dazu verwendet die Instance die reservierte IP-Adresse an der Basis des VPC CIDR IPv4-Netzwerkbereichs plus zwei. Wenn zwischen dem Remote-Netzwerk und der VPC eine Netzwerkverbindung besteht, können die DNS-Resolver des Remote-Netzwerks DNS-Anfragen an den Resolver der VPC weiterleiten. AWS Direct Connect oder eine VPN-Verbindung stellt diese Konnektivität her. Der Resolver akzeptiert jedoch keine DNS-Abfragen von IP-Adressen, die außerhalb des VPC-Netzwerkbereichs liegen. Um dieses Problem zu lösen, erstellen Sie einen eingehenden Endpunkt in Ihrer VPC. Dieser eingehende Endpunkt leitet seine empfangenen DNS-Abfragen an Resolver weiter. Die Verarbeitung für diese Abfragen ist dieselbe wie für Abfragen, die aus der VPC stammen.

Behebung

Erfüllen Sie die Voraussetzungen

Aktivieren Sie zunächst die DNS-Hostnamen und die DNS-Auflösung in den DNS-Unterstützungsattributen für die VPC, in der Sie einen eingehenden Endpunkt erstellen möchten.

Ordnen Sie dann die entsprechende private gehostete Zone dieser VPC zu.

Wenn sich die private gehostete Zone und die VPC im selben Konto befinden, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Route 53-Konsole.
  2. Wählen Sie im Navigationsbereich Gehostete Zonen aus.
  3. Wählen Sie die private gehostete Zone mit den Datensätzen aus, die Sie abfragen möchten.
  4. Suchen Sie in der Suchleiste nach Ihrer VPC. Wählen Sie dann Neue VPC zuordnen aus.

Wenn sich die private gehostete Zone und die VPC in unterschiedlichen Konten befinden, verwenden Sie die AWS Command Line Interface (AWS CLI), um eine kontoübergreifende Zuordnung durchzuführen.

**Hinweis:**Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS-CLI verwenden.

Stellen Sie sicher, dass Ihr On-Premises-DNS-Server nur rekursive Abfragen sendet. Der eingehende Route 53-Resolver unterstützt keine iterativen Abfragen.

Vergewissern Sie sich, dass die Routing-Tabelle, die den Subnetzen zugeordnet ist, in denen Sie den eingehenden Endpunktresolver erstellt haben, eine Route zum lokalen Netzwerk enthält.

Wenn Sie benutzerdefinierte Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs) für das Subnetz verwenden, in dem Sie den eingehenden Endpunkt erstellt haben, müssen Sie bestimmten Datenverkehr zulassen. Stellen Sie sicher, dass die Netzwerk-ACLs Datenverkehr auf den folgenden Ports zulassen:

  • UDP- und TCP-Datenverkehr zum (ausgehende NACL-Regel) On-Premises-DNS-Server im Zielportbereich 1024-65535.
  • UDP- und TCP-Datenverkehr vom (eingehende NACL-Regel) On-Premises-DNS-Server auf Port 53.
  • Jede Sicherheitsgruppe, die dem eingehenden Datenverkehr zugeordnet ist, muss den Datenverkehr über den TCP- und UDP-Port 53 von der IP-Adresse Ihres On-Premises-DNS-Servers zulassen.

Wenn Sie eine Firewall zwischen dem On-Premises-Netzwerk und AWS haben, muss die Firewall bestimmten Datenverkehr zulassen. Stellen Sie sicher, dass der Datenverkehr auf dem TCP- und UDP-Port 53 für die IP-Adressen Ihres On-Premises-DNS-Servers zulässig ist.

Sie müssen außerdem die Konnektivität zu den IP-Adressen der eingehenden Resolver-Endpunkte über die AWS Direct Connect-Verbindung herstellen.

Einen eingehenden Endpunkt konfigurieren

1.Öffnen Sie die Route 53-Konsole.

2.Wählen Sie im Navigationsbereich Eingehende Endpunkte aus.

3.Wählen Sie in der Navigationsleiste die AWS-Region für die VPC aus, in der Sie den eingehenden Endpunkt erstellen möchten.

4.Wählen Sie Eingehenden Endpunkt erstellen aus.

