Configure la resolución de DNS para redes híbridas en un entorno de AWS de varias cuentas - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure la resolución de DNS para redes híbridas en un entorno de AWS de varias cuentas

Creado por Amir Durrani

Entorno: producción

Tecnologías: infraestructura; redes

Servicios de AWS: AWS RAM; Amazon Route 53; AWS Control Tower

Resumen

Este patrón describe cómo puede utilizar los servicios del Sistema de nombres de dominio (DNS) en las instalaciones con las reglas de Amazon Route 53 Resolver y los puntos de conexión salientes del Resolver para la resolución de nombres.

El DNS es fundamental para establecer y mantener las comunicaciones entre los entornos de red. Si tiene un entorno de conectividad de red híbrida, puede compartir servicios de red esenciales, como DNS y Active Directory, sin la carga operativa que supone administrar un entorno distribuido entre cuentas y nubes privadas virtuales (VPC). Este enfoque lo ayuda a crear y dar soporte a aplicaciones que abarcan un gran número de cuentas. Por ejemplo, si tiene cientos o miles de cuentas multirregionales con requisitos de conectividad híbrida, puede compartir los servicios de DNS de forma segura y eficiente en todos los entornos conectados de su organización de AWS.

El DNS es fundamental para las redes IP en todos los niveles (web, aplicaciones y bases de datos) de una aplicación. Se recomienda dar acceso total a este recurso únicamente al equipo de expertos en DNS para configurar, operar y dar soporte a este recurso. En un entorno de conectividad híbrida, puede seguir utilizando el DNS en las instalaciones para las solicitudes de resolución de nombres que se originen en recursos que residen en diferentes cuentas mediante el reenvío condicional.

Este patrón cubre la resolución de DNS híbrido en un entorno de varias cuentas de AWS. Para una única cuenta, consulte el patrón Configurar la resolución de DNS para redes híbridas en un entorno de AWS de una sola cuenta.

Requisitos previos y limitaciones

Requisitos previos 

  • Un entorno de varias cuentas de AWS que se basa en las prácticas recomendadas y que se ha creado con la AWS Control Tower. El diagrama de la siguiente sección muestra la arquitectura típica de un entorno de este tipo.

  • Infraestructura de enrutamiento escalable entre las cuentas y las VPC mediante AWS Transit Gateway.

  • Los puntos de conexión salientes de Resolver y las reglas de Resolver utilizan Amazon Route 53.

  • Recursos compartidos para las reglas de resolución salientes mediante AWS Resource Access Manager (AWS RAM).

Arquitectura

Arquitectura de varias cuentas en AWS

Arquitectura de varias cuentas en AWS

Pila de tecnología de destino

  • Una infraestructura de DNS en las instalaciones existente para la resolución de nombres salientes en una gran cantidad de entidades principales de AWS 

  • Reglas de Route 53 Resolver y puntos de conexión de salida de Resolver.

  • RAM de AWS para compartir las reglas de Route 53 Resolver con otras entidades principales de AWS dentro y fuera de la organización de AWS

Arquitectura de destino

El siguiente diagrama describe los pasos para configurar la resolución de DNS end-to-end híbrida. La RAM de AWS se utiliza para compartir las reglas de Route 53 Resolver y los puntos de conexión del Resolver, que se configuran y administran desde la cuenta central de Shared Services. Los puntos de conexión de Route 53 Resolver están configurados para que cada zona de disponibilidad reciba las solicitudes de resolución de nombres salientes de los recursos que residen en el centro de datos en las instalaciones y, a continuación, reenvíen estas solicitudes a los solucionadores de DNS en las instalaciones. Los solucionadores de DNS en las instalaciones envían las respuestas de resolución de nombres a los puntos de conexión de salida, que luego las reenvían al solucionador de VPC. Estos pasos establecen end-to-end la comunicación mediante el uso de nombres de host en lugar de direcciones IP.

Compartir los puntos de conexión de Resolver con las entidades principales de AWS

El siguiente diagrama muestra la arquitectura con más detalle.

Automatizar y escalar

Puede configurar y compartir las reglas de Route 53 Resolver a través de la RAM de AWS mediante CloudFormation plantillas de AWS. 

Herramientas

Servicios de AWS

  • AWS Control Tower le ayuda a configurar y regular un entorno de cuentas múltiples de AWS siguiendo las prácticas recomendadas prescriptivas.

  • AWS Resource Access Manager (AWS RAM) lo ayuda a compartir sus recursos de forma segura entre las cuentas de AWS para reducir los gastos operativos y brindar visibilidad y auditabilidad.

  • Amazon Route 53 es un servicio web de sistema de nombres de dominio (DNS) escalable y de alta disponibilidad.

Herramientas adicionales

  • nslookup y dig son utilidades para consultar registros de DNS.

Epics

TareaDescripciónHabilidades requeridas

Configure los puntos de conexión y las reglas del Resolver saliente de Route 53.

  1. Inicie sesión en la consola de administración de AWS correspondiente a la cuenta de AWS desde la que desea configurar y desde la que desea compartir la regla de resolución saliente de Route 53.

  2. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  3. En la barra de navegación, elija la región en la que desea configurar un punto de conexión del Resolver.

  4. En el panel de navegación, seleccione Outbound endpoints (Puntos de conexión de salida) y, a continuación, elija Configure endpoints (Configurar puntos de conexión).

  5. Proporcione la configuración general, las direcciones IP y la información de etiquetas opcional y, a continuación, seleccione Siguiente.

  6. Cree una o más reglas para especificar los nombres de dominio de las consultas de DNS que quiere reenviar a su red y, a continuación, seleccione Save (Guardar).

Para más información, consulte Reenvío de consultas de DNS de salida a la red en la documentación de Route 53.

AWS general

Cree y comparta las reglas de resolución saliente de Route 53 con las entidades principales de AWS.

  1. Abra la consola RAM de AWS en https://console.aws.amazon.com/ram/.

  2. En el panel de navegación, seleccione Resource shares (Recursos compartidos) y, a continuación, elija Create resource share (Crear recurso compartido).

  3. Proporcione un nombre para compartir.

  4. Para el tipo de recurso, elija Reglas de Resolver.

  5. Elija la regla de resolución que desee compartir, proporcione la información opcional sobre la clave y el valor de la etiqueta y, a continuación, seleccione Siguiente.

  6. Elija las entidades principales con las que desea compartir el recurso de reglas de Resolver. Las entidades principales pueden ser internos o externos a su organización de AWS. Por ejemplo, puede elegir su organización de AWS, una unidad organizativa (OU) específica de la organización o una cuenta específica.

  7. Revise y cree el recurso compartido.

    Una vez creado y compartido el recurso, aparece en la sección Shared with me (Compartido conmigo) del panel de navegación de las entidades principales con las que se comparte.

  8. Asocie las VPC de la cuenta (de entidad principal) a la regla Resolver que ha compartido la cuenta de red o de servicios compartidos.

Para obtener más información, consulte Cómo compartir los recursos AWS en la documentación de AWS RAM.

AWS general

Pruebe la resolución de nombres DNS salientes.

Pruebe la resolución de nombres mediante la utilidad nslookup o dig en las instancias de una VPC de una cuenta con la que haya compartido la regla de resolución.

La consulta debe resolverse en la dirección IP de un recurso que reside en el centro de datos en las instalaciones.

AWS general

Recursos relacionados