Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de la résolution DNS pour les réseaux hybrides dans un environnement multi-comptes AWS
Créée par Anvesh Koganti (AWS)
Récapitulatif
Ce modèle fournit une solution complète pour configurer la résolution DNS dans les environnements de réseau hybrides qui incluent plusieurs comptes Amazon Web Services (AWS). Il permet une résolution DNS bidirectionnelle entre les réseaux locaux et l' AWS environnement via Amazon Route 53 Resolver les points de terminaison. Le modèle présente deux solutions pour permettre la résolution DNS dans une architecture centralisée multi-comptes :
La configuration de base n'utilise pas les profils Route 53. Il permet d'optimiser les coûts pour les petits et moyens déploiements peu complexes.
La configuration améliorée utilise les profils Route 53 pour simplifier les opérations. Il est préférable pour les déploiements DNS plus importants ou plus complexes.
Note
Consultez la section Limitations pour connaître les limites de service et les quotas avant la mise en œuvre. Tenez compte de facteurs tels que les frais généraux de gestion, les coûts, la complexité opérationnelle et l'expertise de l'équipe lorsque vous prenez votre décision.
Conditions préalables et limitations
Prérequis
Un environnement AWS multi-comptes avec Amazon Virtual Private Cloud (Amazon VPC) déployé sur des comptes de services partagés et de charge de travail (de préférence configuré via AWS Control Tower en AWS suivant les meilleures pratiques en matière de structure de compte).
Connectivité hybride existante (AWS Direct Connect ou AWS Site-to-Site VPN) entre votre réseau sur site et l' AWS environnement.
Amazon VPC peering AWS Transit Gateway, ou AWS Cloud WAN pour la connectivité réseau de couche 3 entre les deux. VPCs (Cette connectivité est requise pour le trafic des applications. Elle n'est pas requise pour que la résolution DNS fonctionne. La résolution DNS fonctionne indépendamment de la connectivité réseau entre les VPCs.)
Serveurs DNS exécutés dans l'environnement sur site.
Limites
Les points de terminaison, les règles et les profils du résolveur Route 53 sont des constructions régionales qui peuvent nécessiter une réplication multiple Régions AWS pour les organisations internationales.
Pour une liste complète des quotas de service pour Route 53 Resolver, les zones hébergées privées et les profils, consultez la section Quotas dans la documentation Route 53.
Architecture
Pile technologique cible
Points de terminaison sortants et entrants de Route 53
Règles du résolveur Route 53 pour le transfert conditionnel
AWS Resource Access Manager (AWS RAM)
Zone hébergée privée Route 53
Architecture cible
Points de terminaison sortants et entrants
Le schéma suivant montre le flux de résolution DNS entre AWS et sur site. Il s'agit de la configuration de connectivité pour les résolutions sortantes où le domaine est hébergé sur site. Voici un aperçu général du processus impliqué dans sa mise en place. Pour plus de détails, consultez la section Epics.
Déployez les points de terminaison du résolveur Route 53 sortants dans le VPC Shared Services.
Créez des règles Route 53 Resolver (règles de transfert) dans le compte Shared Services pour les domaines hébergés sur site.
Partagez et associez les règles VPCs à d'autres comptes hébergeant des ressources qui ont besoin de résoudre des domaines hébergés sur site. Cela peut être fait de différentes manières en fonction de votre cas d'utilisation, comme décrit plus loin dans cette section.
Après avoir configuré la connectivité, les étapes nécessaires à la résolution des problèmes sortants sont les suivantes :
L'instance Amazon Elastic Compute Cloud (Amazon EC2) envoie une demande de résolution DNS
db.onprem.example.comau résolveur Route 53 du VPC à l'adresse VPC+2.Route 53 Resolver vérifie les règles du résolveur et transmet la demande au serveur DNS local en IPs utilisant le point de terminaison sortant.
