Wie konfiguriere ich einen eingehenden Route 53 Resolver-Endpunkt, um DNS-Datensätze in meiner privaten gehosteten Zone von meinem Remote-Netzwerk aus aufzulösen?

Kurzbeschreibung

Amazon Virtual Private Cloud (Amazon VPC) bietet eine automatische DNS-Auflösung über Route 53 Resolver. Erstelle einen eingehenden Endpunkt, um DNS-Abfragen von einem Remote-Netzwerk an die privat gehostete Zone zuzulassen.

Lösung

Gehe wie folgt vor, um einen Amazon Route 53 Resolver-Endpunkt so zu konfigurieren, dass das Remote-Netzwerk Datensätze in einer privat gehosteten Zone auflösen kann.

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version von AWS CLI verwendest.

1. Aktiviere DNS-Hostnamen und Auflösung in den DNS-Unterstützungsattributen für die Amazon VPC, für die du einen eingehenden Endpunkt erstellen möchtest.
2. Ordne die privat gehostete Zone der Amazon VPC zu.

Wenn die privat gehostete Zone und Amazon VPC zu demselben AWS-Konto gehören, führe die folgenden Schritte aus:

1. Öffne die Route-53-Konsole.
2. Wähle im Navigationsbereich Gehostete Zonen.
3. Wähle die private gehostete Zone mit den Datensätzen, die du abfragen möchtest.
4. Verwende die Suchleiste, um die Amazon VPC zu finden und wähle dann Neue VPC zuordnen.

Wenn sich die privat gehostete Zone und Amazon VPC in unterschiedlichen AWS-Konten befinden, führe die folgenden Schritte aus:

1. Verwenden die AWS-CLI, um eine kontoübergreifende Zuordnung durchzuführen.
   Weiter Informationen findest du unter Wie verknüpfe ich eine private gehostete Route 53-Zone mit einer VPC in einem anderen AWS-Konto?
2. Stelle sicher, dass der On-Premises-DNS-Server nur rekursive Abfragen sendet.
3. Vergewissere dich, dass die Routing-Tabelle, die dem Subnetz zugeordnet ist, in dem du planst den eingehenden Endpunktresolver zu erstellen, eine Route zum On-Premises Netzwerk enthält.
4. Wenn das Subnetz benutzerdefinierte Netzwerk-ACLs verwendet, aktualisiere die Regeln, um den folgenden Datenverkehr zuzulassen:
   Ausgehender UDP- und TCP-Verkehr zum On-Premises DNS-Server im Portbereich 1024-65535.
   Eingehender UPD- und TCP-Verkehr vom On-Premises DNS-Server auf Port 53.
5. Konfiguriere die Sicherheitsgruppe für den eingehenden Endpunkt so, dass TCP- und UDP-Verkehr auf Port 53 von der IP-Adresse des On-Premises-DNS-Servers aus zugelassen werden.
6. Wenn eine Firewall zwischen dem On-Premises-Netzwerk und AWS vorhanden ist, lass TCP- und UDP-Verkehr auf Port 53 für die DNS-Server-IP-Adressen zu.
7. Stelle sicher, dass die Konnektivität zu den IP-Adressen der eingehenden Endpunkte über AWS Direct Connect oder VPN erfolgt.

Den eingehenden Endpunkt konfigurieren

Gehe wie folgt vor, um den eingehenden Endpunkt zu konfigurieren:

1. Öffne die Route-53-Konsole.
2. Wähle im Navigationsbereich Eingehende Endpunkte.
3. Wähle in der Navigationsleiste die AWS-Region, in der sich die Amazon VPC befindet.
4. Wähle Eingehenden Endpunkt erstellen.
5. Wähle unter Allgemeine Einstellungen für eingehenden Endpunkt die Amazon VPC in der Region, in der sich die privat gehostete Zone befindet. Wähle eine Sicherheitsgruppe, die eingehenden UDP- und TCP-Datenverkehr vom Remote-Netzwerk am Zielport 53 zulässt.
6. Wählen 2 bis 6 IP-Adressen. Erlaube Route 53, IP-Adressen aus dem Subnetz auszuwählen oder gib sie an. Verwende IP-Adressen aus mindestens zwei Availability Zones.
7. Wähle für jede IP-Adresse ein Subnetz aus, das die folgenden Anforderungen erfüllt:
   Die Routing-Tabelle enthält Routen zu den DNS-Resolver-IP-Adressen im Remote-Netzwerk.
   Die Netzwerk-ACL ermöglicht UDP- und TCP-Verkehr vom Remote-Netzwerk auf Port 53.
   Die Netzwerk-ACL ermöglicht UDP- und TCP-Verkehr zum Remote-Netzwerk im Zielportbereich 1024-65535.
8. (Optional) Fülle den Abschnitt Tags aus.
9. Wähle Eingehenden Endpunkt erstellen.

Hinweis: Eingehende Route 53-Endpunkte haben keinen vollqualifizierten Domainnamen (FQDN). Wenn du den Endpunkt erstellst, erstellt Route 53 Elastic-Network-Schnittstellen im Subnetz. Diese IP-Adressen leiten DNS-Anfragen an den Resolver weiter.

Konfiguration testen

Gehe wie folgt vor, um die Konfiguration zu testen:

1. Konfiguriere den Remote-DNS-Server so, dass DNS-Abfragen für den Domainnamen der privaten gehosteten Zone an die IP-Adressen der eingehenden Endpunkte weitergeleitet werden.
2. Stelle den DNS-Server so ein, dass er Abfragen weiterleitet, anstatt die Autorität für den Domainnamen zu delegieren.
3. Vergewissere dich, dass der Remote-DNS-Server nur rekursive DNS-Abfragen sendet.
4. Wenn der On-Premises-DNS-Server eine DNS-Abfrage sendet, bei der „Recursion Desired“ auf „0“ gesetzt ist, antwortet der eingehende Endpunkt nicht. Finde diese Informationen in der Paketerfassung.
5. Wenn du AWS Transit Gateway verwendest, verknüpfe das eingehende Endpunkt-Subnetz mit dem Transit Gateway-Anhang.
6. Teste die Auflösung für einen der Datensätze in der privat gehosteten Zone von einem Client im Remote-Netzwerk.

Ersetze in den folgenden Befehlen RECORD_NAME und RECORD_TYPE durch die relevanten Werte:

• Führe für Linux oder MacOS dig RECORD_NAME RECORD_TYPE aus, wie im folgenden Beispiel: dig example.com A
• Führe unter Windows nslookup RECORD_NAME RECORD_TYPE aus, wie im folgenden Beispiel:nslookup example.com

Ähnliche Informationen

Lösen von DNS-Abfragen zwischen VPCs und Ihrem Netzwerk

Weiterleiten von ausgehenden DNS-Abfragen an Ihr Netzwerk

Verwalten von ausgehenden Endpunkten

Wie behebe ich DNS-Auflösungsprobleme mit Route 53 Resolver-Endpunkten?