Lab 1 - Configuring Route 53 Resolver Endpoints

标题: 实验 1 - 配置 Route 53 Resolver 端点 权重: 1

摘要

在本模块中,我们将配置 Route 53 出站和入站端点。

下面的图表来自 reInvent 2019 的一个演示(见此处 )关于混合 DNS 和 Route 53 resolver。该演示详细介绍了入站端点、出站端点和解析器规则。

如果这是由主持人主导的沉浸式日活动的一部分,请向我们的主持人咨询我们将在哪个区域工作。

收集 Route 53 Resolver 规则的信息

  1. AWS Directory Service 控制台 导航窗格中,选择目录

  2. 选择名为 corp.example.com 的 AWS 托管 Microsoft AD 的目录 ID

  3. 在详细信息页面上,请注意我们的目录的网络详细信息部分的"DNS 地址"值,如下所示。

配置入站和出站 Route 53 Resolver

  1. 登录 AWS 管理控制台并打开 Route 53 Resolver 控制台

我们可能会在实验环境中遇到错误。我们已禁用我们注册公共 DNS 域的能力。我们可以忽略此实验室的此错误。

  1. 选择配置端点

  2. 对于基本配置,选择入站和出站,然后选择下一步

  1. 对于配置入站端点,输入以下内容并选择下一步

要使我们的本地 DNS 基础设施能够查询 Route 53 Resolver 以获取托管在 Route 53 上的任何 DNS 区域(例如,私有托管区域),我们需要创建 Route 53 入站端点。入站端点允许其他 DNS 解析器(例如,本地 DNS 解析器)查询 Route 53 Resolver 以进行 DNS 解析。创建入站端点时,AWS 会在我们指定的每个可用区(AZ)中创建一个弹性网络接口(ENI),此端点将接收入站 DNS 查询。AWS 将弹性网络接口(ENI)放入我们的子网中,并将这些 IP 地址分配给 ENI。

       a. 端点名称: R53-InboundEndpoint

       b. 该区域的 VPC: AD-ID-VPC

       c. 此端点的安全组: 选择名为 AD-ID-R53-Resolver-SG 的安全组。

       d. 端点类型: IPv4

       e. 在IP 地址 #1下:              1. 可用区: xx-xxxx-xa。              2. 子网: AD-ID-Subnet1。              3. 选择自动选择 IPv4 地址

       f. 在IP 地址 #2下:              1. 可用区: xx-xxxx-xb。              2. 子网: AD-ID-Subnet2。              3. 选择自动选择 IPv4 地址

  1. 对于配置出站端点,输入以下内容并选择下一步。 出站端点使 Route 53 Resolver 能够将 DNS 查询转发到托管在 Route 53 之外的 DNS 域。创建 Route 53 出站端点时,AWS 将在我们指定的可用区(AZ)中创建一个弹性网络接口(ENI)。AWS 将弹性网络接口(ENI)放入我们的子网中,并将这些 IP 地址分配给 ENI。

       a. 端点名称: R53-OutboundEndpoint

       b. 该区域的 VPC: AD-ID-VPC

       c. 此端点的安全组: 选择名为 AD-ID-R53-Resolver-SG 的安全组。

       d. 端点类型: IPv4

       e. 在IP 地址 #1下:              1. 可用区: xx-xxxx-xa。              2. 子网: AD-ID-Subnet1。              3. 选择自动选择 IPv4 地址

       f. 在IP 地址 #2下:              1. 可用区: xx-xxxx-xb。              2. 子网: AD-ID-Subnet2。              3. 选择自动选择 IPv4 地址

  1. 对于创建规则,输入以下内容并选择下一步

Route 53 Resolver 规则允许两种操作: 转发或系统。使用转发规则,我们可以配置 Route 53 解析器以将特定 DNS 域的 DNS 查询转发到外部 DNS 解析器(例如,我们的本地 DNS 服务器)。使用系统规则,Route 53 解析器将查询其层次结构以进行名称解析(私有 DNS 区域、VPC DNS 和公共 DNS)。

我们将配置 Route 53 Resolver 以将 corp.example.com 的查询转发到另一个 DNS 解析器(在本例中为 AWS 托管 Microsoft AD)。这是将 Active Directory 与 Route 53 Resolver 集成的推荐解决方案。在这里,VPC DNS 解析器(Route 53 Resolver)负责解析除 corp.example.com 域之外的所有内容。

在实际场景中,请不要忘记创建规则以将 VPC 子网转发到 AWS 托管 AD DNS 地址,覆盖每个自动定义的规则。有关更多信息,请参见 文章。

我们可以应用上述相同的解决方案,将源自 AWS 的查询(针对托管在本地的域)从 Route 53 Resolver 转发到本地 DNS 解析器。在这里,我们将创建转发规则以针对本地 DNS 解析器的 IP 地址。

       a. 名称: ManagedAdDnsForwarder

       b. 规则类型: 转发

       c. 域名: corp.example.com

       d. 使用此规则的 VPC: AD-ID-VPC

       e. 出站端点: R53-OutboundEndpoint

       f. 对于目标 IP 地址,请指定我们在步骤 3中记下的两个 AWS 托管 Microsoft AD 域控制器的 IP 地址。选择添加目标以添加第二个 IP 地址。

       g. 选择提交

  1. 对于查看和创建,请查看我们的选择并选择提交

几分钟后,屏幕将显示我们已成功配置了端点。

测试解析器规则和 R53 端点

  1. 打开 Route 53 Resolver 控制台

  2. 在左侧导航窗格中选择入站端点

  3. 选择我们刚刚创建的入站端点的ID

  4. 记下入站端点的 2 个 IP 地址。

  1. 打开 AWS Systems Manager Fleet Manager - Remote Desktop 控制台

  2. 选择添加新会话,选择名为 MAD-MGMT01 的节点,然后选择添加

  3. 选择用户凭证,输入以下内容,然后选择连接

       a. 用户名: corp\Admin

       b. 密码: 在 MadAdminSecret 密钥中。

我们可以在此处 获取密码密钥检索说明。

  1. 右键单击开始并选择Windows PowerShell (管理员)。在提升的 Windows PowerShell 窗口中,运行以下命令以验证 R53 出站解析器是否正常工作:
Resolve-DnsName -Name 'corp.example.com' -Server '169.254.169.253' -DnsOnly
  1. 在同一提升的 Windows PowerShell 窗口中,运行以下命令以验证 R53 入站解析器是否正常工作:

请确保将 x.x.x.x 替换为上述步骤 4中注意到的其中一个 IP 地址。

Resolve-DnsName -Name 'corp.example.com' -Server 'x.x.x.x' -DnsOnly

我们应该会收到包含 Active Directory 域的正确 IP 地址的 DNS 响应。

解析器会缓存 DNS 查询一段时间,时间由解析器的生存时间(TTL)决定。Route 53 Resolver 会缓存源自 VPC 的查询,并从缓存中响应以加快响应速度。例如,假设 VPC 中的一个 EC2 实例提交了对 accounting.example.com 的请求,Resolver 会缓存该查询的响应并记录该查询。如果同一实例的 ENI 在 Resolver 缓存的 TTL 内对 accounting.example.com 进行查询,Resolver 将从缓存中响应该查询