Como solucionar problemas de DNS reverso com endpoints de saída e regras do Route 53?
Eu tenho uma nuvem privada virtual (VPC) com um servidor DNS on-premises. Eu configurei endpoints de saída e regras reversas do Amazon Route 53 Resolver para resolver as consultas de DNS reverso desse servidor. No entanto, isso não funciona conforme o esperado.
Resolução
Identifique as respostas DNS esperadas e reais
Use dig e nslookup para realizar consultas diretamente ao endereço IP do seu servidor DNS on-premises. Essas ferramentas tentam resolver o nome correto do registro.
Para executar uma resolução de DNS reverso com dig, use o parâmetro -x. Quando você usa esse parâmetro, o dig adiciona automaticamente os argumentos de nome, classe e tipo. Consulte a SEÇÃO DE PERGUNTAS para verificar se o dig consultou automaticamente o nome, classe e tipo de registro corretos.
Por exemplo, você deseja resolver o endereço IP 172.31.2.23 com os seguintes valores:
Nome: 23.2.31.172.in-addr.arpa.
Classe: IN
Tipo de registro: PTR
Neste exemplo, o comando dig -x 172.31.2.23 retorna a seguinte saída:
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> -x 172.31.2.23;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58812 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;23.2.31.172.in-addr.arpa. IN PTR ;; ANSWER SECTION: 23.2.31.172.in-addr.arpa. 60 IN PTR example.com.
Para nslookup, o comando nslookup 172.31.2.23 retorna a seguinte saída:
23.2.31.172.in-addr.arpa. name = example.com.
Observação: um código de resposta inesperado pode não indicar um problema com a configuração da regra ou do endpoint:
- NXDOMAIN pode ser uma resposta DNS inesperada, mas válida. Essa resposta indica que o servidor consultado não contém o registro solicitado.
- SERVFAIL indica que há um tempo limite ou outro problema no caminho da consulta. Essa resposta requer uma investigação mais aprofundada.
- Uma resposta inesperada em ANSWER SECTION pode indicar que você usou uma regra diferente.
Determine se a consulta chega ao resolvedor de DNS da VPC
Para que uma consulta corresponda a uma regra em uma VPC, a consulta deve chegar ao resolvedor de DNS da VPC. Verifique as configurações da VPC para confirmar se você ativou o suporte a DNS.
Para verificar o endereço IP do resolvedor, consulte os campos server em dig ou nslookup:
dig
;; SERVER: 172.16.0.2#53(172.16.0.2)
nslookup
Server: 172.16.0.2
Observação: para VPCs, o DNS da VPC é o CIDR da VPC mais dois. Nesses exemplos, o endereço IP de uma VPC é 171.16.0.2.
Encontre a regra mais específica que está sendo correspondida
Quando a consulta chega ao resolvedor de DNS da VPC, ela deve corresponder a uma regra nessa VPC. Quando as regras são avaliadas, a regra mais específica é correspondida. Para encontrar essa regra, conclua as seguintes etapas:
- Identifique todas as regras autodefinidas na VPC e nas VPCs conectadas. Para VPCs emparelhadas ou VPCs que se conectam por meio de um gateway de trânsito (com suporte a DNS), anote todas as regras para a resolução inversa de cada CIDR conectado.
Observação: o resolvedor cria essas regras autodefinidas quando os nomes de host DNS são definidos como verdadeiros. Se quiser substituir uma regra autodefinida, crie uma regra de encaminhamento condicional para o mesmo nome de domínio. Você também pode desativar as regras autodefinidas. - Se você ativou o DNSSupport e o DNSHostNames, anote todas as zonas hospedadas privadas associadas à VPC.
Observação: se a regra do encaminhador do resolvedor e a zona hospedada privada estiverem sobrepostas, a regra do resolvedor será priorizada. Nesse caso, a consulta é encaminhada para o servidor on-premises. - Para determinar qual regra está selecionada e para onde a consulta vai, compare sua lista de regras e zonas privadas hospedadas associadas com a consulta.
Solucione problemas de endpoints de saída
Para solucionar problemas de endpoints de saída, confirme as seguintes configurações:
- Os endpoints de saída devem enviar a consulta aos endereços IP de destino especificados pela regra. Certifique-se de que a regra do resolvedor tenha o IP correto do servidor DNS on-premises.
- O grupo de segurança dos endpoints de saída devem permitir tráfego TCP e UDP de saída para os endereços IP e portas do servidor DNS on-premises.
- As listas de controle de acesso (ACLs) devem permitir tráfego TCP e UDP para os endereços IP e portas do servidor DNS on-premises. As ACLs também devem permitir tráfego para as portas efêmeras (1024-65535).
- A tabela de rotas de sub-rede dos endpoints de saída deve ter uma rota para os endereços IP do servidor on-premises até a conexão VPN ou do AWS Direct Connect.
Para obter mais informações e etapas de solução de problemas, consulte Como soluciono problemas de resolução de DNS com os endpoints do Route 53 Resolver?
Verifique se os endpoints de saída podem enviar a consulta pela conexão especificada em sua tabela de rotas
Verifique se a conexão VPN ou do Direct Connect permite a comunicação. Para fazer isso, execute um comando dig ou nslookup diretamente no endereço IP do resolvedor de DNS on-premises. Para solucionar ainda mais os problemas de conexão, envie um ping para um host on-premises que permita o protocolo de mensagens de controle da Internet (ICMP).
Observação: você deve realizar esse teste a partir de uma instância do EC2 que esteja na mesma sub-rede dos endpoints de saída.
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano