Perché non riesco a risolvere i nomi di dominio tramite la mia connessione peering VPC?

Risoluzione

Nota: i seguenti scenari presuppongono che il VPC sia configurato con AmazonProvidedDNS. Se utilizzi un DNS personalizzato e non riesci a risolvere i nomi di dominio, procedi come segue:

• Aggiungi i record nel DNS personalizzato.
  -oppure-
• Configura il DNS per inoltrare determinate query al DNS fornito da Amazon. Il DNS fornito da Amazon è l'indirizzo IP .2 del CIDR VPC.

Scenario 1: risoluzione del DNS pubblico di un'istanza Amazon EC2 creata nel VPC in peering

Amazon EC2 (Amazon Elastic Compute Cloud) assegna un nome DNS privato e pubblico al momento della creazione dell'istanza. I seguenti nomi di dominio sono assegnati alle istanze per impostazione predefinita:

• DNS privato: ip-172-31-19-128.ec2.internal (per la Regione us-east-1) o ip-172-31-12-97.us-west-2.compute.internal (per le altre Regioni).
• DNS pubblico: ec2-54-147-16-116.compute-1.amazonaws.com o ec2-35-88-61-144.us-west-2.compute.amazonaws.com.

Se configuri il set di opzioni DHCP con un nome di dominio personalizzato, ad esempio "example.com", l'istanza EC2 utilizza quel nome di dominio. Ad esempio, ip-172-31-12-97.us-west-2.example.com.

La risoluzione di un DNS privato di un' istanza in AWS si risolve in un indirizzo IP privato del VPC in cui è stata creata l'istanza:

$ dig ip-172-31-12-97.us-west-2.compute.internal +short
172.31.12.97

La risoluzione nel DNS pubblico dell'istanza da un'altra istanza creata nel VPC in peering si risolve nell'indirizzo IP pubblico dell'istanza:

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
35.88.61.144

È possibile risolvere il nome di dominio pubblico nell'indirizzo IP privato dell'istanza EC2. A tale scopo, attiva una delle seguenti opzioni sulla connessione peering VPC:

• Risoluzione DNS del richiedente
  -oppure-
• Risoluzione DNS dell'accettante

Per ulteriori informazioni, consulta Abilitare la risoluzione DNS per una connessione peering VPC.

Dopo aver attivato la risoluzione DNS, puoi risolvere il DNS pubblico nell'indirizzo IP privato dell'istanza, come mostrato nell'esempio seguente: Ad esempio: 

$ dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short
172.31.12.97

Se la risoluzione DNS non funziona dopo aver attivato la risoluzione DNS nel peering VPC, segui i passaggi seguenti per risolvere il problema.

Passaggi per la risoluzione del problema

1.    Verifica l'ID del VPC di origine e del VPC di destinazione.

2.    Assicurati che vi sia una connessione peering attiva tra i VPC di origine e di destinazione utilizzando il peering VPC.

3.    Controlla la configurazione DNS per la connessione di peering. Assicurati che la risoluzione DNS sia attivata sia per i VPC richiedenti che per quelli che accettano.

4.    Verifica che il nome di dominio pubblico che stai risolvendo esista. Controlla il VPC di destinazione per assicurarti che esista un'istanza con l'IP pubblico menzionato nel nome di dominio.

5.    Verifica se la configurazione DNS nel VPC è AmazonProvidedDNS o CustomDNS. Se utilizzi un DNS personalizzato, verifica che il DNS personalizzato risolva il nome di dominio dell'istanza pubblica. Se il DNS personalizzato non è in grado di risolvere il nome di dominio, effettua una delle seguenti operazioni:

Aggiungi un record DNS statico.

-oppure-

Reindirizza la query ad AmazonProvidedDNS.

Scenario 2: risoluzione del nome di dominio dei servizi creati in un VPC in peering

Quando crei un servizio con un nome di dominio, puoi risolvere quel nome di dominio da un'istanza in qualsiasi VPC in peering. Questo perché i nomi di dominio creati per questi servizi sono registri pubblici e possono essere risolti da qualsiasi luogo.

Ad esempio, i seguenti record di nomi di dominio sono risolvibili pubblicamente:

• testCLB-520693273.us-east-1.elb.amazonaws.com
• test-87913728ca9b8a68.elb.us-east-1.amazonaws.com
• vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com

Nota: anche se il nome di dominio è per un load balancer privato, il record è pubblico e viene risolto nell'indirizzo IP privato.

