Comprendre Amazon DNS - Amazon Virtual Private Cloud
Serveur Amazon DNSRègles et considérationsNoms d'hôte DNS pour les instances EC2 Attributs DNS pour votre VPCQuotas DNSZones hébergées privées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre Amazon DNS

En tant qu' AWS architecte ou administrateur, l'un des composants réseau fondamentaux que vous rencontrerez est le serveur DNS Amazon, également connu sous le nom de Route 53 Resolver. Ce service de résolution DNS est intégré de manière native dans chaque zone de disponibilité de votre AWS région, fournissant une solution fiable et évolutive pour la résolution de noms de domaine au sein de votre Virtual Private Cloud (VPC). Dans cette section, vous découvrirez les adresses IP du serveur Amazon DNS, les noms d’hôte DNS privés qu’il peut résoudre et les règles qui régissent son utilisation.

Serveur Amazon DNS

Le résolveur Route 53 (également appelé « serveur DNS Amazon » ou « AmazonProvided DNS ») est un service de résolution DNS intégré à chaque zone de disponibilité d'une AWS région. Le résolveur Route 53 se trouve à 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) et dans la plage d'adresses IPV4 CIDR privée principale allouée à votre VPC, plus deux. Par exemple, si vous avez un VPC avec un IPv4 CIDR 10.0.0.0/16 et un IPv6 CIDR de2001:db8::/32, vous pouvez accéder au résolveur Route 53 à l'adresse 169.254.169.253 (IPv4), () ou fd00:ec2::253 (IPv6). 10.0.0.2 IPv4 Les ressources d’un VPC utilisent une adresse locale de lien pour les requêtes DNS. Ces requêtes sont transportées vers Route 53 Resolver en mode privé et ne sont pas visibles sur le réseau. Dans un sous-réseau IPv6 uniquement, l'adresse IPv4 lien-local (169.254.169.253) est toujours accessible tant que « AmazonProvided DNS » est le serveur de noms dans le jeu d'options DHCP.

Lorsque vous lancez une instance dans un VPC, nous fournissons l'instance avec un nom d'hôte DNS privé. Nous fournissons également un nom d'hôte DNS public si l'instance est configurée avec une IPv4 adresse publique et si les attributs DNS du VPC sont activés.

Le format du nom d'hôte DNS privé dépend de la façon dont vous configurez l' EC2 instance lorsque vous la lancez. Pour plus d'informations sur les types de noms d'hôtes DNS privés, consultez les types de noms d'hôtes d' EC2 instance Amazon dans le guide de EC2 l'utilisateur Amazon.

Le serveur Amazon DNS dans votre VPC est utilisé pour résoudre les noms de domaine DNS que vous spécifiez dans une zone hébergée privée dans Route 53. Pour de plus amples informations sur les zones hébergées privées, veuillez consulter Utilisation des zones hébergées privées dans le Guide du développeur Amazon Route 53.

Règles et considérations

Lors de l'utilisation du serveur Amazon DNS, les règles et considérations suivantes s'appliquent.

  • Vous ne pouvez pas filtrer le trafic à destination ou en provenance du serveur DNS Amazon à l'aide de groupes de réseau ACLs ou de sécurité.

  • Les services qui utilisent le framework Hadoop, tels que Amazon EMR, ont besoin d'instances pour résoudre leurs propres noms de domaine complets (FQDN). Dans de tels cas, une résolution DNS peut échouer si l'option domain-name-servers est définie comme valeur personnalisée. Pour garantir une résolution DNS appropriée, pensez à ajouter un redirecteur conditionnel à votre serveur DNS pour faire suivre les requêtes pour le domaine region-name.compute.internal vers le serveur Amazon DNS. Pour plus d'informations, veuillez consulter Configuration d'un VPC pour héberger des clusters dans le Guide de gestion Amazon EMR.

  • Amazon Route 53 Resolver ne prend en charge que les requêtes DNS récursives.

Noms d'hôte DNS pour les instances EC2

Lorsque vous lancez une instance, elle reçoit toujours une IPv4 adresse privée et un nom d'hôte DNS privé qui correspondent à son IPv4 adresse privée. Si votre instance possède une IPv4 adresse publique, les attributs DNS de son VPC déterminent si elle reçoit un nom d'hôte DNS public correspondant à l'adresse publique. IPv4 Pour de plus amples informations, veuillez consulter Attributs DNS pour votre VPC.

