¿Cómo configuro un punto de enlace de salida de Route 53 Resolver para resolver los registros DNS alojados en una red remota a partir de los recursos de mi VPC?

Descripción breve

Para configurar un punto de enlace de salida de Route 53 Resolver, crea un punto de enlace en tu Amazon VPC y especifica las direcciones IP de destino. A continuación, configura las reglas de Resolver para reenviar las consultas de DNS a tus servidores DNS remotos.

Resolución

Requisitos previos

• Activa la resolución de DNS en los atributos de DNS de la VPC asociada a la regla de Resolver.
• En el caso de servidores DNS personalizados o servidores de Active Directory en las opciones de DHCP de la VPC, configúralos para reenviar de forma condicional las consultas de DNS a los servidores DNS de la VPC. Por ejemplo, si el rango de CIDR principal de la VPC es 172.31.0.0/16, la dirección IP del servidor de DNS de la VPC es 172.31.0.2. Es el rango de redes de Amazon VPC más dos.
• Si no usas un servidor DNS personalizado en tu VPC, configura los servidores de nombres de dominio en las opciones de DHCP de la siguiente manera:
  AmazonProvidedDNS
  La dirección IP reservada (rango de redes IPv4 de VPC más dos)

Configuración de un punto de enlace de salida

Para configurar el punto de enlace de salida, sigue estos pasos:

1. Abre la consola de Route 53.
2. En el panel de navegación, selecciona Puntos de enlace de salida.
3. En la barra de navegación, elige la Región de la VPC en la que desees crear el punto de enlace de salida.
4. Elige Crear punto de enlace de salida.
5. En la página Crear punto de enlace de salida, completa la sección Configuración general del punto de enlace de salida.
   Elige un Grupo de seguridad que permita la conectividad TCP y UDP saliente con lo siguiente:
   Direcciones IP que los solucionadores utilizan para las consultas de DNS en la red remota.
   Puertos que los solucionadores utilizan para las consultas de DNS en la red remota.
6. Completa la sección Direcciones IP.
   Puedes configurar el Resolver para que elija las direcciones IP entre las direcciones IP disponibles en la subred o especificar las direcciones IP.
   Elige entre un mínimo de dos y un máximo de seis direcciones IP para las consultas de DNS.
   Se recomienda elegir direcciones IP en al menos dos zonas de disponibilidad diferentes.
7. Para Subred, selecciona subredes que tengan:
   Tablas de enrutamiento con rutas a las direcciones IP de resolución de DNS de tu red remota. Puedes usar AWS Direct Connect, la conexión VPN de AWS o la puerta de enlace de NAT para estas rutas.
   Listas de control de acceso de la red (ACL) que permiten que el tráfico UDP y TCP resuelva las direcciones IP y los puertos de la red remota.
   El tráfico de los solucionadores en el rango de puertos de destino es 1024-65535.
8. (Opcional) Completa la sección Etiquetas.
9. Selecciona Enviar.

Configuración de una regla de Resolver

Para crear una nueva regla de Resolver, sigue estos pasos:

1. Abre la consola de Route 53.
2. Elige Reglas en el panel de navegación de Route 53.
3. En la barra de navegación, elige la Región en la que se encuentra el punto de enlace de salida que acabas de crear.
4. Elige Crear regla.
5. En la página Crear regla, completa la sección Regla para el tráfico saliente.
   En Tipo de regla, configura una regla de reenvío. Asóciala a la VPC desde la que quieres que la regla reenvíe las consultas de DNS a tu red remota.
   En Punto de enlace de salida, elige el que has creado.
   Nota: No es necesario que la VPC asociada a esta regla sea la misma VPC en la que creaste el punto de enlace de salida.
6. Completa la sección Direcciones IP.
   En Dirección IP, especifica las direcciones IP de los solucionadores de DNS de la red remota.
   En Puerto, especifica los puertos que utilizan estos solucionadores para las consultas de DNS.
   Nota: Resolver reenvía todas las consultas de DNS que coincidan con esta regla y se originen en una VPC asociada a esta regla al punto de enlace de salida al que se hace referencia. En este caso, Resolver reenvía estas consultas a las direcciones IP de destino que especificaste en la sección de direcciones IP.
7. (Opcional) Completa la sección Etiquetas.
8. Selecciona Enviar.

Para una regla de tu cuenta de AWS:

• Si ya tienes una regla para el mismo dominio y región de AWS que tu VPC, no crees una regla nueva.
• En su lugar, selecciona la regla en el panel de control y asóciala a tus VPC de esa región.

Para una regla de una cuenta diferente:

• Utiliza AWS Resource Access Manager para compartir la regla de la cuenta remota con tu cuenta.
• Cuando se comparte, también recibes acceso al punto de enlace de salida correspondiente.
• Selecciona la regla compartida en tu panel de control y asóciala a tus VPC.

Nota: No necesitas conectividad de red entre las VPC para reenviar las consultas de DNS a una regla de Resolver. Esto se aplica a las VPC de la misma cuenta o de cuentas diferentes. La conectividad de red solo es necesaria entre la VPC del punto de enlace de salida y los solucionadores de DNS remotos.

Cómo probar la configuración

Para probar la configuración, realiza una resolución de DNS desde una de las instancias de Amazon EC2 de tu VPC:

• Para Linux o macOS: dig <record name> <record type>
• Para Windows: nslookup -type=<record type> <record name>

Información relacionada

Resolución de consultas de DNS entre las VPC y la red

Reenvío de consultas de DNS de salida a la red

Administración de puntos de enlace de salida