Le point de terminaison sortant transmet la demande au DNS local. IPs Le trafic passe par la connectivité réseau hybride établie entre le VPC Shared Services et le centre de données sur site.
Le serveur DNS local répond au point de terminaison sortant, qui transmet ensuite la réponse au résolveur Route 53 du VPC. Le résolveur renvoie la réponse à l' EC2 instance.
Le schéma suivant montre le flux de résolution DNS entre l'environnement local et. AWS Il s'agit de la configuration de connectivité pour les résolutions entrantes sur AWS lesquelles le domaine est hébergé. Voici un aperçu général du processus impliqué dans sa mise en place. Pour plus de détails, consultez la section Epics.
Déployez les points de terminaison du résolveur entrants dans le VPC Shared Services.
Créez des zones hébergées privées dans le compte Shared Services (approche centralisée).
Associez les zones hébergées privées au VPC Shared Services. Partagez et associez ces zones à des comptes multiples VPCs pour la résolution VPC-to-VPC DNS. Cela peut être fait de différentes manières en fonction de votre cas d'utilisation, comme décrit plus loin dans cette section.
Après avoir configuré la connectivité, les étapes impliquées dans la résolution entrante sont les suivantes :
La ressource locale envoie une demande de résolution DNS
ec2.prod.aws.example.comau serveur DNS local.Le serveur DNS local transmet la demande au point de terminaison du résolveur entrant dans le VPC Shared Services via la connexion réseau hybride.
Le point de terminaison du résolveur entrant recherche la demande dans la zone hébergée privée associée à l'aide du résolveur VPC Route 53 et obtient l'adresse IP appropriée.
Ces adresses IP sont renvoyées au serveur DNS local, qui renvoie la réponse à la ressource locale.
Cette configuration permet aux ressources locales de résoudre les noms de domaine AWS privés en acheminant les requêtes via les points de terminaison entrants vers la zone hébergée privée appropriée. Dans cette architecture, les zones hébergées privées sont centralisées dans un VPC Shared Services, ce qui permet à une seule équipe de gérer le DNS de manière centralisée. Ces zones peuvent être associées à de nombreuses zones VPCs pour répondre au cas d'utilisation de la résolution VPC-to-VPC DNS. Vous pouvez également déléguer la propriété et la gestion du domaine DNS à chacun d'entre eux Compte AWS. Dans ce cas, chaque compte gère ses propres zones hébergées privées et associe chaque zone au VPC Shared Services central pour une résolution unifiée avec l'environnement sur site. Cette approche décentralisée n'entre pas dans le cadre de ce modèle. Pour plus d'informations, consultez la section Étendre la gestion du DNS sur plusieurs comptes et VPCs dans le livre blanc sur les options DNS du cloud hybride pour Amazon VPC.
Lorsque vous établissez les flux de résolution DNS fondamentaux à l'aide des points de terminaison du résolveur, vous devez déterminer comment gérer le partage et l'association des règles du résolveur et des zones hébergées privées dans votre environnement. Comptes AWS Vous pouvez aborder cette question de deux manières : par le biais d'un partage autogéré en utilisant AWS RAM pour partager les règles du résolveur et les associations directes de zones hébergées privées, comme indiqué dans la section Configuration de base, ou via les profils Route 53, comme indiqué dans la section Configuration améliorée. Le choix dépend des préférences de gestion du DNS et des exigences opérationnelles de votre organisation. Les diagrammes d'architecture suivants illustrent un environnement évolutif qui inclut plusieurs comptes VPCs différents, ce qui représente un déploiement d'entreprise typique.
Configuration de base
Dans la configuration de base, la mise en œuvre de la résolution DNS hybride dans un AWS environnement multi-comptes consiste AWS RAM à partager les règles de transfert du résolveur et les associations de zones hébergées privées afin de gérer les requêtes DNS entre les sites locaux et les ressources. AWS Cette méthode utilise des points de terminaison Route 53 Resolver centralisés dans un VPC Shared Services connecté à votre réseau local pour gérer efficacement la résolution DNS entrante et sortante.
