DNSAuflösung für Hybridnetzwerke in einer Umgebung mit mehreren Konten einrichten AWS - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsEpenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

DNSAuflösung für Hybridnetzwerke in einer Umgebung mit mehreren Konten einrichten AWS

Erstellt von Amir Durrani

Umwelt: Produktion

Technologien: Infrastruktur; Netzwerke

AWSDienste: AWSRAM; Amazon Route 53; AWS Control Tower

Übersicht

Dieses Muster beschreibt, wie Sie lokale Domain Name System (DNS) -Services mit Amazon Route 53 Resolver Resolver-Regeln und ausgehenden Resolver-Endpunkten für die Namensauflösung verwenden können.

DNSist von grundlegender Bedeutung für die Einrichtung und Aufrechterhaltung der Kommunikation zwischen Netzwerkumgebungen. Wenn Sie über eine hybride Netzwerkkonnektivitätsumgebung verfügen, können Sie wichtige Netzwerkdienste wie DNS Active Directory gemeinsam nutzen, ohne sich um die Verwaltung einer verteilten Umgebung mit Konten und virtuellen privaten Clouds (VPCs) kümmern zu müssen. Dieser Ansatz hilft Ihnen bei der Entwicklung und Unterstützung von Anwendungen, die eine große Anzahl von Konten umfassen. Wenn Sie beispielsweise Hunderte oder Tausende von Konten in mehreren Regionen mit hybriden Konnektivitätsanforderungen haben, können Sie DNS Dienste sicher und effizient in allen verbundenen Umgebungen innerhalb Ihres AWS Unternehmens gemeinsam nutzen.

DNSist entscheidend für IP-Netzwerke auf allen Ebenen (Web, Anwendung und Datenbank) einer Anwendung. Es hat sich bewährt, nur dem DNS Expertenteam vollen Zugriff auf Konfiguration, Betrieb und Support dieser Ressource zu gewähren. In einer Umgebung mit hybrider Konnektivität können Sie Ihr lokales System weiterhin DNS für Anfragen zur Namensauflösung verwenden, die von Ressourcen stammen, die sich in unterschiedlichen Konten befinden, indem Sie die bedingte Weiterleitung verwenden.

Dieses Muster deckt die hybride DNS Auflösung in einer Umgebung mit AWS mehreren Konten ab. Informationen zu Einzelkonten finden Sie im Muster Einrichten der DNS Auflösung für Hybridnetzwerke in einer Umgebung mit nur einem Konto AWS.

Voraussetzungen und Einschränkungen

Voraussetzungen

Architektur

AWSArchitektur mit mehreren Konten

Architektur mit mehreren Konten auf AWS

Zieltechnologie-Stack

  • Eine bestehende lokale DNS Infrastruktur für die Auflösung ausgehender Namen für eine große Anzahl von Prinzipalen AWS 

  • Route 53 53-Resolver-Regel und ausgehende Resolver-Endpunkte

  • AWSRAMfür die gemeinsame Nutzung von Route 53 53-Resolver-Regeln mit anderen AWS Prinzipalen innerhalb und außerhalb der Organisation AWS

Zielarchitektur

Das folgende Diagramm zeigt die Schritte zur Konfiguration der end-to-end DNS Hybridauflösung. AWSRAMwird verwendet, um die Route 53 53-Resolver-Regeln und Resolver-Endpunkte gemeinsam zu nutzen, die vom zentralen Shared Services-Konto aus konfiguriert und verwaltet werden. Route 53 Resolver-Endpunkte sind für jede Availability Zone so konfiguriert, dass sie die ausgehenden Anfragen zur Namensauflösung für die Ressourcen, die sich im lokalen Rechenzentrum befinden, empfangen und diese Anfragen dann an die lokalen Resolver weiterleiten. DNS Die lokalen DNS Resolver senden die Antworten auf die Namensauflösung an die ausgehenden Endpunkte, die die Antworten dann an den Resolver weiterleiten. VPC Diese Schritte stellen die end-to-end Kommunikation mithilfe von Hostnamen statt IP-Adressen her.

Gemeinsame Nutzung von Resolver-Endpunkten mit Prinzipalen AWS

Das folgende Diagramm zeigt die Architektur detaillierter.

