Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configura la risoluzione DNS per reti ibride in un ambiente multi-account AWS
Creato da Anvesh Koganti (AWS)
Riepilogo
Questo modello fornisce una soluzione completa per configurare la risoluzione DNS in ambienti di rete ibridi che includono più account Amazon Web Services (AWS). Consente la risoluzione DNS bidirezionale tra le reti locali e l'ambiente tramite gli endpoint. AWS Amazon Route 53 Resolver Il modello presenta due soluzioni per abilitare la risoluzione DNS in un'architettura centralizzata e multi-account:
La configurazione di base non utilizza i profili Route 53. Aiuta a ottimizzare i costi per implementazioni di piccole e medie dimensioni con complessità inferiore.
La configurazione avanzata utilizza i profili Route 53 per semplificare le operazioni. È ideale per implementazioni DNS più grandi o più complesse.
Nota
Consulta la sezione Limitazioni per le limitazioni e le quote del servizio prima dell'implementazione. Prendi in considerazione fattori come le spese generali di gestione, i costi, la complessità operativa e l'esperienza del team quando prendi una decisione.
Prerequisiti e limitazioni
Prerequisiti
Un ambiente AWS multi-account con Amazon Virtual Private Cloud (Amazon VPC) distribuito su Shared Services e account di carico di lavoro (preferibilmente configurato tramite AWS Control Tower AWS seguendo le best practice per la struttura degli account).
Connettività ibrida esistente (AWS Direct Connect o AWS Site-to-Site VPN) tra la rete locale e l'ambiente. AWS
Peering Amazon VPC o Cloud AWS WAN per la AWS Transit Gateway connettività di rete Layer 3 tra. VPCs (Questa connettività è necessaria per il traffico delle applicazioni. Non è necessario per il funzionamento della risoluzione DNS. La risoluzione DNS funziona indipendentemente dalla connettività di rete tra.) VPCs
Server DNS in esecuzione nell'ambiente locale.
Limitazioni
Gli endpoint, le regole e i profili di Route 53 Resolver sono costrutti regionali e potrebbero richiedere la replica in più parti per le organizzazioni globali. Regioni AWS
Architettura
Stack tecnologico Target
Endpoint Route 53 in uscita e in entrata
Regole di Route 53 Resolver per l'inoltro condizionale
AWS Resource Access Manager (AWS RAM)
Zona ospitata privata Route 53
Architettura Target
Endpoint in uscita e in entrata
Il diagramma seguente mostra il flusso di risoluzione DNS da a on-premise. AWS Questa è la configurazione della connettività per le risoluzioni in uscita in cui il dominio è ospitato in locale. Di seguito è riportata una panoramica di alto livello del processo necessario per configurarlo. Per i dettagli, consulta la sezione Epics.
Distribuisci gli endpoint Route 53 Resolver in uscita nel VPC di Shared Services.
Crea regole Route 53 Resolver (regole di inoltro) nell'account Shared Services per i domini ospitati in locale.
Condividi e associa le regole ad altri account che ospitano le risorse necessarie per risolvere i domini ospitati in locale. VPCs Questa operazione può essere eseguita in diversi modi a seconda del caso d'uso, come descritto più avanti in questa sezione.
Dopo aver configurato la connettività, i passaggi necessari per la risoluzione in uscita sono i seguenti:
L'istanza Amazon Elastic Compute Cloud (Amazon EC2) invia una richiesta di risoluzione DNS
db.onprem.example.comal Route 53 Resolver del VPC all'indirizzo VPC+2.Route 53 Resolver controlla le regole del Resolver e inoltra la richiesta al server DNS locale utilizzando l'endpoint in uscita. IPs
L'endpoint in uscita inoltra la richiesta al DNS locale. IPs Il traffico passa attraverso la connettività di rete ibrida stabilita tra il VPC di Shared Services e il data center locale.
Il server DNS locale risponde all'endpoint in uscita, che quindi inoltra la risposta al Route 53 Resolver del VPC. Il Resolver restituisce la risposta all'istanza. EC2
Il diagramma seguente mostra il flusso di risoluzione DNS dall'ambiente locale a. AWS Questa è la configurazione della connettività per le risoluzioni in entrata su cui è ospitato il dominio. AWS Di seguito è riportata una panoramica di alto livello del processo necessario per configurarlo. Per i dettagli, consulta la sezione Epics.
Distribuisci gli endpoint Resolver in ingresso nel VPC di Shared Services.
Crea zone private ospitate nell'account Shared Services (approccio centralizzato).
Associa le zone ospitate private al VPC di Shared Services. Condividi e associa queste zone a più account VPCs per la risoluzione VPC-to-VPC DNS. Questa operazione può essere eseguita in diversi modi a seconda del caso d'uso, come descritto più avanti in questa sezione.
