Wie konfiguriere ich einen ausgehenden Route-53-Resolver-Endpunkt, um DNS-Datensätze, die in einem Remote-Netzwerk gehostet werden, von Ressourcen in meiner VPC aus aufzulösen?

Lesedauer: 4 Minute

Ich möchte einen ausgehenden Endpunkt in Amazon Route 53 Resolver so konfigurieren, dass DNS-Abfragen von meinem Remote-Netzwerk an Amazon Elastic Compute Cloud (Amazon EC2)-Instances in Amazon Virtual Private Cloud (Amazon VPC) weitergeleitet werden.

Kurzbeschreibung

Um einen ausgehenden Route-53-Resolver-Endpunkt zu konfigurieren, erstelle einen Endpunkt in der Amazon VPC und gib Ziel-IP-Adressen an. Richte dann Resolver-Regeln ein, um DNS-Abfragen an die Remote-DNS-Server weiterzuleiten.

Lösung

Voraussetzungen

Aktiviere die DNS-Auflösung in den DNS-Attributen für die VPC, die der Resolver-Regel zugeordnet ist.
Konfiguriere benutzerdefinierte DNS-Server oder Active-Directory-Server in den VPC-DHCP-Optionen so, dass DNS-Abfragen bedingt an die DNS-Server der VPC weitergeleitet werden. Wenn der primäre CIDR-Bereich für die VPC beispielsweise 172.31.0.0/16 ist, dann lautet die IP-Adresse des VPC-DNS-Servers 172.31.0.2. Die IP-Adresse ist der Amazon-VPC-Netzwerkbereich plus zwei.
Wenn du in der VPC keinen benutzerdefinierten DNS-Server verwendest, stelle die Domain-Namenserver in den DHCP-Optionen auf eine der folgenden Optionen ein:
AmazonProvidedDNS
Die reservierte IP-Adresse (VPC-IPv4-Netzwerkbereich plus zwei)

Einen ausgehenden Endpunkt konfigurieren

Gehe wie folgt vor, um einen ausgehenden Endpunkt zu konfigurieren:

Öffne die Route-53-Konsole.
Wähle im Navigationsbereich Ausgehende Endpunkte.
Wähle in der Navigationsleiste die Region für die VPC aus, in der du den ausgehenden Endpunkt erstellen möchtest.
Wähle Ausgehenden Endpunkt erstellen aus.
Fülle auf der Seite Ausgehenden Endpunkt erstellen den Abschnitt Allgemeine Einstellungen für ausgehenden Endpunkt aus.
Wähle eine Sicherheitsgruppe, die ausgehende TCP- und UDP-Konnektivität zu den folgenden Objekten ermöglicht:
IP-Adressen, die die Resolver für DNS-Abfragen im Remote-Netzwerk verwenden.
Ports, die die Resolver für DNS-Abfragen im Remote-Netzwerk verwenden.
Fülle den Abschnitt IP-Adressen aus.
Du kannst den Resolver so einstellen, dass er IP-Adressen aus den verfügbaren IP-Adressen im Subnetz oder aus bestimmten IP-Adressen wählt.
Wähle zwischen mindestens zwei und maximal sechs IP-Adressen für DNS-Abfragen aus.
Es empfiehlt sich, IP-Adressen in mindestens zwei verschiedenen Availability Zones auszuwählen.
Wähle für Subnetz Subnetze aus, die über Folgendes verfügen:
Routing-Tabellen mit Routen zu den IP-Adressen des DNS-Resolvers im Remote-Netzwerk. Du kannst AWS Direct Connect, eine AWS-VPN-Verbindung oder ein NAT-Gateway für diese Routen verwenden.
Netzwerk-Zugriffssteuerungslisten (ACLs), die es dem UDP- und TCP-Datenverkehr ermöglichen, IP-Adressen und Ports im Remote-Netzwerk aufzulösen.
Datenverkehr von Resolvern im Zielportbereich 1024–65535.
(Optional) Fülle den Abschnitt Tags aus.
Wähle Absenden aus.

