本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在多帳戶AWS環境中設定混合網路的DNS解析度
由 Amir Durrani 建立
環境:生產 | 技術:基礎設施;聯網 | AWS 服務:AWSRAM;Amazon Route 53;AWSControl Tower |
Summary
此模式說明如何搭配 Amazon Route 53 Resolver 規則和傳出 Resolver 端點使用內部部署網域名稱系統 (DNS) 服務進行名稱解析。
DNS 是建立和維護跨網路環境通訊的基礎。如果您有混合網路連線環境,您可以共用重要的網路服務,例如 DNS和 Active Directory,而不必負擔跨帳戶和虛擬私有雲端管理分散式環境的操作負擔 (VPCs)。此方法可協助您建置和支援跨越大量帳戶的應用程式。例如,如果您有數百或數千個具有混合連線需求的多區域帳戶,您可以安全地且有效率地在AWS組織內所有連線環境共用DNS服務。
DNS 對應用程式的所有層 (網路、應用程式和資料庫) 之間的 IP 聯網至關重要。最佳實務是僅授予DNS專家團隊完整存取權,以設定、操作和支援此資源。在混合連線環境中,您可以透過使用條件式轉送,繼續將內部部署用於來自不同帳戶中之資源DNS的名稱解析請求。
此模式涵蓋AWS多帳戶環境中的混合DNS解析度。對於單一帳戶,請參閱在單一帳戶AWS環境中設定混合網路DNS解析度的模式。
先決條件和限制
先決條件
以最佳實務為基礎並使用 AWS Control Tower 建置的AWS多帳戶環境。下一節的圖表顯示此類環境的典型架構。
VPCs 使用 AWS Transit Gateway ,在帳戶與 之間擴展路由基礎設施。
使用 Amazon Route 53 的 Outbound Resolver 端點和 Resolver 規則。
使用 Resource AWS Access Manager ( ) 進行傳出解析器規則的資源共用RAM。AWS
架構
AWS 多帳戶架構
目標技術堆疊
現有的內部部署DNS基礎設施,用於解決大量AWS主體的傳出名稱
Route 53 Resolver 規則和傳出 Resolver 端點
AWS RAM 用於與AWS組織內外的其他AWS主體共用 Route 53 Resolver 規則
目標架構
下圖說明設定 end-to-end混合DNS解析度的步驟。AWS RAM 用於共用 Route 53 Resolver 規則和 Resolver 端點,這些端點是從中央共用服務帳戶設定和管理。Route 53 Resolver 端點會針對每個可用區域進行設定,以接收駐留在內部部署資料中心之資源的傳出名稱解析請求,然後將這些請求轉送至內部部署DNS解析器。內部部署DNS解析程式會將名稱解析回應傳送至傳出端點,然後將回應轉送給VPC解析程式。這些步驟會使用主機名稱而非 IP 地址建立 end-to-end通訊。
下圖更詳細地顯示 架構。
自動化和擴展
您可以使用 AWS CloudFormation 範本AWSRAM透過 設定和共用 Route 53 Resolver 規則。
工具
AWS 服務
AWS Control Tower 可協助您設定和管理AWS多帳戶環境,並遵循規範最佳實務。
AWS Resource Access Manager (AWS RAM) 可協助您在AWS帳戶之間安全地共用資源,以減少營運開銷並提供可見性和可稽核性。
Amazon Route 53 是高度可用且可擴展的 DNS Web 服務。
其他工具
nslookup 和 dig 是用於查詢DNS記錄的公用程式。
史詩
| 任務 | 描述 | 所需的技能 |
|---|---|---|
設定 Route 53 傳出解析器端點和規則。 |
如需詳細資訊,請參閱 Route 53 文件中的將傳出DNS查詢轉送至您的網路。 | 一般 AWS |
建立 Route 53 傳出解析程式規則並與AWS主體共用。 |
如需詳細資訊,請參閱 AWS RAM 文件中的共用AWS資源。 | 一般 AWS |
測試傳出DNS名稱解析。 | 在您共用解析程式規則的帳戶中,使用 nslookup 或 dig 公用程式VPC在 執行個體上測試名稱解析。 查詢應解析為位於內部部署資料中心內資源的 IP 地址。 | 一般 AWS |
相關資源
解決DNS混合環境中的內部部署
(影片) 將傳出DNS查詢轉送至您的網路 (Route 53 文件)
共用您的AWS資源 (AWS RAM 文件)
