AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
如何設定 Route 53 Resolver 入埠端點,以從遠端網路解析私有託管區域中的 DNS 記錄?
我想要設定 Amazon Route 53 Resolver 入埠端點,以從遠端網路解析私有託管區域中的記錄。
簡短說明
Amazon Virtual Private Cloud (Amazon VPC) 透過 Route 53 Resolver 提供自動 DNS 解析。建立傳入端點,以允許從遠端網路到私有託管區域的 DNS 查詢。
解決方法
若要設定 Amazon Route 53 Resolver 傳入端點,使遠端網路能夠解析私有託管區域中的記錄,請完成下列步驟。
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
- 在您打算為其建立傳入端點的 Amazon VPC 中,開啟 DNS 支援屬性的 DNS 主機名稱和解析功能。
- 將私有託管區域與 Amazon VPC 建立關聯。
如果私有託管區域和 Amazon VPC 屬於相同的 AWS 帳戶,請完成下列步驟:
- 開啟 Route 53 console (Route 53 主控台)。
- 在導覽窗格中,選擇 Hosted Zones (託管區域)。
- 選擇包含您想要查詢記錄的私有託管區域。
- 使用搜尋列來尋找您的 Amazon VPC,然後選擇 Associate New VPC (關聯新 VPC)。
如果私有託管區域和 Amazon VPC 位於不同的 AWS 帳戶中,請完成下列步驟:
- 使用 AWS CLI 執行跨帳戶關聯。
如需詳細資訊,請參閱如何將 Route 53 私有託管區域與不同 AWS 帳戶上的 VPC 建立關聯? - 確認您的內部部署 DNS 伺服器僅傳送遞迴查詢。
- 確認與您打算建立傳入端點的子網路相關聯的路由表中,已包含前往內部部署網路的路由。
- 如果子網路使用自訂網路 ACL,請更新規則以允許下列流量:
到連接埠範圍 1024–65535 上內部部署 DNS 伺服器的 UDP 和 TCP 傳出流量。
來自連接埠 53 上內部部署 DNS 伺服器的 UPD 和 TCP 傳入流量。 - 設定傳入端點的安全群組,以允許來自內部部署 DNS 伺服器 IP 位址在連接埠 53 上 TCP 和 UDP 流量。
- 如果內部部署網路與 AWS 之間存在防火牆,則允許 DNS 伺服器 IP 位址在連接埠 53 上的 TCP 和 UDP 流量。
- 確認與傳入端點 IP 位址的連線是透過 AWS Direct Connect 或 VPN 進行。
設定傳入端點
若要設定傳入端點,請完成下列步驟:
- 開啟 Route 53 console (Route 53 主控台)。
- 在導覽窗格中,選擇 Inbound endpoints (傳入端點)。
- 在導覽列中,選擇 Amazon VPC 所在的 AWS 區域。
- 選擇 Create inbound endpoint (建立傳入端點)。
- 在傳入端點的一般設定中,選擇私有託管區域所在區域的 Amazon VPC。選擇允許目的地連接埠 53 上來自遠端網路的 UDP 和 TCP 傳入流量的安全群組。
- 選擇 2 至 6 個 IP 位址。允許 Route 53 從子網路中選取 IP 位址或進行指定。使用至少兩個可用區域的 IP 位址。
- 對於每個 IP 位址,選擇符合下列需求的子網路:
路由表包含到遠端網路上 DNS 解析程式 IP 位址的路由。
網路 ACL 允許來自連接埠 53 上遠端網路的 UDP 和 TCP 流量。
網路 ACL 允許目的地連接埠範圍 1024–65535 上傳送到遠端網路的 UDP 和 TCP 流量。 - (選用) 完成 Tags (標籤) 區段。
- 選擇 Create inbound endpoint (建立傳入端點)。
**注意:**Route 53 傳入端點沒有完整網域名稱 (FQDN)。當您建立端點時,Route 53 會在子網路中建立彈性網路介面。這些 IP 位址會將 DNS 查詢轉送給解析程式。
測試組態
若要測試您的組態,請完成下列步驟:
- 設定遠端 DNS 伺服器,將私有託管區域名稱的 DNS 查詢轉送至傳入端點 IP 位址。
- 將 DNS 伺服器設定為轉送查詢,而非委派網域名稱的權限。
- 確認遠端 DNS 伺服器僅傳送遞迴 DNS 查詢。
- 如果內部部署 DNS 伺服器傳送的 DNS 查詢將「所需遞迴」設為「0」,那麼傳入端點不會回應。在封包擷取中找到此資訊。
- 如果您使用 AWS Transit Gateway,請將傳入端點子網路與 Transit Gateway 連接建立關聯。
- 從遠端網路上的用戶端測試私有託管區域中某筆記錄的解析。
在下列命令中,將 RECORD_NAME 和 RECORD_TYPE 替換為您的相關值:
- 若為 Linux 或 MacOS,請執行 dig RECORD_NAME RECORD_TYPE,例如以下範例:dig example.com A
- 若為 Windows,請執行 nslookup RECORD_NAME RECORD_TYPE,例如以下範例:nslookup example.com
