Comment configurer un point de terminaison sortant de Route 53 Resolver pour résoudre les enregistrements DNS hébergés sur un réseau distant à partir des ressources de mon VPC ?

Brève description

Pour configurer un point de terminaison sortant de Route 53 Resolver, créez un point de terminaison dans votre Amazon VPC et spécifiez les adresses IP cibles. Puis, configurez les règles du résolveur pour transmettre les requêtes DNS à vos serveurs DNS distants.

Résolution

Prérequis

• Activez la résolution DNS dans les attributs DNS du VPC associés à la règle du résolveur.
• Pour les serveurs DNS personnalisés ou les serveurs Active Directory dans les options DHCP de votre VPC, configurez-les pour transmettre de manière conditionnelle les requêtes DNS aux serveurs DNS de votre VPC. Par exemple, si la plage d'adresses CIDR principale de votre VPC est 172.31.0.0/16, l'adresse IP du serveur DNS du VPC est 172.31.0.2. Il s'agit de la plage réseau Amazon VPC plus deux.
• Si vous n'utilisez pas de serveur DNS personnalisé dans votre VPC, définissez les serveurs de noms de domaine dans les options DHCP sur l'une des valeurs suivantes :
  AmazonProvidedDNS
  L'adresse IP réservée (plage réseau IPv4 VPC plus deux)

Configurer un point de terminaison sortant

Pour configurer le point de terminaison sortant, procédez comme suit :

1. Ouvrez la console Route 53.
2. Dans le volet de navigation, choisissez Point de terminaison sortant.
3. Dans la barre de navigation, choisissez la région du VPC dans laquelle vous souhaitez créer le point de terminaison sortant.
4. Choisissez Créer un point de terminaison sortant.
5. Sur la page Créer un point de terminaison sortant, renseignez la section Paramètres généraux du point de terminaison sortant.
   Choisissez un Groupe de sécurité qui autorise la connexion TCP et UDP sortante aux adresses suivantes :
   Les adresses IP que les programmes de résolution utilisent pour les requêtes DNS sur votre réseau distant.
   Ports que les programmes de résolution utilisent pour les requêtes DNS sur votre réseau distant.
6. Complétez la section Adresses IP.
   Vous pouvez configurer le résolveur afin qu'il choisisse des adresses IP parmi les adresses IP disponibles dans le sous-réseau ou spécifier des adresses IP.
   Choisissez entre un minimum de deux et un maximum de six adresses IP pour les requêtes DNS.
   Il est recommandé de choisir des adresses IP dans au moins deux zones de disponibilité différentes.
7. Dans Sous-réseau, sélectionnez les sous-réseaux dotés des éléments suivants :
   Tables de routage contenant les routes vers les adresses IP du résolveur DNS de votre réseau distant. Vous pouvez utiliser AWS Direct Connect, une connexion VPN AWS ou une passerelle NAT pour ces routes.
   Listes de contrôle d'accès au réseau (ACL) qui permettent au trafic UDP et TCP de résoudre les adresses IP et les ports de votre réseau distant.
   Trafic provenant des résolveurs sur la plage de ports de destination 1024 à 65535.
8. (Facultatif) Complétez la section Identifications.
9. Sélectionnez Soumettre.

Configurer un règle de résolveur

Pour créer une nouvelle règle de résolveur, procédez comme suit :

1. Ouvrez la console Route 53.
2. Choisissez Règles dans le volet de navigation Route 53.
3. Dans la barre de navigation, choisissez la région dans laquelle se trouve le point de terminaison sortant nouvellement créé.
4. Choisissez Créer la règle.
5. Sur la page Créer une règle, renseignez les sections Règle pour le trafic sortant.
   Dans Type de règle, configurez une règle de transfert. Associez-la au VPC à partir duquel vous souhaitez que la règle transmette les requêtes DNS à votre réseau distant.
   Dans Point de terminaison sortant, choisissez le point de terminaison sortant que vous avez créé.
   Remarque : Le VPC qui est associé à cette règle ne doit pas nécessairement correspondre à celui où vous avez créé le point de terminaison sortant.
6. Complétez la section Adresses IP.
   Dans Adresse IP, spécifiez les adresses IP des résolveurs DNS de votre réseau distant.
   Dans Port, spécifiez les ports que ces résolveurs utilisent pour les requêtes DNS.
   Remarque : Le résolveur transmet toutes les requêtes DNS qui correspondent à cette règle et proviennent d'un VPC associé à cette règle au point de terminaison sortant référencé. Dans ce cas, le résolveur transmet ces requêtes aux adresses IP cibles que vous avez spécifiées dans la section Adresses IP.
7. (Facultatif) Complétez la section Identifications.
8. Sélectionnez Soumettre.

Pour une règle de votre compte AWS :

• Si vous utilisez une règle existante pour le même domaine et la même région AWS que votre VPC, n'en créez pas de nouvelle.
• Sélectionnez plutôt la règle dans le tableau de bord et associez-la à vos VPC dans cette région.

Pour une règle d’un autre compte :

• Utilisez AWS Resource Access Manager pour partager la règle du compte distant vers votre compte.
• En cas de partage, vous avez également accès au point de terminaison sortant correspondant.
• Sélectionnez la règle partagée dans votre tableau de bord et associez-la à vos VPC.

Remarque : Vous n'avez pas besoin de connectivité réseau entre vos VPC pour transmettre les requêtes DNS à une règle de résolveur. Cela s'applique aux VPC appartenant à des comptes identiques ou différents. La connectivité réseau est uniquement requise entre le VPC de votre point de terminaison sortant et les résolveurs DNS distants.

Tester votre configuration

Pour tester votre configuration, effectuez une résolution DNS depuis l'une des instances Amazon EC2 de votre VPC :

• Pour Linux ou macOS : dig <record name> <record type>
• Pour Windows : nslookup -type=<record type> <record name>

Informations connexes

Résoudre les requêtes DNS entre les VPC et votre réseau

Transférer les requêtes DNS sortantes vers votre réseau

Gérer les points de terminaison sortants