Ongoing service disruptions

For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?

Como solucionar problemas de resolução de DNS na zona hospedada privada do Route 53?

9 minuto de leitura

Quero solucionar problemas de resolução de DNS na minha zona hospedada privada do Amazon Route 53.

Breve descrição

Para corrigir problemas de DNS em zonas hospedadas privadas, verifique as configurações da Amazon Virtual Private Cloud (Amazon VPC), as associações de zonas e a configuração do servidor DNS.

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Confirme o suporte de DNS na VPC

Para permitir a resolução de registros de zona hospedada privada, conclua as seguintes etapas:

Ative o suporte de DNS na sua Amazon VPC.
Verifique se DNSSupport e DNSHostnames estão definidas como Verdadeiro na sua VPC. Para obter mais informações, consulte Exibir e atualizar atributos DNS para sua VPC.

Confirme a associação de ID correta de VPC

Confirme se você associou o ID da VPC correto à sua zona hospedada privada. Além disso, verifique se você está consultando os registros de recursos do domínio dentro da mesma VPC.

Quando você associa uma zona hospedada privada à sua VPC:

O Route 53 Resolver cria uma regra definida automaticamente e a associa à sua VPC.
Os recursos da sua VPC podem consultar o Resolver para resolver registros de DNS na zona hospedada privada.

Para gerar uma lista de VPCs associadas a uma zona hospedada, execute o seguinte comando na AWS CLI:

aws route53 get-hosted-zone --id VPC_ID

Observação: substitua VPC_ID pelos valores relevantes.

Para gerar uma lista de zonas privadas hospedadas associadas a VPCs específicas, execute o seguinte comando na AWS CLI:

aws route53 list-hosted-zones-by-vpc --vpc-id VPC_ID --vpc-region REGION_ID

Observação: substitua HOSTED_ZONE_ID, VPC_ID e REGION_ID pelos valores relevantes.

Verificar as configurações personalizadas do servidor DNS

Se você configurou servidores DNS personalizados ou servidores do Active Directory nas opções de DHCP para DNS na sua VPC, verifique os seguintes itens:

Regra de encaminhamento: Os servidores encaminham consultas de DNS de domínio privado para o endereço IP do servidor DNS da sua VPC.
Configuração do domínio: O domínio em servidores personalizados difere da sua zona hospedada privada.

Por exemplo, se o intervalo CIDR principal da sua VPC for 172.31.0.0/16, o endereço IP do servidor DNS da VPC será 172.31.0.2. Esse é o intervalo de rede da Amazon VPC mais dois.

Revisar as configurações do Resolver

Se tiver respostas ou resolução de DNS intermitentes, analise as definições de configuração do Resolver da instância de origem:

Para instâncias Linux, use os arquivos cat /etc/resolv.conf e cat/etc/hosts.
Para macOS, consulte Alterar os ajustes de DNS no Mac no guia do usuário do macOS.
Para Windows, siga o seguinte procedimento:
Escolha Configurações e, em seguida, selecione Rede e internet.
Em Configurações avançadas de rede, selecione Alterar configurações do adaptador.
Clique com o botão direito do mouse na conexão de rede e selecione Propriedades.
Escolha Propriedades do IPv4 e, em seguida, insira o endereço IP DNS preferencial nos Endereços do servidor DNS.

Por exemplo, se você configurou resolv.conf, poderá usar a opção alternar para balancear a carga das consultas entre o Amazon DNS e o Google DNS (8.8.8.8). O arquivo resolv.conf seria semelhante ao seguinte:

options rotate; generated by /usr/sbin/dhclient-script
nameserver 8.8.8.8
nameserver 172.31.0.2

Em sua primeira consulta ao DNS público do Google (8.8.8.8), você receberá a resposta esperada do NXdomain. O Resolver tenta encontrar a resposta na zona hospedada pública, não na zona hospedada privada:

Private hosted Zone Record - resolvconf.local
[ec2-user@ip-172-31-253-89 etc]$ curl -vks http://resolvconf.local* Rebuilt URL to: http://resolvconf.local/
* Could not resolve host: resolvconf.local

