本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在多帳戶AWS環境中設定混合網路的DNS解析度
由 Amir Durrani 建立
Summary
此模式說明如何搭配 Amazon Route 53 Resolver 規則和傳出解析程式端點使用內部部署網域名稱系統 (DNS) 服務,以進行名稱解析。
DNS 是跨網路環境建立和維護通訊的基礎。如果您有混合網路連線環境,您可以共用重要的網路服務,例如 DNS和 Active Directory,而不必負擔管理跨帳戶和虛擬私有雲端 () 的分散式環境的操作負擔VPCs。此方法可協助您建置和支援跨越大量帳戶的應用程式。例如,如果您有數百個或數千個具有混合連線需求的多區域帳戶,您可以安全地且有效率地在AWS組織中的所有連線環境中共用DNS服務。
DNS 對應用程式的所有層 (網路、應用程式和資料庫) 之間的 IP 聯網至關重要。最佳實務是僅提供DNS專家團隊完整存取權,以設定、操作和支援此資源。在混合連線環境中,您可以透過使用條件式轉送,繼續將內部部署用於來自不同帳戶中資源DNS的名稱解析請求。
此模式涵蓋AWS多帳戶環境中的混合DNS解析度。對於單一帳戶,請參閱在單一帳戶AWS環境中設定混合網路DNS解析度的模式。
先決條件和限制
先決條件
以最佳實務為基礎並使用 AWS Control Tower 建置的AWS多帳戶環境。下一節的圖表顯示這類環境的典型架構。
VPCs 使用 AWS Transit Gateway 在帳戶與 之間擴展路由基礎設施。
使用 Amazon Route 53 的傳出解析程式端點和解析程式規則。
使用 Resource AWS Access Manager ( ) 進行傳出解析程式規則的資源共用RAM。AWS
架構
AWS 多帳戶架構
目標技術堆疊
現有的內部部署DNS基礎設施,用於解決大量AWS主體的傳出名稱
Route 53 解析程式規則和傳出解析程式端點
AWS RAM 用於與AWS組織內外的其他AWS主體共用 Route 53 Resolver 規則
目標架構
下圖說明設定 end-to-end混合DNS解析度的步驟。 AWS RAM 用於共用 Route 53 Resolver 規則和 Resolver 端點,這些端點是從中央共用服務帳戶設定和管理。Route 53 Resolver 端點會針對每個可用區域設定,以接收駐留在內部部署資料中心之資源的傳出名稱解析請求,然後將這些請求轉送至內部部署DNS解析程式。內部部署DNS解析程式會將名稱解析回應傳送至傳出端點,然後將回應轉送至VPC解析程式。這些步驟使用主機名稱而非 IP 地址來建立 end-to-end通訊。
下圖更詳細地顯示架構。
自動化和擴展
您可以使用 AWS CloudFormation 範本AWSRAM透過 設定和共用 Route 53 Resolver 規則。
工具
AWS 服務
AWS Control Tower 可協助您設定和管理AWS多帳戶環境,並遵循規範最佳實務。
AWS Resource Access Manager (AWS RAM) 可協助您在AWS帳戶之間安全地共用資源,以減少營運開銷並提供可見性和可稽核性。
Amazon Route 53 是高度可用且可擴展的 DNS Web 服務。
其他工具
nslookup 和 dig 是查詢DNS記錄的公用程式。
史詩
| 任務 | 描述 | 所需的技能 |
|---|---|---|
設定 Route 53 傳出解析程式端點和規則。 |
如需詳細資訊,請參閱 Route 53 文件中的轉送傳出DNS查詢到您的網路。 | 一般 AWS |
建立 Route 53 傳出解析程式規則並與AWS主體共用。 |
如需詳細資訊,請參閱 AWS RAM 文件中的共用您的 AWS 資源。 | 一般 AWS |
測試傳出DNS名稱解析。 | 在您共用解析程式規則的 帳戶中,使用 nslookup 或 dig 公用程式VPC來測試名稱解析。 查詢應解析為您內部部署資料中心內資源的 IP 地址。 | 一般 AWS |
相關資源
解決DNS混合環境中的現場部署
(影片) 將傳出DNS查詢轉送到您的網路 (Route 53 文件)
共用您的AWS資源 (AWS RAM 文件)
