Comment puis-je utiliser et remplacer des règles DNS inverses avec Route 53 Resolver ?

Lecture de 6 minute(s)

Comment utiliser et remplacer des règles DNS inverses définies automatiquement avec Amazon Route 53 Resolver ?

Solution

Pour utiliser les règles Resolver :

Vous devez activer les attributs de résolution DNS et de noms d'hôtes DNS du cloud privé virtuel (VPC).
Les requêtes DNS doivent être envoyées au résolveur DNS fourni par Amazon de ce VPC.

Une fois que « DNSHostname » est activé, Resolver crée automatiquement des règles système définies automatiquement qui définissent la résolution par défaut des requêtes des domaines sélectionnés. Pour remplacer une règle définie automatiquement, créez une règle de transfert (règle Resolver) pour le nom de domaine. La résolution de nom DNS inverse avec Resolver dépend des règles définies automatiquement, des règles Resolver et des configurations de zone hébergée privée.

Le résolveur DNS fourni par Amazon évalue la règle du « nom de domaine le plus spécifique » dans l'ordre de priorité suivant :

Règles Resolver : règles configurées manuellement pour le nom de domaine que Resolver transmet à l'adresse IP cible.
Règles pour les zones hébergées privées : pour chaque zone hébergée privée que vous associez à un VPC, Resolver crée une règle et l'associe au résolveur DNS du VPC. Si vous associez la zone hébergée privée à plusieurs VPC, le résolveur associe la règle au résolveur DNS de chaque VPC.
Règles définies automatiquement pour le DNS inverse : le résolveur crée des règles définies automatiquement pour la recherche DNS inverse et les domaines liés à l'hôte local lorsque vous définissez l'attribut « enableDnsHostnames » du VPC associé sur « true ».

Les règles s'appliquent aux plages de blocs d'adresses CIDR d'un VPC et à tous les VPC connectés avec la prise en charge DNS activée. Le résolveur crée les règles les plus génériques possibles en fonction de la plage de blocs d'adresses CIDR.

Exemple de remplacement des règles définies automatiquement

Les ressources de cet exemple sont les suivantes :

Source de requête DNS VPC1 avec CIDR 10.237.52.0/22
Attribut DNSHostname = Activé
Attribut DNSSupport = Activé
VPC2 connecté (connecté via une passerelle de transit ou un appairage de VPC avec prise en charge DNS activée) avec le CIDR 10.104.2.0/24
Résolveur DNS du VPC = Résolveur DNS fourni par Amazon
Point de terminaison sortant de Route 53 Resolver avec connectivité à la plage 192.168.1.4/32 (serveur DNS situé dans un autre réseau)

Les règles système définies automatiquement suivantes ont été créées par Resolver :


Règles pour les adresses IP privées	Règles pour le CIDR VPC1	Règles pour le CIDR VPC2 (VPC appairé)
10.in-addr.arpa.	52.237.10.in-addr.arpa.	2.104.10.in-addr.arpa.
16.172.in-addr.arpa. via 31.172.in-addr.arpa	53.237.10.in-addr.arpa.
168.192.in-addr.arpa.	54.237.10.in-addr.arpa.
254.169.254.169.in-addr.arpa.	55.237.10.in-addr.arpa.

Les exigences de la résolution DNS pour l'environnement dans lequel les requêtes sont transférées sont les suivantes :


Numéro de priorité	CIDR pour une requête DNS inverse	Serveur DNS de destination
1	10.237.53.0/24	192.168.1.4/32 (un autre réseau)
2	10.237.52.0/22 sauf 10.237.53.0/24	Résolveur DNS fourni par Amazon
3	10.104.2.0/24	Zone hébergée privée
4	10.0.0.0/8 sauf tous les éléments ci-dessus	192.168.1.4/32 (un autre réseau)

Les étapes suivantes permettent d'obtenir la configuration précédente :
Remarque : la source exécutant la requête DNS est VPC1 et toutes les requêtes sont envoyées à l'adresse IP DNS fournie par Amazon.