15:24:58.553320 IP ip-172-31-253-89.ap-southeast-2.compute.internal.40043 > dns.google.domain: 65053+ A? resolvconf.local. (34)
15:24:58.554814 IP dns.google.domain > ip-172-31-253-89.ap-southeast-2.compute.internal.40043: 65053 NXDomain 0/1/0 (109)

No entanto, a segunda consulta será resolvida com êxito. A segunda consulta chega ao resolvedor de DNS da VPC associado à sua zona hospedada privada:

[ec2-user@ip-172-31-253-89 etc]$ curl -vks http://resolvconf.local* Rebuilt URL to: http://resolvconf.local/*   Trying 1.1.1.1...
* TCP_NODELAY set
* Connected to resolvconf.local (1.1.1.1) port 80 (#0)

15:25:00.224761 IP ip-172-31-253-89.ap-southeast-2.compute.internal.51578 > 172.31.0.2.domain: 7806+ A? resolvconf.local. (34)
15:25:00.226527 IP 172.31.0.2.domain > ip-172-31-253-89.ap-southeast-2.compute.internal.51578: 7806 1/0/0 A 1.1.1.1 (50)

Confirme se as zonas hospedadas privadas não apresentam namespaces sobrepostos

Quando várias zonas têm namespaces sobrepostos:

O Resolver encaminha o tráfego com base na correspondência mais específica
Se existir uma zona correspondente, mas nenhum registro correspondente, o Resolver retornará NXDOMAIN

Confirme se você configurou o registro correto na zona hospedada privada mais específica para uma resolução de DNS bem-sucedida.

Por exemplo, se você tiver duas zonas privadas hospedadas com os seguintes registros:


Zona hospedada privada	Nome do registro	Valor
local	overlap.privatevpc.local	60.1.1.1
privatevpc.local	overlap.privatevpc.local	50.1.1.1

Em seguida, você recebe o seguinte resultado da consulta da zona hospedada privada correspondente mais específica:

[ec2-user@IAD-BAS-INSTANCE ~]$ dig overlap.privatevpc.local +short
50.1.1.1

Verifique a delegação de zona/subdomínio em zonas hospedadas privadas

As zonas privadas hospedadas não oferecem suporte à delegação de zona/subdomínio. Confirme se você não tem um registro de nome de servidor (NS) configurado para o subdomínio na zona hospedada privada do domínio principal. Se você configurou a delegação, o cliente receberá o código de resposta “SERVFAIL” do resolvedor da VPC.

Veja a seguir um exemplo de configuração de delegação que causa SERVFAIL:

Zona hospedada privada: abc.com
Registro de NS da delegação: kc.abc.com
Registro de recurso: test.kc.abc.com

[ec2-user@ip-172-31-0-8 ~]$ dig test.kc.abc.com
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63414
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;test.kc.abc.com        IN      A
;; Query time: 15 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Fri Apr 16 15:57:37 2021
;; MSG SIZE  rcvd: 48

Confirmar o suporte à política de encaminhamento

Confirme se você configurou uma política de encaminhamento no registro de recursos suportado por uma zona hospedada privada. Para mais informações, consulte Políticas de encaminhamento compatíveis com registros em uma zona hospedada privada.

Verificar a regra do Resolver e o uso do endpoint do Resolver de saída

Verifique se você está usando o Resolver com um endpoint de saída. A regra do Resolver tem precedência se:

Você tem uma regra do Resolver para direcionar o tráfego para sua rede para o domínio da sua zona hospedada privada.
Você tem uma regra do Resolver associada à mesma VPC que também está associada à zona hospedada privada.

Para mais informações, consulte Resolver consultas de DNS entre VPCs e sua rede.

Evitar loops de consulta

Para evitar a criação de um loop, conclua as seguintes etapas:

Não crie endereços IP de destino em um ponto de regra de encaminhamento do Resolver que aponte para endpoints de entrada da sua VPC.
Não associe os endpoints à zona hospedada privada.
Não associe a mesma regra do Resolver à sua VPC.

