Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Como solucionar problemas de DNS reverso com endpoints de saída e regras do Route 53?

5 minuto de leitura
0

Eu tenho uma nuvem privada virtual (VPC) com um servidor DNS on-premises. Eu configurei endpoints de saída e regras reversas do Amazon Route 53 Resolver para resolver as consultas de DNS reverso desse servidor. No entanto, isso não funciona conforme o esperado.

Resolução

Identifique as respostas DNS esperadas e reais

Use dig e nslookup para realizar consultas diretamente ao endereço IP do seu servidor DNS on-premises. Essas ferramentas tentam resolver o nome correto do registro.

Para executar uma resolução de DNS reverso com dig, use o parâmetro -x. Quando você usa esse parâmetro, o dig adiciona automaticamente os argumentos de nome, classe e tipo. Consulte a SEÇÃO DE PERGUNTAS para verificar se o dig consultou automaticamente o nome, classe e tipo de registro corretos.

Por exemplo, você deseja resolver o endereço IP 172.31.2.23 com os seguintes valores:

Nome: 23.2.31.172.in-addr.arpa.
Classe: IN
Tipo de registro: PTR

Neste exemplo, o comando dig -x 172.31.2.23 retorna a seguinte saída:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> -x 172.31.2.23;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58812
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;;
OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;23.2.31.172.in-addr.arpa.    IN    PTR

;;
ANSWER SECTION:
23.2.31.172.in-addr.arpa. 60    IN    PTR    example.com.

Para nslookup, o comando nslookup 172.31.2.23 retorna a seguinte saída:

23.2.31.172.in-addr.arpa.   name = example.com.

Observação: um código de resposta inesperado pode não indicar um problema com a configuração da regra ou do endpoint:

  • NXDOMAIN pode ser uma resposta DNS inesperada, mas válida. Essa resposta indica que o servidor consultado não contém o registro solicitado.
  • SERVFAIL indica que há um tempo limite ou outro problema no caminho da consulta. Essa resposta requer uma investigação mais aprofundada.
  • Uma resposta inesperada em ANSWER SECTION pode indicar que você usou uma regra diferente.

Determine se a consulta chega ao resolvedor de DNS da VPC

Para que uma consulta corresponda a uma regra em uma VPC, a consulta deve chegar ao resolvedor de DNS da VPC. Verifique as configurações da VPC para confirmar se você ativou o suporte a DNS.
Para verificar o endereço IP do resolvedor, consulte os campos server em dig ou nslookup:

dig

;; SERVER: 172.16.0.2#53(172.16.0.2)

nslookup

Server:        172.16.0.2

Observação: para VPCs, o DNS da VPC é o CIDR da VPC mais dois. Nesses exemplos, o endereço IP de uma VPC é 171.16.0.2.

Encontre a regra mais específica que está sendo correspondida

Quando a consulta chega ao resolvedor de DNS da VPC, ela deve corresponder a uma regra nessa VPC. Quando as regras são avaliadas, a regra mais específica é correspondida. Para encontrar essa regra, conclua as seguintes etapas:

  1. Identifique todas as regras autodefinidas na VPC e nas VPCs conectadas. Para VPCs emparelhadas ou VPCs que se conectam por meio de um gateway de trânsito (com suporte a DNS), anote todas as regras para a resolução inversa de cada CIDR conectado.
    Observação: o resolvedor cria essas regras autodefinidas quando os nomes de host DNS são definidos como verdadeiros. Se quiser substituir uma regra autodefinida, crie uma regra de encaminhamento condicional para o mesmo nome de domínio. Você também pode desativar as regras autodefinidas.
  2. Se você ativou o DNSSupport e o DNSHostNames, anote todas as zonas hospedadas privadas associadas à VPC.
    Observação: se a regra do encaminhador do resolvedor e a zona hospedada privada estiverem sobrepostas, a regra do resolvedor será priorizada. Nesse caso, a consulta é encaminhada para o servidor on-premises.
  3. Para determinar qual regra está selecionada e para onde a consulta vai, compare sua lista de regras e zonas privadas hospedadas associadas com a consulta.

Solucione problemas de endpoints de saída

Para solucionar problemas de endpoints de saída, confirme as seguintes configurações:

  • Os endpoints de saída devem enviar a consulta aos endereços IP de destino especificados pela regra. Certifique-se de que a regra do resolvedor tenha o IP correto do servidor DNS on-premises.
  • O grupo de segurança dos endpoints de saída devem permitir tráfego TCP e UDP de saída para os endereços IP e portas do servidor DNS on-premises.
  • As listas de controle de acesso (ACLs) devem permitir tráfego TCP e UDP para os endereços IP e portas do servidor DNS on-premises. As ACLs também devem permitir tráfego para as portas efêmeras (1024-65535).
  • A tabela de rotas de sub-rede dos endpoints de saída deve ter uma rota para os endereços IP do servidor on-premises até a conexão VPN ou do AWS Direct Connect.

Para obter mais informações e etapas de solução de problemas, consulte Como soluciono problemas de resolução de DNS com os endpoints do Route 53 Resolver?

Verifique se os endpoints de saída podem enviar a consulta pela conexão especificada em sua tabela de rotas

Verifique se a conexão VPN ou do Direct Connect permite a comunicação. Para fazer isso, execute um comando dig ou nslookup diretamente no endereço IP do resolvedor de DNS on-premises. Para solucionar ainda mais os problemas de conexão, envie um ping para um host on-premises que permita o protocolo de mensagens de controle da Internet (ICMP).

Observação: você deve realizar esse teste a partir de uma instância do EC2 que esteja na mesma sub-rede dos endpoints de saída.

Tópicos
Rede e entrega de conteúdo
Tags
Amazon Route 53
Idioma
Português
AWS OFICIAL
AWS OFICIALAtualizada há 6 meses

Conteúdo relevante