Comment configurer un point de terminaison entrant du résolveur Route 53 pour résoudre les enregistrements DNS de ma zone hébergée privée à partir de mon réseau distant ?

Lecture de 6 minute(s)
0

Je souhaite configurer un point de terminaison entrant Amazon Route 53 Resolver pour résoudre les enregistrements de ma zone hébergée privée à partir de mon réseau distant.

Description rapide

Amazon Virtual Private Cloud (Amazon VPC) permet à votre VPC de recevoir une résolution DNS automatique de la part du résolveur Route 53. Les instances Amazon Elastic Compute Cloud (Amazon EC2) d'un VPC peuvent envoyer des requêtes DNS au résolveur. L'instance utilise pour cela l'adresse IP réservée à la base de la plage du réseau IPv4 VPC CIDR plus deux. En cas de connectivité réseau entre le réseau distant et le VPC, les résolveurs DNS du réseau distant peuvent transmettre les requêtes DNS au résolveur du VPC. AWS Direct Connect ou une connexion VPN assure cette connectivité. Le résolveur n'accepte toutefois pas les requêtes DNS provenant d'adresses IP extérieures au réseau VPC. Pour résoudre ce problème, créez un point de terminaison entrant dans votre VPC. Ce point de terminaison entrant transmet les requêtes DNS reçues à Resolver. Le traitement de ces requêtes est identique à celui des requêtes provenant du VPC.

Résolution

Complétez les prérequis

Tout d’abord, activez les noms d'hôte DNS et la résolution DNS dans les attributs de support DNS du VPC sur lequel vous souhaitez créer un point de terminaison entrant.

Associez ensuite la zone hébergée privée applicable à ce VPC.

Si la zone hébergée privée et le VPC se trouvent dans le même compte, procédez comme suit :

  1. Ouvrez la console Route 53.
  2. Dans le volet de navigation, sélectionnez Zones hébergées.
  3. Sélectionnez la zone hébergée privée contenant les enregistrements que vous souhaitez interroger.
  4. Dans la barre de recherche, recherchez votre VPC. Sélectionnez ensuite Associate New VPC.

Si la zone hébergée privée et le VPC appartiennent à des comptes différents, utilisez l'interface de ligne de commande AWS (AWS CLI) pour associer les comptes.

Remarque : En cas d’erreur durant l’exécution des commandes AWS CLI, vérifiez que vous utilisez la dernière version d’AWS CLI.

Vérifiez que votre serveur DNS sur site envoie uniquement des requêtes récursives. Le résolveur entrant Route 53 ne prend pas en charge les requêtes itératives.

Vérifiez que la table de routage associée au sous-réseau sur lequel vous avez créé le résolveur de points de terminaison entrant inclut un itinéraire vers le réseau sur site.

Si vous utilisez des listes de contrôle d'accès au réseau (ACL réseau) personnalisées avec le sous-réseau dans lequel vous avez créé le point de terminaison entrant, vous devez autoriser un certain trafic. Vérifiez que les ACL du réseau autorisent le trafic sur les ports suivants :

  • Trafic UDP et TCP sortant vers le serveur DNS sur site sur la plage de ports de destination 1024-65535.
  • Trafic UDP et TCP en provenance (règle NACL entrante) du serveur DNS sur site sur le port 53.
  • Tout groupe de sécurité associé au trafic entrant doit autoriser le trafic sur les ports TCP et UDP 53 à partir de l'adresse IP de votre serveur DNS sur site.

Si vous utilisez un pare-feu entre le réseau sur site et AWS, le pare-feu doit autoriser un certain trafic. Vérifiez qu'il autorise le trafic sur les ports TCP et UDP 53 pour les adresses IP de votre serveur DNS sur site.

Vérifiez que vous êtes connecté aux adresses IP du point de terminaison du résolveur entrant via la connexion AWS Direct Connect.