Exemplo de um loop de consulta:

ubuntu@ip-172-32-254-37:~$ dig overlap.privatevpc.local
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 9007
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; QUESTION SECTION:
;overlap.privatevpc.local. IN A
;; Query time: 2941 msec
;; SERVER: 172.32.0.2#53(172.32.0.2)

Para corrigir esse problema e interrompa o loop, remova a associação entre hub e VPC com a regra. Exemplo de uma resposta bem-sucedida:

ubuntu@ip-172-32-254-37:~$ dig overlap.privatevpc.local
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58606
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;overlap.privatevpc.local. IN A
;; ANSWER SECTION:
overlap.privatevpc.local. 0 IN A 50.1.1.1
;; Query time: 5 msec
;; SERVER: 172.32.0.2#53(172.32.0.2)

Confirme se o Resolver on-premises envia solicitações recursivas

Para consultas de on-premises ao Route 53 Resolver:

Use o endpoint de entrada do Resolver para encaminhar consultas de DNS.
Certifique-se de que o Resolver on-premises envie consultas recursivas (não iterativas).

Para verificar o tipo de resolução, conclua estas etapas:

Use a captura de pacotes no Resolver de DNS on-premises.
Revise os sinalizadores de DNS (recursão desejada = 0).
Teste com o comando +norecurse dig ou defina norecurse com nslookup.

Exemplo de uma consulta iterativa com falha:

[ec2-user@IAD-BAS-INSTANCE ~]$ dig @172.31.253.150 overlap.privatevpc.local +norecurse
;; <<>> DiG 9.11.0rc1 <<>> @172.31.253.150 overlap.privatevpc.local +norecurse; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Exemplo de uma consulta recursiva bem-sucedida:

[ec2-user@IAD-BAS-INSTANCE ~]$ dig @172.31.253.150 overlap.privatevpc.local
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19051
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;overlap.privatevpc.local.      IN      A
;; ANSWER SECTION:
overlap.privatevpc.local. 0     IN      A       50.1.1.1
;; Query time: 200 msec
;; SERVER: 172.31.253.150#53(172.31.253.150)

Verifique as prioridades corretas das regras para o DNS fornecido da Amazon

Quando a instância do cliente envia uma consulta ao Resolver, este verifica as regras da instância sobre para onde rotear a solicitação.

A regra mais específica tem prioridade. Por exemplo, se houver uma regra do Resolver teste.exemplo.com e uma zona hospedada privada teste.exemplo.com, a regra do Resolver terá prioridade. A consulta é encaminhada para os servidores ou endereços IP de destino que estão configurados na regra.

Se as regras estiverem no mesmo nível de domínio, elas terão as seguintes prioridades:

Regra do resolvedor
Regra de zona hospedada privada
Regra interna

Informações relacionadas

Trabalhar com zonas hospedadas privadas

Quais opções do Amazon VPC eu preciso ativar para usar minha zona hospedada privada?

Evite configurações de loop com endpoints Resolver

Tópicos: Networking & Content Delivery
Tags: Amazon Route 53
Idioma: Português

Vídeos relacionados

Assista ao vídeo de Anshika para saber mais (4:44)

AWS OFICIALAtualizada há 9 meses

Sem comentários

Conteúdo relevante

Domínio .COM.BR
Resposta aceita
zemariolopes_
feita há 10 meses
Erro ao configurar o route53 com Cloudfront
Leandro Garcia
feita há um ano
LoadBalancer para certificação SSL
Caio
feita há um ano
Goodshort Mobile (App Android) - Dúvida sobre latência de streaming de vídeo com CloudFront e S3
entrenamne
feita há 3 meses
Reserva para Cloud front existe?
Fernando
feita há 4 meses
Como soluciono problemas de resolução de DNS para registros em zonas hospedadas públicas do Route 53?
AWS OFICIALAtualizada há 7 meses
Como soluciono problemas de resolução de registros CNAME com zonas hospedadas privadas e configurações entre contas no AWS Route53?
AWS OFICIALAtualizada há 8 meses
Como resolvo problemas de regras do Route 53 Resolver com a resolução de DNS em VPCs?
AWS OFICIALAtualizada há 10 meses
Como resolvo as zonas hospedadas privadas do Route 53 ao usar um diretório do AWS Managed Microsoft AD?
AWS OFICIALAtualizada há um ano
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 7 meses