Pour la résolution sortante, les règles de transfert du résolveur sont créées dans le compte Shared Services, puis partagées avec d'autres utilisateurs à l'aide Comptes AWS de. AWS RAM Ce partage est limité aux comptes d'une même région. Les comptes cibles peuvent ensuite associer ces règles à leurs propres règles VPCs et activer les ressources qu'ils contiennent VPCs pour résoudre les noms de domaine locaux.
Pour la résolution entrante, des zones hébergées privées sont créées dans le compte Shared Services et associées au VPC Shared Services. Ces zones peuvent ensuite être associées VPCs à d'autres comptes à l'aide de l'API Route 53 ou du AWS Command Line Interface (AWS CLI). AWS SDKs Les ressources associées VPCs peuvent ensuite résoudre les enregistrements DNS définis dans les zones hébergées privées, ce qui crée une vue DNS unifiée de votre AWS environnement.
Le schéma suivant montre les flux de résolution DNS dans cette configuration de base.
Cette configuration fonctionne bien lorsque vous travaillez avec une infrastructure DNS à une échelle limitée. Cependant, cela peut devenir difficile à gérer à mesure que votre environnement se développe. La charge opérationnelle liée à la gestion de la manière dont les règles des zones hébergées privées et du résolveur sont partagées et associées VPCs individuellement augmente considérablement avec l'échelle. En outre, les quotas de service tels que la limite d'association de 300 VPC par zone hébergée privée peuvent devenir des facteurs contraignants dans les déploiements à grande échelle. La configuration améliorée permet de relever ces défis.
Configuration améliorée
Les profils Route 53 offrent une solution rationalisée pour gérer la résolution DNS dans les réseaux hybrides sur plusieurs réseaux Comptes AWS. Au lieu de gérer les zones hébergées privées et les règles du résolveur individuellement, vous pouvez regrouper les configurations DNS dans un seul conteneur qui peut être facilement partagé et appliqué à plusieurs VPCs comptes dans une région. Cette configuration maintient l'architecture centralisée du point de terminaison Resolver dans un VPC Shared Services tout en simplifiant considérablement la gestion des configurations DNS.
Le schéma suivant montre les flux de résolution DNS dans une configuration améliorée.
Les profils Route 53 vous permettent de regrouper les associations de zones hébergées privées, les règles de transfert du résolveur et les règles de pare-feu DNS dans une seule unité partageable. Vous pouvez créer des profils dans le compte Shared Services et les partager avec les comptes des membres en utilisant AWS RAM. Lorsqu'un profil est partagé et appliqué à Target VPCs, toutes les associations et configurations nécessaires sont automatiquement gérées par le service. Cela réduit considérablement les frais opérationnels liés à la gestion du DNS et offre une excellente évolutivité pour les environnements en pleine croissance.
Automatisation et mise à l'échelle
Utilisez des outils d'infrastructure en tant que code (IaC) tels que AWS CloudFormation Terraform pour provisionner et gérer automatiquement les points de terminaison, les règles, les zones hébergées privées et les profils du résolveur Route 53. Intégrez la configuration DNS à des pipelines d'intégration continue et de livraison continue (CI/CD) pour garantir la cohérence, la répétabilité et des mises à jour rapides.
Outils
Services AWS
AWS Resource Access Manager (AWS RAM) vous permet de partager vos ressources en toute sécurité afin Comptes AWS de réduire les frais opérationnels et de garantir visibilité et auditabilité.
Amazon Route 53 Resolverrépond de manière récursive aux requêtes DNS provenant AWS des ressources et est disponible par défaut dans tous les VPCs domaines. Vous pouvez créer des points de terminaison Resolver et des règles de transfert conditionnel pour résoudre les espaces de noms DNS entre votre centre de données sur site et votre. VPCs
La zone hébergée privée Amazon Route 53 est un conteneur qui contient des informations sur la manière dont vous souhaitez que Route 53 réponde aux requêtes DNS pour un domaine et ses sous-domaines.
Les profils Amazon Route 53 vous permettent d'appliquer et de gérer de manière simplifiée des configurations Route 53 liées au DNS dans de nombreuses VPCs configurations différentes Comptes AWS .
Bonnes pratiques
Cette section fournit certaines des meilleures pratiques pour optimiser Route 53 Resolver. Elles représentent un sous-ensemble des meilleures pratiques de Route 53. Pour obtenir une liste complète, consultez la section Meilleures pratiques pour Amazon Route 53.
Évitez les configurations en boucle avec les points de terminaison du résolveur
Concevez votre architecture DNS pour empêcher le routage récursif en planifiant soigneusement les associations VPC. Lorsqu'un VPC héberge un point de terminaison entrant, évitez de l'associer à des règles de résolution susceptibles de créer des références circulaires.
Utilisez-le de AWS RAM manière stratégique lorsque vous partagez des ressources DNS entre des comptes afin de maintenir des chemins de routage propres.
Pour plus d'informations, consultez la section Éviter les configurations de boucle avec les points de terminaison du résolveur dans la documentation Route 53.
Points de terminaison Scale Resolver
Pour les environnements qui nécessitent un nombre élevé de requêtes par seconde (QPS), sachez qu'il existe une limite de 10 000 QPS par ENI dans un point de terminaison. Il est ENIs possible d'en ajouter d'autres à un point de terminaison pour dimensionner le DNS QPS.
Amazon CloudWatch fournit
InboundQueryVolumeet fournitOutboundQueryVolumedes statistiques (voir la CloudWatch documentation). Nous vous recommandons de configurer des règles de surveillance qui vous alertent si le seuil dépasse une certaine valeur (par exemple, 80 % de 10 000 QPS).Configurez des règles de groupe de sécurité dynamiques pour les points de terminaison du résolveur afin d'éviter que les limites de suivi des connexions n'entraînent une limitation des requêtes DNS en cas de trafic élevé. Pour en savoir plus sur le fonctionnement du suivi des connexions dans les groupes de sécurité, consultez la section Suivi des connexions des groupes de EC2 sécurité Amazon dans la EC2 documentation Amazon.
Pour plus d'informations, consultez la section Resolver endpoint scaling dans la documentation de Route 53.
Offrez une haute disponibilité aux points de terminaison Resolver
Créez des points de terminaison entrants avec des adresses IP dans au moins deux zones de disponibilité à des fins de redondance.
Fournissez des interfaces réseau supplémentaires pour garantir la disponibilité pendant la maintenance ou les pics de trafic.
Pour plus d'informations, consultez la section Haute disponibilité pour les points de terminaison du résolveur dans la documentation Route 53.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Déployez un point de terminaison entrant. | Route 53 Resolver utilise le point de terminaison entrant pour recevoir les requêtes DNS des résolveurs DNS locaux. Pour obtenir des instructions, consultez la section Transférer des requêtes DNS entrantes vers votre VPCs adresse dans la documentation de Route 53. Notez l'adresse IP du point de terminaison entrant. | Administrateur AWS, administrateur du cloud |
Déployez un point de terminaison sortant. | Route 53 Resolver utilise le point de terminaison sortant pour envoyer des requêtes DNS aux résolveurs DNS locaux. Pour obtenir des instructions, consultez la section Transfert de requêtes DNS sortantes vers votre réseau dans la documentation Route 53. Notez l'ID du point de terminaison de sortie. | Administrateur AWS, administrateur du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Créez une zone hébergée privée pour un domaine hébergé sur AWS. | Cette zone contient les enregistrements DNS pour les ressources d'un domaine AWS hébergé (par exemple, Lorsque vous créez une zone hébergée privée, vous devez associer un VPC à la zone hébergée appartenant au même compte. Sélectionnez le VPC Shared Services à cette fin. | Administrateur AWS, administrateur du cloud |
Configuration de base : associez la zone hébergée privée VPCs à d'autres comptes. | Si vous utilisez une configuration de base (voir la section Architecture) : Pour permettre aux ressources du compte membre de VPCs résoudre les enregistrements DNS dans cette zone hébergée privée, vous devez VPCs associer votre compte à la zone hébergée. Vous devez autoriser l'association, puis la créer par programmation. Pour obtenir des instructions, consultez la section Association d'un Amazon VPC et d'une zone hébergée privée que vous avez créée avec une méthode différente Comptes AWS dans la documentation de Route 53. | Administrateur AWS, administrateur du cloud |
Configuration améliorée : configurez et partagez les profils Route 53. | Si vous utilisez une configuration améliorée (voir la section Architecture) :
NoteEn fonction de la structure de votre organisation et des exigences en matière de DNS, vous devrez peut-être créer et gérer plusieurs profils pour différents comptes ou charges de travail. | Administrateur AWS, administrateur du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Créez une règle de transfert pour un domaine hébergé sur site. | Cette règle indiquera à Route 53 Resolver de transférer toutes les requêtes DNS pour les domaines locaux (tels que | Administrateur AWS, administrateur du cloud |
Configuration de base : partagez et associez la règle de transfert VPCs à vos autres comptes. | Si vous utilisez la configuration de base : Pour que la règle de transfert entre en vigueur, vous devez la partager et l'associer VPCs à vos autres comptes. Route 53 Resolver prend ensuite la règle en considération lorsqu'il résout un domaine. Pour obtenir des instructions, consultez les sections Partage des règles du résolveur avec d'autres utilisateurs Comptes AWS et utilisation de règles partagées et Association de règles de transfert à un VPC dans la documentation de Route 53. | Administrateur AWS, administrateur du cloud |
Configuration améliorée : configurez et partagez les profils Route 53. | Si vous utilisez la configuration améliorée :
NoteEn fonction de la structure de votre organisation et des exigences en matière de DNS, vous devrez peut-être créer et gérer plusieurs profils pour différents comptes ou charges de travail. | Administrateur AWS, administrateur du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Configurez le transfert conditionnel dans les résolveurs DNS locaux. | Pour que les requêtes DNS soient envoyées AWS depuis l'environnement local à des fins de résolution, vous devez configurer le transfert conditionnel dans les résolveurs DNS locaux pour qu'il pointe vers l'adresse IP du point de terminaison entrant. Cela indique aux résolveurs DNS de transférer toutes les requêtes DNS pour le domaine AWS hébergé (par exemple, pour | Administrateur réseau |
| Tâche | Description | Compétences requises |
|---|---|---|
Testez la résolution DNS depuis AWS l'environnement sur site. | À partir d'une instance d'un VPC à laquelle la règle de transfert est associée, effectuez une requête DNS pour un domaine hébergé sur site (par exemple, pour). | Administrateur réseau |
Testez la résolution DNS depuis l'environnement sur site vers AWS. | À partir d'un serveur local, effectuez une résolution DNS pour un domaine AWS hébergé (par exemple, pour | Administrateur réseau |
Ressources connexes
Options DNS dans le cloud hybride pour Amazon VPC (livre blanc)AWS
Utilisation de zones hébergées privées (documentation Route 53)
Commencer à utiliser Route 53 Resolver (documentation Route 53)
Simplifiez la gestion du DNS dans un environnement multi-comptes avec Route 53 Resolver
(AWS article de blog) Unifiez la gestion du DNS à l'aide de profils Amazon Route 53 avec plusieurs VPCs et Comptes AWS
(article de AWS blog) Migration de votre environnement DNS multi-comptes vers les profils Amazon Route 53
(AWS article de blog) Utilisation des profils Amazon Route 53 pour des AWS environnements multi-comptes évolutifs
(article de AWS blog)
