Comment configurer un point de terminaison sortant de Route 53 Resolver pour résoudre les enregistrements DNS hébergés sur un réseau distant à partir des ressources de mon VPC ?

Lecture de 6 minute(s)
0

Je souhaite configurer un point de terminaison sortant Amazon Route 53 Resolver pour résoudre les enregistrements DNS. Les enregistrements sont hébergés sur un réseau distant à partir d'instances Amazon Elastic Compute Cloud (Amazon EC2) dans mon Amazon Virtual Private Cloud (Amazon VPC).

Brève description

Un VPC créé avec Amazon VPC reçoit une résolution DNS automatique de la part de Route 53 Resolver. Vous pouvez configurer le programme de résolution pour qu'il transmette les requêtes DNS pour les noms de domaine des instances EC2 dans vos VPC Amazon à des programmes de résolution DNS sur votre réseau distant.

Pour transférer des requêtes DNS, créez chacune des options suivantes :

  • Un point de terminaison sortant pour envoyer des requêtes DNS au réseau distant.
  • Une règle de Résolveur pour spécifier le nom de domaine des requêtes DNS que le Résolveur transmet aux serveurs DNS distants.

Résolution

Prérequis

  • Activez la résolution DNS dans les attributs de support DNS du VPC associés à la règle de Résolveur.
  • Si vous utilisez un serveur DNS personnalisé dans le VPC : Configurez le serveur DNS pour qu'il transmette de manière conditionnelle les requêtes DNS pour le nom de domaine applicable au Résolveur. Le serveur DNS personnalisé doit utiliser l'adresse IP réservée à la base de la plage du réseau IPv4 VPC plus deux.
  • Si vous n'utilisez pas de serveur DNS personnalisé dans le VPC : Définissez les serveurs de noms de domaine dans les options DHCP sur l'une des options suivantes :
    • AmazonProvidedDNS
    • L'adresse IP réservée à la base de la plage du réseau IPv4 du VPC, plus deux

Configuration d'un point de terminaison sortant

  1. Ouvrez la console Route 53.
  2. Dans le volet de navigation, choisissez Point de terminaison sortant.
  3. Dans la barre de navigation, choisissez la région du VPC dans laquelle vous souhaitez créer le point de terminaison sortant.
  4. Choisissez Créer un point de terminaison sortant.
  5. Sur la page Créer un point de terminaison sortant, renseignez la section Paramètres généraux du point de terminaison sortant. Choisissez un Groupe de sécurité qui autorise la connexion TCP et UDP sortante aux adresses suivantes :
    • Les adresses IP que les programmes de résolution utilisent pour les requêtes DNS sur votre réseau distant.
    • Ports que les programmes de résolution utilisent pour les requêtes DNS sur votre réseau distant.
  6. Complétez la section Adresses IP. Vous pouvez configurer le Résolveur pour qu'il choisisse des adresses IP à votre place parmi les adresses IP disponibles dans le sous-réseau. Vous pouvez également spécifier des adresses IP. Choisissez entre deux (minimum) et six (maximum) adresses IP pour les requêtes DNS. Il est recommandé de choisir des adresses IP dans au moins deux zones de disponibilité différentes. Pour Sous-réseau, choisissez les sous-réseaux auxquels correspondent :
  • Des tables de routage qui incluent des itinéraires vers les adresses IP des programmes de résolution DNS de votre réseau distant à l'aide d'AWS Direct Connect, d'une connexion VPN ou d'une passerelle de traduction d'adresses réseau (NAT).
  • Des listes de contrôle d'accès réseau (ACL) qui autorisent le trafic UDP et TCP vers les adresses IP et les ports que les résolveurs utilisent pour les requêtes DNS sur votre réseau distant. Et les ACL réseau qui autorisent le trafic provenant de programmes de résolution sur la plage de ports de destination 1024-65535.
  1. (Facultatif) Complétez la section Balises.
  2. Choisissez Soumettre.

Configurer un règle de Résolveur

Pour créer une règle, procédez comme suit :

  1. Ouvrez la console Route 53.
  2. Choisissez Règles dans le volet de navigation Route 53.
  3. Dans la barre de navigation, choisissez la région dans laquelle se trouve le point de terminaison sortant nouvellement créé.
  4. Choisissez Créer la règle.
  5. Sur la page Créer une règle, renseignez les sections Règle pour le trafic sortant. Pour le type de règle, configurez une règle de transfert et associez-la au VPC à partir duquel les requêtes DNS sont transférées vers votre réseau distant. Pour le point de terminaison sortant, choisissez le point de terminaison sortant que vous venez de créer.
    Remarque : Le VPC associé à cette règle ne doit pas nécessairement correspondre à celui où vous avez créé le point de terminaison sortant.
  6. Complétez la section Adresses IP. Dans le champ adresse IP, spécifiez les adresses IP des résolveurs DNS de votre réseau distant. Dans le champ Port, spécifiez les ports que ces résolveurs utilisent pour les requêtes DNS.
    **Remarque :**Le Résolveur transmet toutes les requêtes DNS qui correspondent à cette règle et proviennent d'un VPC associé à cette règle au point de terminaison sortant référencé. Ces requêtes sont donc transmises aux adresses IP cibles que vous spécifiez dans la section des adresses IP.
  7. (Facultatif) Complétez la section Balises.
  8. Choisissez Soumettre.

Pour utiliser une règle existante :

  • **Si vous disposez déjà d'une règle pour le même domaine dans la même région que le VPC de votre compte :**Associez la règle à votre VPC au lieu de créer une nouvelle règle. Sélectionnez la règle dans le tableau de bord des règles et associez-la aux VPC applicables dans la région.
  • Si vous avez déjà une règle pour le même domaine dans la même région que votre VPC, mais dans un compte différent :Utilisez AWS Resource Access Manager pour partager la règle du compte distant vers votre compte. Lorsque vous partagez une règle, vous partagez également le point de terminaison sortant correspondant. Après avoir partagé la règle avec votre compte, sélectionnez-la dans le tableau de bord des règles et associez-la aux VPC de votre compte.

**Remarque :**La connexion réseau n'est pas requise pour transférer les requêtes DNS d'un VPC associé à une règle de Résolveur vers le VPC où se trouve le point de terminaison sortant. Cela est vrai que les VPC se trouvent ou non dans le même compte. La connexion réseau des résolveurs DNS n'est requise qu'à partir du VPC où se trouvent les points de terminaison sortants.

Testez votre configuration

Effectuez une résolution DNS à partir de l'une des instances Amazon EC2 de votre VPC :

  • Pour Linux ou macOS : dig <record name> <record type>
  • Pour Windows : nslookup -type=<record type> <record name>

Informations connexes

Résoudre les requêtes DNS entre les VPC et votre réseau

Transférer les requêtes DNS sortantes vers votre réseau

Gérer les points de terminaison sortants

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire