Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come faccio a risolvere i problemi relativi al DNS inverso con le regole di Route 53 e gli endpoint in uscita?

5 minuti di lettura
0

Ho un cloud privato virtuale (VPC) con un server DNS locale. Ho configurato le regole inverse di Amazon Route 53 Resolver e gli endpoint in uscita per risolvere le query DNS inverse da questo server. Tuttavia, non funzionano come previsto.

Risoluzione

Identifica le risposte DNS previste ed effettive

Usa dig o nslookup per eseguire le query direttamente sull'indirizzo IP del tuo server DNS locale. Questi strumenti cercano di risolvere il nome del record corretto.

Per eseguire una risoluzione DNS inversa con dig, usa il parametro**-x**. Quando si utilizza questo parametro, dig aggiunge automaticamente gli argomenti relativi al nome, alla classe e al tipo. Consulta la SEZIONE DOMANDE per verificare che dig abbia richiesto automaticamente il nome, la classe e il tipo di record corretti.

Ad esempio, vuoi risolvere l'indirizzo IP 172.31.2.23 con i seguenti valori:

Nome: 23.2.31.172.in-addr.arpa.
Classe: IN
Tipo di record: PTR

In questo esempio, il comando dig -x 172.31.2.23 restituisce il seguente output:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> -x 172.31.2.23;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58812
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;;
OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;23.2.31.172.in-addr.arpa.    IN    PTR

;;
ANSWER SECTION:
23.2.31.172.in-addr.arpa. 60    IN    PTR    example.com.

Per nslookup, il comando nslookup 172.31.2.23 restituisce il seguente output:

23.2.31.172.in-addr.arpa.   name = example.com.

Nota: un codice di risposta imprevisto potrebbe non indicare un problema nella regola o nella configurazione dell'endpoint:

  • NXDOMAIN potrebbe essere una risposta DNS inaspettata ma valida. Questa risposta indica che il server interrogato non contiene il record richiesto.
  • SERVFAIL indica che c'è un timeout o un altro problema nel percorso della query. Se ricevi questa risposta, è necessario effettuare ulteriori indagini.
  • Una risposta inaspettata nella SEZIONE RISPOSTE potrebbe indicare che hai utilizzato una regola diversa.

Determina se la query arriva al resolver DNS VPC

Affinché una query corrisponda a una regola presente su un VPC, la query deve arrivare al resolver DNS VPC. Controlla le impostazioni del VPC per confermare di aver attivato il Supporto DNS.
Per controllare l'indirizzo IP del resolver, fai riferimento ai campi del server in dig o nslookup:

dig

;; SERVER: 172.16.0.2#53(172.16.0.2)

nslookup

Server:        172.16.0.2

Nota: per i VPC, il DNS VPC è il CIDR VPC a cui si aggiunge il due. In questi esempi, l'indirizzo IP di un VPC è 171.16.0.2.

Trova la regola più specifica che viene soddisfatta

Quando la query arriva al resolver DNS VPC, deve soddisfare una regola presente su quel VPC. Quando le regole vengono valutate, viene soddisfatta la regola più specifica. Per trovare questa regola, completa i seguenti passaggi:

  1. Identifica eventuali regole autodefinite sul VPC e sui VPC collegati. Per i VPC in peering o i VPC che si connettono tramite un gateway di transito (con supporto DNS), prendi nota di tutte le regole per la risoluzione inversa di ogni CIDR connesso.
    Nota: il resolver crea queste regole autodefinite quando DNS Hostnames è impostato su true. Se desideri sovrascrivere una regola definita automaticamente, crea una regola di inoltro condizionale per lo stesso nome di dominio. È inoltre possibile disattivare le regole definite automaticamente.
  2. Se hai attivato DNSSupport e DNSHostNames, annota tutte le zone ospitate private associate al VPC.
    Nota: se la regola del resolver forwarder e la zona ospitata privata si sovrappongono, la regola del resolver ha la precedenza. In questo caso, la query viene inoltrata al server locale.
  3. Confronta il tuo elenco di regole e le zone ospitate private associate con la query per determinare quale regola è selezionata e dove è indirizzata la query.

Risolvi i problemi relativi agli endpoint in uscita

Per risolvere i problemi relativi agli endpoint in uscita, verifica le seguenti configurazioni:

  • Gli endpoint in uscita devono inviare la query agli indirizzi IP di destinazione specificati dalla regola. Assicurati che la regola del resolver abbia l'IP corretto del server DNS locale.
  • Il gruppo di sicurezza degli endpoint in uscita deve consentire il traffico TCP e UDP in uscita verso gli indirizzi IP e le porte del server DNS locale.
  • Le liste di controllo degli accessi (ACL) devono consentire il traffico TCP e UDP verso gli indirizzi IP e le porte del server DNS locale. Le ACL devono inoltre consentire il traffico verso le porte effimere (1024-65535).
  • La tabella di routing della sottorete degli endpoint in uscita deve instradare gli indirizzi IP del server locale verso la connessione VPN o AWS Direct Connect.

Per ulteriori informazioni e procedure di risoluzione dei problemi, consulta la sezione Come posso risolvere i problemi di risoluzione del DNS con gli endpoint Route 53 Resolver?

Controlla se gli endpoint in uscita siano in grado di inviare la richiesta tramite la connessione specificata nella tabella di routing

Verifica che la connessione VPN o Direct Connect consenta la comunicazione. A tale scopo, esegui un comando dig o nslookup direttamente sull'indirizzo IP del resolver DNS locale. Per risolvere altri problemi di connessione, invia un ping a un host on-premise che abiliti il protocollo ICMP (Internet Control Message Protocol).

Nota: è necessario eseguire questo test da un'istanza EC2 che si trova nella stessa sottorete degli endpoint in uscita.

Argomenti
Networking e distribuzione di contenuti
Tag
Amazon Route 53
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente