Je suis en train de créer un point de terminaison AWS Client VPN. Je dois autoriser les utilisateurs finaux (clients connectés au VPN client) à interroger les enregistrements de ressources hébergés dans ma zone hébergée privée Amazon Route 53. Comment procéder ?
Solution
Pour autoriser les utilisateurs finaux à interroger des enregistrements dans une zone hébergée privée à l'aide du VPN client :
- Confirmez que vous avez activé la « résolution DNS » et les « noms d'hôte DNS » dans votre Amazon Virtual Private Cloud (Amazon VPC). Ces paramètres doivent être activés pour accéder aux zones hébergées privées. Pour plus d'informations, consultez Afficher et mettre à jour les attributs DNS de votre VPC.
- Créez un point de terminaison VPN client, si vous ne l'avez pas déjà fait. Assurez-vous de configurer le paramètre « DNS Server IP address » avec l'adresse IP du serveur DNS accessible par les utilisateurs finaux pour les requêtes de résolution DNS. Vous pouvez également modifier un point de terminaison VPN client existant pour mettre à jour les paramètres du serveur DNS.
En fonction de la configuration de votre serveur et des valeurs que vous spécifiez pour le paramètre « DNS Server IP address », la résolution du domaine de la zone hébergée privée varie :
- Avec le serveur DNS Amazon (plage réseau IPv4 VPC plus deux) : les utilisateurs finaux peuvent résoudre les enregistrements de ressources de la zone hébergée privée associée au VPC.
- Avec un serveur DNS personnalisé situé dans le même VPC que le VPC associé du point de terminaison VPN client : vous pouvez configurer le serveur DNS personnalisé pour traiter les requêtes DNS si nécessaire. Pour résoudre les enregistrements de ressources, configurez le serveur DNS personnalisé en tant que redirecteur pour réacheminer les requêtes DNS pour le domaine hébergé privé vers le résolveur DNS VPC par défaut. Pour utiliser le serveur DNS personnalisé pour toutes les ressources du VPC, veillez à configurer les options DHCP en conséquence.
Remarque : le serveur DNS personnalisé peut également résider dans un VPC appairé. Dans ce cas, la configuration du serveur DNS personnalisé est identique à la configuration ci-dessus. Veillez à associer votre zone hébergée privée aux deux VPC.
- Avec un serveur DNS personnalisé situé sur site et le paramètre « DNS Server IP address » dans le client VPN désactivé/vide, les requêtes DNS pour le domaine de la zone hébergée privée sont transférées au résolveur entrant Route 53. Vous devez créer des règles de réacheminement conditionnel dans le serveur DNS personnalisé sur site pour réacheminer les requêtes vers l'adresse IP du résolveur entrant Route 53 dans le VPC via AWS Direct Connect ou un AWS Site-to-Site VPN.
Remarque : si le périphérique client n'a pas de route vers le serveur DNS local lorsque la connexion VPN du client est établie, les requêtes DNS échouent. Dans ce cas, vous devez ajouter manuellement une route statique préférée au serveur DNS sur site personnalisé sur la table de routage de l'appareil client.
- Avec le paramètre « DNS Server IP address » désactivé : le périphérique client utilise le résolveur DNS local pour résoudre les requêtes DNS. Si votre résolveur local est défini sur un résolveur DNS public, vous ne pouvez pas résoudre les enregistrements dans les zones hébergées privées.
Remarque : les éléments suivants concernent chacun des quatre types de configurations de serveur DNS :
- Si le mode tunnel complet est activé, une route pour tout le trafic via le tunnel VPN est ajoutée à la table de routage du périphérique client. Les utilisateurs finaux peuvent se connecter à Internet si les règles d'autorisation et les routes respectives sont ajoutées à la table de routage du sous-réseau associé au point de terminaison VPN client.
- Si le mode tunnel fractionné est activé, les routes de la table de routage du point de terminaison VPN client sont ajoutées à la table de routage du périphérique client.
Informations connexes
Comment le DNS fonctionne-t-il avec mon point de terminaison AWS Client VPN ?