跳至內容
使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post
關於 re:Post

為什麼我無法透過 Amazon VPC 對等互連解析網域名稱?

2 分的閱讀內容
0

我無法透過 Amazon Virtual Private Cloud (Amazon VPC) 對等互連解析網域名稱。

解決方法

如果您使用 AmazonProvidedDNS 設定 Amazon VPC,且無法透過對等互連解析網域名稱,請依您的組態完成對應的解決方法。

您的網域名稱解析為在對等 VPC 中建立的 Amazon EC2 執行個體的公有 DNS

若要將公有網域名稱解析為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的私有 IP 位址,請為 VPC 對等互連啟用 DNS 解析。接著,執行以下命令以檢查公有 DNS 是否解析為 EC2 執行個體的私有 IP 位址:

dig ec2-35-88-61-144.us-west-2.compute.amazonaws.com +short

輸出範例:

172.31.12.97

透過 VPC 對等互連存取公有 Amazon RDS 資料庫執行個體

如果您建立 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體時開啟了公有存取,Amazon RDS 會指派公有 IP 位址給資料庫。RDS 端點會解析為公有 IP 位址,VPC 外部的其他資源能連線到您的資料庫。

若要透過 VPC 對等互連以私有方式存取公有 RDS 端點,請為 VPC 對等互連開啟 Requester DNS resolution (請求者 DNS 解析) 和 Accepter DNS resolution (接受者 DNS 解析) 選項。

若要檢查是否可以以私有方式存取公有 RDS 端點,請執行類似以下的命令:

dig database-test.1234abcde-east-1.rds.amazonaws.com +short

輸出範例:

ec2-35-88-61-144.us-west-2.compute.amazonaws.com
172.31.12.97

如果您遇到 DNS 解析問題,請採取以下動作:

  • 驗證來源 VPC 和目的地 VPC ID。
  • 確認來源 VPC 和目的地 VPC 之間存在作用中的對等互連。
  • 檢查對等互連的 DNS 組態。確定您已為請求者接受者 VPC 開啟 DNS 解析。
  • 驗證您要解析的公有網域名稱存在。檢查目的地 VPC,確定有一個執行個體使用該網域名稱中提及的公有 IP 位址。
  • 驗證 VPC 中的 DNS 組態是否為 AmazonProvidedDNSCustomDNS。如果您使用自訂 DNS,請驗證自訂 DNS 是否可解析公有執行個體的網域名稱。如果自訂 DNS 無法解析該網域名稱,請新增靜態 DNS 記錄,或將查詢重新導向至 AmazonProvidedDNS

您的網域名稱解析為在對等 VPC 中建立之服務的網域名稱

服務端點網域名稱 (例如 ssm.us-east-1.amazonaws.com) 會解析為公有 IP 位址。即使在對等 VPC 中建立了已開啟私有 DNS 選項的介面端點,情況仍然如此。當從建立介面端點的 VPC 內部進行查詢時,這些名稱會解析為私有 IP 位址。

若要從對等 VPC 將端點網域名稱解析為端點私有 IP 位址,您必須具備正確的 DNS 架構。

在以下範例中,您在 VPC A 上設定了介面 VPC 端點。若要從 VPC B 將服務網域名稱解析為 VPC A 中的介面 VPC 端點 IP 位址,請完成以下步驟:

  1. 建立服務的介面端點,並關閉 PrivateDNS
  2. 使用服務網域名稱建立私有受管區域,例如 ssm.us-east-1.amazonaws.com。請從建立介面端點的 AWS 帳戶建立受管區域。
  3. 請確定您已為對等互連中的兩個 VPC 開啟 DNS 主機名稱和 DNS 解析。
  4. 建立一個別名記錄,將服務網域名稱指向介面端點 DNS 的區域端點,例如 vpce-057d3426e21755b8a-svk1k3tm.ssm.us-east-1.vpce.amazonaws.com。或是建立一個記錄,將服務網域名稱指向您在 VPC A 中建立之介面 VPC 端點的私有 IP 位址。
  5. 將您建立的私有受管區域與對等 VPC 建立關聯。如果 VPC B 屬於跨帳戶,請參閱如何將 Amazon Route 53 私有受管區域與不同帳戶中的 VPC 建立關聯?

如果您仍然無法從對等 VPC 將端點網域名稱解析為端點私有 IP 位址,請採取以下動作:

  • 驗證來源 VPC 和目的地 VPC ID。
  • 請確定來源 VPC 和目的地 VPC 之間存在作用中的對等互連。
  • 請確定您已為對等互連中的兩個 VPC 開啟 DNS 主機名稱和 DNS 解析。
  • 驗證您在 VPC 中設定的 DNS 是 AmazonProvidedDNSCustomDNS。如果您使用自訂 DNS,請驗證自訂 DNS 是否可以解析網域名稱。如果自訂 DNS 無法解析網域名稱,請新增靜態 DNS 記錄。如果仍然無法解決問題,請將自訂 DNS 設定為將查詢轉送至 AmazonProvidedDNS
  • 驗證您已將兩個對等 VPC 與建立網域名稱記錄的同一個私有受管區域建立關聯。
  • 請確定記錄指向正確的 VPC 端點區域專用網域或介面端點 IP 位址。

您在私有受管區域中建立了自訂網域名稱

以下情境可能會導致透過 VPC 對等互連解析自訂網域名稱時發生問題:

  • 您為自訂網域名稱建立了私有受管區域,並使用該受管區域中的記錄來解析網域。
  • 您已將 VPC A 與私有受管區域建立關聯。
  • 您已從 VPC B 與 VPC A 建立對等互連。

若要解決這些問題,請將 VPC B 與建立自訂網域記錄的私有受管區域建立關聯。完成關聯後,您可以從兩個對等 VPC 中的資源解析私有受管區域中的自訂網域名稱。

如果在將 VPC B 與私有受管區域建立關聯後仍然發生問題,請採取以下動作:

  • 驗證來源 VPC 和目的地 VPC ID。
  • 驗證 VPC 中設定的 DNS 是 AmazonProvidedDNSCustomDNS。如果您使用自訂 DNS,您將無法解析私有受管區域中託管的記錄。若要修正此問題,請在自訂 DNS 中新增靜態網域名稱記錄。或是將自訂 DNS 設定為將查詢轉送至 AmazonprovidedDNS
  • 如果您使用 Amazon 提供的 DNS,請驗證您要解析的網域,以及該網域是否託管在 Route 53 或內部部署。
    **注意事項:**如果託管於內部部署,請確定您已正確設定用來將查詢轉送至內部部署 DNS 的傳出解析器端點。如果託管於 Route 53 私有受管區域,請驗證您已將來源 VPC 與該私有受管區域建立關聯。來源 VPC 是您嘗試解析自訂網域名稱的位置。
  • 請確定您嘗試解析的完整網域名稱 (FQDN) 在私有受管區域中已建立對應的記錄。
主題
Networking & Content Delivery
標籤
Amazon VPC
語言
中文 (繁體)
AWS 官方已更新 7 個月前
沒有評論

相關內容