AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Come posso configurare e gestire l'accesso multi-account per le risorse di Amazon Route 53?
Desidero configurare e gestire l'accesso multi-account AWS per le risorse di Amazon Route 53, come zone private ospitate ed endpoint del risolutore.
Risoluzione
Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Per configurare l'accesso multi-account, crea un account DNS centrale e almeno un account membro. L'account DNS centrale ospita la configurazione principale di Amazon Route 53, gestisce le zone private ospitate e controlla gli endpoint del risolutore Route 53. Gli account membri contengono risorse che richiedono l'accesso ai servizi DNS dall'account centrale. Ad esempio, una risorsa in un account membro potrebbe richiedere la risoluzione DNS per record in una zona ospitata privata in un account centrale.
Configura gli account
Completa i seguenti passaggi negli account centrali e membri per configurare l'inoltro:
- Nell'account centrale, esegui questo comando create-hosted-zone per creare una zona ospitata privata con record:
Nota: sostituisci example.internal con il nome della tua zona ospitata e vpc-xxxxx con il tuo VPCId.aws route53 create-hosted-zone \ --name example.internal \ --vpc VPCRegion=us-east-1,VPCId=vpc-xxxxx \ --caller-reference $(date +%s) - Nell'account centrale, esegui questo comando create-resolver-endpoint per creare un endpoint in entrata:
Nota: sostituisci subnet-xxxxx e subnet-yyyyy con i tuoi SubnetID, 10.0.0.10 e 10.0.1.10 con i tuoi indirizzi IP e sg-xxxxx con il tuo security-group-id.aws route53resolver create-resolver-endpoint \ --creator-request-id inbound-endpoint \ --direction INBOUND \ --ip-addresses \ SubnetId=subnet-xxxxx,Ip=10.0.0.10 \ SubnetId=subnet-yyyyy,Ip=10.0.1.10 \ --security-group-ids sg-xxxxx - Nell'account membro, esegui questo comando create-resolver-endpoint per creare un endpoint in uscita:
Nota: sostituisci subnet-xxxxx e subnet-yyyyy con i tuoi SubnetID e sg-xxxxx con il tuo security-group-id.aws route53resolver create-resolver-endpoint \ --creator-request-id outbound-endpoint \ --direction OUTBOUND \ --ip-addresses \ SubnetId=subnet-xxxxx \ SubnetId=subnet-yyyyy \ --security-group-ids sg-yyyyy - Nell'account membro, esegui questo comando create-resolver-rule per creare una regola del risolutore in uscita:
Nota: sostituisci rule1 con il nome della tua regola, example.internal con il nome della tua zona ospitata, rslvr-endpoint-id con il tuo resolver-endpoint-id e 10.0.0.10 con il tuo indirizzo IP.aws route53resolver create-resolver-rule \ --creator-request-id rule1 \ --domain-name example.internal \ --rule-type FORWARD \ --resolver-endpoint-id rslvr-endpoint-id \ --target-ips Ip=10.0.0.10
Utilizza un profilo Amazon Route 53 per condividere risorse
Puoi anche utilizzare un profilo Amazon Route 53 per condividere la zona ospitata privata o le regole del risolutore in uscita.
Completa i seguenti passaggi:
- Crea un profilo Route 53 nell'account centrale.
- Associa la zona ospitata privata o la regola del risolutore al profilo Route 53.
- Utilizza AWS Resource Access Manager (AWS RAM) per condividere il profilo Route 53 con l'account membro.
- Associa Amazon VPC al profilo Route 53 nell'account membro.
Utilizza Amazon VPC per condividere risorse
Puoi consentire alle risorse di Amazon Virtual Private Cloud (Amazon VPC) in un account membro di accedere ai record della zona ospitata privata nell'account centrale.
Completa i seguenti passaggi:
- Crea una zona ospitata privata nell'account centrale.
- Associa la zona ospitata privata a un Amazon VPC nell'account membro.
Utilizza AWS RAM per condividere le regole del risolutore e le risorse AWS
Puoi utilizzare AWS RAM per condividere le regole del risolutore e le risorse AWS dall'account centrale.
Puoi anche condividere le regole del risolutore tra account che fanno parte di AWS Organizations o di un'unità organizzativa (UO). Invece di un'enumerazione di ogni account, utilizza AWS RAM per condividere una regola del risolutore in uscita con AWS Organizations.
Completa i seguenti passaggi nell'account centrale:
-
Esegui questo comando enable-sharing-with-aws-organization per configurare AWS RAM:
aws ram enable-sharing-with-aws-organization -
Esegui questo comando create-resource-share per creare una condivisione di risorse per la regola del risolutore:
aws ram create-resource-share \ --name "dns-share" \ --resource-arns arn:aws:route53resolver:region:account-id:resolver-rule/resolver-rule --principals arn:aws:organizations::account-id:organization/o-xxxxxxxxxxNota: sostituisci dns-share con il nome della tua condivisione di risorse, region con la tua Regione, account-id con il tuo account-id, resolver-rule con la tua regola del risolutore e o-xxxxxxxxxx con la tua organizzazione.
Associa una regola del risolutore in uscita a un VPC nell'account membro
Completa i seguenti passaggi:
- Apri la console Route 53.
- Nel pannello di navigazione, seleziona Regole.
- Scegli la Regione AWS in cui hai creato la regola.
- Seleziona la regola che desideri associare a un VPC.
- Scegli Associa VPC.
- In VPC che utilizzano questa regola, seleziona il VPC.
- Scegli Aggiungi.
- Argomenti
- Networking & Content Delivery
- Lingua
- Italiano
