Wie konfiguriere ich einen ausgehenden Route 53 Resolver-Endpunkt, um DNS-Einträge, die in einem Remote-Netzwerk gehostet werden, von Ressourcen in meiner VPC aus aufzulösen?

Lesedauer: 5 Minute

Ich möchte einen ausgehenden Amazon Route 53 Resolver-Endpunkt konfigurieren, um DNS-Einträge aufzulösen. Die Datensätze werden in einem Remote-Netzwerk von Amazon Elastic Compute Cloud (Amazon EC2)-Instances in meiner Amazon Virtual Private Cloud (Amazon VPC) gehostet.

Kurzbeschreibung

Eine mit Amazon VPC erstellte VPC erhält eine automatische DNS-Auflösung von Route 53 Resolver. Sie können den Resolver so konfigurieren, dass er DNS-Abfragen für Domain-Namen von EC2-Instances in Ihren Amazon VPCs an DNS-Resolver in Ihrem Remote-Netzwerk weitergeleitet werden.

Erstellen Sie jedes der folgenden Elemente, um DNS-Abfragen weiterzuleiten:

Ein ausgehender Endpunkt zum Senden von DNS-Abfragen an das Remote-Netzwerk.
Eine Resolver-Regel zur Angabe des Domain-Namens der DNS-Abfragen, die der Resolver an die Remote-DNS-Server weiterleitet.

Behebung

Voraussetzungen

Aktivieren Sie die DNS-Auflösung in den DNS-Unterstützungsattributen für die VPC, die der Resolver-Regel zugeordnet ist.
Wenn Sie einen benutzerdefinierten DNS-Server in der VPC verwenden: Konfigurieren Sie den DNS-Server so, dass er DNS-Abfragen für den entsprechenden Domain-Namen bedingt an den Resolver weiterleitet. Der benutzerdefinierte DNS-Server muss die reservierte IP-Adresse an der Basis des VPC-IPv4-Netzwerkbereichs plus zwei verwenden.
Wenn Sie keinen benutzerdefinierten DNS-Server in der VPC verwenden: Stellen Sie die Domain-Namen-Server in den DHCP-Optionen auf einen der folgenden Werte ein:
- AmazonProvidedDNS
- Die reservierte IP-Adresse an der Basis des VPC-IPv4-Netzwerkbereichs plus zwei

Einen ausgehenden Endpunkt konfigurieren

Öffnen Sie die Route 53-Konsole.
Wählen Sie im Navigationsbereich Ausgehende Endpunkte aus.
Wählen Sie in der Navigationsleiste die Region für die VPC aus, in der Sie den ausgehenden Endpunkt erstellen möchten.
Wählen Sie Ausgehenden Endpunkt erstellen aus.
Füllen Sie auf der Seite Ausgehenden Endpunkt erstellen den Abschnitt Allgemeine Einstellungen für ausgehenden Endpunkt aus. Wählen Sie eine Sicherheitsgruppe, die ausgehende TCP- und UDP-Konnektivität zu den folgenden Objekten ermöglicht:
- IP-Adressen, die die Resolver für DNS-Abfragen in Ihrem Remote-Netzwerk verwenden.
- Ports, die die Resolver für DNS-Abfragen in Ihrem Remote-Netzwerk verwenden.
Füllen Sie den Abschnitt IP-Adressen aus. Sie können den Resolver so einstellen, dass er IP-Adressen aus den verfügbaren IP-Adressen im Subnetz für Sie auswählt. Sie können auch IP-Adressen angeben. Wählen Sie zwischen zwei (mindestens) und sechs (maximal) IP-Adressen für DNS-Abfragen. Es empfiehlt sich, IP-Adressen in mindestens zwei verschiedenen Availability Zones auszuwählen. Wählen Sie für Subnetz die Subnetze aus, die über folgende Eigenschaften verfügen:

Routing-Tabellen, die Routen zu den IP-Adressen der DNS-Resolver in Ihrem Remote-Netzwerk über AWS Direct Connect, eine VPN-Verbindung oder ein Network Address Translation (NAT)-Gateway enthalten.
Netzwerk-Zugriffssteuerungslisten (ACLs), die UDP- und TCP-Datenverkehr zu den IP-Adressen und Ports zulassen, die die Resolver für DNS-Abfragen in Ihrem Remote-Netzwerk verwenden. Und Netzwerk-ACLs, die den Datenverkehr von Resolvern am Zielport zulassen, liegen im Bereich 1024-65535.