5.Füllen Sie die Allgemeinen Einstellungen für den eingehenden Endpunkt aus. Wählen Sie eine Sicherheitsgruppe für diesen Endpunkt, die eingehenden UDP- und TCP-Datenverkehr vom Remote-Netzwerk am Zielport 53 zulässt.

6.Wählen Sie 2–6 IP-Adressen für DNS-Abfragen. Sie können Resolver IP-Adressen aus den verfügbaren IP-Adressen im Subnetz für Sie auswählen lassen. Oder Sie können die IP-Adressen selbst angeben. Es empfiehlt sich, IP-Adressen in mindestens zwei verschiedenen Availability Zones auszuwählen.

7.Wählen Sie für das Subnetz jeder IP-Adresse Subnetze mit den folgenden Werten aus:
**Entsprechende Routing-Tabellen:**Diese Routing-Tabellen müssen Routen zu den IP-Adressen der DNS-Resolver in Ihrem Remote-Netzwerk über AWS Direct Connect oder ein VPN enthalten.
**Netzwerk-ACLs:**Diese müssen sowohl UDP- als auch TCP-Datenverkehr vom Remote-Netzwerk auf Zielport 53 zulassen. Außerdem müssen sie sowohl UDP- als auch TCP-Datenverkehr zum Remote-Netzwerk im Zielportbereich 1024-65535 zulassen. Abhängig von Ihrem Clienttyp können Sie für Ihre Netzwerk-ACLs einen anderen Bereich verwenden.

8.(Optional) Füllen Sie den Abschnitt Tags aus.

9.Wählen Sie Eingehenden Endpunkt erstellen aus.

**Hinweis:**Es gibt keinen FQDN für den eingehenden Resolver. Daher erstellt Route 53 beim Erstellen eines eingehenden Endpunkts elastische Netzwerkschnittstellen im ausgewählten Subnetz. Die IP-Adressen dieser Netzwerkschnittstellen leiten die DNS-Abfragen weiter.

Testen Sie Ihre Konfiguration

Vergewissern Sie sich vor dem Testen, dass Ihre Konfiguration die folgenden Bedingungen berücksichtigt:

  • Der DNS-Server des Remote-Netzwerks muss DNS-Abfragen für den Domain-Namen der privat gehosteten Zone bedingt an die IP-Adressen des eingehenden Endpunkts weiterleiten.
  • Der Remote-DNS-Server muss DNS-Abfragen für den Domain-Namen weiterleiten, anstatt die Autorität für den Domain-Namen an den eingehenden Endpunkt zu delegieren.
  • Eingehende Endpunkte dürfen nur rekursive DNS-Abfragen unterstützen. Bei iterativen DNS-Abfragen, die an die eingehenden Endpunkte gesendet werden, läuft ein Timeout ab. Wenn der On-Premises-DNS-Server eine DNS-Abfrage sendet, bei der Recursion Desired auf 0 (false) gesetzt ist, stellt der eingehende Endpunkt keine Antwort bereit. Sie finden diese Informationen in der Paketerfassung.
  • Wenn Sie AWS Transit Gateway verwenden, stellen Sie sicher, dass die Subnetze mit Transit Gateway-Anhängen verknüpft sind. Dies ist notwendig, um DNS-Abfragen zu lösen.

Um Ihre Konfiguration zu testen, führen Sie von einem Client im Remote-Netzwerk aus die DNS-Auflösung für einen der Datensätze in der privaten gehosteten Zone durch. Ersetzen Sie in den folgenden Befehlen RECORD_NAME und RECORD_TYPE durch Ihre relevanten Werte:

Führen Sie für Linux oder MacOS dig RECORD_NAME RECORD_TYPE aus, wie im folgenden Beispiel:

dig example.com A

Führen Sie unter Windows nslookup RECORD_NAME RECORD_TYPE aus, wie im folgenden Beispiel:

nslookup example.com

Verwandte Information

Lösen von DNS-Abfragen zwischen VPCs und Ihrem Netzwerk

Weiterleiten von ausgehenden DNS-Abfragen an Ihr Netzwerk

Verwalten von ausgehenden Endpunkten

Wie behebe ich DNS-Auflösungsprobleme mit Route 53 Resolver-Endpunkten?