Eine Resolver-Regel konfigurieren

Gehe wie folgt vor, um eine neue Resolver-Regel zu erstellen:

Öffne die Route-53-Konsole.
Wähle im Route 53-Navigationsbereich die Option Regeln aus.
Wähle in der Navigationsleiste die Region aus, in der sich der neu erstellte ausgehende Endpunkt befindet.
Wähle Regel erstellen aus.
Fülle auf der Seite Regel erstellen die Abschnitte Regel für ausgehenden Datenverkehr aus.
Konfiguriere für den Regeltyp eine Weiterleitungsregel. Ordne sie der VPC zu, von der aus die Regel DNS-Abfragen an das Remote-Netzwerk weiterleiten soll.
Wähle für Ausgehender Endpunkt den erstellten ausgehenden Endpunkt aus.
Hinweis: Die VPC, die dieser Regel zugeordnet ist, muss nicht dieselbe VPC sein, in der du den ausgehenden Endpunkt erstellt hast.
Fülle den Abschnitt IP-Adressen aus.
Gib als IP-Adresse die IP-Adressen der DNS-Resolver im Remote-Netzwerk an.
Gib für Port die Ports an, die diese Resolver für DNS-Abfragen verwenden.
Hinweis: Resolver leitet alle DNS-Abfragen, die dieser Regel entsprechen und von einer VPC, die dieser Regel zugeordnet ist, stammen, an den referenzierten ausgehenden Endpunkt weiter. In diesem Fall leitet Resolver diese Abfragen an die Ziel-IP-Adressen weiter, die du im Abschnitt IP-Adressen angegeben hast.
(Optional) Fülle den Abschnitt Tags aus.
Wähle Absenden aus.

Bei einer Regel im AWS-Konto:

Wenn du eine bestehende Regel für dieselbe Domain und AWS-Region wie die VPC hast, erstelle keine neue Regel.
Wähle stattdessen die Regel im Dashboard aus und verknüpfe sie mit den VPCs in dieser Region.

Bei einer Regel in einem anderen Konto:

Verwende AWS Resource Access Manager, um die Regel vom Remote-Konto für das Konto freizugeben.
Wenn es geteilt wird, erhältst du auch Zugriff auf den entsprechenden ausgehenden Endpunkt.
Wähle die gemeinsame Regel im Dashboard aus und verknüpfe sie mit den VPCs.

Hinweis: Du benötigst keine Netzwerkkonnektivität zwischen den VPCs, um DNS-Abfragen an eine Resolver-Regel weiterzuleiten. Dies gilt für VPCs in denselben oder verschiedenen Konten. Netzwerkkonnektivität ist nur zwischen der VPC des ausgehenden Endpunkts und den Remote-DNS-Resolvern erforderlich.

Konfiguration testen

Um die Konfiguration zu testen, führe eine DNS-Auflösung von einer der Amazon-EC2-Instances in der VPC aus:

Für Linux oder macOS: dig <record name> <record type>
Für Windows: nslookup -type=<record type> <record name>

Relevanter Inhalt

Wie konfiguriere ich einen eingehenden Route 53 Resolver-Endpunkt, um DNS-Datensätze in meiner privaten gehosteten Zone von meinem Remote-Netzwerk aus aufzulösen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie verwende ich einen Amazon Schnittstellen-VPC-Endpunkt, um die Standard-Domänennamen von Services aufzulösen?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie konfiguriere ich regionsübergreifende Amazon VPC-Schnittstellenendpunkte für den Zugriff auf AWS PrivateLink-Ressourcen?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie kann ich Reverse-DNS-Probleme bei Regeln und ausgehenden Endpunkten für Route 53 beheben?
AWS OFFICIALAktualisiert vor 3 Jahren