Configurar la DNS resolución para redes híbridas en un entorno de múltiples cuentas AWS - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar la DNS resolución para redes híbridas en un entorno de múltiples cuentas AWS

Creado por Amir Durrani

Entorno: producción

Tecnologías: infraestructura; redes

AWSservicios: AWS RAM Amazon Route 53; Torre AWS de Control

Resumen

Este patrón describe cómo puede utilizar los servicios del Sistema de nombres de dominio (DNS) locales con las reglas de Amazon Route 53 Resolver y los puntos de enlace salientes del Resolver para la resolución de nombres.

DNSes fundamental para establecer y mantener las comunicaciones entre los entornos de red. Si tiene un entorno de conectividad de red híbrida, puede compartir servicios de red críticos, como DNS Active Directory, sin la carga operativa que supone administrar un entorno distribuido entre cuentas y nubes privadas virtuales (VPCs). Este enfoque le ayuda a crear y dar soporte a aplicaciones que abarcan un gran número de cuentas. Por ejemplo, si tiene cientos o miles de cuentas multirregionales con requisitos de conectividad híbrida, puede compartir DNS servicios de forma segura y eficiente en todos los entornos conectados de su AWS organización.

DNSes fundamental para las redes IP en todos los niveles (web, de aplicación y base de datos) de una aplicación. Se recomienda dar acceso total a este recurso únicamente al equipo de DNS expertos para configurar, operar y dar soporte a este recurso. En un entorno de conectividad híbrida, puede seguir utilizando su entorno local DNS para las solicitudes de resolución de nombres que se originen en recursos que residen en diferentes cuentas mediante el reenvío condicional.

Este patrón abarca la DNS resolución híbrida en un entorno de AWS varias cuentas. Para cuentas individuales, consulte el patrón Configurar la DNS resolución para redes híbridas en un entorno de una sola cuenta AWS.

Requisitos previos y limitaciones

Requisitos previos 

  • Un entorno de AWS múltiples cuentas que se basa en las mejores prácticas y que se ha creado con AWSControl Tower. El diagrama de la siguiente sección muestra la arquitectura típica de un entorno de este tipo.

  • Infraestructura de enrutamiento escalable entre las cuentas y VPCs mediante AWSTransit Gateway.

  • Los puntos de conexión salientes de Resolver y las reglas de Resolver utilizan Amazon Route 53.

  • Recursos compartidos para las reglas de Resolver salientes mediante AWSResource Access Manager (AWSRAM).

Arquitectura

AWSarquitectura multicuenta

Arquitectura multicuenta en AWS

Pila de tecnología de destino

  • Una DNS infraestructura local existente para la resolución de nombres salientes en una gran cantidad de entidades principales AWS 

  • Reglas de Route 53 Resolver y puntos de conexión de salida de Resolver.

  • AWSRAMpara compartir las reglas de Route 53 Resolver con otros AWS directores dentro y fuera de la organización AWS

Arquitectura de destino

El siguiente diagrama muestra los pasos para configurar la DNS resolución end-to-end híbrida. AWSRAMse utiliza para compartir las reglas de Route 53 Resolver y los puntos finales del Resolver, que se configuran y administran desde la cuenta central de Shared Services. Los puntos finales de Route 53 Resolver están configurados para que cada zona de disponibilidad reciba las solicitudes de resolución de nombres salientes de los recursos que residen en el centro de datos local y, a continuación, las reenvíen a los solucionadores locales. DNS Los DNS solucionadores locales envían las respuestas de resolución de nombres a los puntos finales de salida, que luego las reenvían al solucionador. VPC Estos pasos establecen la end-to-end comunicación mediante el uso de nombres de host en lugar de direcciones IP.

Compartir los puntos finales del Resolver con los principales AWS

El siguiente diagrama muestra la arquitectura con más detalle.

AWS network architecture diagram showing shared services, accounts, VPCs, and connections to on-premises infrastructure.

Automatizar y escalar

Puede configurar y compartir las reglas de Route 53 Resolver AWS RAM mediante AWS CloudFormation plantillas. 

Herramientas

AWSservicios

  • AWSControl Tower le ayuda a configurar y administrar un entorno de AWS múltiples cuentas, siguiendo las mejores prácticas prescriptivas.

  • AWSResource Access Manager (AWSRAM) le ayuda a compartir de forma segura sus recursos entre AWS las cuentas para reducir los gastos operativos y ofrecer visibilidad y auditabilidad.

  • Amazon Route 53 es un servicio DNS web escalable y de alta disponibilidad.

Herramientas adicionales

  • nslookup y dig son utilidades para consultar registrosDNS.

Epics

TareaDescripciónHabilidades requeridas

Configure los puntos de conexión y las reglas del Resolver saliente de Route 53.

  1. Inicie sesión en la consola AWS de administración de la AWS cuenta que desee configurar y desde la que desee compartir la regla Route 53 Outbound Resolver.

  2. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  3. En la barra de navegación, elija la región en la que desea configurar un punto de conexión del Resolver.

  4. En el panel de navegación, seleccione Outbound endpoints (Puntos de conexión de salida) y, a continuación, elija Configure endpoints (Configurar puntos de conexión).

  5. Proporcione la configuración general, las direcciones IP y la información de etiquetas opcional y, a continuación, seleccione Siguiente.

  6. Cree una o más reglas para especificar los nombres de dominio de las DNS consultas que desee reenviar a la red y, a continuación, seleccione Guardar.

Para obtener más información, consulte Reenviar DNS consultas salientes a la red en la documentación de Route 53.

General AWS

Cree y comparta las reglas de resolución saliente de Route 53 con los AWS directores.

  1. Abra la AWS RAM consola en. https://console.aws.amazon.com/ram/

  2. En el panel de navegación, seleccione Resource shares (Recursos compartidos) y, a continuación, elija Create resource share (Crear recurso compartido).

  3. Proporcione un nombre para compartir.

  4. Para el tipo de recurso, elija Reglas de Resolver.

  5. Elija la regla de resolución que desee compartir, proporcione la información opcional sobre la clave y el valor de la etiqueta y, a continuación, seleccione Siguiente.

  6. Elija las entidades principales con las que desea compartir el recurso de reglas de Resolver. Los directores pueden ser internos o externos a su AWS organización. Por ejemplo, puede elegir su AWS organización, una unidad organizativa (OU) específica de la organización o una cuenta específica.

  7. Revise y cree el recurso compartido.

    Una vez creado y compartido el recurso, aparece en la sección Shared with me (Compartido conmigo) del panel de navegación de las entidades principales con las que se comparte.

  8. Asocia VPCs la cuenta (principal) a la regla de resolución que compartieron los servicios compartidos o la cuenta de red.

Para obtener más información, consulte Compartir AWS los recursos en la AWS RAM documentación.

General AWS

Pruebe la resolución de los DNS nombres salientes.

Pruebe la resolución de nombres mediante la utilidad nslookup o dig en las instancias de una VPC cuenta con la que haya compartido la regla de resolución.

La consulta debe resolverse en la dirección IP de un recurso que reside en el centro de datos en las instalaciones.

General AWS

Recursos relacionados