AWS network architecture diagram showing shared services, accounts, VPCs, and connections to on-premises infrastructure.

Automatisierung und Skalierung

Sie können Route 53 Resolver-Regeln mithilfe AWS RAM von AWS CloudFormation Vorlagen konfigurieren und gemeinsam nutzen. 

Tools

AWSDienste

  • AWSControl Tower unterstützt Sie bei der Einrichtung und Verwaltung einer Umgebung mit AWS mehreren Konten und folgt dabei den vorgeschriebenen Best Practices.

  • AWSResource Access Manager (AWSRAM) hilft Ihnen dabei, Ihre Ressourcen sicher für mehrere AWS Konten gemeinsam zu nutzen, um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.

  • Amazon Route 53 ist ein hochverfügbarer und skalierbarer DNS Webservice.

Zusätzliche Tools

  • nslookup und dig sind Hilfsprogramme zum Abfragen von Datensätzen. DNS

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Konfigurieren Sie die Route 53 53-Endpunkte und Regeln für ausgehende Resolver.

  1. Melden Sie sich bei der AWS Management Console für das AWS Konto an, für das Sie die Route 53 53-Regel für ausgehende Resolver konfigurieren und teilen möchten.

  2. Öffnen Sie die Route 53-Konsole unter. https://console.aws.amazon.com/route53/

  3. Wählen Sie in der Navigationsleiste die Region aus, in der Sie den Resolver-Endpunkt konfigurieren möchten.

  4. Wählen Sie im Navigationsbereich Outbound Endpoints und dann Configure Endpoints aus.

  5. Geben Sie allgemeine Einstellungen, IP-Adressen und optionale Taginformationen ein und wählen Sie dann Weiter aus.

  6. Erstellen Sie eine oder mehrere Regeln, um die Domainnamen der DNS Abfragen anzugeben, die Sie an Ihr Netzwerk weiterleiten möchten, und wählen Sie dann Speichern aus.

Weitere Informationen finden Sie in der Route 53 53-Dokumentation unter Weiterleiten ausgehender DNS Anfragen an Ihr Netzwerk.

Allgemein AWS

Erstellen Sie Route 53 53-Regeln für ausgehende Resolver und teilen Sie sie mit AWS Prinzipalen.

  1. Öffnen Sie die Konsole unter AWSRAM. https://console.aws.amazon.com/ram/

  2. Wählen Sie im Navigationsbereich Resource Shares und dann Create Resource Share aus.

  3. Geben Sie einen Namen für die gemeinsame Nutzung ein.

  4. Wählen Sie als Ressourcentyp Resolver Rules aus.

  5. Wählen Sie die Resolver-Regel aus, die Sie teilen möchten, geben Sie optionale Tag-Schlüssel- und Wertinformationen ein und klicken Sie dann auf Weiter.

  6. Wählen Sie die Principals aus, für die Sie die Resolver-Regelressource gemeinsam nutzen möchten. Prinzipale können intern oder extern innerhalb Ihrer Organisation sein. AWS Sie können beispielsweise Ihre AWS Organisation, eine bestimmte Organisationseinheit (OU) innerhalb der Organisation oder ein bestimmtes Konto auswählen.

  7. Überprüfen und erstellen Sie die Ressourcenfreigabe.

    Nachdem die Ressource erstellt und gemeinsam genutzt wurde, wird sie im Navigationsbereich für die Prinzipale, für die sie freigegeben wurde, im Abschnitt Für mich freigegeben angezeigt.

  8. Ordnen Sie das Konto VPCs im (Haupt-) Konto der Resolver-Regel zu, die vom Shared Services- oder Netzwerkkonto gemeinsam genutzt wurde.

Weitere Informationen finden Sie in der AWS RAM Dokumentation unter Gemeinsame Nutzung Ihrer AWS Ressourcen.

Allgemein AWS

Testen Sie die DNS Namensauflösung für ausgehende Nachrichten.

Testen Sie die Namensauflösung, indem Sie das Hilfsprogramm nslookup oder dig für Instanzen VPC in einem Konto verwenden, für das Sie die Resolver-Regel gemeinsam genutzt haben.

Die Abfrage sollte die IP-Adresse einer Ressource ergeben, die sich in Ihrem lokalen Rechenzentrum befindet.

Allgemein AWS

Zugehörige Ressourcen