Einrichten der DNS-Auflösung für Hybridnetzwerke in einer AWS-Umgebung mit mehreren Konten - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsPolenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten der DNS-Auflösung für Hybridnetzwerke in einer AWS-Umgebung mit mehreren Konten

Erstellt von Amir Durrani

Umgebung: Produktion

Technologien: Infrastruktur; Netzwerk

AWS-Services: AWS RAM; Amazon Route 53; AWS Control Tower

Übersicht

Dieses Muster beschreibt, wie Sie On-Premises-DNS-Services (Domain Name System) mit Amazon Route 53-Resolver-Regeln und ausgehenden Resolver-Endpunkten zur Namensauflösung verwenden können.

DNS ist für den Aufbau und die Aufrechterhaltung der Kommunikation zwischen Netzwerkumgebungen von grundlegender Bedeutung. Wenn Sie über eine hybride Netzwerkkonnektivitätsumgebung verfügen, können Sie kritische Netzwerkservices wie DNS und Active Directory gemeinsam nutzen, ohne den betrieblichen Aufwand für die Verwaltung einer verteilten Umgebung über -Konten und Virtual Private Clouds (VPCs ). Dieser Ansatz hilft Ihnen beim Erstellen und Unterstützen von Anwendungen, die sich über eine große Anzahl von Konten erstrecken. Wenn Sie beispielsweise über Hunderte oder Tausende von Konten mit Hybrid-Konnektivitätsanforderungen in mehreren Regionen verfügen, können Sie DNS-Services sicher und effizient in allen verbundenen Umgebungen innerhalb Ihrer AWS-Organisation freigeben.

DNS ist für das IP-Netzwerk zwischen allen Ebenen (Web, Anwendung und Datenbank) einer Anwendung von entscheidender Bedeutung. Es hat sich bewährt, nur dem Team von DNS-Experten vollen Zugriff auf die Konfiguration, den Betrieb und die Unterstützung dieser Ressource zu gewähren. In einer Hybrid-Konnektivitätsumgebung können Sie Ihr On-Premises-DNS weiterhin für Anforderungen zur Namensauflösung verwenden, die von Ressourcen stammen, die sich in verschiedenen Konten befinden, indem Sie die bedingte Weiterleitung verwenden.

Dieses Muster behandelt die hybride DNS-Auflösung in einer AWS-Umgebung mit mehreren Konten. Informationen zu einzelnen Konten finden Sie im Muster DNS-Auflösung für hybride Netzwerke in einer AWS-Umgebung mit einem einzigen Konto einrichten.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Eine AWS-Umgebung mit mehreren Konten, die auf bewährten Methoden basiert und mit AWS Control Tower erstellt wurde. Das Diagramm im nächsten Abschnitt zeigt die typische Architektur einer solchen Umgebung.

  • Skalierbare Routing-Infrastruktur zwischen den Konten und VPCs mithilfe von AWS Transit Gateway .

  • Ausgehende Resolver-Endpunkte und Resolver-Regeln mithilfe von Amazon Route 53.

  • Ressourcenfreigaben für ausgehende Resolver-Regeln mithilfe von AWS Resource Access Manager (AWS RAM).

Architektur

AWS-Architektur mit mehreren Konten

Architektur mit mehreren Konten in AWS

Zieltechnologie-Stack

  • Eine vorhandene On-Premises-DNS-Infrastruktur für die Auflösung ausgehender Namen für eine große Anzahl von AWS-Prinzipalen 

  • Route 53-Resolver-Regel und ausgehende Resolver-Endpunkte

  • AWS RAM zum Freigeben von Route 53 Resolver-Regeln für andere AWS-Prinzipale innerhalb und außerhalb der AWS-Organisation

Zielarchitektur

Das folgende Diagramm zeigt die Schritte zur Konfiguration der end-to-end Hybrid-DNS-Auflösung. AWS RAM wird verwendet, um die Route 53 Resolver-Regeln und Resolver-Endpunkte gemeinsam zu nutzen, die über das zentrale Shared Services-Konto konfiguriert und verwaltet werden. Route 53-Resolver-Endpunkte sind für jede Availability Zone so konfiguriert, dass sie die ausgehenden Namensauflösungsanforderungen für die Ressourcen empfängt, die sich im On-Premises-Rechenzentrum befinden, und diese Anforderungen dann an die On-Premises-DNS-Resolver weiterleitet. Die On-Premises-DNS-Resolver senden die Antworten auf die Namensauflösung an die ausgehenden Endpunkte, die die Antworten dann an den VPC-Resolver weiterleiten. Diese Schritte richten die end-to-end Kommunikation mithilfe von Hostnamen anstelle von IP-Adressen ein.

