Comment puis-je utiliser et remplacer des règles DNS inverses avec Route 53 Resolver ?

Lecture de 6 minute(s)
0

Comment utiliser et remplacer des règles DNS inverses définies automatiquement avec Amazon Route 53 Resolver ?

Solution

Pour utiliser les règles Resolver :

Une fois que « DNSHostname » est activé, Resolver crée automatiquement des règles système définies automatiquement qui définissent la résolution par défaut des requêtes des domaines sélectionnés. Pour remplacer une règle définie automatiquement, créez une règle de transfert (règle Resolver) pour le nom de domaine. La résolution de nom DNS inverse avec Resolver dépend des règles définies automatiquement, des règles Resolver et des configurations de zone hébergée privée.

Le résolveur DNS fourni par Amazon évalue la règle du « nom de domaine le plus spécifique » dans l'ordre de priorité suivant :

  1. Règles Resolver : règles configurées manuellement pour le nom de domaine que Resolver transmet à l'adresse IP cible.
  2. Règles pour les zones hébergées privées : pour chaque zone hébergée privée que vous associez à un VPC, Resolver crée une règle et l'associe au résolveur DNS du VPC. Si vous associez la zone hébergée privée à plusieurs VPC, le résolveur associe la règle au résolveur DNS de chaque VPC.
  3. Règles définies automatiquement pour le DNS inverse : le résolveur crée des règles définies automatiquement pour la recherche DNS inverse et les domaines liés à l'hôte local lorsque vous définissez l'attribut « enableDnsHostnames » du VPC associé sur « true ».

Les règles s'appliquent aux plages de blocs d'adresses CIDR d'un VPC et à tous les VPC connectés avec la prise en charge DNS activée. Le résolveur crée les règles les plus génériques possibles en fonction de la plage de blocs d'adresses CIDR.

Exemple de remplacement des règles définies automatiquement

Les ressources de cet exemple sont les suivantes :

  • Source de requête DNS VPC1 avec CIDR 10.237.52.0/22
  • Attribut DNSHostname = Activé
  • Attribut DNSSupport = Activé
  • VPC2 connecté (connecté via une passerelle de transit ou un appairage de VPC avec prise en charge DNS activée) avec le CIDR 10.104.2.0/24
  • Résolveur DNS du VPC = Résolveur DNS fourni par Amazon
  • Point de terminaison sortant de Route 53 Resolver avec connectivité à la plage 192.168.1.4/32 (serveur DNS situé dans un autre réseau)

Les règles système définies automatiquement suivantes ont été créées par Resolver :

Règles pour les adresses IP privéesRègles pour le CIDR VPC1Règles pour le CIDR VPC2 (VPC appairé)
10.in-addr.arpa.52.237.10.in-addr.arpa.2.104.10.in-addr.arpa.
16.172.in-addr.arpa. via 31.172.in-addr.arpa53.237.10.in-addr.arpa.
168.192.in-addr.arpa.54.237.10.in-addr.arpa.
254.169.254.169.in-addr.arpa.55.237.10.in-addr.arpa.

Les exigences de la résolution DNS pour l'environnement dans lequel les requêtes sont transférées sont les suivantes :

Numéro de prioritéCIDR pour une requête DNS inverseServeur DNS de destination
110.237.53.0/24192.168.1.4/32 (un autre réseau)
210.237.52.0/22 sauf 10.237.53.0/24Résolveur DNS fourni par Amazon
310.104.2.0/24Zone hébergée privée
410.0.0.0/8 sauf tous les éléments ci-dessus192.168.1.4/32 (un autre réseau)

Les étapes suivantes permettent d'obtenir la configuration précédente :
Remarque : la source exécutant la requête DNS est VPC1 et toutes les requêtes sont envoyées à l'adresse IP DNS fournie par Amazon.

  1. Étant donné que la plage d'adresses IP 10.237.53.0/24 fait partie du CIDR VPC1 10.237.52.0/22, des règles système définies automatiquement s'appliquent déjà à cette plage d'adresses IP. Créez une règle Resolver pour le domaine 53.237.10.in-addr.arpa afin de remplacer la règle système définie automatiquement pour les adresses IP de la plage 10.237.53.0/24. Définissez l'adresse IP cible sur 192.168.1.4/32.
  2. Des règles système définies automatiquement sont disponibles pour les adresses IP de la plage 10.237.52.0/22, à l'exception de la plage 10.237.53.0/24. Le résolveur DNS fourni par Amazon résout ces requêtes DNS.
  3. Pour les adresses IP de la plage 10.104.2.0/24, une règle définie automatiquement la plus spécifique est déjà disponible pour le CIDR VPC2. Cependant, comme les règles des zones hébergées privées sont prioritaires par rapport aux règles définies automatiquement, une zone hébergée privée doit être créée pour le nom de domaine 2.104.10.in-addr.arpa.
  4. Créez une règle Résolveur pour le nom de domaine 10.in-addr.arpa. Cette règle envoie des requêtes DNS inverses pour les adresses IP de la plage 10.0.0.0/8 (à l'exception des adresses IP des plages 10.237.52.0/22 et 10.104.2.0/24) à un serveur DNS d'un autre réseau avec l'adresse IP 192.168.1.4/32. La règle remplace également la règle système définie automatiquement.

Les règles suivantes répondent désormais aux exigences et sont étudiées par le résolveur en fonction de leur priorité :

  • Règles Résolveur personnalisés : 53.237.10.in-addr.arpa. et 10.in-addr.arpa.
  • Règle créée pour la zone hébergée privée : 2.104.10.in-addr.arpa.

La requête DNS inverse pour les adresses IP de la plage 10.0.0.0/8 est résolue en fonction de la priorité de la règle Résolveur. La règle de la zone hébergée privée et les règles définies automatiquement basées sur la règle de nom de domaine la plus spécifique sont les suivantes :

Numéro de prioritéPlage d'adresses IP pour une requête DNS inverseServeur DNS de destination
110.237.53.0/24Par 192.169.1.4/32 à l'aide de la « règle Résolveur la plus spécifique »
210.237.52.0/22 sauf 10.27.53.0/24Par le résolveur DNS fourni par Amazon à l'aide des règles par défaut (« règle système la plus spécifique »)
310.104.2.0/24Par le résolveur DNS fourni par Amazon à l'aide des règles par défaut créées pour la zone hébergée privée
410.0.0.0/8 sauf tous les éléments ci-dessusPar 192.168.1.4/32 à l'aide de la règle Résolveur (Aucune autre règle plus spécifique n'est disponible. La règle Resolver avec le nom de domaine 10.in-addr.arpa est prioritaire par rapport aux règles définies automatiquement pour le même nom de domaine.)

Vous pouvez également désactiver les règles DNS inverse par défaut avec Route 53 Resolver. Pour plus d'informations, consultez Règles de transfert pour les requêtes DNS inverses dans Resolver.


Informations connexes

Résolution des requêtes DNS entre les VPC et votre réseau

Réacheminement des requêtes DNS sortantes vers votre réseau

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans