Atributos DNS para la VPC

El sistema de nombres de dominio (DNS) es un estándar mediante el cual los nombres utilizados en Internet se resuelven a sus direcciones IP correspondientes. Un nombre de host DNS es un nombre que denomina de forma única y absoluta a un equipo, y se compone de un nombre de host y de un nombre de dominio. Los servidores DNS resuelven los nombres de host DNS a sus direcciones IP correspondientes.

Las direcciones IPv4 públicas permiten la comunicación a través de Internet, mientras que las direcciones IPv4 privadas permiten la comunicación dentro de la red de la instancia. Para obtener más información, consulte Direccionamiento IP para VPC y subredes.

Amazon proporciona un servidor DNS (the Amazon Route 53 Resolver) para la VPC. Para usar su propio servidor DNS, cree un nuevo conjunto de opciones de DHCP para la VPC. Para obtener más información, consulte Conjuntos de opciones de DHCP en Amazon VPC.

Servidor DNS de Amazon

Route 53 Resolver (también llamado “servidor DNS de Amazon” o “AmazonProvidedDNS”) es un servicio de resolución de DNS integrado en cada zona de disponibilidad de una región de AWS. Route 53 Resolver se encuentra en 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) y en el rango de CIDR de IPV4 privado principal aprovisionado en su VPC más dos. Por ejemplo, si tiene una VPC con un CIDR de IPv4 de 10.0.0.0/16 y un CIDR de IPv6 de fd00:ec2::253, puede comunicarse con Route 53 Resolver en 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) o 10.0.0.2 (IPv4). Los recursos de una VPC utilizan una dirección de enlace local para las consultas de DNS. Estas consultas se transportan al Route 53 Resolver de forma privada y no están visibles en la red. En una subred exclusiva para IPv6, se puede seguir accediendo a la dirección de enlace local IPv4 (169.254.169.253) siempre que «AmazonProvidedDNS» sea el nombre del servidor en el conjunto de opciones de DHCP.

Al lanzar una instancia en una VPC, dicha instancia, se le proporciona una instancia con un nombre de anfitrión de DNS privado. También se le proporciona un nombre de anfitrión de DNS público si la instancia está configurada con una dirección IPv4 pública y los atributos DNS de la VPC están habilitados.

El formato del nombre de host DNS privado depende de cómo configure la instancia EC2 al lanzarla. Para obtener más información sobre los tipos de nombres de host DNS privados, consulte Nombres de instancias EC2.

El servidor DNS de Amazon de la VPC se utiliza para resolver los nombres de dominio de DNS que especifique en una zona alojada privada en Route 53. Para obtener más información acerca de las zonas alojadas privadas, consulte Funcionamiento de las zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53.

Reglas y consideraciones

Cuando se utiliza el servidor de Amazon DNS, se aplican las siguientes reglas y consideraciones.

• No puede filtrar tráfico hacia o desde el servidor DNS de Amazon mediante ACL de red o grupos de seguridad.

• Los servicios que utilizan el marco de trabajo de Hadoop, por ejemplo, Amazon EMR, requieren que las instancias resuelvan sus propios nombres completos de dominio (FQDN). En estos casos, la resolución de DNS puede producir error si la opción domain-name-servers está establecida con un valor predeterminado. Para asegurarse de que la resolución de DNS se realiza correctamente, considere la posibilidad de añadir un programa de envío condicional que reenvíe las consultas del dominio region-name.compute.internal al servidor DNS de Amazon. Para obtener más información, consulte Configuración de una VPC para alojar clústeres en la Guía de administración de Amazon EMR.

• Amazon Route 53 Resolver sólo admite consultas DNS recursivas.

Nombre de host DNS

Cuando lanza una instancia, esta siempre recibe una dirección IPv4 privada y un nombre de anfitrión de DNS privado que corresponde dicha dirección IPv4 privada. Si la instancia tiene una dirección IPv4 pública, los atributos del DNS de la VPC determinan si recibe un nombre de anfitrión de DNS público correspondiente a la dirección IPv4 pública. Para obtener más información, consulte Atributos de DNS en la VPC.

Con el servidor DNS proporcionado por Amazon habilitado, los nombres de anfitrión de DNS se asignan y resuelven de la siguiente manera.

Nombre de DNS de IP privada (solo IPv4)

Puede utilizar el nombre de alojamiento DNS de IP privada (solo IPv4) para la comunicación entre instancias de la misma VPC. Puede resolver los nombres de alojamiento DNS de IP privada (solo IPv4) de otras instancias en otras VPC siempre que las instancias estén en la misma región de AWS y el nombre de alojamiento de la otra instancia se encuentre en el rango de espacio de direcciones privadas definido por RFC 1918: 10.0.0.0 - 10.255.255.255 (10/8 prefix), 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) y 192.168.0.0 - 192.168.255.255 (192.168/16 prefix).

