使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何設定 Route 53 Resolver 入埠端點,以從遠端網路解析私有託管區域中的 DNS 記錄?

2 分的閱讀內容
0

我想要設定 Amazon Route 53 Resolver 入埠端點,以從遠端網路解析私有託管區域中的記錄。

簡短說明

Amazon Virtual Private Cloud (Amazon VPC) 可讓 VPC 從 Route 53 Resolver 接收自動 DNS 解析。VPC 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體可將 DNS 查詢發送至解析器。為執行此操作,執行個體會使用 VPC CIDR IPv4 網路範圍基礎上的保留 IP 地址加二。如果遠端網路與 VPC 之間存在網路連線,則遠端網路的 DNS 解析器可將 DNS 查詢轉遞至 VPC 的解析器。AWS Direct Connect 或 VPN 連線可用於建立此網路連線。但是,解析器不接受來自 VPC 網路範圍之外 IP 地址的 DNS 查詢。若要解決此問題,請在 VPC 中建立入埠端點。此入埠端點會將其接收到的 DNS 查詢轉遞至解析器。這些查詢的處理方式與源自 VPC 內的查詢處理方式相同。

解決方案

完成先決條件

首先,為您想要建立入埠端點的 VPC 開啟 DNS 支援屬性中的 DNS 主機名稱和 DNS 解析

然後,將適用的私有託管區域與該 VPC 建立關聯。

如果私有託管區域和 VPC 位於相同帳戶中,則請完成下列步驟:

  1. 開啟 Route 53 主控台
  2. 在導覽窗格中,選擇「託管區域」。
  3. 選擇包含您想要查詢記錄的私有託管區域。
  4. 在搜尋列中,搜尋您的 VPC。然後,選擇「與新的 VPC 建立關聯」。

如果私有託管區域和 VPC 位於不同帳戶中,請使用 AWS Command Line Interface (AWS CLI) 執行跨帳戶關聯

**注意事項:**如果在執行 AWS CLI 命令時收到錯誤,請確認您使用的是最新版本的 AWS CLI

確認您的內部部署 DNS 伺服器僅傳送遞迴查詢。Route 53 入埠解析器不支援反覆運算查詢。

確認與建立入埠端點解析器的子網路相關聯的路由表包含內部部署網路的路由。

如果您將自訂網路存取控制清單 (network ACL) 與建立入埠端點的子網路一起搭配使用,則您必須允許特定流量。請確定網路 ACL 允許下列連接埠上的流量:

  • 目標連接埠範圍 1024-65535 上內部部署 DNS 伺服器的 UDP 和 TCP 流量 (出埠 NACL 規則)。
  • 來自連接埠 53 上內部部署 DNS 伺服器的 UDP 和 TCP 流量 (入埠 NACL 規則)。
  • 所有與入埠相關聯的安全群組必須允許來自內部部署 DNS 伺服器 IP 位址的 TCP 和 UDP 連接埠 53 上的流量。

如果內部部署網路和 AWS 之間有防火牆,防火牆則必須允許特定流量。請確定其允許內部部署 DNS 伺服器 IP 位址的 TCP 和 UDP 連接埠 53 上的流量。

您還必須透過 AWS Direct Connect 連線建立至入埠解析器端點 IP 地址的連線。

設定入埠端點

1.    開啟 Route 53 主控台

2.    在導覽窗格中,選擇「入埠端點」。

3.    在導覽列上,選擇您想要建立入埠端點的 VPC 的 AWS 區域。

4.    選擇「建立入埠端點」。

5.    完成「入埠端點的一般設定」。選擇允許目標連接埠 53 上來自遠端網路的 UDP 和 TCP 入埠流量的「此端點的安全群組」。

6.    選擇 2 至 6 個 DNS 查詢的「IP 地址」。您可以讓解析器從子網路中的可用 IP 地址為您選擇 IP 位址。或者,您可以指定 IP 地址。最佳實務是在至少兩個不同的可用區域中選擇 IP 地址。

7.    針對每個 IP 地址的「子網路」,選擇具有下列值的子網路:
**對應路由表:**這些路由表必須包含透過 AWS Direct Connect 或 VPN 至遠端網路上 DNS 解析器 IP 位址的路由。
**網路 ACL:**這些必須允許來自目標連接埠 53 上遠端網路的 UDP 和 TCP 流量。此外,它們必須允許目標連接埠範圍 1024-65535 上遠端網路的 UDP 和 TCP 流量。根據用戶端類型,您可以使用不同的網路 ACL 範圍。

8.    (選用) 完成「標籤」區段。

9.    選擇「建立入埠端點」。

**注意事項:**入埠解析器沒有 FQDN。因此,建立入埠端點時,Route 53 會在選取的子網路中建立彈性網路介面。這些網路介面的 IP 地址會轉遞至 DNS 查詢。

測試組態

在測試之前,請確認您的組態是否符合下列條件:

  • 遠端網路的 DNS 伺服器必須將私有託管區域網域名稱的 DNS 查詢有條件地轉遞至入埠端點的 IP 地址。
  • 遠端 DNS 伺服器必須轉遞網域名稱的 DNS 查詢,而不是將網域名稱的授權委派至入埠端點。
  • 入埠端點必須僅支援遞迴 DNS 查詢。傳送至入埠端點的反覆運算 DNS 查詢逾時。如果內部部署 DNS 伺服器傳送「遞迴要求」設為「0」(否) 的 DNS 查詢,則入埠端點不會提供回答。您可以在封包擷取中找到此資訊。
  • 如果使用 AWS Transit Gateway,則請確認子網路與傳輸閘道連接已建立關聯。這對於解析 DNS 查詢是必要的。

若要測試您的組態,請從遠端網路上的用戶端對私有託管區域中的記錄執行 DNS 解析。在下列命令中,將 RECORD_NAMERECORD_TYPE 取代為您的相關值:

若為 Linux 或 MacOS,請執行 dig RECORD_NAME RECORD_TYPE,如下列範例所示:

dig example.com A

若為 Windows,請執行 nslookup RECORD_NAME RECORD_TYPE,如下列範例所示:

nslookup example.com

相關資訊

解析 VPC 和網路之間的 DNS 查詢

將出埠 DNS 查詢轉遞至您的網路

管理出埠端點

如何疑難排解 Route 53 Resolver 端點的 DNS 解析問題?

主題
網路與內容交付
標籤
Amazon Route 53
語言
中文 (繁體)

相關影片

觀看 Abhishek 的影片,以進一步了解 (4:35)
觀看 Abhishek 的影片,以進一步了解 (4:35)
AWS 官方
AWS 官方已更新 1 年前
沒有評論

相關內容