Informazioni su Amazon DNS - Amazon Virtual Private Cloud
Server DNS AmazonRegole e considerazioniHostname DNSAttributi DNS nel VPCQuote per DNSZone ospitate private

Informazioni su Amazon DNS

In qualità di architetto o amministratore di AWS, uno dei componenti di rete fondamentali che incontrerai è il server Amazon DNS, noto anche come Route 53 Resolver. Questo servizio di resolver DNS è integrato nativamente in ogni zona di disponibilità all'interno della Regione AWS, fornendo una soluzione affidabile e scalabile per la risoluzione dei nomi di dominio all'interno del cloud privato virtuale (VPC). In questa sezione verranno illustrati gli indirizzi IP del server Amazon DNS, i nomi host DNS privati che può risolvere e le regole che ne regolano l'utilizzo.

Server DNS Amazon

Il resolver Route 53 (denominato anche "server DNS Amazon" o "AmazonProvidedDNS") è un servizio resolver DNS integrato in ogni zona di disponibilità in una regione AWS. Il risolutore Route 53 è collocato su 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) e sull'intervallo CIDR IPV4 privato primario fornito al VPC più due. Ad esempio, se hai un VPC con un CIDR IPv4 10.0.0.0/16 e un CIDR IPv6 2001:db8::/32, puoi raggiungere il risolutore Route 53 solo su 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) o 10.0.0.2 (IPv4). Le risorse all'interno di un VPC utilizzano un indirizzo link-local per le query DNS. Queste query vengono trasferite privatamente al Route 53 Resolver e non sono visibili sulla rete. In una sottorete solo IPv6, l'indirizzo link-local IPv4 (169.254.169.253) è ancora raggiungibile purché “AmazonProvidedDNS” sia il server dei nomi nel set di opzioni DHCP.

Quando avvii un'istanza in un VPC, noi le assegniamo un nome host DNS privato. Se l'istanza è configurata con un indirizzo IPv4 pubblico e gli attributi DNS VPC sono abilitati, forniamo anche un nome host DNS pubblico.

Il formato del nome host DNS privato dipende da come si configura l'istanza EC2 al momento dell'avvio. Per ulteriori informazioni sui tipi di nomi host DNS privati, consulta Tipi di nomi host delle istanze Amazon EC2 nella Guida per l'utente di Amazon EC2.

Il server Amazon DNS nel VPC viene utilizzato per risolvere i nomi di dominio DNS specificati in una zona ospitata privata di Route 53. Per ulteriori informazioni sulle zone ospitate private, consulta la sezione relativa all'Utilizzo di zone ospitate private nella Guida per gli sviluppatori di Amazon Route 53.

Regole e considerazioni

Se utilizzi il server DNS Amazon, si applicano le seguenti regole e considerazioni.

  • Non è possibile filtrare il traffico da e verso un server Amazon DNS utilizzando le liste di controllo degli accessi di rete o i gruppi di sicurezza.

  • I servizi che utilizzano il framework Hadoop, come Amazon EMR, richiedono che le istanze risolvano i propri nomi di dominio pienamente qualificati (fully qualified domain names, FQDN). In questi casi, la risoluzione DNS può avere Esito negativo se l'opzione domain-name-servers è impostata su un valore personalizzato. Per garantire una corretta risoluzione DNS, prendi in considerazione l'aggiunta di un server di inoltro condizionale sul server DNS per inoltrare query sul dominio region-name.compute.internal al server DNS Amazon. Per maggiori informazioni, consulta Impostazione di un VPC per ospitare cluster nella Guida alla gestione di Amazon EMR.

  • Il risolutore Amazon Route 53 supporta solo query DNS ricorsive.

Hostname DNS

Quando avvii un'istanza, questa riceve sempre un indirizzo IPv4 privato e un nome host DNS privato corrispondente al relativo indirizzo IPv4 privato. Se l'istanza dispone di un indirizzo IPv4 pubblico, gli attributi DNS per il VPC determinano se riceve un nome host DNS pubblico corrispondente all'indirizzo IPv4 pubblico. Per ulteriori informazioni, consultare Attributi DNS nel VPC.

Con il server DNS fornito da Amazon abilitato, i nomi host DNS vengono assegnati e risolti come segue.