Nombre de DNS de recursos privados

El nombre de DNS basado en RBN que se puede resolver en los registros DNS A y AAAA seleccionados para esta instancia. Este nombre de host DNS está visible en los detalles de la instancia para las instancias de subredes de doble pila y solo IPv6. Para obtener más información sobre RBN, consulte Tipos de nombres de host de instancias EC2.

DNS IPv4 público

Un nombre de host DNS IPv4 público (externo) tiene el formato ec2-public-ipv4-address.compute-1.amazonaws.com para la región us-east-1 y el formato ec2-public-ipv4-address.region.compute.amazonaws.com para las demás regiones. El servidor DNS de Amazon resuelve un nombre de host DNS público en la dirección IPv4 pública de la instancia fuera de la red de la instancia y en la dirección IPv4 privada de la instancia desde dentro de la red de la instancia. Para obtener más información, consulte Direcciones IPv4 públicas y nombres de host DNS externos en la Guía del usuario de Amazon EC2 para instancias Linux.

Atributos de DNS en la VPC

Los siguientes atributos de la VPC determinan la compatibilidad del DNS proporcionada para la VPC. Si ambos atributos están habilitados, una instancia lanzada en la VPC recibe un nombre de anfitrión de DNS público si se le asigna una dirección IPv4 pública o una dirección IP elástica al momento de la creación. Si habilita ambos atributos para una VPC que no los tenía previamente inhabilitados, las instancias ya iniciadas en esa VPC recibirán nombres de anfitrión de DNS público si tienen una dirección IPv4 pública o una dirección IP elástica.

Para verificar si los atributos están habilitados para la VPC, consulte Ver y actualizar los atributos de DNS de su VPC.

Atributo	Descripción
enableDnsHostnames	Determina si la VPC admite la asignación de nombres de anfitrión de DNS público a las instancias con direcciones IP públicas. El valor predeterminado de este atributo es false a menos que la VPC sea una VPC predeterminada.
enableDnsSupport	Determina si la VPC admite la resolución de DNS a través del servidor DNS proporcionado por Amazon. Si este atributo es true, las consultas al servidor DNS proporcionado por Amazon se realizan de manera exitosa. Para obtener más información, consulte Servidor DNS de Amazon. El valor predeterminado de este atributo es true.

Reglas y consideraciones

• Si los dos atributos están configurados con el valor true, se producirán las siguientes situaciones:

  • Las instancias con direcciones IP públicas obtienen los nombres de anfitrión de DNS público correspondientes.

  • El servidor Amazon Route 53 Resolver puede resolver los nombres de host de DNS privados proporcionados por Amazon.

• Si al menos uno de los atributos se establece en false, ocurriría lo siguiente:

  • Las instancias con direcciones IP públicas no obtienen los nombres de anfitrión de DNS público correspondientes.

  • El servidor Amazon Route 53 Resolver no puede resolver los nombres de host de DNS privados proporcionados por Amazon.

  • Las instancias reciben nombres de host DNS privados personalizados si hay un nombre de dominio personalizado en el conjunto de opciones de DHCP. Si no está utilizando el servidor Amazon Route 53 Resolver, sus servidores de nombres de dominio personalizados deberán resolver el nombre de host según corresponda.

• Si utiliza nombres de dominio de DNS personalizados definidos en una zona alojada privada en Amazon Route 53 o utiliza un DNS privado con puntos de enlace de la VPC de interfaz (AWS PrivateLink), debe establecer los atributos enableDnsHostnames y enableDnsSupport en true.

• El Amazon Route 53 Resolver puede resolver nombres de host de DNS privados en direcciones IPv4 privadas para todos los espacios de direcciones, incluido aquél en el que el rango de direcciones IPv4 de la VPC queda fuera de los rangos de direcciones IPv4 privadas especificados por RFC 1918. Sin embargo, si creó la VPC antes de octubre de 2016, Amazon Route 53 Resolver no resuelve los nombres de host DNS privados si el intervalo de direcciones IPv4 de la VPC queda fuera de estos intervalos. Para habilitar esta compatibilidad, póngase en contacto con AWS Support.

• Si usa la interconexión con VPC, debe habilitar ambos atributos para ambas VPC y habilitar la resolución de DNS para la conexión de interconexión. Para obtener más información, consulte Habilitación de la resolución de DNS para la conexión de emparejamiento de VPC.

Cuotas de DNS

Cada instancia EC2 puede enviar 1024 paquetes por segundo por interface de red hacia Route 53 Resolver (en concreto, la dirección .2, como 10.0.0.2 y 169.254.169.253). Esta cuota no puede incrementarse. El número de consultas de DNS por segundo que Route 53 Resolver admite varía según el tipo de consulta, el tamaño de respuesta y el protocolo en uso. Para obtener más información y recomendaciones para una arquitectura de DNS escalable, consulte la guía técnica AWS Hybrid DNS with Active Directory (AWS DNS híbrido con Active Directory).

Si alcanza la cuota, Amazon Route 53 Resolver rechaza el tráfico. Algunas de las causas para alcanzar la cuota pueden ser un problema de limitación controlada de DNS o consultas de metadatos de instancia que utilizan la interfaz de red de Route 53 Resolver. Para obtener información sobre cómo resolver problemas de limitación de DNS de VPC, consulte Cómo puedo determinar si mis consultas de DNS en el servidor DNS proporcionado por Amazon están fallando debido a la limitación de DNS de VPC. Para obtener instrucciones acerca de la recuperación de metadatos de instancia, consulte Retrieve instance metadata (Recuperar metadatos de instancia) en la Guía del usuario de Amazon EC2 para instancias Linux.

Consultar los nombres de host DNS de su instancia EC2

Puede consultar los nombres de host DNS para una instancia en ejecución o una interfaz de red utilizando la consola o la línea de comandos de Amazon EC2.

Los campos Public DNS (IPv4) (DNS público [IPv4]) y Private DNS (DNS privado) están disponibles cuando las opciones de DNS están habilitadas para la VPC asociada a la instancia. Para obtener más información, consulte Atributos de DNS en la VPC.

instancia

Para ver los nombres de host DNS para una instancia utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Instances (Instancias).

3. Seleccione la instancia de la lista.

4. En el panel de detalles, los campos Public DNS (IPv4) y Private DNS mostrarán los nombres de host DNS, si corresponde.

Para ver los nombres de host DNS para una instancia utilizando la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Trabajo con VPC de Amazon.

• describe-instances (AWS CLI)

• Get-EC2Instance (AWS Tools for Windows PowerShell)

Interfaz de red

Para ver el nombre de host DNS privado para una interfaz de red utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Network Interfaces.

3. Seleccione la interfaz de red de la lista.

4. En el panel de detalles, el campo Private DNS (IPv4) (DNS privado (IPv4)) mostrará el nombre de host DNS privado.

Para ver los nombres de host DNS para una interfaz de red utilizando la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Trabajo con VPC de Amazon.

• describe-network-interfaces (AWS CLI)

• Get-EC2NetworkInterface (AWS Tools for Windows PowerShell)

Ver y actualizar los atributos de DNS de su VPC

Puede consultar y actualizar los atributos de compatibilidad de DNS para la VPC mediante la consola de Amazon VPC.

Para describir y actualizar la compatibilidad de DNS para una VPC utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Your VPCs (Sus VPC).

3. Seleccione la casilla de verificación de la VPC.

4. Revise la información de Details (Detalles). En este ejemplo, se habilitan tanto los DNS hostnames (Nombre de host DNS) como la DNS resolution (Resolución de DNS).

   

5. Para actualizar esta configuración, elija Actions (Acciones) y, a continuación, elija Edit VPC settings (Editar la configuración de VPC). Seleccione o borre Enable (Habilitar) en el atributo DNS correspondiente y elija Save changes (Guardar cambios).

Para describir la compatibilidad de DNS para una VPC utilizando la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Trabajo con VPC de Amazon.

• describe-vpc-attribute (AWS CLI)

• Get-EC2VpcAttribute (AWS Tools for Windows PowerShell)

Para actualizar la compatibilidad de DNS para una VPC utilizando la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Trabajo con VPC de Amazon.

• modify-vpc-attribute (AWS CLI)

• Edit-EC2VpcAttribute (AWS Tools for Windows PowerShell)

Zonas alojadas privadas

Para acceder a los recursos de la VPC mediante nombres de dominio de DNS personalizados, como example.com, en lugar de utilizar direcciones IPv4 privadas o nombres de alojamiento de DNS privados proporcionados por AWS, puede crear una zona alojada privada en Route 53. Una zona alojada privada es un contenedor que mantiene información acerca de cómo se desea dirigir el tráfico de un dominio y sus subdominios dentro de una o varias VPC sin tener que exponer sus recursos en Internet. A continuación, puede crear conjuntos de registros de recursos de Route 53, que determinan cómo responde Route 53 a las consultas para el dominio y los subdominios. Por ejemplo, si desea que las solicitudes del navegador se dirijan a un servidor web en su VPC, creará un registro A en su zona hospedada privada y especificará la dirección IP en ese servidor web. Para obtener más información acerca de la creación de una zona alojada privada, consulte Uso de zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53.

Para obtener acceso a recursos utilizando nombres de dominio DNS personalizados, debe estar conectado a una instancia en su VPC. Desde su instancia, puede comprobar que su recurso de la zona hospedada privada esté accesible desde su nombre DNS personalizado mediante el comando ping; por ejemplo, ping mywebserver.example.com. (Debe asegurarse de que las reglas del grupo de seguridad de su instancia permiten el tráfico ICMP entrante para que el comando ping funcione).

Las zonas alojadas privadas no admitirán las relaciones transitivas fuera de la VPC; por ejemplo, no es posible obtener acceso a sus recursos utilizando sus nombres DNS privados personalizados desde el otro lado de una conexión VPN.

importante

Si utiliza nombres de dominio DNS personalizados definidos en una zona alojada privada en Amazon Route 53, debe establecer los atributos enableDnsHostnames y enableDnsSupport en true.