Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
如何配置 Route 53 Resolver 入站端点,以便从远程网络解析我的私有托管区中的 DNS 记录?
我想配置 Amazon Route 53 Resolver 入站端点,以便从远程网络解析我的私有托管区中的记录。
简短描述
Amazon Virtual Private Cloud (Amazon VPC) 通过 Route 53 Resolver 提供自动 DNS 解析。创建入站端点以允许从远程网络到私有托管区的 DNS 查询。
解决方法
要配置 Amazon Route 53 Resolver 入站端点,以便远程网络可以解析私有托管区中的记录,请完成以下步骤。
**注意:**如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,请确保您使用的是最新版本的 AWS CLI。
- 在计划为其创建入站端点的 Amazon VPC 的 DNS 支持属性中启用 DNS 主机名和解析。
- 将私有托管区与 Amazon VPC 相关联。
如果私有托管区和 Amazon VPC 属于同一 AWS 账户,请完成以下步骤:
- 打开 Route 53 控制台。
- 在导航窗格中,选择 Hosted Zones(托管区)。
- 选择包含您要查询的记录的私有托管区。
- 使用搜索栏查找您的 Amazon VPC,然后选择 Associate New VPC(关联新的 VPC)。
如果私有托管区和 Amazon VPC 位于不同的 AWS 账户,请完成以下步骤:
- 使用 AWS CLI 执行跨账户关联。
有关详细信息,请参阅如何将 Route 53 私有托管区与其他 AWS 账户上的 VPC 关联? - 确认本地 DNS 服务器仅发送递归查询。
- 确认与您计划创建入站端点的子网关联的路由表包含指向本地网络的路由。
- 如果子网使用自定义网络 ACL,请更新规则以允许以下流量:
端口范围 1024–65535 上流向本地 DNS 服务器的 UDP 和 TCP 出站流量。
端口 53 上来自本地 DNS 服务器的 UPD 和 TCP 入站流量。 - 为入站端点配置安全组,以允许端口 53 上来自本地 DNS 服务器 IP 地址的 TCP 和 UDP 流量。
- 如果本地网络和 AWS 之间存在防火墙,请允许端口 53 上 DNS 服务器 IP 地址的 TCP 和 UDP 流量。
- 确保通过 AWS Direct Connect 或 VPN 连接到入站端点的 IP 地址。
配置入站端点
要配置入站端点,请完成以下步骤:
- 打开 Route 53 控制台。
- 在导航窗格中,选择 Inbound endpoints(入站端点)。
- 在导航栏中,选择 Amazon VPC 所在的 AWS 区域。
- 选择 Create inbound endpoint(创建入站端点)。
- 在 General settings for inbound endpoint(入站端点的一般设置)中,选择私有托管区所在区域中的 Amazon VPC。选择一个安全组,以允许目标端口 53 上来自远程网络的入站 UDP 和 TCP 流量。
- 选择 2 到 6 个 IP 地址。允许 Route 53 从子网中选择 IP 地址或指定地址。使用来自至少两个可用区的 IP 地址。
- 对于每个 IP 地址,选择符合以下要求的子网:
路由表包含指向远程网络上 DNS 解析器 IP 地址的路由。
网络 ACL 允许端口 53 上来自远程网络的 UDP 和 TCP 流量。
网络 ACL 允许目标端口范围 1024–65535 上流向远程网络的 UDP 和 TCP 流量。 - (可选)完成 Tags(标签)部分。
- 选择 Create inbound endpoint(创建入站端点)。
**注意:**Route 53 入站端点没有完全限定域名 (FQDN)。当您创建端点时,Route 53 会在子网中创建弹性网络接口。这些 IP 地址会将 DNS 查询转发到解析器。
测试您的配置
要测试您的配置,请完成以下步骤:
- 配置远程 DNS 服务器,以将针对私有托管区域名的 DNS 查询转发到入站端点的 IP 地址。
- 将 DNS 服务器设置为转发查询,而不是委派域名的授权。
- 确认远程 DNS 服务器仅发送递归 DNS 查询。
- 如果本地 DNS 服务器发送的 DNS 查询中“所需递归”设置为 0,则入站端点不会响应。请在数据包捕获中查找这些信息。
- 如果您使用 AWS Transit Gateway,请将入站端点子网与 Transit Gateway 连接相关联。
- 从远程网络上的客户端测试对私有托管区中某条记录的解析。
在以下命令中,将 RECORD_NAME 和 RECORD_TYPE 替换为您的相关值:
- 对于 Linux 或 MacOS,运行 dig RECORD_NAME RECORD_TYPE,如下所示:dig example.com A
- 对于 Windows,运行 nslookup RECORD_NAME RECORD_TYPE,如下所示:nslookup example.com
相关信息
- 语言
- 中文 (简体)
