¿Por qué no puedo resolver los nombres de dominio a través de mi conexión de emparejamiento de VPC?

8 minutos de lectura
0

No puedo resolver los nombres de dominio a través de mi conexión de emparejamiento de Amazon Virtual Private Cloud (Amazon VPC).

Resolución

Nota: En las siguientes situaciones, se supone que la VPC está configurada con AmazonProvidedDNS. Si utiliza un DNS personalizado y no puede resolver los nombres de dominio, haga lo siguiente:

  • Agregue los registros en el DNS personalizado.
    o
  • Configure el DNS para que reenvíe ciertas consultas al DNS proporcionado por Amazon. El DNS proporcionado por Amazon es la dirección IP .2 del CIDR de la VPC.

Escenario 1: resolución en el DNS público de una instancia de Amazon EC2 creada en la VPC emparejada

Amazon Elastic Compute Cloud (EC2) asigna un nombre de DNS privado y público en la creación de la instancia. Los siguientes nombres de dominio se asignan a las instancias de forma predeterminada:

  • DNS privado: ip-172-31-19-128.ec2.internal (para la región us-east-1) o ip-172-31-12-97.us-west-2.compute.internal (para otras regiones).
  • DNS público: ec2-54-147-16-116.compute-1.amazonaws.com o ec2-35-88-61-144.us-west-2.compute.amazonaws.com.

Si configura el conjunto de opciones DHCP con un nombre de dominio personalizado, como “ejemplo.com”, la instancia de EC2 utilizará ese nombre de dominio. Por ejemplo, ip-172-31-12-97.us-west-2.ejemplo.com.

La resolución en un DNS privado desde cualquier instancia de AWS se resuelve en una dirección IP privada de la VPC en la que creó la instancia:

$ dig ip-172-31-12-97.us-west-2.compute.internal +short
172.31.12.97

Resolver el DNS público de la instancia desde otra instancia creada en la VPC emparejada se resuelve en la dirección IP pública de la instancia:

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
35.88.61.144

Puede resolver el nombre de dominio público en la dirección IP privada de la instancia de EC2. Para ello, active una de las siguientes opciones en la conexión de emparejamiento de VPC:

  • Resolución de DNS del solicitante
    o
  • Resolución de DNS de aceptador

Para obtener más información, consulte Turn on DNS resolution for a VPC peering connection (Activar la resolución de DNS para una conexión de emparejamiento de VPC).

Después de activar la resolución de DNS, puede resolver el DNS público en la dirección IP privada de la instancia. Por ejemplo: 

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
172.31.12.97

Si la resolución de DNS no funciona después de activarla en el emparejamiento de VPC, siga los pasos siguientes para solucionar el problema.

Pasos de solución

1.    Compruebe la VPC de origen y el ID de la VPC de destino.

2.    Asegúrese de que haya una conexión de emparejamiento activa entre las VPC de origen y de destino mediante el emparejamiento de VPC.

3.    Compruebe la configuración de DNS para la conexión de emparejamiento. Asegúrese de que la resolución de DNS está activada tanto para las VPC del solicitante como para las del aceptador.

4.    Verifique que existe el nombre de dominio público que está resolviendo. Compruebe la VPC de destino para asegurarse de que haya una instancia con la IP pública mencionada en el nombre de dominio.

5.    Compruebe que la configuración de DNS en la VPC es AmazonProvidedDNS o CustomDNS. Si utiliza un DNS personalizado, compruebe que el DNS personalizado resuelve el nombre de dominio de la instancia pública. Si el DNS personalizado no puede resolver el nombre de dominio, siga uno de estos procedimientos:

Agregue un registro DNS estático.

o

Redirija la consulta a AmazonProvidedDNS.

Escenario 2: resolver el nombre de dominio de los servicios creados en una VPC emparejada

Cuando crea un servicio con un nombre de dominio, puede resolverlo desde una instancia en cualquier VPC emparejada. Los nombres de dominio creados para estos servicios son registros públicos y se pueden resolver desde cualquier lugar.

Por ejemplo, los siguientes registros de nombres de dominio se pueden resolver públicamente:

  • testCLB-520693273.us-east-1.elb.amazonaws.com
  • test-87913728ca9b8a68.elb.us-east-1.amazonaws.com
  • vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com

Nota: Incluso si el nombre de dominio es para un equilibrador de carga privado, el registro es público y se resuelve en la dirección IP privada.