Configuration d'un point de terminaison entrant

1.    Ouvrez la console Route 53.

2.    Dans le volet de navigation, sélectionnezPoints de terminaison entrants.

3.    Dans la barre de navigation, sélectionnez la région AWS du VPC dans lequel vous souhaitez créer le point de terminaison entrant.

4.    Sélectionnez Créer un point de terminaison entrant.

5.    Complétez les paramètres généraux pour le point de terminaison entrant. Sélectionnez un **groupe de sécurité pour ce point de terminaison **qui autorise le trafic UDP et TCP entrant depuis le réseau distant sur le port de destination 53.

6.    Sélectionnez entre 2 et 6 adresses IP pour les requêtes DNS. Vous pouvez laisser Resolver sélectionner les adresses IP pour vous parmi celles disponibles dans le sous-réseau. Vous pouvez également spécifier les adresses IP. Il est recommandé de choisir des adresses IP dans au moins deux zones de disponibilité.

7.    Pour le sous-réseau de chaque adresse IP, sélectionnez des sous-réseaux ayant les valeurs suivantes :
Tables de routage correspondantes : Ces tables de routage doivent inclure des itinéraires vers les adresses IP des résolveurs DNS de votre réseau distant via AWS Direct Connect ou un VPN.
ACL réseau : Ils doivent autoriser simultanément les trafics UDP et TCP en provenance du réseau distant sur le port de destination 53. Ils doivent également autoriser les trafics UDP et TCP vers le réseau distant sur la plage de ports de destination 1024-65535. Selon votre type de client, vous pouvez utiliser une plage différente pour les ACL de votre réseau.

8.    (Facultatif) Complétez la rubrique des Balises.

9.    Choisissez Créer un point de terminaison entrant.

Remarque : Il n'existe pas de nom de domaine complet pour le résolveur entrant. Si vous créez un point de terminaison entrant, Route 53 crée par conséquent des interfaces réseau élastiques dans le sous-réseau sélectionné. Les adresses IP de ces interfaces réseau transmettent les requêtes DNS.

Testez votre configuration

Avant de procéder au test, vérifiez que votre configuration tient compte des conditions suivantes :

  • Le serveur DNS du réseau distant doit transférer de manière conditionnelle les requêtes DNS pour le nom de domaine de la zone hébergée privée aux adresses IP du point de terminaison entrant.
  • Le serveur DNS distant doit transmettre les requêtes DNS pour le nom de domaine, et non déléguer l'autorité du nom de domaine au point de terminaison entrant.
  • Les points de terminaison entrants doivent uniquement prendre en charge les requêtes DNS récursives. Les requêtes DNS itératives envoyées aux points de terminaison entrants arrivent à expiration. Si le serveur DNS local envoie une requête DNS avec Recursion Souhaitée définie sur 0 (faux), le point de terminaison entrant ne fournit aucune réponse. Vous pouvez trouver ces informations dans la capture du paquet.
  • Si vous utilisez AWS Transit Gateway, vérifiez que les sous-réseaux sont associés aux attachements de la passerelle de transit. L’opération est nécessaire pour résoudre les requêtes DNS.

Pour tester votre configuration, effectuez une résolution DNS pour l'un des enregistrements de la zone hébergée privée à partir d'un client du réseau distant. Dans les commandes suivantes, remplacez RECORD_NAME et RECORD_TYPE par les valeurs correspondantes :

Pour Linux ou macOS, exécutez dig RECORD_NAME RECORD_TYPE, voir l'exemple suivant :

dig example.com A

Pour Windows, exécutez nslookup RECORD_NAMERECORD_TYPE, voir l'exemple suivant :

nslookup example.com

Informations connexes

Résolution des requêtes DNS entre les VPC et votre réseau

Transfert des requêtes DNS sortantes vers votre réseau

Gestion des points de terminaison sortants

Comment résoudre les problèmes de résolution DNS des points de terminaison Route 53 Resolver ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an