Descripción de Amazon DNS
Uno de los componentes básicos de la red con el que se encuentran los arquitectos o los administradores de AWS es el servidor de Amazon DNS, también conocido como Route 53 Resolver. Este servicio de resolución de DNS está integrado de forma nativa en cada zona de disponibilidad de su región de AWS, lo que brinda una solución fiable y escalable para la resolución de nombres de dominio dentro de su nube privada virtual (VPC). En esta sección, obtendrá información sobre las direcciones IP del servidor DNS de Amazon, los nombres de host DNS privados que puede resolver y las reglas que rigen su uso.
Contenido
Servidor DNS de Amazon
Route 53 Resolver (también llamado “servidor DNS de Amazon” o “AmazonProvidedDNS”) es un servicio de resolución de DNS integrado en cada zona de disponibilidad de una región de AWS. Route 53 Resolver se encuentra en 169.254.169.253
(IPv4), fd00:ec2::253
(IPv6) y en el rango de CIDR de IPV4 privado principal aprovisionado en su VPC más dos. Por ejemplo, si tiene una VPC con un CIDR de IPv4 de 10.0.0.0/16
y un CIDR de IPv6 de 2001:db8::/32
, puede comunicarse con Route 53 Resolver en 169.254.169.253
(IPv4), fd00:ec2::253
(IPv6) o 10.0.0.2
(IPv4). Los recursos de una VPC utilizan una dirección de enlace local para las consultas de DNS. Estas consultas se transportan al Route 53 Resolver de forma privada y no están visibles en la red. En una subred exclusiva para IPv6, se puede seguir accediendo a la dirección de enlace local IPv4 (169.254.169.253) siempre que «AmazonProvidedDNS» sea el nombre del servidor en el conjunto de opciones de DHCP.
Al lanzar una instancia en una VPC, dicha instancia, se le proporciona una instancia con un nombre de anfitrión de DNS privado. También se le proporciona un nombre de anfitrión de DNS público si la instancia está configurada con una dirección IPv4 pública y los atributos DNS de la VPC están habilitados.
El formato del nombre de host DNS privado depende de cómo configure la instancia EC2 al lanzarla. Para obtener más información sobre los tipos de nombres de host DNS privados, consulte Nombres de instancias EC2.
El servidor DNS de Amazon de la VPC se utiliza para resolver los nombres de dominio de DNS que especifique en una zona alojada privada en Route 53. Para obtener más información acerca de las zonas alojadas privadas, consulte Funcionamiento de las zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53.
Reglas y consideraciones
Cuando se utiliza el servidor de Amazon DNS, se aplican las siguientes reglas y consideraciones.
-
No puede filtrar tráfico hacia o desde el servidor DNS de Amazon mediante ACL de red o grupos de seguridad.
-
Los servicios que utilizan el marco de trabajo de Hadoop, por ejemplo, Amazon EMR, requieren que las instancias resuelvan sus propios nombres completos de dominio (FQDN). En estos casos, la resolución de DNS puede producir error si la opción
domain-name-servers
está establecida con un valor predeterminado. Para asegurarse de que la resolución de DNS se realiza correctamente, considere la posibilidad de añadir un programa de envío condicional que reenvíe las consultas del dominio
al servidor DNS de Amazon. Para obtener más información, consulte Configuración de una VPC para alojar clústeres en la Guía de administración de Amazon EMR.region-name
.compute.internal -
Amazon Route 53 Resolver sólo admite consultas DNS recursivas.
Nombre de host DNS
Cuando lanza una instancia, esta siempre recibe una dirección IPv4 privada y un nombre de anfitrión de DNS privado que corresponde dicha dirección IPv4 privada. Si la instancia tiene una dirección IPv4 pública, los atributos del DNS de la VPC determinan si recibe un nombre de anfitrión de DNS público correspondiente a la dirección IPv4 pública. Para obtener más información, consulte Atributos de DNS en la VPC.
