Como configuro um endpoint de saída do Route 53 Resolver para resolver registros DNS hospedados em uma rede remota a partir de recursos em minha VPC?

Breve descrição

Uma VPC criada com o Amazon VPC recebe resolução automática de DNS do Route 53 Resolver. Você pode configurar o Resolver para encaminhar consultas de DNS para nomes de domínio de instâncias do EC2 em seus Amazon VPCs para resolvedores de DNS em sua rede remota.

Para encaminhar consultas de DNS, crie cada uma das seguintes opções:

• Um endpoint de saída para enviar consultas de DNS para a rede remota.
• Uma regra do Resolver para especificar o nome de domínio das consultas de DNS que o Resolver encaminha para os servidores DNS remotos.

Resolução

Pré-requisitos

• Ative a resolução de DNS nos atributos de suporte de DNS para a VPC associada à regra do Resolver.
• Se você estiver usando um servidor DNS personalizado na VPC: Configure o servidor DNS para encaminhar condicionalmente consultas de DNS para o nome de domínio aplicável ao Resolver. O servidor DNS personalizado deve usar o endereço IP reservado na base do intervalo de rede VPC IPv4 mais dois.
• Se você não estiver usando um servidor DNS personalizado na VPC: Defina os servidores de nomes de domínio nas opções DHCP para uma das seguintes opções:
  • AmazonProvidedDNS
  • O endereço IP reservado na base do intervalo de rede VPC IPv4 mais dois

Configurar um endpoint de saída

1. Abra o console do Route 53.
2. No painel de navegação, escolha Endpoints de saída.
3. Na barra de navegação, escolha a região da VPC em que você deseja criar o endpoint de saída.
4. Escolha Criar endpoint de saída.
5. Na página Criar endpoint de saída, preencha a seção Configurações gerais para endpoint de saída. Escolha um grupo de segurança que permita conectividade TCP e UDP de saída com o seguinte:
   • Endereços IP que os resolvedores usam para consultas de DNS em sua rede remota.
   • Portas que os resolvedores usam para consultas de DNS em sua rede remota.
6. Preencha a seção Endereços IP. Você pode configurar o Resolver para escolher endereços IP para você entre os endereços IP disponíveis na sub-rede. Ou você pode especificar endereços IP. Escolha entre dois (mínimo) e seis (máximo) endereços IP para consultas de DNS. É uma prática recomendada escolher endereços IP em pelo menos duas zonas de disponibilidade diferentes. Em Sub-rede, escolha sub-redes que tenham correspondência de:

• Tabelas de rotas que incluem rotas para os endereços IP dos resolvedores de DNS em sua rede remota usando o AWS Direct Connect, uma conexão VPN ou um gateway de conversão de endereços de rede (NAT).
• Listas de controle de acesso à rede (ACLs) que permitem tráfego UDP e TCP para os endereços IP e as portas que os resolvedores usam para consultas de DNS em sua rede remota. E ACLs de rede que permitem o tráfego de resolvedores no intervalo de portas de destino 1024-65535.

8. (Opcional) Preencha a seção Tags.
9. Escolha Enviar.

Configurar uma regra do Resolver

Para criar uma nova regra:

1. Abra o console do Route 53.
2. Escolha Regras no painel de navegação do Route 53.
3. Na barra de navegação, escolha a região em que o endpoint de saída recém-criado existe.
4. Selecione Create rule (Criar regra).
5. Na página Criar regra, preencha as seções Regra para tráfego de saída. Para Tipo de regra, configure uma regra de encaminhamento e associe-a à VPC de onde as consultas de DNS são encaminhadas para sua rede remota. Para Endpoint de saída, escolha o endpoint de saída que você acabou de criar.
   Observação: a VPC associada a essa regra não precisa ser a mesma VPC em que você criou o endpoint de saída.
6. Preencha a seção Endereços IP. Para endereço IP, especifique os endereços IP dos resolvedores DNS em sua rede remota. Em Porta, especifique as portas que esses resolvedores usam para consultas de DNS.
   Observação: o Resolver encaminha todas as consultas de DNS que correspondam a essa regra e se originam de uma VPC associada a essa regra para o endpoint de saída referenciado. Portanto, essas consultas são encaminhadas para os endereços IP de destino que você especifica na seção Endereços IP.
7. (Opcional) Preencha a seção Tags.
8. Escolha Enviar.

Para usar uma regra existente:

• **Se você já tem uma regra para o mesmo domínio na mesma região da VPC em sua conta:**Associe a regra à sua VPC em vez de criar uma nova regra. Selecione a regra no painel de regras e associe-a às VPCs aplicáveis na região.
• Se você já tem uma regra para o mesmo domínio na mesma região da sua VPC, mas em uma conta diferente: Use o AWS Resource Access Manager para compartilhar a regra da conta remota com sua conta. Ao compartilhar uma regra, você também compartilha o endpoint de saída correspondente. Depois de compartilhar a regra com sua conta, selecione a regra no painel de regras e associe-a às VPCs em sua conta.

Observação: a conectividade de rede não é necessária para encaminhar consultas de DNS de uma VPC associada a uma regra do Resolver para a VPC em que o endpoint de saída está localizado. Isso é verdade independentemente de as VPCs estarem ou não na mesma conta. A conectividade de rede com os resolvedores de DNS só é exigida da VPC em que os endpoints de saída residem.

Teste sua configuração

Execute uma resolução de DNS de uma das instâncias do Amazon EC2 em sua VPC:

• Para Linux ou macOS: dig <record name> <record type>
• Para Windows: nslookup -type=<record type> <record name>

Informações relacionadas

Resolver consultas de DNS entre VPCs e sua rede

Encaminhar consultas de DNS de saída para sua rede

Gerenciar endpoints de saída