Freigeben von Resolver-Endpunkten mit AWS-Prinzipalen

Das folgende Diagramm zeigt die Architektur detaillierter.

Automatisierung und Skalierung

Sie können Route 53 Resolver-Regeln über AWS RAM konfigurieren und freigeben, indem Sie AWS- CloudFormation Vorlagen verwenden. 

Tools

AWS-Services

  • AWS Control Tower unterstützt Sie bei der Einrichtung und Verwaltung einer AWS-Umgebung mit mehreren Konten gemäß den vorgeschrieben bewährten Methoden.

  • Mit AWS Resource Access Manager (AWS RAM) können Sie Ihre Ressourcen sicher über AWS-Konten hinweg freigeben, um den betrieblichen Aufwand zu reduzieren und Transparenz und Überprüfbarkeit zu gewährleisten.

  • Amazon Route 53 ist ein hochverfügbarer und skalierbarer DNS-Web-Service.

Zusätzliche Tools

  • nslookup und dig sind Hilfsprogramme für die Abfrage von DNS-Datensätzen.

Polen

AufgabeBeschreibungErforderliche Fähigkeiten

Konfigurieren Sie ausgehende Route 53-Resolver-Endpunkte und -Regeln.

  1. Melden Sie sich bei der AWS-Managementkonsole für das AWS-Konto an, von dem aus Sie die ausgehende Route 53-Resolver-Regel konfigurieren und freigeben möchten.

  2. Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  3. Wählen Sie in der Navigationsleiste die Region aus, in der Sie den Resolver-Endpunkt konfigurieren möchten.

  4. Wählen Sie im Navigationsbereich Ausgehende Endpunkte und dann Endpunkte konfigurieren aus.

  5. Geben Sie allgemeine Einstellungen, IP-Adressen und optionale Tag-Informationen an und wählen Sie dann Weiter aus.

  6. Erstellen Sie eine oder mehrere Regeln, um die Domänennamen der DNS-Abfragen anzugeben, die Sie an Ihr Netzwerk weiterleiten möchten, und wählen Sie dann Speichern aus.

Weitere Informationen finden Sie unter Weiterleiten ausgehender DNS-Abfragen an Ihr Netzwerk in der Route 53-Dokumentation.

Allgemeines AWS

Erstellen Sie ausgehende Route 53-Resolver-Regeln und geben Sie sie für AWS-Prinzipale frei.

  1. Öffnen Sie die AWS RAM-Konsole unter https://console.aws.amazon.com/ram/.

  2. Wählen Sie im Navigationsbereich Ressourcenfreigaben und dann Ressourcenfreigabe erstellen aus.

  3. Geben Sie einen Freigabenamen an.

  4. Wählen Sie als Ressourcentyp Resolver-Regeln aus.

  5. Wählen Sie die Resolver-Regel aus, die Sie freigeben möchten, geben Sie optionale Tag-Schlüssel- und Wertinformationen an und wählen Sie dann Weiter aus.

  6. Wählen Sie die Prinzipale aus, für die Sie die Resolver-Regelressource freigeben möchten. Prinzipale können sich innerhalb oder außerhalb Ihrer AWS-Organisation befinden. Sie können beispielsweise Ihre AWS-Organisation, eine bestimmte Organisationseinheit (OU) innerhalb der Organisation oder ein bestimmtes Konto auswählen.

  7. Überprüfen und erstellen Sie die Ressourcenfreigabe.

    Nachdem die Ressource erstellt und freigegeben wurde, wird sie im Abschnitt Mit mir geteilt im Navigationsbereich für die Prinzipale angezeigt, für die sie freigegeben wurde.

  8. Ordnen Sie die VPCs im (Prinzipal-)Konto der Resolver-Regel zu, die von den freigegebenen Services oder dem Netzwerkkonto freigegeben wurde.

Weitere Informationen finden Sie unter Freigeben Ihrer AWS-Ressourcen in der AWS RAM-Dokumentation.

Allgemeines AWS

Testen Sie die ausgehende DNS-Namensauflösung.

Testen Sie die Namensauflösung, indem Sie das Dienstprogramm nslookup oder dig auf Instances in einer VPC in einem Konto verwenden, für das Sie die Resolver-Regel freigegeben haben.

Die Abfrage sollte in die IP-Adresse einer Ressource in Ihrem On-Premises-Rechenzentrum aufgelöst werden.

Allgemeines AWS

Zugehörige Ressourcen