Dopo aver configurato la connettività, i passaggi necessari per la risoluzione in entrata sono i seguenti:
La risorsa locale invia una richiesta di risoluzione DNS
ec2.prod.aws.example.comal server DNS locale.Il server DNS locale inoltra la richiesta all'endpoint Resolver in ingresso nel VPC di Shared Services tramite la connessione di rete ibrida.
L'endpoint Resolver in entrata cerca la richiesta nella zona ospitata privata associata con l'aiuto del Resolver VPC Route 53 e ottiene l'indirizzo IP appropriato.
Questi indirizzi IP vengono rispediti al server DNS locale, che restituisce la risposta alla risorsa locale.
Questa configurazione consente alle risorse locali di risolvere i nomi di dominio AWS privati instradando le query attraverso gli endpoint in entrata verso la zona ospitata privata appropriata. In questa architettura, le zone private ospitate sono centralizzate in un VPC di Shared Services, che consente la gestione centralizzata del DNS da parte di un singolo team. Queste zone possono essere associate a molte VPCs per risolvere il caso d'uso della risoluzione VPC-to-VPC DNS. In alternativa, potresti voler delegare la proprietà e la gestione del dominio DNS a ciascuna di esse. Account AWS In tal caso, ogni account gestisce le proprie zone ospitate private e associa ciascuna zona al VPC centrale di Shared Services per una risoluzione unificata con l'ambiente locale. Questo approccio decentralizzato non rientra nell'ambito di questo modello. Per ulteriori informazioni, consulta Scalare la gestione DNS su più account e VPCs nel white paper Hybrid Cloud DNS Options for Amazon VPC.
Quando stabilisci i flussi di risoluzione DNS fondamentali utilizzando gli endpoint Resolver, devi determinare come gestire la condivisione e l'associazione delle regole Resolver e delle zone ospitate private tra le tue. Account AWSÈ possibile affrontare questo problema in due modi: tramite la condivisione autogestita utilizzando le regole del Resolver AWS RAM per condividere e le associazioni dirette di zone ospitate private, come dettagliato nella sezione Configurazione di base, o tramite i profili Route 53, come discusso nella sezione Configurazione avanzata. La scelta dipende dalle preferenze di gestione DNS e dai requisiti operativi dell'organizzazione. I seguenti diagrammi di architettura illustrano un ambiente scalabile che include più account VPCs su diversi account, che rappresenta una tipica implementazione aziendale.
Configurazione di base
Nella configurazione di base, l'implementazione per la risoluzione DNS ibrida in un AWS ambiente multi-account utilizza AWS RAM la condivisione delle regole di inoltro di Resolver e delle associazioni di zone ospitate private per gestire le query DNS tra locale e risorse. AWS Questo metodo utilizza endpoint Route 53 Resolver centralizzati in un VPC di Shared Services connesso alla rete locale per gestire in modo efficiente la risoluzione DNS in entrata e in uscita.
Per la risoluzione in uscita, le regole di inoltro Resolver vengono create nell'account Shared Services e quindi condivise con altri utenti tramite. Account AWS AWS RAM Questa condivisione è limitata agli account all'interno della stessa regione. Gli account di destinazione possono quindi associare queste regole alle proprie VPCs e abilitare le risorse di tali account VPCs per risolvere i nomi di dominio locali.
Per la risoluzione in entrata, le zone ospitate private vengono create nell'account Shared Services e associate al VPC di Shared Services. Queste zone possono quindi essere associate VPCs ad altri account utilizzando l'API Route 53 o AWS Command Line Interface ()AWS CLI. AWS SDKs Le risorse associate VPCs possono quindi risolvere i record DNS definiti nelle zone ospitate private, creando una vista DNS unificata in tutto l'ambiente. AWS
Il diagramma seguente mostra i flussi di risoluzione DNS in questa configurazione di base.
Questa configurazione funziona bene quando lavori con un'infrastruttura DNS su scala limitata. Tuttavia, può diventare difficile da gestire man mano che l'ambiente cresce. Il sovraccarico operativo legato alla gestione VPCs individuale della zona ospitata privata e delle regole del Resolver aumenta notevolmente con la scalabilità. Inoltre, le quote di servizio come il limite di associazione di 300 VPC per zona ospitata privata possono diventare fattori vincolanti nelle implementazioni su larga scala. La configurazione avanzata risolve queste sfide.