Étant donné que la plage d'adresses IP 10.237.53.0/24 fait partie du CIDR VPC1 10.237.52.0/22, des règles système définies automatiquement s'appliquent déjà à cette plage d'adresses IP. Créez une règle Resolver pour le domaine 53.237.10.in-addr.arpa afin de remplacer la règle système définie automatiquement pour les adresses IP de la plage 10.237.53.0/24. Définissez l'adresse IP cible sur 192.168.1.4/32.
Des règles système définies automatiquement sont disponibles pour les adresses IP de la plage 10.237.52.0/22, à l'exception de la plage 10.237.53.0/24. Le résolveur DNS fourni par Amazon résout ces requêtes DNS.
Pour les adresses IP de la plage 10.104.2.0/24, une règle définie automatiquement la plus spécifique est déjà disponible pour le CIDR VPC2. Cependant, comme les règles des zones hébergées privées sont prioritaires par rapport aux règles définies automatiquement, une zone hébergée privée doit être créée pour le nom de domaine 2.104.10.in-addr.arpa.
Créez une règle Résolveur pour le nom de domaine 10.in-addr.arpa. Cette règle envoie des requêtes DNS inverses pour les adresses IP de la plage 10.0.0.0/8 (à l'exception des adresses IP des plages 10.237.52.0/22 et 10.104.2.0/24) à un serveur DNS d'un autre réseau avec l'adresse IP 192.168.1.4/32. La règle remplace également la règle système définie automatiquement.

Les règles suivantes répondent désormais aux exigences et sont étudiées par le résolveur en fonction de leur priorité :

Règles Résolveur personnalisés : 53.237.10.in-addr.arpa. et 10.in-addr.arpa.
Règle créée pour la zone hébergée privée : 2.104.10.in-addr.arpa.

La requête DNS inverse pour les adresses IP de la plage 10.0.0.0/8 est résolue en fonction de la priorité de la règle Résolveur. La règle de la zone hébergée privée et les règles définies automatiquement basées sur la règle de nom de domaine la plus spécifique sont les suivantes :


Numéro de priorité	Plage d'adresses IP pour une requête DNS inverse	Serveur DNS de destination
1	10.237.53.0/24	Par 192.169.1.4/32 à l'aide de la « règle Résolveur la plus spécifique »
2	10.237.52.0/22 sauf 10.27.53.0/24	Par le résolveur DNS fourni par Amazon à l'aide des règles par défaut (« règle système la plus spécifique »)
3	10.104.2.0/24	Par le résolveur DNS fourni par Amazon à l'aide des règles par défaut créées pour la zone hébergée privée
4	10.0.0.0/8 sauf tous les éléments ci-dessus	Par 192.168.1.4/32 à l'aide de la règle Résolveur (Aucune autre règle plus spécifique n'est disponible. La règle Resolver avec le nom de domaine 10.in-addr.arpa est prioritaire par rapport aux règles définies automatiquement pour le même nom de domaine.)

Vous pouvez également désactiver les règles DNS inverse par défaut avec Route 53 Resolver. Pour plus d'informations, consultez Règles de transfert pour les requêtes DNS inverses dans Resolver.

Informations connexes

Résolution des requêtes DNS entre les VPC et votre réseau

Réacheminement des requêtes DNS sortantes vers votre réseau

Sujets

Réseaux et diffusion de contenu

Balises

Amazon Route 53

Langue

Français

AWS OFFICIELA mis à jour il y a 3 ans

Aucun commentaire

Contenus pertinents

Problème de vérification DNS sur Route 53 malgré propagation réussie
Herobrix
demandé il y a 2 mois
Propagation du DNS
Réponse acceptée
Olivier
demandé il y a un an
AWS ACM erreur "le délai de validation a expiré"
Harold
demandé il y a 5 mois
Règle de cycle de vie pour transition de stockage S3 à S3 glacier
HoubaHoubi
demandé il y a 2 mois
Adresse DNS introuvable
Tikki
demandé il y a un an
Comment puis-je résoudre les problèmes de DNS inverse liés aux règles Route 53 et aux points de terminaison sortants ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment résoudre les problèmes de résolution DNS liés aux points de terminaison Route 53 Resolver ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment activer la fonctionnalité DNS inverse pour Route 53 avec un enregistrement PTR ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment afficher le trafic passant par un point de terminaison sortant d'Amazon Route 53 resolver ?
AWS OFFICIELA mis à jour il y a 3 ans