AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
¿Cómo puedo determinar si mis consultas de DNS al servidor DNS de Amazon fallan debido a la limitación de DNS de la VPC?
Quiero saber por qué mis consultas de DNS al servidor DNS de Amazon fallan o agotan el tiempo de espera en mi Amazon Virtual Private Cloud (Amazon VPC).
Descripción corta
La cuota de DNS de Amazon es de 1024 paquetes por segundo (PPS) para cada interfaz de red elástica. Si superas la cuota, Amazon Route 53 rechazará el tráfico.
Los registros de flujo de VPC no capturan el tráfico que las aplicaciones envían a los servidores DNS de Amazon. Para identificar la causa de los errores en las consultas de DNS, utiliza las capturas de paquetes o la creación de reflejo de tráfico.
Nota: Los registros de consultas de Route 53 capturan solo el tráfico que llega al solucionador VPC.2 AmazonProvidedDNS. Las consultas de DNS limitadas no aparecen en los registros de consultas porque las consultas se limitan en el nivel de la interfaz de red.
Resolución
Determinar el origen de los errores de consulta de DNS
Uso de tcpdump (solo en Linux)
Para usar tcpdump, sigue estos pasos:
-
Ejecuta el siguiente comando en tu instancia de Amazon Elastic Compute Cloud (Amazon EC2):
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` INSTANCE_ID=`curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/instance-id` sudo tcpdump -i eth0 -s 350 -C 100 -W 20 -w /var/tmp/$INSTANCE_ID.$(date +%Y-%m-%d:%H:%M:%S).pcapNota: El comando anterior captura los 350 bytes iniciales del paquete, guarda 20 archivos de 100 MB cada uno y sobrescribe las capturas de paquetes anteriores. Si la interfaz de red principal no es eth0, sustituye eth0 del comando anterior por la interfaz de red principal. Para buscar la interfaz principal, ejecuta el siguiente comando:
netstat -i -
Ejecuta el siguiente comando para contar el número de consultas de DNS enviadas:
tcpdump -r <file_name.pcap> -nn dst port 53 | awk -F " " '{ print $1 }' | cut -d"." -f1 | uniq -c
Uso de la creación de reflejo de tráfico
Si no puedes usar tcpdump, usa la creación de reflejo de tráfico para identificar si las consultas de DNS se están limitando.
Nota: La creación de reflejo de tráfico está disponible para instancias basadas en Nitro y tipos de instancias que no son de Nitro. Se aplican cargos por la creación de reflejo de tráfico.
Para capturar y analizar los datos de tráfico, sigue estos pasos:
- Completa los requisitos previos de la creación de reflejo de tráfico.
- Crea un objetivo de creación de reflejo de tráfico. Confirma que la interfaz de red de objetivo o el equilibrador de carga de red permite el tráfico entrante en el puerto UDP 4789.
- Crea un filtro de creación de reflejo de tráfico. Para la configuración del filtro, confirma que amazon-dns está activado para los servicios de red (opcional).
- Crea una sesión de creación de reflejo de tráfico.
La creación de reflejo de tráfico recopila el tráfico reflejado y lo almacena en el objetivo del reflejo de tráfico.
Nota: La creación de reflejo de tráfico es una transmisión de datos en directo. Para capturar los paquetes reflejados en el objetivo y guardarlos en un archivo .pcap, captura el tráfico en el puerto UDP 4789.
Uso de Wireshark
Sigue estos pasos:
- Abre el tráfico capturado en Wireshark . Nota: Para descargar Wireshark, consulta la página de descargas en el sitio web de Wireshark.
- Selecciona la pestaña Estadísticas.
- Selecciona el gráfico de E/S y borra todas las opciones.
- En Filtro de visualización, utiliza el identificador de red VXLAN y la consulta de DNS para agregar un filtro. El campo QR del encabezado DNS es 0. Por ejemplo, si el identificador de red VXLAN es 16777215, el filtro de visualización del gráfico es (vxlan.vni == 16777215) && (dns.flags.response == 0).
- Revisa el gráfico. Si permanece a aproximadamente 1024 PPS, se está produciendo una limitación en el origen reflejado.
Comprobar la métrica de rendimiento de la red del controlador ENA
Si la instancia de EC2 ejecuta una de las siguientes versiones del controlador de Elastic Network Adapter (ENA), comprueba las métricas en tiempo real para ver la limitación de DNS:
- Linux: 2.2.10 o posterior
- Windows: 2.2.2.0 o posterior
Comprueba la métrica linklocal_allowance_exceeded para determinar la cantidad de paquetes descartados porque el tráfico superó la cuota de PPS para los siguientes servicios locales:
- Servicio DNS de Amazon VPC
- Servicio de metadatos de instancias (IMDS)
- Amazon Time Sync Service
Comprueba la métrica en varios intervalos para determinar si el recuento está aumentando. La métrica linklocal_allowance_exceeded es acumulativa desde el último reinicio del controlador debido a una parada e inicio o reinicio. Solo hay un problema cuando la métrica aumenta.
Para obtener el valor linklocal_allowance_exceeded, ejecuta el siguiente comando para eth0:
ethtool -S eth0 | grep link
Para instancias con la interfaz denominada ens5:
ethtool -S ens5 | grep link
Resolución de problemas de limitación de DNS
Si la limitación de DNS es la causa de los errores, lleva a cabo una de las siguientes acciones para resolver el problema:
- Activa el almacenamiento en caché de DNS en la instancia.
- Aumenta el temporizador de reintentos de DNS en la aplicación.
Información relacionada
Descripción de los conceptos de objetivos de creación de reflejo de tráfico
Uso de la creación de reflejo de tráfico para copiar el tráfico de red
- Etiquetas
- Amazon VPC
- Idioma
- Español
Contenido relevante
- preguntada hace 8 meses
- preguntada hace un mes
- preguntada hace 6 meses
- preguntada hace 9 meses
- OFICIAL DE AWSActualizada hace 6 meses