Con el servidor DNS proporcionado por Amazon habilitado, los nombres de anfitrión de DNS se asignan y resuelven de la siguiente manera.
Nombre de DNS de IP privada (solo IPv4)
Puede utilizar el nombre de alojamiento DNS de IP privada (solo IPv4) para la comunicación entre instancias de la misma VPC. Puede resolver los nombres de alojamiento DNS de IP privada (solo IPv4) de otras instancias en otras VPC siempre que las instancias estén en la misma región de AWS y el nombre de alojamiento de la otra instancia se encuentre en el rango de espacio de direcciones privadas definido por RFC 191810.0.0.0 - 10.255.255.255 (10/8 prefix)
, 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
y 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
.
Nombre de DNS de recursos privados
El nombre de DNS basado en RBN que se puede resolver en los registros DNS A y AAAA seleccionados para esta instancia. Este nombre de host DNS está visible en los detalles de la instancia para las instancias de subredes de doble pila y solo IPv6. Para obtener más información sobre RBN, consulte Tipos de nombres de host de instancias EC2.
DNS IPv4 público
Un nombre de host DNS IPv4 público (externo) tiene el formato ec2-
para la región public-ipv4-address
.compute-1.amazonaws.com.rproxy.goskope.comus-east-1
y el formato ec2-
para las demás regiones. El servidor DNS de Amazon resuelve un nombre de host DNS público en la dirección IPv4 pública de la instancia fuera de la red de la instancia y en la dirección IPv4 privada de la instancia desde dentro de la red de la instancia. Para obtener más información, consulte Direcciones IPv4 públicas y nombres de host DNS externos en la Guía del usuario de Amazon EC2.public-ipv4-address
.region
.compute.amazonaws.com
Atributos de DNS en la VPC
Los siguientes atributos de la VPC determinan la compatibilidad del DNS proporcionada para la VPC. Si ambos atributos están habilitados, una instancia lanzada en la VPC recibe un nombre de anfitrión de DNS público si se le asigna una dirección IPv4 pública o una dirección IP elástica al momento de la creación. Si habilita ambos atributos para una VPC que no los tenía previamente inhabilitados, las instancias ya iniciadas en esa VPC recibirán nombres de anfitrión de DNS público si tienen una dirección IPv4 pública o una dirección IP elástica.
Para verificar si los atributos están habilitados para la VPC, consulte Ver y actualizar los atributos de DNS de su VPC.
Atributo | Descripción |
---|---|
enableDnsHostnames |
Determina si la VPC admite la asignación de nombres de anfitrión de DNS público a las instancias con direcciones IP públicas. El valor predeterminado de este atributo es |
enableDnsSupport |
Determina si la VPC admite la resolución de DNS a través del servidor DNS proporcionado por Amazon. Si este atributo es El valor predeterminado de este atributo es |
Reglas y consideraciones
-
Si los dos atributos están configurados con el valor
true
, se producirán las siguientes situaciones:-
Las instancias con direcciones IP públicas obtienen los nombres de anfitrión de DNS público correspondientes.
-
El servidor Amazon Route 53 Resolver puede resolver los nombres de host de DNS privados proporcionados por Amazon.
-
-
Si al menos uno de los atributos se establece en
false
, ocurriría lo siguiente:-
Las instancias con direcciones IP públicas no obtienen los nombres de anfitrión de DNS público correspondientes.
-
El servidor Amazon Route 53 Resolver no puede resolver los nombres de host de DNS privados proporcionados por Amazon.
-
Las instancias reciben nombres de host DNS privados personalizados si hay un nombre de dominio personalizado en el conjunto de opciones de DHCP. Si no está utilizando el servidor Amazon Route 53 Resolver, sus servidores de nombres de dominio personalizados deberán resolver el nombre de host según corresponda.
