Como usar um nome DNS fornecido pela Amazon em uma máquina Linux que está associada ao AWS Managed Microsoft AD para montar o Amazon EFS?

Breve descrição

O AWS Managed Microsoft AD encaminha todas as consultas ao DNS para o endereço IP dos servidores DNS fornecidos pela Amazon para sua Amazon Virtual Private Cloud (Amazon VPC). Os servidores DNS resolvem nomes que estão configurados em suas zonas hospedadas privadas do Amazon Route 53. Se você não usa zonas hospedadas privadas do Route 53, o AWS Managed Microsoft AD encaminhará suas consultas ao DNS para servidores DNS públicos. Como resultado, as consultas ao DNS são resolvidas apenas para endereços IP públicos.

Os nomes de domínio do sistema de arquivos do Amazon EFS são automaticamente resolvidos para o endereço IP do destino de montagem na mesma VPC. Quando os servidores DNS padrão fornecidos pela Amazon são alterados, o sistema de arquivos não consegue resolver o endereço IP e a montagem do DNS falha.

Resolução

Configure seus servidores DNS

O exemplo a seguir usa o AWS Managed Microsoft AD. Os servidores DNS são 172.31.28.100 e 172.31.4.147. O sistema de arquivos está na mesma nuvem privada virtual (VPC) com o destino de montagem 172.31.47.69.

Conclua as etapas a seguir:

1. Para confirmar que a instância Linux EC2 pode se conectar ao endereço IP de destino de montagem 172.31.47.69 do Amazon EFS, execute o seguinte comando:

   nc -vz 172.31.47.69 2049Ncat: Version 7.50 ( https://nmap.org/ncat )
   Ncat: Connected to 172.31.47.69:2049.
   Ncat: 0 bytes sent, 0 bytes received in 0.01 seconds.

2. No servidor Linux EC2, use o nome DNS para montar o sistema de arquivos:

   sudo mount -t efs -o tls fs-123456:/ efs
   df -Th
   Filesystem     Type      Size  Used Avail Use% Mounted on
   devtmpfs       devtmpfs  475M     0  475M   0% /dev
   tmpfs          tmpfs     483M     0  483M   0% /dev/shm
   tmpfs          tmpfs     483M  516K  483M   1% /run
   tmpfs          tmpfs     483M     0  483M   0% /sys/fs/cgroup
   /dev/xvda1     xfs       8.0G  1.6G  6.5G  19% /
   tmpfs          tmpfs      97M     0   7M   0% /run/user/0
   tmpfs          tmpfs      97M     0   97M   0% /run/user/1000
   127.0.0.1:/    nfs4      8.0E     0  8.0E   0% /home/ec2-user/efs

   Em seguida, desmonte o sistema de arquivos:

   sudo umount /efs

   No servidor Linux EC2, o arquivo /etc/resolv.conf exibe o DNS e o servidor de nomes fornecidos pela Amazon:

   cat /etc/resolv.conf                 
           ; generated by /usr/sbin/dhclient-script
           search eu-west-2.compute.internal
           options timeout:2 attempts:5
           nameserver 172.31.0.2

3. Para integrar o AWS Managed Microsoft AD e configurar os servidores DNS do Active Directory no servidor Linux do EC2, execute os seguintes comandos:

   echo 'supersede domain-name-servers 172.31.28.100, 172.31.4.147;' | sudo tee --append /etc/dhcp/dhclient.conf
   echo 'supersede domain-search "rachel.com";' | sudo tee --append /etc/dhcp/dhclient.conf
   sudo dhclient -r
   sudo dhclient

4. Para verificar se você configurou os servidores DNS corretos no arquivo /etc/resolv.conf, execute o seguinte comando:

   cat /etc/resolv.conf
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search rachel.com. eu-west-2.compute.internal
   nameserver 172.31.28.100
   nameserver 172.31.4.147

5. Execute o comando a seguir para verificar se o nome DNS EFS retorna NXDOMAIN:

   dig fs-123456.efs.eu-west-2.amazonaws.com  
   ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> fs-123456.efs.eu-west-2.amazonaws.com
   ;; global options: +cmd

   Exemplo de saída:

   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 57378
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
   
   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags:; udp: 4000
   ;; QUESTION SECTION:
   ;fs-123456.efs.eu-west-2.amazonaws.com. IN A

   Observação: na saída anterior, a consulta ao DNS não é resolvida para um registro A e o status é NXDOMAIN. Se você usar o nome DNS para montar seu sistema de arquivos, a montagem falhará.