(Optional) Füllen Sie den Abschnitt Tags aus.
Wählen Sie Senden aus.

Eine Resolver-Regel konfigurieren

Um eine neue Regel zu erstellen:

Öffnen Sie die Route 53-Konsole.
Wählen Sie im Route 53-Navigationsbereich die Option Regeln aus.
Wählen Sie in der Navigationsleiste die Region aus, in der sich der neu erstellte ausgehende Endpunkt befindet.
Wählen Sie Regel erstellen aus.
Füllen Sie auf der Seite Regel erstellen die Abschnitte Regel für ausgehenden Datenverkehr aus. Konfigurieren Sie für den Regeltyp eine Weiterleitungsregel und verknüpfen Sie sie mit der VPC, von der aus DNS-Anfragen an Ihr Remote-Netzwerk weitergeleitet werden. Wählen Sie für Ausgehender Endpunkt den gerade erstellten ausgehenden Endpunkt aus.
**Hinweis:**Die mit dieser Regel verknüpfte VPC muss nicht dieselbe VPC sein, in der Sie den ausgehenden Endpunkt erstellt haben.
Füllen Sie den Abschnitt IP-Adressen aus. Geben Sie als IP-Adresse die IP-Adressen der DNS-Resolver in Ihrem Remote-Netzwerk an. Geben Sie für Port die Ports an, die diese Resolver für DNS-Abfragen verwenden.
**Hinweis:**Resolver leitet alle DNS-Abfragen, die dieser Regel entsprechen und von einer mit dieser Regel verknüpften VPC stammen, an den referenzierten ausgehenden Endpunkt weiter. Diese Abfragen werden also an die Ziel-IP-Adressen weitergeleitet, die Sie im Abschnitt IP-Adressen angeben.
(Optional) Füllen Sie den Abschnitt Tags aus.
Wählen Sie Senden aus.

So verwenden Sie eine vorhandene Regel:

**Wenn Sie bereits eine Regel für dieselbe Domain in derselben Region wie die VPC in Ihrem Konto haben:**Ordnen Sie die Regel Ihrer VPC zu, anstatt eine neue Regel zu erstellen. Wählen Sie die Regel im Regel-Dashboard aus und ordnen Sie sie den entsprechenden VPCs in der Region zu.
Wenn Sie bereits eine Regel für dieselbe Domain in derselben Region wie Ihre VPC, aber in einem anderen Konto haben:Verwenden Sie den AWS Resource Access Manager, um die Regel vom Remote-Konto für Ihr Konto freizugeben. Wenn Sie eine Regel teilen, teilen Sie auch den entsprechenden ausgehenden Endpunkt. Nachdem Sie die Regel mit Ihrem Konto geteilt haben, wählen Sie die Regel im Regel-Dashboard aus und ordnen Sie sie den VPCs in Ihrem Konto zu.

**Hinweis:**Es ist keine Netzwerkkonnektivität erforderlich, um DNS-Abfragen von einer VPC, die einer Resolver-Regel zugeordnet ist, an die VPC weiterzuleiten, in der sich der ausgehende Endpunkt befindet. Dies gilt unabhängig davon, ob sich die VPCs im selben Konto befinden oder nicht. Eine Netzwerkkonnektivität zu den DNS-Resolvern ist nur von der VPC erforderlich, in der sich die ausgehenden Endpunkte befinden.