Los nombres de los dominios de punto de conexión del servicio, como ssm.us-east-1.amazonaws.com, se resuelven en la dirección IP pública. Esto es así incluso si se ha creado un punto de conexión de interfaz en la VPC emparejada con la opción de DNS privado activada. Además, estos nombres se resuelven en direcciones IP privadas solo si se consultan desde la VPC en la que se creó el punto de conexión de la interfaz. Para resolver los nombres de los dominios de punto de conexión en direcciones IP privadas de punto de conexión desde una VPC emparejada, debe haber creado la arquitectura de DNS correcta.

En el siguiente ejemplo, el punto de conexión de VPC de la interfaz se configura en la VPC A. Para resolver el nombre de dominio del servicio en las direcciones IP del punto de conexión de VPC de la interfaz en la VPC A desde la VPC B:

  1. Cree un punto de conexión de interfaz para el servicio con la opción PrivateDNS desactivada.
  2. Cree una zona alojada privada con el nombre de dominio del servicio (por ejemplo, ssm.us-east-1.amazonaws.com) desde la cuenta en la que se creó el punto de conexión de la interfaz.
  3. Asegúrese de que los nombres de host DNS y la resolución de DNS estén activados para ambas VPC en la conexión de emparejamiento.
  4. Cree un registro de alias que dirija el nombre de dominio del servicio al punto de conexión regional del DNS del punto de conexión de la interfaz: vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com. O bien, cree un registro que dirija el nombre de dominio del servicio a las direcciones IP privadas del punto de conexión de VPC de la interfaz creado en la VPC A.
  5. Asocie la zona alojada privada que creó a la VPC emparejada (VPC B). Si la VPC B es multicuenta, consulte ¿Cómo asocio una zona alojada privada de Route 53 con una VPC en una cuenta de AWS diferente?

Pasos de solución

1.    Compruebe la VPC de origen y el ID de la VPC de destino.

2.    Asegúrese de que haya una conexión de emparejamiento activa entre la VPC de origen y la de destino.

3.    Asegúrese de que los nombres de host DNS y la resolución de DNS estén activados para ambas VPC en la conexión de emparejamiento.

4.    Compruebe si el DNS configurado en la VPC es AmazonProvidedDNS o CustomDNS. Si utiliza un DNS personalizado, verifique que el DNS personalizado pueda resolver el nombre de dominio. Si el DNS personalizado no puede resolver el nombre de dominio, agregue un registro DNS estático o configure el DNS personalizado para reenviar la consulta a AmazonProvidedDNS.

5.    Compruebe que ambas VPC emparejadas estén asociadas a la misma zona alojada privada en la que se crea el registro del nombre de dominio.

6.    Asegúrese de que los registros dirijan a las direcciones IP correctas del punto de conexión de la interfaz o el dominio específico de la región del punto de conexión de VPC.

Escenario 3: nombre de dominio personalizado creado en una zona alojada privada

Creó una zona alojada privada para un nombre de dominio personalizado que se usa para resolver el dominio en un registro creado en una zona alojada privada. La VPC A está asociada a una zona alojada privada. La VPC B tiene una conexión de emparejamiento con la VPC A. Desea resolver el nombre de dominio personalizado de la VPC B a la VPC A.

Para resolverlo, asocie la VPC B a la zona alojada privada para el dominio personalizado en la que creó el registro. Después de realizar la asociación, puede resolver el nombre de dominio personalizado en una zona alojada privada a partir de los recursos de ambas VPC emparejadas.

Pasos de solución

1.    Compruebe la VPC de origen y el ID de la VPC de destino.

2.    Compruebe si el DNS configurado en la VPC es AmazonProvidedDNS o CustomDNS. Si utiliza un DNS personalizado, no podrá resolver los registros alojados en zonas alojadas privadas. Para corregir esto, agregue un registro de nombre de dominio estático en el DNS personalizado. O bien, configure el DNS personalizado para reenviar la consulta a AmazonprovidedDNS.

3.    Si utiliza un DNS proporcionado por Amazon, verifique el dominio que intenta resolver y dónde está alojado (Amazon Route 53 o en las instalaciones). Si es en las instalaciones, asegúrese de que el punto de conexión de resolvedor saliente utilizado para reenviar la consulta al DNS en las instalaciones esté configurado correctamente.

4.    Si se aloja en una zona alojada privada de Route 53, compruebe que la VPC de origen esté asociada a la zona alojada privada. La VPC de origen es la ubicación desde la que intenta resolver el nombre de dominio personalizado.

5.    Asegúrese de que el FQDN que intenta resolver tiene un registro creado en la zona alojada privada.


OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año