6. Para usar o DNS para montar seu sistema de arquivos, confirme se o nome DNS funciona para o servidor de nomes fornecido pela Amazon para a VPC:

   dig @172.31.0.2 fs-123456.efs.eu-west-2.amazonaws.com
   ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> fs-123456.efs.eu-west-2.amazonaws.com
   ;; global options: +cmd

   Exemplo de saída:

   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24926
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
   
   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags:; udp: 4000
   ;; QUESTION SECTION:
   ;fs-123456.efs.eu-west-2.amazonaws.com. IN A
   
   ;; ANSWER SECTION:
   fs-123456.efs.eu-west-2.amazonaws.com. 60 IN    A 172.31.25.79

Crie uma regra de encaminhador condicional

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Para montar seu sistema de arquivos, configure encaminhadores condicionais para seu AWS Managed Microsoft AD que encaminham solicitações de DNS para o DNS fornecido pela Amazon. É possível resolver solicitações de DNS dos serviços da AWS para endereços IP privados ao usar o DNS fornecido pelo Active Directory.

Observação: o endereço IP do DNS fornecido pela Amazon VPC é o endereço IP reservado na base do intervalo de rede IPv4 do VPC mais dois.

Para criar uma regra de encaminhador condicional, conclua as etapas a seguir:

1. Execute o comando create-conditional-forwarder AWS CLI na instância Linux EC2 na qual deseja montar o sistema de arquivos:

   aws ds create-conditional-forwarder --directory-id d-9c671fb35f --remote-domain-name amazonaws.com --dns-ip-addrs 172.31.0.2 --region eu-west-2

   Use os seguintes parâmetros:
   Em directory-id, insira sua ID do Active Directory.
   Para remote-domain-name, especifique qualquer domínio. A regra é aplicada aos nomes de domínio totalmente qualificados (FQDN) que correspondem ao seu domínio ou subdomínios.
   Para dns-ip-addrs, insira o endereço IP do DNS fornecido pela Amazon.

2. Para confirmar se a resolução do DNS funciona para o endereço IP de destino de montagem do EFS, execute o comando dig. A saída é semelhante à seguinte e mostra a resolução de DNS do DNS do sistema de arquivos:

   dig fs-123456.efs.eu-west-2.amazonaws.com
   ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> fs-123456.efs.eu-west-2.amazonaws.com
   ;; global options: +cmd

   Exemplo de saída:

   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24926
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
   
   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags:; udp: 4000
   ;; QUESTION SECTION:
   ;fs-123456.efs.eu-west-2.amazonaws.com. IN A
   ;; ANSWER SECTION:
   fs-123456.efs.eu-west-2.amazonaws.com. 60 IN    A 172.31.25.79

3. Para usar o nome DNS para montar o sistema de arquivos, execute o seguinte comando:

   sudo mount -t efs -o tls fs-123456:/ efs
   [ec2-user@ip-172-31-35-167 ~]$ df -Th
   Filesystem     Type      Size  Used Avail Use% Mounted on
   devtmpfs       devtmpfs  475M     0  475M   0% /dev
   tmpfs          tmpfs     483M     0  483M   0% /dev/shm
   tmpfs          tmpfs     483M  520K  483M   1% /run
   tmpfs          tmpfs     483M     0  483M   0% /sys/fs/cgroup
   /dev/xvda1     xfs       8.0G  1.6G  6.5G  19% /
   tmpfs          tmpfs      97M     0   97M   0% /run/user/0
   tmpfs          tmpfs      97M     0   97M   0% /run/user/1000
   127.0.0.1:/    nfs4      8.0E     0  8.0E   0% /home/ec2-user/efs

Informações relacionadas

Configurando servidores DNS para Simple AD

Montagem no Amazon EC2 com um nome de DNS

Como vejo uma lista das minhas instâncias do Amazon EC2 que estão conectadas ao Amazon EFS?

Como posso montar um volume do Amazon EFS no AWS Batch em um ambiente computacional gerenciado?