Comment configurer un point de terminaison entrant du résolveur Route 53 pour résoudre les enregistrements DNS de ma zone hébergée privée à partir de mon réseau distant ?

Brève description

Amazon Virtual Private Cloud (Amazon VPC) assure une résolution DNS automatique via Route 53 Resolver. Créez un point de terminaison entrant pour autoriser les requêtes DNS depuis un réseau distant vers la zone hébergée privée.

Résolution

Pour configurer un point de terminaison entrant Amazon Route 53 Resolver afin que votre réseau distant puisse résoudre les enregistrements dans une zone hébergée privée, procédez comme suit.

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

1. Activez les noms d'hôte et la résolution DNS dans les attributs de support DNS pour l'Amazon VPC pour lequel vous envisagez de créer un point de terminaison entrant.
2. Associez la zone hébergée privée à l’Amazon VPC.

Si la zone hébergée privée et l’Amazon VPC appartiennent au même compte AWS, procédez comme suit :

1. Ouvrez la console Route 53.
2. Dans le volet de navigation, choisissez Zones hébergées.
3. Sélectionnez la zone hébergée privée contenant les enregistrements que vous souhaitez interroger.
4. Utilisez la barre de recherche pour trouver votre Amazon VPC, puis choisissez Associer un nouveau VPC.

Si la zone hébergée privée et l’Amazon VPC se trouvent dans des comptes AWS différents, procédez comme suit :

1. Utilisez l'interface de ligne de commande AWS pour effectuer une association intercompte.
   Pour en savoir plus, consultez la section Comment puis-je associer une zone hébergée privée Route 53 à un VPC sur un autre compte AWS ?
2. Vérifiez que le serveur DNS sur site envoie uniquement des requêtes récursives.
3. Vérifiez que la table de routage associée au sous-réseau sur lequel vous envisagez de créer le point de terminaison entrant inclut une route vers le réseau sur site.
4. Si le sous-réseau utilise des ACL réseau personnalisées, mettez à jour les règles pour autoriser le trafic suivant :
   Trafic UDP et TCP sortant vers le serveur DNS sur site sur la plage de ports 1024–65535.
   Trafic entrant UPD et TCP en provenance du serveur DNS sur site sur le port 53.
5. Configurez le groupe de sécurité pour le point de terminaison entrant afin d'autoriser le trafic TCP et UDP sur le port 53 à partir de l'adresse IP du serveur DNS sur site.
6. S'il existe un pare-feu entre le réseau sur site et AWS, autorisez le trafic TCP et UDP sur le port 53 pour les adresses IP du serveur DNS.
7. Assurez-vous que la connectivité aux adresses IP des points de terminaison entrants se fait via AWS Direct Connect ou un VPN.

Configurer le point de terminaison entrant

Pour configurer le point de terminaison entrant, procédez comme suit :

1. Ouvrez la console Route 53.
2. Dans le volet de navigation, sélectionnez Points de terminaison entrants.
3. Dans la barre de navigation, choisissez la région AWS dans laquelle se trouve l’Amazon VPC.
4. Choisissez Créer un point de terminaison entrant.
5. Dans Paramètres généraux pour le point de terminaison entrant, choisissez l'Amazon VPC dans la région où se trouve la zone hébergée privée. Sélectionnez un groupe de sécurité qui autorise le trafic UDP et TCP entrant depuis le réseau distant sur le port de destination 53.
6. Choisissez entre 2 et 6 adresses IP. Autorisez Route 53 à sélectionner des adresses IP dans le sous-réseau ou à les spécifier. Utilisez des adresses IP provenant d'au moins deux zones de disponibilité.
7. Pour chaque adresse IP, choisissez un sous-réseau répondant aux exigences suivantes :
   La table de routage inclut les routes vers les adresses IP du résolveur DNS sur le réseau distant.
   L'ACL réseau autorise le trafic UDP et TCP depuis le réseau distant sur le port 53.
   L'ACL réseau autorise le trafic UDP et TCP vers le réseau distant sur la plage de ports de destination 1024–65535.
8. (Facultatif) Complétez la section Identifications.
9. Choisissez Créer un point de terminaison entrant.

Remarque : Les points de terminaison entrants Route 53 n'ont pas de nom de domaine complet (FQDN). Lorsque vous créez le point de terminaison, Route 53 crée des interfaces réseau élastiques dans le sous-réseau. Ces adresses IP transmettent les requêtes DNS au résolveur.

Tester votre configuration

Pour tester votre configuration, procédez comme suit :

1. Configurez le serveur DNS distant pour transmettre les requêtes DNS concernant le nom de domaine de la zone hébergée privée aux adresses IP des points de terminaison entrants.
2. Configurez le serveur DNS afin qu'il transfère les requêtes plutôt que de déléguer l'autorité pour le nom de domaine.
3. Vérifiez que le serveur DNS distant envoie uniquement des requêtes DNS récursives.
4. Si le serveur DNS sur site envoie une requête DNS avec Récursion souhaitée définie sur 0, le point de terminaison entrant ne fournit aucune réponse. Ces informations sont disponibles dans la capture du paquet.
5. Si vous utilisez AWS Transit Gateway, associez le sous-réseau du point de terminaison entrant à la pièce jointe Transit Gateway.
6. Testez la résolution de l'un des enregistrements de la zone hébergée privée à partir d'un client du réseau distant.

Dans les commandes suivantes, remplacez RECORD_NAME et RECORD_TYPE par les valeurs correspondantes :

• Pour Linux ou macOS, exécutez dig RECORD_NAME RECORD_TYPE, comme dans l'exemple suivant : dig example.com A
• Pour Windows, exécutez nslookup RECORD_NAME RECORD_TYPE, comme dans l'exemple suivant : nslookup example.com

Informations connexes

Résoudre les requêtes DNS entre les VPC et votre réseau

Transférer les requêtes DNS sortantes vers votre réseau

Gestion des points de terminaison sortants

Comment résoudre les problèmes de résolution DNS des points de terminaison Route 53 Resolver ?