I nomi di dominio degli endpoint di servizio, ad esempio ssm.us-east-1.amazonaws.com, vengono risolti nell'indirizzo IP pubblico. Questo vale anche se è presente un endpoint di interfaccia creato nel VPC in peering con l'opzione DNS privato attivata. Inoltre, questi nomi si risolvono in indirizzi IP privati solo se vengono interrogati dall'interno del cloud privato virtuale in cui è stato creato l'endpoint dell'interfaccia. Per risolvere i nomi di dominio degli endpoint in indirizzi IP privati degli endpoint da un VPC peer-to-peer, è necessario creare l'architettura DNS corretta.

Nell'esempio seguente, l'endpoint VPC dell'interfaccia è configurato su VPC A. Per risolvere il nome del dominio del servizio negli indirizzi IP dell'endpoint VPC dell'interfaccia VPC in VPC A da VPC B:

1. Crea un endpoint di interfaccia per il servizio con PrivateDNS disattivato.
2. Crea una zona ospitata privata utilizzando il nome di dominio del servizio (ad esempio, ssm.us-east-1.amazonaws.com) dall'account in cui è stata creata l’interfaccia dell'endpoint.
3. Assicurati che i nomi host DNS e la risoluzione DNS siano attivati per entrambi i VPC utilizzati nella connessione peering.
4. Crea un record alias che punti il nome del dominio del servizio all'endpoint regionale del DNS dell'endpoint di interfaccia: vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com. Oppure, crea un record che punti il nome del dominio del servizio agli indirizzi IP privati dell'endpoint VPC dell'interfaccia creato in VPC A.
5. Associa la zona ospitata privata che hai creato al VPC in peering (VPC B). Se VPC B è tra account, consulta In che modo è possibile associare una zona ospitata privata di Route 53 a un VPC su un altro account AWS?

Passaggi per la risoluzione del problema

1.    Verifica l'ID del VPC di origine e del VPC di destinazione.

2.    Assicurati che vi sia una connessione peering attiva tra il VPC di origine e quello di destinazione.

3.    Assicurati che i nomi host DNS e la risoluzione DNS siano attivati per entrambi i VPC utilizzati nella connessione peering.

4.    Verifica se il DNS configurato nel VPC è AmazonProvidedDNS o CustomDNS. Se utilizzi un DNS personalizzato, verifica che il DNS personalizzato possa risolvere il nome di dominio. Se il DNS personalizzato non è in grado di risolvere il nome di dominio, aggiungi un record DNS statico o configura un DNS personalizzato per inoltrare la query ad AmazonProvidedDNS.

5.    Verifica che entrambi i VPC in peering siano associati alla stessa zona ospitata privata in cui viene creato il record del nome di dominio.

6.    Assicurati che i record puntino agli indirizzi IP degli endpoint di interfaccia o del dominio dell'endpoint di interfaccia specifici dell'endpoint VPC corretti.

Scenario 3: nome di dominio personalizzato creato in una zona ospitata privata

Hai creato una zona ospitata privata per un nome di dominio personalizzato che viene utilizzata per risolvere il dominio in un record creato in una zona ospitata privata. Il VPC A è associato a una zona ospitata privata. Il VPC B presenta una connessione peering al VPC A. Desideri risolvere il nome di dominio personalizzato dal VPC B al VPC A.

Per risolvere, associa il VPC B alla zona ospitata privata… Dopo aver creato l'associazione, puoi risolvere il nome di dominio personalizzato in una zona ospitata privata dalle risorse in entrambi i VPC in peering.

Passaggi per la risoluzione del problema

1.    Verifica l'ID del VPC di origine e del VPC di destinazione.

2.    Verifica se il DNS configurato nel VPC è AmazonProvidedDNS o CustomDNS. Se utilizzi un DNS personalizzato, non puoi risolvere i record ospitati nelle zone ospitate private. Per risolvere questo problema, aggiungi un record di nome di dominio statico nel DNS personalizzato. Oppure, configura il DNS personalizzato per inoltrare la query ad AmazonProvidedDNS.

3.    Se utilizzi il DNS fornito da Amazon, verifica il dominio che stai cercando di risolvere e dove è ospitato (Amazon Route 53 o on-premises). Se on-premises, assicurati che l'endpoint del risolutore in uscita utilizzato per inoltrare la query al DNS on-premises sia configurato correttamente.

4.    Se ospitato in una zona ospitata privata di Route 53, verifica che il VPC di origine sia associato alla zona ospitata privata. Il VPC di origine è la posizione da cui stai tentando di risolvere il nome di dominio personalizzato.

5.    Assicurati che il nome di dominio completo (FQDN) che stai cercando di risolvere abbia un record creato nella zona ospitata privata.

---