-
-
Si utiliza nombres de dominio de DNS personalizados definidos en una zona alojada privada en Amazon Route 53 o utiliza un DNS privado con puntos de enlace de la VPC de interfaz (AWS PrivateLink), debe establecer los atributos
enableDnsHostnames
yenableDnsSupport
entrue
. -
El Amazon Route 53 Resolver puede resolver nombres de host de DNS privados en direcciones IPv4 privadas para todos los espacios de direcciones, incluido aquél en el que el rango de direcciones IPv4 de la VPC queda fuera de los rangos de direcciones IPv4 privadas especificados por RFC 1918
. Sin embargo, si creó la VPC antes de octubre de 2016, Amazon Route 53 Resolver no resuelve los nombres de host DNS privados si el intervalo de direcciones IPv4 de la VPC queda fuera de estos intervalos. Para habilitar esta compatibilidad, póngase en contacto con AWS Support . -
Si usa la interconexión con VPC, debe habilitar ambos atributos para ambas VPC y habilitar la resolución de DNS para la conexión de interconexión. Para obtener más información, consulte Habilitación de la resolución de DNS para la conexión de emparejamiento de VPC.
Cuotas de DNS
Hay un límite de 1024 paquetes por segundo (PPS) para los servicios que utilizan direcciones locales de enlace. Este límite incluye la suma de las consultas de DNS de Route 53 Resolver, las solicitudes del servicio de metadatos de instancias (IMDS), las solicitudes del protocolo de tiempo de red (NTP) del servicio temporal de Amazon y las solicitudes del Servicio de licencias de Windows (para instancias basadas en Microsoft Windows)
El número de consultas de DNS por segundo que Route 53 Resolver admite varía según el tipo de consulta, el tamaño de respuesta y el protocolo en uso. Para obtener más información y recomendaciones para una arquitectura de DNS escalable, consulte la guía técnica AWS Hybrid DNS with Active Directory
Si alcanza la cuota, Amazon Route 53 Resolver rechaza el tráfico. Algunas de las causas para alcanzar la cuota pueden ser un problema de limitación controlada de DNS o consultas de metadatos de instancia que utilizan la interfaz de red de Route 53 Resolver. Para obtener información sobre cómo resolver problemas de limitación de DNS de VPC, consulte Cómo puedo determinar si mis consultas de DNS en el servidor DNS proporcionado por Amazon están fallando debido a la limitación de DNS de VPC
Zonas alojadas privadas
Para acceder a los recursos de la VPC mediante nombres de dominio de DNS personalizados, como example.com
, en lugar de utilizar direcciones IPv4 privadas o nombres de alojamiento de DNS privados proporcionados por AWS, puede crear una zona alojada privada en Route 53. Una zona alojada privada es un contenedor que mantiene información acerca de cómo se desea dirigir el tráfico de un dominio y sus subdominios dentro de una o varias VPC sin tener que exponer sus recursos en Internet. A continuación, puede crear conjuntos de registros de recursos de Route 53, que determinan cómo responde Route 53 a las consultas para el dominio y los subdominios. Por ejemplo, si desea que las solicitudes del navegador se dirijan a un servidor web en su VPC, creará un registro A en su zona hospedada privada y especificará la dirección IP en ese servidor web. Para obtener más información acerca de la creación de una zona alojada privada, consulte Uso de zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53.
Para obtener acceso a recursos utilizando nombres de dominio DNS personalizados, debe estar conectado a una instancia en su VPC. Desde su instancia, puede comprobar que su recurso de la zona hospedada privada esté accesible desde su nombre DNS personalizado mediante el comando ping
; por ejemplo, ping mywebserver.example.com
. (Debe asegurarse de que las reglas del grupo de seguridad de su instancia permiten el tráfico ICMP entrante para que el comando ping
funcione).
Las zonas alojadas privadas no admitirán las relaciones transitivas fuera de la VPC; por ejemplo, no es posible obtener acceso a sus recursos utilizando sus nombres DNS privados personalizados desde el otro lado de una conexión VPN.
importante
Si utiliza nombres de dominio DNS personalizados definidos en una zona alojada privada en Amazon Route 53, debe establecer los atributos enableDnsHostnames
y enableDnsSupport
en true
.