Configurazione avanzata
I profili Route 53 offrono una soluzione semplificata per la gestione della risoluzione DNS in reti ibride su più reti. Account AWS Invece di gestire le zone private ospitate e le regole Resolver singolarmente, è possibile raggruppare le configurazioni DNS in un unico contenitore che può essere facilmente condiviso e applicato su più VPCs account in una regione. Questa configurazione mantiene l'architettura degli endpoint Resolver centralizzata in un VPC di Shared Services semplificando al contempo in modo significativo la gestione delle configurazioni DNS.
Il diagramma seguente mostra i flussi di risoluzione DNS in una configurazione avanzata.
I profili Route 53 consentono di raggruppare associazioni di zone ospitate private, regole di inoltro Resolver e regole firewall DNS in un'unica unità condivisibile. È possibile creare profili nell'account Shared Services e condividerli con gli account dei membri utilizzando. AWS RAM Quando un profilo viene condiviso e applicato a Target VPCs, tutte le associazioni e le configurazioni necessarie vengono gestite automaticamente dal servizio. Ciò riduce in modo significativo il sovraccarico operativo della gestione DNS e offre un'eccellente scalabilità per ambienti in crescita.
Automazione e scalabilità
Utilizza strumenti Infrastructure as Code (IaC) come AWS CloudFormation o Terraform per effettuare il provisioning e gestire automaticamente gli endpoint, le regole, le zone ospitate private e i profili di Route 53 Resolver. Integra la configurazione DNS con pipeline di integrazione continua e distribuzione continua (CI/CD) per coerenza, ripetibilità e aggiornamenti rapidi.
Strumenti
Servizi AWS
AWS Resource Access Manager (AWS RAM) consente di condividere in modo sicuro le risorse Account AWS per ridurre il sovraccarico operativo e fornire visibilità e verificabilità.
Amazon Route 53 Resolverrisponde in modo ricorsivo alle richieste DNS provenienti dalle AWS risorse ed è disponibile per impostazione predefinita in tutte. VPCs Puoi creare endpoint Resolver e regole di inoltro condizionale per risolvere i namespace DNS tra il tuo data center locale e il tuo. VPCs
La zona ospitata privata di Amazon Route 53 è un contenitore che contiene informazioni su come desideri che Route 53 risponda alle query DNS per un dominio e i relativi sottodomini.
I profili Amazon Route 53 consentono di applicare e gestire configurazioni Route 53 relative al DNS su molte VPCs e diverse configurazioni Account AWS in modo semplificato.
Best practice
Questa sezione fornisce alcune delle migliori pratiche per ottimizzare Route 53 Resolver. Queste rappresentano un sottoinsieme delle best practice di Route 53. Per un elenco completo, consulta Best practice per Amazon Route 53.
Evita le configurazioni in loop con gli endpoint Resolver
Progetta la tua architettura DNS per prevenire il routing ricorsivo pianificando attentamente le associazioni VPC. Quando un VPC ospita un endpoint in entrata, evita di associarlo a regole Resolver che potrebbero creare riferimenti circolari.
Utilizzalo AWS RAM in modo strategico quando condividi le risorse DNS tra account per mantenere percorsi di routing puliti.
Per ulteriori informazioni, consulta Evita le configurazioni dei loop con gli endpoint Resolver nella documentazione di Route 53.
Scale gli endpoint di Resolver
Per gli ambienti che richiedono un numero elevato di query al secondo (QPS), tieni presente che esiste un limite di 10.000 QPS per ENI in un endpoint. ENIs È possibile aggiungerne altri a un endpoint per scalare DNS QPS.
CloudWatch Forniture
InboundQueryVolumeeOutboundQueryVolumeparametri di Amazon (consulta la CloudWatch documentazione). Ti consigliamo di impostare regole di monitoraggio che ti avvisino se la soglia supera un determinato valore (ad esempio, l'80% di 10.000 QPS).Configura regole stateful security group per gli endpoint Resolver per evitare che i limiti di tracciamento delle connessioni causino la limitazione delle query DNS durante il traffico ad alto volume. Per ulteriori informazioni su come funziona il tracciamento delle connessioni nei gruppi di sicurezza di Amazon, consulta il monitoraggio delle connessioni dei gruppi di EC2 sicurezza Amazon nella EC2 documentazione di Amazon.
Per ulteriori informazioni, consulta Resolver Endpoint Scaling nella documentazione di Route 53.
Fornisci un'elevata disponibilità per gli endpoint Resolver
Crea endpoint in entrata con indirizzi IP in almeno due zone di disponibilità per la ridondanza.
Fornisci interfacce di rete aggiuntive per garantire la disponibilità durante la manutenzione o i picchi di traffico.
Per ulteriori informazioni, consulta Alta disponibilità per gli endpoint Resolver nella documentazione di Route 53.
