Perché il record di alias che indica alla mia distribuzione CloudFront non si risolve?

6 minuti di lettura
0

Ho configurato un record di alias che rimanda alla mia distribuzione Amazon CloudFront in una zona ospitata pubblica di Amazon Route 53. Tuttavia, non riesco a risolvere il record su Internet.

Breve descrizione

I seguenti motivi possono impedirti di risolvere il record di alias che rimanda a una distribuzione CloudFront:

  • Hai configurato male il record di alias che corrisponde alla distribuzione CloudFront.
  • La distribuzione CloudFront non è elencata nel menu a discesa Alias record sulla console Route 53.
  • Non hai creato il record di alias nella zona ospitata autorevole per il dominio.
  • Lo stato del dominio è inattivo, serverHold o clientHold.
  • C'è un controllo dell'integrità associato al record degli alias.
  • Il record non viene propagato a livello globale.
  • Quando il DNSSEC è attivato per il dominio, i record di delegazione del firmatario (DS) sono errati.

Risoluzione

Controlla il tipo di record alias

Se hai configurato male il record alias, il record DNS non può essere risolto. È necessario configurare i tipi di record alias CloudFront come tipo A anziché CNAME.

Per confermare il tipo di record alias Route 53, completa i seguenti passaggi:

  1. Apri la console Route 53.

  2. Nel riquadro di navigazione, scegli Hosted Zones (Zone ospitate).

  3. Seleziona la zona ospitata per il tuo dominio.

  4. Seleziona il record di alias Route 53 per il tuo dominio.

  5. In Edit Record Set (Modifica set di record), conferma che il tipo di record per il record Alias sia impostato su A. Se il tipo di record non è impostato su A, aggiorna il record.

  6. Scegli Salva set di record.

Crea il record se la distribuzione CloudFront non è elencata nel menu a discesa dei record Alias

Per creare un record di alias che rimandi alla tua distribuzione CloudFront, la distribuzione deve includere un nome di dominio alternativo che corrisponda al nome del record. Ad esempio, se il nome del record è abc.example.com, la distribuzione CloudFront deve includere abc.example.com come uno dei nomi di dominio alternativi.

  1. Accedi alla console CloudFront.

  2. Accedi alla tua distribuzione CloudFront.

  3. Scegli Generali, Impostazioni, Modifica.

  4. Nella pagina Impostazioni, aggiungi abc.example.com in Nome di dominio alternativo (CNAME).

Nota: se stai aggiungendo un record CNAME già esistente, ricevi il seguente errore:

"Uno o più CNAME che hai fornito sono già associati a una risorsa diversa"

Per risolvere l'errore precedente, aggiungi il record nella zona ospitata della Route 53. Quindi, scegli Alias to CloudFront distribution per creare il record di alias per abc.example.com. Il nome del dominio di distribuzione CloudFront è elencato nel menu a discesa.

Controlla i server dei nomi di dominio configurati presso il registrar

Quando crei una zona ospitata per il tuo dominio, Route 53 assegna un set di quattro name server alla zona ospitata. La zona ospitata viene utilizzata per la risoluzione del dominio solo se i relativi name server sono specificati presso il registrar del dominio.

Verifica che il tuo registrar restituisca gli stessi quattro name server autorevoli assegnati alla zona ospitata in cui hai creato il record di alias. Per controllare i name server configurati nel registrar, esegui il seguente comando per eseguire una ricerca whois sul tuo dominio:

$ whois domain-name |grep 'Name Server'

Controlla i name server assegnati alla tua zona ospitata. Se i name server non corrispondono ai risultati di ricerca whois, la tua zona ospitata non viene utilizzata per la risoluzione del dominio. È necessario aggiornare i name server presso il registrar di domini.

Se il dominio è registrato con Route 53, consulta Aggiungere o modificare i name server e incollare i record per un dominio. Se il dominio è registrato presso una terza parte, consulta la documentazione di terze parti per i passaggi su come aggiornare i name server.

Se i name server non sono configurati correttamente presso il registrar di AWS, completa i seguenti passaggi:

  1. Apri la console Route 53.

  2. Scegli Domini registrati.

  3. Seleziona il tuo dominio.

  4. Scegli Aggiungi/modifica name server.

  5. Sostituisci i name server correnti con i seguenti. Negli esempi seguenti, sostituisci i segnaposti xxx con i valori corretti per i tuoi name server.
    ns-xxx.awsdns-xx.org.
    ns-xxx.awsdns-xx.com.
    ns-xxx.awsdns-xx.net.
    ns-xxx.awsdns-xx.co.uk.

6: Seleziona Salva.

Verifica lo stato del dominio

Se lo stato del dominio è inattivo, ServerHold o ClientHold, il dominio non può essere risolto. Puoi eseguire il comando di ricerca whois per verificare lo stato del dominio:

$ whois domain-name |grep 'Domain Status'

Verifica i controlli dell'integrità associati al record degli alias

Se è presente un controllo dell'integrità associato al record degli alias, controlla lo stato del controllo dell'integrità. Il valore restituito durante la ricerca DNS dipende dalle policy di routing e dalla configurazione del controllo dell'integrità del record.

Controlla la propagazione dei record

Di solito, Route 53 propaga gli aggiornamenti dei record DNS alla rete globale di server DNS autorevoli Route 53 entro 60 secondi. Tuttavia, la memorizzazione nella cache dei resolver DNS non rientra nell'ambito di Route 53. Pertanto, Amazon Route 53 memorizza nella cache i set di record di risorse in base al loro valore TTL.

Il resolver locale memorizza nella cache il valore del record precedente per la durata del TTL configurato. In alcuni casi, potrebbe esserci una cache negativa in cui i resolver memorizzano nella cache i risultati di NXDOMAIN provenienti da name server autorevoli. Per verificare la presenza di un caching negativo, invia una richiesta direttamente al name server assegnato alla zona ospitata del dominio per verificare la presenza di una risposta. Di seguito è riportato un comando di esempio per verificare la presenza di un caching negativo:

$ dig domain-name @ns-2041.awsdns-63.co.uk

Quando DNSSEC è attivo, controlla i record DS

Un record DS stabilisce una catena di fiducia tra la zona ospitata principale e quella secondaria quando il DNSSEC è attivato. Questo record contiene un riepilogo delle chiavi pubbliche di firma (KSK) utilizzate per firmare la chiave di firma della zona DNS (ZSK) e il tipo di algoritmo di firma. È necessario aggiungere il record DS alla zona principale di una delegazione. Il record DS è un dato autorevole nella zona principale.

Ad esempio, il record DS per "example.com" è archiviato nella zona ".com" (la zona padre), non nella zona "example.com" (zona figlio).

Fornisci il KSK pubblico e il tipo di algoritmo di firma al tuo registrar di domini per creare un record DS. Il registrar di domini inoltra la chiave pubblica e l'algoritmo al registro per il dominio di primo livello (TLD).

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa