跳至內容
使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post
關於 re:Post

如何設定 Route 53 Resolver 傳出端點,以從 VPC 中的資源解析託管在遠端網路上的 DNS 記錄?

2 分的閱讀內容
0

我想要設定 Amazon Route 53 Resolver 傳出端點,以將 DNS 查詢從遠端網路轉送至 Amazon Virtual Private Cloud (Amazon VPC) 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。

簡短描述

若要設定 Route 53 Resolver 傳出端點,請在您的 Amazon VPC 中建立端點,並指定目標 IP 位址。然後,設定 Resolver 規則,將 DNS 查詢轉送到遠端 DNS 伺服器。

解決方法

先決條件

  • 在與 Resolver 規則相關聯的 VPC DNS 屬性中啟用 DNS 解析。
  • 對於 VPC DHCP 選項中的自訂 DNS 伺服器或 Active Directory 伺服器,將其設定為有條件地將 DNS 查詢轉送至 VPC 的 DNS 伺服器。例如,如果 VPC 的主要 CIDR 範圍是 172.31.0.0/16,那麼 VPC DNS 伺服器的 IP 位址就是 172.31.0.2。這是 Amazon VPC 網路範圍加上 2 的結果。
  • 如果您未在 VPC 中使用自訂 DNS 伺服器,請將 DHCP 選項中的網域名稱伺服器設定為以下其中之一:
    AmazonProvidedDNS
    預留 IP 位址 (VPC IPv4 網路範圍加上 2)

設定傳出端點

若要設定傳出端點,請完成下列步驟:

  1. 開啟 Route 53 console (Route 53 主控台)。
  2. 在導覽窗格中,選擇 Outbound endpoints (傳出端點)。
  3. 在導覽列中,選擇要建立傳出端點的 VPC 的區域
  4. 選擇 Create outbound endpoint (建立傳出端點)。
  5. 在「建立出埠端點」頁面上,完成「出埠端點的一般設定」區段。
    選擇允許出埠 TCP 和 UDP 連線至下列項目的「安全群組」:
    解析器用於遠端網路上 DNS 查詢的 IP 位址。
    解析器用於遠端網路上 DNS 查詢的連接埠。
  6. 完成 IP addresses (IP 位址) 區段。
    您可以設定 Resolver 從子網路中的可用 IP 位址中選擇 IP 位址或指定 IP 位址。
    為 DNS 查詢選擇最少兩個、最多六個 IP 位址。
    最佳實務是在至少兩個不同的可用區域中選擇 IP 位址。
  7. Subnet (子網路),選取具有下列條件的子網路:
    路由表中有指向您遠端網路 DNS 解析器 IP 位址的路由。您可以使用 AWS Direct Connect、AWS VPN 連線或 NAT 閘道進行這些路由。
    網路存取控制清單 (ACL) 可讓 UDP 和 TCP 流量解析遠端網路上的 IP 位址和連接埠。
    來自目的地連接埠範圍 1024-65535 上的解析器流量。
  8. (選用) 完成 Tags (標籤) 區段。
  9. 選擇 Submit (提交)。

設定 Resolver 規則

若要建立新的 Resolver 規則,請完成下列步驟:

  1. 開啟 Route 53 console (Route 53 主控台)。
  2. 從 Route 53 導覽窗格中選擇 Rules (規則)。
  3. 在導覽列上,選擇新建立的傳出端點所在的 Region (區域)。
  4. 選擇 Create rule (建立規則)。
  5. Create rule (建立規則) 頁面上,完成 Rule for outbound traffic (傳出流量規則) 區段。
    Rule type (規則類型),設定轉送規則。將其關聯到您希望該規則轉送 DNS 查詢至遠端網路的 VPC。
    Outbound endpoint (傳出端點),請選擇您所建立的傳出端點。
    **注意:**與此規則關聯的 VPC 不需要與您建立傳出端點的 VPC 相同。
  6. 完成 IP addresses (IP 位址) 區段。
    IP address (IP 位址),請指定遠端網路上 DNS 解析器的 IP 位址。
    Port (連接埠),請指定這些解析器用於 DNS 查詢的連接埠。
    **注意:**Resolver 會將任何符合此規則,且來源為與此規則關聯之 VPC 的 DNS 查詢,轉送到參考的傳出端點。在這種情況下,Resolver 會將這些查詢轉送至您在 IP addresses (IP 位址) 區段中指定的目標 IP 位址。
  7. (選用) 完成 Tags (標籤) 區段。
  8. 選擇 Submit (提交)。

對於 AWS 帳戶中的規則:

  • 如果您在與 VPC 相同的網域和 AWS 區域中已有現有規則,請勿建立新規則。
  • 請改為從儀表板中選取規則,並將其關聯到該區域中的 VPC。

對於不同帳戶中的規則:

  • 使用 AWS Resource Access Manager 將規則從遠端帳戶共用到您的帳戶。
  • 共用時,您也會獲得對應的傳出端點存取權。
  • 從您的儀表板中選取共用規則,並將其關聯到 VPC。

**注意:**您不需要在 VPC 之間建立網路連線,即可將 DNS 查詢轉送到 Resolver 規則。這適用於同一帳戶或不同帳戶中的 VPC。僅傳出端點的 VPC 和遠端 DNS 解析器之間需要網路連線。

測試您的組態

若要測試您的組態,請從您的 VPC 中的其中一個 Amazon EC2 執行個體執行 DNS 解析:

  • 若為 Linux 或 macOS:dig <record name> <record type>
  • 若為 Windows:nslookup -type=<record type> <record name>

相關資訊

解析 VPC 和網路之間的 DNS 查詢

將出埠 DNS 查詢轉遞至您的網路

管理傳出端點

主題
Networking & Content Delivery
標籤
Amazon Route 53
語言
中文 (繁體)
AWS 官方已更新 10 個月前
沒有評論

相關內容