Lorsque le serveur DNS fourni par Amazon est activé, les noms d'hôte DNS sont résolus comme suit.

Nom IPv4 DNS privé

Le nom d'hôte IPv4 DNS privé d'une instance est remplacé par son IPv4 adresse privée. Vous pouvez utiliser le nom d'hôte IPv4 DNS privé pour la communication entre les instances d'un même VPC ou celles connectées. VPCs Pour plus d'informations, consultez la section IPv4 Adresses privées dans le guide de EC2 l'utilisateur Amazon.

Nom IPv4 DNS public

Le nom d'hôte IPv4 DNS public d'une instance est remplacé par son IPv4 adresse publique (en dehors du réseau de l'instance) ou son IPv4 adresse privée (à l'intérieur du réseau de l'instance). Pour plus d'informations, consultez la section IPv4 Adresses publiques dans le guide de EC2 l'utilisateur Amazon.

Pour convertir les noms IPv4 DNS publics en IPv4 adresses privées via une connexion d'appairage VPC, vous devez activer la résolution DNS pour la connexion d'appairage. Pour plus d'informations, consultez Activation de la résolution DNS pour une connexion d'appairage de VPC.

Private resource DNS name (Nom DNS de la ressource privée)

Nom DNS basé sur RBN qui peut se traduire par les enregistrements DNS A et AAAA sélectionnés pour cette instance. Ce nom d'hôte DNS est visible dans les détails de l'instance pour les instances situées dans des sous-réseaux à double pile ou uniquement IPv6. Pour plus d'informations sur le RBN, consultez les types de noms d'hôte des EC2 instances dans le guide de EC2 l'utilisateur Amazon.

Attributs DNS pour votre VPC

Les attributs VPC suivants déterminent la prise en charge DNS fournie pour votre VPC. Si les deux attributs sont activés, une instance lancée dans le VPC reçoit un nom d'hôte DNS public si une adresse publique ou une IPv4 adresse IP élastique lui est attribuée lors de sa création. Si vous activez les deux attributs pour un VPC sur lequel ils n'étaient pas tous les deux activés auparavant, les instances déjà lancées dans ce VPC reçoivent des noms d'hôte DNS publics si elles possèdent une IPv4 adresse publique ou une adresse IP élastique.

Pour vérifier si votre VPC est activé pour ces attributs, veuillez consulter Afficher et mettre à jour les attributs DNS pour votre VPC.

Attribut Description
enableDnsHostnames

Détermine si le VPC prend en charge l'attribution de noms d'hôtes DNS publics à des instances avec des adresses IP publiques.

La valeur par défaut de cet attribut est false, sauf si le VPC est un VPC par défaut. Notez les règles et considérations relatives à l’attribut ci-dessous.
enableDnsSupport

Détermine si le VPC prend en charge la résolution DNS via le serveur DNS fourni par Amazon.

Si cet attribut est true, les requêtes adressées au serveur DNS fourni par Amazon aboutissent. Pour de plus amples informations, veuillez consulter Serveur Amazon DNS.

La valeur par défaut de cet attribut est true. Notez les règles et considérations relatives à l’attribut ci-dessous.
Règles et considérations

  • Si les deux attributs sont définis sur true, les actions suivantes ont lieu :

    • Les instances avec une adresse IP publique reçoivent les noms d'hôte DNS publics correspondants.

    • Le Amazon Route 53 Resolver serveur peut résoudre les noms d'hôte DNS privés fournis par Amazon.

  • Si au moins un des attributs est défini sur false, les actions suivantes se produisent :

    • Les instances avec une adresse IP publique ne reçoivent pas de noms d'hôte DNS publics correspondants.

    • Amazon Route 53 Resolver Impossible de résoudre les noms d'hôte DNS privés fournis par Amazon.

    • Les instances reçoivent des noms d'hôte DNS privés personnalisés si le jeu d'options DHCP contient un nom de domaine personnalisé. Si vous n'utilisez pas le serveur Amazon Route 53 Resolver , vos serveurs de noms de domaine personnalisés doivent résoudre le nom d'hôte si nécessaire.

  • Si vous utilisez des noms de domaine DNS personnalisés définis dans une zone hébergée privée dans Amazon Route 53 ou un DNS privé avec des points de terminaison de VPC d'interface (AWS PrivateLink), vous devez définir les attributs enableDnsHostnames et enableDnsSupport sur true.

