¿Cómo configuro un punto de enlace de entrada de Route 53 Resolver para resolver los registros de DNS de mi zona alojada privada desde mi red remota?

Breve descripción

Amazon Virtual Private Cloud (Amazon VPC) proporciona resolución automática de DNS a través de Route 53 Resolver. Crea un punto de enlace de entrada para permitir las consultas de DNS desde una red remota a la zona alojada privada.

Resolución

Para configurar un punto de enlace de entrada de Amazon Route 53 Resolver para que tu red remota pueda resolver los registros de una zona alojada privada, sigue estos pasos.

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

1. Activa los nombres de host y la resolución de DNS en los atributos de compatibilidad de DNS para la Amazon VPC para la que planeas crear un punto de enlace de entrada.
2. Asocia la zona alojada privada a la Amazon VPC.

Si la zona alojada privada y Amazon VPC pertenecen a la misma cuenta de AWS, sigue estos pasos:

1. Abre la consola de Route 53.
2. En el panel de navegación, selecciona Zonas alojadas.
3. Elige la zona alojada privada que contenga los registros que desees consultar.
4. Utiliza la barra de búsqueda para encontrar tu Amazon VPC y, a continuación, selecciona Asociar nueva VPC.

Si la zona alojada privada y Amazon VPC están en cuentas de AWS diferentes, sigue estos pasos:

1. Utiliza la AWS CLI para realizar asociaciones entre cuentas.
   Para obtener más información, consulta ¿Cómo puedo asociar una zona alojada privada de Route 53 a una VPC de otra cuenta de AWS?
2. Confirma que el servidor DNS local solo envíe consultas recursivas.
3. Confirma que la tabla de enrutamiento asociada a la subred en la que planeas crear el punto de enlace de entrada incluya una ruta a la red local.
4. Si la subred usa ACL de la red personalizadas, actualiza las reglas para permitir el tráfico siguiente:
   Tráfico UDP y TCP de salida al servidor DNS local en el intervalo de puertos 1024 a 65535.
   Tráfico UPD y TCP de entrada desde el servidor DNS local en el puerto 53.
5. Configura el grupo de seguridad del punto de enlace de entrada para permitir el tráfico TCP y UDP en el puerto 53 desde la dirección IP del servidor DNS local.
6. Si existe un firewall entre la red local y AWS, permite el tráfico TCP y UDP en el puerto 53 para las direcciones IP del servidor DNS.
7. Asegúrate de que la conectividad a las direcciones IP de los puntos de enlace de entrada se realice a través de AWS Direct Connect o VPN.

Configuración del punto de enlace de entrada

Para configurar el punto de enlace de entrada, sigue estos pasos:

1. Abre la consola de Route 53.
2. En el panel de navegación, elige Puntos de enlace de entrada.
3. En la barra de navegación, elige la región de AWS en la que se encuentra la Amazon VPC.
4. Elige Crear punto de enlace de entrada.
5. En la configuración general del punto de enlace de entrada, elige la Amazon VPC de la región en la que se encuentra la zona alojada privada. Elige un grupo de seguridad que permita el tráfico UDP y TCP de entrada desde la red remota en el puerto de destino 53.
6. Elige de 2 a 6 direcciones IP. Permite que Route 53 seleccione direcciones IP de la subred o las especifique. Utiliza direcciones IP de al menos dos zonas de disponibilidad.
7. Para cada dirección IP, elige una subred que cumpla los siguientes requisitos:
   La tabla de enrutamiento incluye rutas a las direcciones IP del solucionador de DNS en la red remota.
   La ACL de la red permite el tráfico UDP y TCP desde la red remota en el puerto 53.
   La ACL de la red permite el tráfico UDP y TCP a la red remota en el intervalo de puertos de destino 1024 a 65535.
8. (Opcional) Completa la sección Etiquetas.
9. Elige Crear punto de enlace de entrada.

Nota: Los puntos de enlace de entrada de Route 53 no tienen un nombre de dominio completo (FQDN). Al crear el punto de enlace, Route 53 crea interfaces de red elásticas en la subred. Estas direcciones IP reenvían las consultas de DNS al solucionador.

Cómo probar la configuración

Para probar la configuración, sigue estos pasos:

1. Configura el servidor DNS remoto para reenviar las consultas DNS del nombre de dominio de la zona alojada privada a las direcciones IP de los puntos de enlace de entrada.
2. Configura el servidor DNS para reenviar consultas en lugar de delegar la autoridad para el nombre de dominio.
3. Confirma que el servidor DNS remoto solo envía consultas DNS recursivas.
4. Si el servidor de DNS local envía una consulta de DNS con Recursión deseada establecida en 0, el punto de enlace de entrada no responde. Puedes encontrar esta información en la captura de paquetes.
5. Si usas AWS Transit Gateway, asocia la subred de punto de enlace de entrada a la conexión de puerta de enlace de tránsito.
6. Prueba la resolución de uno de los registros de la zona alojada privada desde un cliente de la red remota.

En los siguientes comandos, sustituye RECORD_NAME y RECORD_TYPE por los valores pertinentes:

• Para Linux o macOS, ejecuta dig RECORD_NAME RECORD_TYPE, como en el siguiente ejemplo: dig example.com A.
• Para Windows, ejecuta nslookup RECORD_NAME RECORD_TYPE, como en el siguiente ejemplo: nslookup example.com.

Información relacionada

Resolución de consultas de DNS entre las VPC y la red

Reenvío de consultas de DNS de salida a tu red

Administración de puntos de enlace de salida

¿Cómo soluciono los problemas de resolución de DNS con los puntos de enlace de Route 53 Resolver?