我想配置一个 Amazon Route 53 Resolver 出站端点来解析 DNS 记录。这些记录托管在我的 Amazon Virtual Private Cloud(Amazon VPC)中的 Amazon Elastic Compute Cloud(Amazon EC2)实例的远程网络上。
简短描述
使用 Amazon VPC 创建的 VPC 从 Route 53 Resolver 接收自动 DNS 解析。您可以将 Resolver 配置为将域名的 DNS 查询从 Amazon VPC 中的 EC2 实例转发到远程网络上的 DNS Resolver。
要转发 DNS 查询,请创建以下各项:
- 用于向远程网络发送 DNS 查询的出站端点。
- Resolver 规则,用于指定 Resolver 转发到远程 DNS 服务器的 DNS 查询的域名。
解决方法
先决条件
- 在与 Resolver 规则关联的 VPC 的 DNS 支持属性中启用 DNS 解析。
- 如果您在 VPC 中使用自定义 DNS 服务器: 配置 DNS 服务器以有条件地将适用域名的 DNS 查询转发到 Resolver。自定义 DNS 服务器必须使用 VPC IPv4 网络范围基址 + 2 的预留 IP 地址。
- 如果您没有在 VPC 中使用自定义 DNS 服务器: 将 DHCP 选项中的域名服务器设置为以下选项之一:
- AmazonProvidedDNS
- VPC IPv4 网络范围基址 + 2 的预留 IP 地址
配置出站端点
- 打开 Route 53 控制台。
- 在导航窗格中,选择出站端点。
- 在导航栏上,为要创建出站端点的 VPC 选择区域。
- 选择创建出站端点。
- 在创建出站端点页面上,完成出站端点的常规设置部分。选择允许与以下设备进行出站 TCP 和 UDP 连接的安全组:
- Resolver 在远程网络上用于 DNS 查询的 IP 地址。
- Resolver 在远程网络上用于 DNS 查询的端口。
- 完成 IP 地址部分。您可以将 Resolver 设置为从子网中的可用 IP 地址为您选择 IP 地址。或者,您可以指定 IP 地址。在 DNS 查询的两个(最小)和六个(最大)IP 地址之间进行选择。最佳做法是在至少两个不同的可用区中选择 IP 地址。对于子网,选择具有相应的子网:
- 路由表包括使用 AWS Direct Connect、VPN 连接或网络地址转换(NAT)网关到远程网络上 DNS 解析器的 IP 地址的路由。
- 网络访问控制列表(ACL),允许 UDP 和 TCP 流量到达解析器在远程网络上进行 DNS 查询的 IP 地址和端口。此外,网络 ACL 允许来自目标端口范围 1024-65535 的解析器流量。
- (可选)完成标签部分。
- 选择提交。
配置 Resolver 规则
要创建新规则,请执行以下操作:
- 打开 Route 53 控制台。
- 从 Route 53 导航窗格中选择规则。
- 在导航栏上,选择新创建的出站端点所在的区域。
- 选择创建角色。
- 在创建规则页面上,填写出站流量规则部分。对于规则类型,配置转发规则并将其关联到 VPC,从那里将 DNS 查询转发到您的远程网络。对于出站端点,选择您刚刚创建的出站端点。
**注意:**与此规则关联的 VPC 不必与您创建出站端点的 VPC 相同。
- 完成 IP 地址部分。对于 IP 地址,请指定远程网络上 DNS 解析器的 IP 地址。对于端口,指定这些解析器用于 DNS 查询的端口。
**注意:**Resolver 会将与该规则匹配且源自与此规则关联的 VPC 的任何 DNS 查询转发到引用的出站端点。因此,这些查询将转发到您在 IP 地址部分中指定的目标 IP 地址。
- (可选)完成标签部分。
- 选择提交。
要使用现有规则,请执行以下操作:
- **如果您已经为账户中的 VPC 所在区域的同一个域设置了规则:**将规则关联到您的 VPC,而不是创建新规则。从规则控制面板中选择规则,并将其与该区域中的适用 VPC 关联。
- 如果您已经在与您的 VPC 相同的区域中为同一个域设置了规则,但位于不同的账户:通过 AWS Resource Access Manager 将规则从远程账户共享到您的账户。共享规则时,您还会共享相应的出站端点。与您的账户共享规则后,从规则控制面板中选择该规则并将其关联到您账户中的 VPC。
**注意:**无需网络连接即可将 DNS 查询从与 Resolver 规则关联的 VPC 转发到出站端点所在的 VPC。无论 VPC 是否在同一个账户中,都是如此。只有出站端点所在的 VPC 才需要与 DNS 解析器建立网络连接。
测试您的配置
从您的 VPC 中的一个 Amazon EC2 实例执行 DNS 解析:
- 对于 Linux 或 macOS:dig <record name> <record type>
- 对于 Windows:nslookup -type=<record type> <record name>
相关信息
解析 VPC 与您的网络之间的 DNS 查询
将出站 DNS 查询转发到您的网络
管理出站端点