Nome DNS IP privato (solo IPv4)

Puoi utilizzare il nome host DNS IP privato (solo IPv4) per la comunicazione tra istanze all'interno dello stesso VPC. Puoi risolvere i nomi host del nome DNS IP privato (solo IPv4) di altre istanze in altri VPC purché le istanze si trovino nella stessa regione AWS e il nome host dell'altra istanza si trovi nell'intervallo di spazio degli indirizzi privati definito da RFC 1918: 10.0.0.0 - 10.255.255.255 (10/8 prefix), 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) e 192.168.0.0 - 192.168.255.255 (192.168/16 prefix).

Nome DNS delle risorse private

Il nome DNS basato su RBN che può essere risolto nei registri DNS A e AAAA selezionati per questa istanza. Questo nome host DNS è visibile nei dettagli dell'istanza per le istanze nelle sottoreti dual-stack e solo IPv6. Per ulteriori informazioni su RBN, consultare Tipi di nomi host delle istanze EC2.

DNS IPv4 pubblico

Un nome host DNS IPv4 (esterno) pubblico assume la forma ec2-public-ipv4-address.compute-1.amazonaws.com per la regione us-east-1 e ec2-public-ipv4-address.region.compute.amazonaws.com per altre regioni. Il server Amazon DNS risolve un nome host DNS pubblico per 'indirizzo IPv4 pubblico dell'istanza al di fuori della rete dell'istanza e nell'indirizzo IPv4 privato dell'istanza all'interno della rete dell'istanza. Per ulteriori informazioni, consulta Indirizzi IPv4 pubblici e nomi host DNS esterni nella Guida dell'utente di Amazon EC2.

Attributi DNS nel VPC

I seguenti attributi VPC determinano il supporto DNS fornito per il VPC. Se entrambi gli attributi sono abilitati e se al momento della creazione viene assegnato un indirizzo IPv4 pubblico o un indirizzo IP elastico, un'istanza avviata nel VPC riceve un nome host DNS pubblico. Se abiliti entrambi gli attributi per un VPC che in precedenza non li avevano entrambi abilitati, le istanze già avviate in quel VPC ricevono nomi host DNS pubblici, se dispongono di un indirizzo IPv4 pubblico o un indirizzo IP elastico.

Per controllare se il VPC sia abilitato per questi attributi, consulta Visualizzazione e aggiornamento degli attributi DNS per il VPC.

Attributo Descrizione
enableDnsHostnames

Determina se il VPC supporti l'assegnazione di nomi host DNS pubblici alle istanze con indirizzi IP pubblici.

Il valore di default per questo attributo è false a meno che il VPC non sia un VPC di default. Esamina le regole e considerazioni relative a questo attributo riportate di seguito.
enableDnsSupport

Determina se il VPC supporti la risoluzione DNS tramite il server DNS fornito da Amazon.

Se questo attributo è true, le query al DNS fornito da Amazon hanno esito positivo. Per ulteriori informazioni, consultare Server DNS Amazon.

Il valore di default per questo attributo è true. Esamina le regole e considerazioni relative a questo attributo riportate di seguito.
Regole e considerazioni

  • Se Entrambi gli attributi sono impostati su true, si verifica quanto segue:

    • Le istanze con un indirizzo IP pubblico ricevono i nomi host DNS pubblici corrispondenti.

    • Il server Amazon Route 53 Resolver può risolvere i nomi host DNS privati forniti da Amazon.

  • Se almeno uno degli attributi è impostato su false, avviene quanto segue:

    • Le istanze con un indirizzo IP pubblico non ricevono nomi host DNS pubblici corrispondenti.

    • Amazon Route 53 Resolver non può risolvere i nomi host DNS privati forniti da Amazon.

    • Le istanze ricevono nomi host DNS privati personalizzati se è presente un nome di dominio personalizzato nel set di opzioni DHCP. Se non si utilizza il server Amazon Route 53 Resolver, i server dei nomi dei domini personalizzati devono risolvere il nome host come appropriato.

  • Se utilizzi nomi di dominio DNS personalizzati definiti in una zona ospitata privata in Amazon Route 53 o un DNS privato con endpoint VPC di interfaccia (AWS PrivateLink), è necessario impostare gli attributi enableDnsHostnames e enableDnsSupport su true.

