AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
如何解決 VPC 中的 DNS 解析與 Route 53 Resolver 規則問題?
我的 Amazon Route 53 Resolver 規則導致 Amazon Virtual Private Cloud (Amazon VPC) 中出現 DNS 解析問題。
解決方法
重新關聯您的 Resolver 規則
如果您將 Resolver 規則與 VPC 取消關聯,則 Resolver 將不再將 DNS 查詢轉送至 DNS 解析器。若要解決此問題,請將規則與 VPC 重新建立關聯。若要解決您共用規則的問題,請參閱與其他 AWS 帳戶共用 Resolver 規則,並使用共用規則。
**注意:**您只能將 Resolver 規則與您帳戶中的 VPC 建立關聯。
對 DNS 解析問題進行疑難排解
請執行下列動作:
- 確認您是否已為 VPC 啟用 DNS 解析和 DNS 主機名稱。如需詳細資訊,請參閱檢視和更新 VPC 的 DNS 屬性。
- 確認您已將正確的 Amazon VPC ID 與私有託管區域建立關聯。
- 檢查您是否正在從相同 VPC 內查詢資源記錄。如需詳細資訊,請參閱如何記錄 Amazon Route 53 的查詢?
- 確認您是否已正確設定私有託管區域指向 Route 53 Resolver 的轉送規則。請參閱檢視和編輯轉送規則。
- 確認您的私有託管區域域和子網域的命名空間未重疊。
對 Resolver 規則問題進行疑難排解
請執行下列動作:
- 確認 Route 53 Resolver 在評估規則時是否與指定規則相符。如需詳細資訊,請參閱建立或編輯規則時指定的值。
- 檢查您的 VPC 上是否有自動定義的反向 DNS 規則,並將其覆寫。
- 如果您在 VPC 上已啟用 DNS 解析和 DNS 主機名稱,請確認關聯的私有託管區域包含您的私有託管區域。
- 請檢查您是否為同一個網域建立了多個規則並關聯到該 VPC。當您套用多於一個規則時,該網域可能無法正常運作。
**注意:**如果 Resolver 轉送器規則與私有託管區域衝突,則 Resolver 規則優先。
對 DNS 轉送規則問題進行疑難排解
當您使用 DNS 轉送規則解析託管在其他帳戶的 DNS 伺服器上的內部網域時,您可能會收到 "connection refused" (連線遭拒) 錯誤。即使安全群組和網路存取控制清單 (網路 ACL) 組態看起來正確,也可能發生錯誤。
若要解決此問題,請檢查傳出 Resolver 端點帳戶和託管 DNS 伺服器的帳戶之間的路由組態和流量。
對於傳出端點,請執行以下動作:
- 確認 Resolver 規則具有內部部署 DNS 伺服器的正確 IP 位址。
- 確認傳出端點的安全群組允許到 DNS 伺服器 IP 位址和連接埠的傳出 TCP 和 UDP 流量。
- 確認網路 ACL 是否允許 TCP 和 UDP 流量到達 DNS 伺服器 IP 位址或連接埠,以及臨時連接埠 (1024–65535)。
- 檢查傳出端點的子網路路由表中,是否包含透過 VPN 或 AWS Direct Connect 連線的內部部署伺服器 IP 位址的路由。
如需詳細資訊,請參閱管理傳出端點。
若要測試與傳出端點位於相同子網路的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的連線,請執行下列動作:
- 直接對內部部署 DNS 解析器的 IP 位址執行 dig 或 nslookup 命令。
- 對允許網際網路控制訊息通訊協定 (ICMP) 的內部部署傳送 Ping,以確認連線狀態。
確保來源用戶端將查詢傳送到 AmazonProvidedDNS,而不是直接傳送到傳出端點。然後,AmazonProvidedDNS 會根據 Resolver 規則組態,透過傳出端點將查詢轉送到目標 IP 位址。如需詳細資訊,請參閱公有 DNS 查詢記錄。
在對 DNS 回應問題進行疑難排解時,請使用 dig 或 nslookup 直接對內部部署 DNS 伺服器 IP 位址執行查詢。檢查 QUESTION SECTION (問題部分) 以確認名稱、類別和記錄類型是否正確。另外,請檢查 NXDOMAIN 回應代碼,該代碼表示不存在任何記錄,或檢查 SERVFAIL,該代碼表示有逾時或路徑問題。
檢查您的 Route 53 Resolver 設定檔是否覆寫 VPC
當您將 VPC 與具有預設「.」規則的解析器設定檔關聯時,該設定檔的規則優先於 VPC 的預設遞迴規則。但是,VPC 中的 Resolver 規則的關聯狀態不會顯示為「已覆寫」。如需詳細資訊,請參閱Route 53 Resolver 端點如何將 DNS 查詢從您的 VPC 轉發到您的網路。
解決對像是 .local 這類 TLD 網域的 SERVFAIL 錯誤
Route 53 將某些頂層網域名稱 (TLD) (例如 .local) 作為連結本地網域處理。如果您嘗試在 Ubuntu 等發行版系統上解析以 .local 結尾的網域,則可能會收到 SERVFAIL 錯誤。若要解決此問題,請使用新的動態主機組態協定 (DHCP) 選項集重新啟動 VPC 中的執行個體。
查看查詢日誌和 VPC 流程日誌
檢查您的 DNS 查詢並檢查 Route 53 Resolver 查詢日誌中的錯誤。此外,檢查 VPC 流程日誌並擷取套件,以識別已封鎖或遺失的網路流量。
相關資訊
如何設定 Route 53 Resolver 傳出端點,以從我的 VPC 中的資源解析託管在遠端網路上的 DNS 記錄?
- 語言
- 中文 (繁體)