Epiche
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Implementa un endpoint in entrata. | Route 53 Resolver utilizza l'endpoint in entrata per ricevere query DNS dai resolver DNS locali. Per istruzioni, consulta Inoltro delle query DNS in entrata al tuo nella documentazione di Route 53. VPCs Prendi nota dell'indirizzo IP dell'endpoint in entrata. | Amministratore AWS, amministratore cloud |
Implementa un endpoint in uscita. | Route 53 Resolver utilizza l'endpoint in uscita per inviare query DNS ai resolver DNS locali. Per istruzioni, consulta Inoltro delle query DNS in uscita alla rete nella documentazione di Route 53. Prendi nota dell'ID dell'endpoint di output. | Amministratore AWS, amministratore cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Crea una zona ospitata privata per un dominio ospitato su AWS. | Questa zona contiene i record DNS per le risorse in un dominio AWS ospitato (ad esempio, Quando crei una zona ospitata privata, devi associare un VPC alla zona ospitata di proprietà dello stesso account. A tale scopo, selezionare il VPC di Shared Services. | Amministratore AWS, amministratore cloud |
Configurazione di base: associa la zona ospitata privata VPCs ad altri account. | Se utilizzi la configurazione di base (vedi la sezione Architettura): Per consentire alle risorse dell'account membro di VPCs risolvere i record DNS in questa zona ospitata privata, devi VPCs associare la tua alla zona ospitata. È necessario autorizzare l'associazione e quindi crearla a livello di codice. Per istruzioni, consulta Associare un Amazon VPC e una zona ospitata privata che hai creato con Account AWS diversi nella documentazione di Route 53. | Amministratore AWS, amministratore cloud |
Configurazione avanzata: configura e condividi i profili Route 53. | Se utilizzi una configurazione avanzata (consulta la sezione Architettura):
NotaA seconda della struttura dell'organizzazione e dei requisiti DNS, potrebbe essere necessario creare e gestire più profili per account o carichi di lavoro diversi. | Amministratore AWS, amministratore cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Crea una regola di inoltro per un dominio ospitato in locale. | Questa regola indicherà a Route 53 Resolver di inoltrare qualsiasi query DNS per i domini locali (ad esempio) ai resolver DNS locali. | Amministratore AWS, amministratore cloud |
Configurazione di base: condividi e associa la regola di inoltro VPCs a quella di altri account. | Se utilizzi la configurazione di base: Affinché la regola di inoltro abbia effetto, devi condividerla e associarla VPCs a quella di altri account. Route 53 Resolver prende quindi in considerazione la regola quando risolve un dominio. Per istruzioni, consulta Condivisione delle regole del Resolver con altri utenti Account AWS e utilizzo di regole condivise e Associazione delle regole di inoltro a un VPC nella documentazione di Route 53. | Amministratore AWS, amministratore cloud |
Configurazione avanzata: configura e condividi i profili Route 53. | Se utilizzi una configurazione avanzata:
NotaA seconda della struttura dell'organizzazione e dei requisiti DNS, potrebbe essere necessario creare e gestire più profili per account o carichi di lavoro diversi. | Amministratore AWS, amministratore cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Configura l'inoltro condizionale nei resolver DNS locali. | Affinché le query DNS vengano inviate AWS dall'ambiente locale per la risoluzione, è necessario configurare l'inoltro condizionale nei resolver DNS locali in modo che puntino all'indirizzo IP dell'endpoint in entrata. Ciò indica ai resolver DNS di inoltrare tutte le query DNS per il dominio ospitato (ad esempio, for) all'indirizzo IP dell'endpoint in entrata per la AWS risoluzione da parte di Route 53 Resolver. | Amministratore di rete |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Verifica la risoluzione DNS dall' AWS ambiente locale. | Da un'istanza in un VPC a cui è associata la regola di inoltro, esegui una query DNS per un dominio ospitato in locale (ad esempio, per). | Amministratore di rete |
Verifica la risoluzione DNS dall'ambiente locale a. AWS | Da un server locale, esegui la risoluzione DNS per un dominio AWS ospitato (ad esempio, per). | Amministratore di rete |
Risorse correlate
Opzioni DNS cloud ibrido per Amazon VPC (white paper)AWS
Utilizzo di zone ospitate private (documentazione Route 53)
Guida introduttiva a Route 53 Resolver (documentazione Route 53)
Semplifica la gestione DNS in un ambiente con più account con Route 53 Resolver
(post sul blog)AWS Unifica la gestione DNS utilizzando profili Amazon Route 53 con più VPCs e Account AWS
(AWS post di blog) Migrazione del tuo ambiente DNS multi-account ai profili Amazon Route 53
(AWS post del blog) Utilizzo dei profili Amazon Route 53 per AWS ambienti scalabili con più account
(AWS post sul blog)