  • Amazon Route 53 Resolver può risolvere nomi host DNS privati in indirizzi IPv4 privati per tutti gli spazi indirizzi, incluso dove l'intervallo indirizzi IPv4 del VPC non rientra negli intervalli di indirizzi IPv4 privati specificati da RFC 1918. Tuttavia, se il VPC è stato creato prima di ottobre 2016, Amazon Route 53 Resolver non risolve i nomi host DNS privati se l'intervallo di indirizzi IPv4 del VPC non rientra in questi intervalli. Per abilitare il supporto, contatta AWS Support.

  • Se utilizzi il peering VPC, devi abilitare entrambi gli attributi per entrambi i VPC e abilitare la risoluzione DNS per la connessione peering. Per ulteriori informazioni, consulta Abilitazione della risoluzione DNS per una connessione peering VPC.

Quote per DNS

Esiste un limite di 1024 pacchetti al secondo (PPS) per i servizi che utilizzano indirizzi link-local. Questo limite include l'aggregato di query DNS di Route 53 Resolver, richieste del servizio di metadati di istanza (IMDS), richieste Amazon Time Service Network Time Protocol (NTP) e richieste Windows Licensing Service (per istanze basate su Microsoft Windows). Questa quota non può essere aumentata.

Il numero di query DNS al secondo supportate da Route 53 Resolver varia in base al tipo di query, alla dimensione della risposta e al protocollo in uso. Per ulteriori informazioni e suggerimenti sulle architetture DNS scalabili, consulta la guida tecnica DNS ibrido AWS con Active Directory.

Se raggiungi la quota, il Route 53 Resolver rifiuta il traffico. Alcune delle cause per raggiungere la quota potrebbero essere un problema di limitazione DNS o query di metadati di istanza che utilizzano l'interfaccia di rete di Route 53 Resolver. Per informazioni su come risolvere i problemi di limitazione DNS del VPC, vedere Come posso determinare se le mie query DNS verso il server DNS fornito da Amazon non stanno funzionando per via del throttiling DNS del VPC. Per informazioni sul recupero dei metadati delle istanze, consulta Recupero dei metadati dell'istanza nella Guida per l'utente di Amazon EC2.

Zone ospitate private

Se desideri accedere alle risorse nel VPC utilizzando nomi di dominio DNS personalizzati, ad esempio example.com, anziché utilizzare indirizzi IPv4 privati o nomi host DNS privati forniti da AWS, puoi creare una zona ospitata privata in Route 53. Una zona ospitata privata è un container che contiene informazioni su come si desidera instradare il traffico per un dominio e i relativi sottodomini all'interno di uno o più VPC senza esporre le risorse su Internet. Puoi quindi creare set di record di risorse Route 53, che determinano come Route 53 risponde a query per il dominio e per i sottodomini. Ad esempio, se desideri che le richieste browser per example.com vengano instradate a un server Web nel VPC, crea un record A nella zona ospitata privata e specifica l'indirizzo IP di tale server Web. Per ulteriori informazioni sulla creazione di una zona ospitata privata, consulta la sezione relativa all'utilizzo di zone ospitate private nella Guida per gli sviluppatori di Amazon Route 53.

Per accedere alle risorse utilizzando nomi dominio DNS personalizzati, devi essere connesso a un'istanza all'interno del VPC. Dall'istanza, puoi verificare che la risorsa nella zona ospitata privata è accessibile dal suo nome DNS personalizzato utilizzando il comando ping; ad esempio, ping mywebserver.example.com. (Per il corretto funzionamento del comando ping, devi accertarti che le regole del gruppo di sicurezza dell'istanza consentano traffico ICMP in entrata.)

Le zone ospitate private non supportano relazioni transitive all'esterno del VPC; ad esempio, non puoi accedere alle risorse utilizzando i relativi nomi DNS privati personalizzati dall'altro lato di una connessione VPN.

Importante

Se utilizzi nomi di dominio DNS personalizzati definiti in una zona ospitata privata in Amazon Route 53, devi impostare entrambi gli attributi enableDnsHostnames e enableDnsSupport su true.