  • Ils Amazon Route 53 Resolver peuvent convertir les noms d'hôtes DNS privés en IPv4 adresses privées pour tous les espaces d'adressage, y compris lorsque la plage d' IPv4 adresses de votre VPC se situe en dehors des plages d'adresses IPv4 privées spécifiées par la RFC 1918. Toutefois, si vous avez créé votre VPC avant octobre 2016, les noms d'hôtes DNS privés Amazon Route 53 Resolver ne seront pas résolus si la plage d' IPv4 adresses de votre VPC se situe en dehors de ces plages. Pour activer la prise en charge correspondante, contactez Support.

Quotas DNS

Il existe une limite de 1 024 paquets par seconde (PPS) pour les services qui utilisent des adresses lien-local. Cette limite inclut l’ensemble des requêtes DNS de Route 53 Resolver, des demandes du service de métadonnées d’instance (IMDS), des demandes de NTP (Amazon Time Service Network Time Protocol) et des demandes de Windows Licensing Service (pour les instances basées sur Microsoft Windows). Ce quota ne peut pas être augmenté.

Le nombre de requêtes DNS par seconde prises en charge par Route 53 Resolver varie selon le type de requête, la taille de la réponse et le protocole utilisé. Pour plus d'informations sur les recommandations relatives à une architecture DNS évolutive, veuillez consulter le Guide technique DNS hybride AWS avec Active Directory.

Si vous atteignez le quota, le Route 53 Resolver rejette le trafic. Certaines des causes de l'atteinte du quota peuvent être un problème de limitation DNS ou des requêtes de métadonnées d'instance qui utilisent l'interface réseau du Route 53 Resolver. Pour plus d'informations sur la résolution des problèmes de limitation DNS VPC, consultez Comment puis-je déterminer si mes requêtes DNS envoyées vers le serveur DNS fourni par Amazon échouent en raison de limitations DNS du VPC ? Pour plus d'informations sur la récupération des métadonnées d'instance, consultez la section Récupérer les métadonnées d'instance dans le guide de EC2 l'utilisateur Amazon.

Zones hébergées privées

Pour accéder aux ressources de votre VPC à l'aide de noms de domaine DNS personnalisés, par exempleexample.com, au lieu d'utiliser des IPv4 adresses privées ou des noms d'hôte DNS privés AWS fournis, vous pouvez créer une zone hébergée privée dans Route 53. Une zone hébergée privée est un conteneur qui contient des informations sur la manière dont vous souhaitez acheminer le trafic pour un domaine et ses sous-domaines au sein d'un ou de plusieurs domaines VPCs sans exposer vos ressources à Internet. Vous pouvez ensuite créer des ensembles d'enregistrements de ressource Route 53, qui déterminent de quelle manière Route 53 répond aux requêtes pour votre domaine et vos sous-domaines. Par exemple, si vous souhaitez que les requêtes du navigateur pour exemple.com soient acheminées vers un serveur Web dans votre VPC, vous devez créer un enregistrement A dans votre zone hébergée privée et spécifier l'adresse IP de ce serveur Web. Pour de plus amples informations sur la création d'une zone hébergée privée, veuillez consulter Utilisation de zones hébergées privées dans le Guide du développeur Amazon Route 53.

Pour accéder aux ressources à l'aide de noms de domaine DNS personnalisés, vous devez être connecté à une instance au sein de votre VPC. À partir de votre instance, vous pouvez tester si la ressource incluse dans votre zone hébergée privée est accessible depuis son nom DNS personnalisé, à l'aide de la commande ping (par exemple, ping mywebserver.example.com). Assurez-vous que les règles de groupe de sécurité de votre instance autorisent le trafic ICMP entrant pour que la commande ping fonctionne.

Les zones hébergées privées ne prennent pas en charge les relations transitives en dehors du VPC. Par exemple, vous ne pouvez pas accéder à vos ressources à l'aide de leurs noms DNS privés personnalisés depuis l'autre extrémité d'une connexion VPN.

Important

Si vous utilisez des noms de domaine DNS personnalisés définis dans une zone hébergée privée dans Amazon Route 53, vous devez définir les attributs enableDnsHostnames et enableDnsSupport sur true.