Configuration de DNS la résolution pour les réseaux hybrides dans un environnement multi-comptes AWS - Recommandations AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de DNS la résolution pour les réseaux hybrides dans un environnement multi-comptes AWS

Créée par Amir Durrani

Environnement : Production

Technologies : infrastructure ; mise en réseau

AWSservices : AWS RAM ; Amazon Route 53 ; AWS Control Tower

Récapitulatif

Ce modèle décrit comment vous pouvez utiliser les services de système de noms de domaine (DNS) locaux avec les règles Amazon Route 53 Resolver et les points de terminaison sortants du résolveur pour la résolution de noms.

DNSest fondamental pour établir et maintenir les communications entre les environnements réseau. Si vous disposez d'un environnement de connectivité réseau hybride, vous pouvez partager des services réseau critiques tels qu'DNSActive Directory sans la charge opérationnelle liée à la gestion d'un environnement distribué sur plusieurs comptes et clouds privés virtuels (VPCs). Cette approche vous permet de créer et de prendre en charge des applications couvrant un grand nombre de comptes. Par exemple, si vous avez des centaines ou des milliers de comptes multirégionaux nécessitant une connectivité hybride, vous pouvez partager des DNS services de manière sécurisée et efficace dans tous les environnements connectés de votre AWS organisation.

DNSest essentiel à la mise en réseau IP à tous les niveaux (Web, application et base de données) d'une application. Il est recommandé de n'accorder qu'à l'équipe d'DNSexperts un accès complet à la configuration, à l'exploitation et au support de cette ressource. Dans un environnement de connectivité hybride, vous pouvez continuer à utiliser votre environnement local DNS pour les demandes de résolution de noms provenant de ressources résidant dans différents comptes, en utilisant le transfert conditionnel.

Ce modèle couvre la DNS résolution hybride dans un environnement AWS multi-comptes. Pour les comptes uniques, voir le modèle Configurer la DNS résolution pour les réseaux hybrides dans un AWS environnement à compte unique.

Conditions préalables et limitations

Prérequis

Architecture

AWSarchitecture multi-comptes

Architecture multi-comptes sur AWS

Pile technologique cible

  • Une DNS infrastructure sur site existante pour la résolution des noms sortants sur un grand nombre de principaux AWS 

  • Règle du résolveur Route 53 et points de terminaison du résolveur sortants

  • AWSRAMpour partager les règles de Route 53 Resolver avec d'autres AWS responsables au sein et en dehors de l'organisation AWS

Architecture cible

Le schéma suivant décrit les étapes de configuration de la DNS résolution end-to-end hybride. AWSRAMest utilisé pour partager les règles du résolveur Route 53 et les points de terminaison du résolveur, qui sont configurés et gérés à partir du compte Shared Services central. Les points de terminaison Route 53 Resolver sont configurés pour chaque zone de disponibilité afin de recevoir les demandes de résolution de noms sortantes pour les ressources résidant dans le centre de données local, puis de transmettre ces demandes aux résolveurs locaux. DNS Les DNS résolveurs locaux envoient les réponses de résolution de noms aux points de terminaison sortants, qui les transmettent ensuite au résolveur. VPC Ces étapes établissent end-to-end la communication en utilisant des noms d'hôtes plutôt que des adresses IP.

Partage des points de terminaison du Resolver avec les principaux AWS

Le schéma suivant montre l'architecture plus en détail.

AWS network architecture diagram showing shared services, accounts, VPCs, and connections to on-premises infrastructure.

Automatisation et évolutivité

Vous pouvez configurer et partager les règles du résolveur Route 53 à l'aide AWS RAM de AWS CloudFormation modèles. 

Outils

AWSservices

  • AWSControl Tower vous aide à configurer et à gérer un environnement AWS multi-comptes, conformément aux meilleures pratiques prescriptives.

  • AWSResource Access Manager (AWSRAM) vous permet de partager en toute sécurité vos ressources entre AWS comptes afin de réduire les frais d'exploitation et de garantir visibilité et auditabilité.

  • Amazon Route 53 est un service DNS Web évolutif et hautement disponible.

Outils supplémentaires

  • nslookup et dig sont des utilitaires permettant d'interroger des enregistrements. DNS

Épopées

TâcheDescriptionCompétences requises

Configurez les points de terminaison et les règles du résolveur sortant Route 53.

  1. Connectez-vous à la console AWS de gestion du AWS compte à partir duquel vous souhaitez configurer et partager la règle du résolveur sortant Route 53.

  2. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

  3. Dans la barre de navigation, choisissez la région dans laquelle vous souhaitez configurer le point de terminaison du résolveur.

  4. Dans le volet de navigation, sélectionnez Points de terminaison sortants, puis sélectionnez Configurer les points de terminaison.

  5. Indiquez les paramètres généraux, les adresses IP et les informations de balise facultatives, puis choisissez Next.

  6. Créez une ou plusieurs règles pour spécifier les noms de domaine des DNS requêtes que vous souhaitez transférer vers votre réseau, puis choisissez Enregistrer.

Pour plus d'informations, consultez la section Transfert de DNS requêtes sortantes vers votre réseau dans la documentation de Route 53.

Général AWS

Créez et partagez les règles du résolveur sortant Route 53 avec AWS les principaux.

  1. Ouvrez la AWS RAM console à l'adresse https://console.aws.amazon.com/ram/.

  2. Dans le volet de navigation, choisissez Resource shares, puis Create resource share.

  3. Entrez un nom de partage.

  4. Pour le type de ressource, choisissez Resolver Rules.

  5. Choisissez la règle de résolution que vous souhaitez partager, fournissez des informations facultatives sur la clé de balise et la valeur, puis choisissez Next.

  6. Choisissez les principaux avec lesquels vous souhaitez partager la ressource de règle Resolver. Les directeurs peuvent être internes ou externes à votre AWS organisation. Par exemple, vous pouvez choisir votre AWS organisation, une unité organisationnelle (UO) spécifique au sein de l'organisation ou un compte spécifique.

  7. Vérifiez et créez le partage de ressources.

    Une fois la ressource créée et partagée, elle apparaît dans la section Partagé avec moi du volet de navigation pour les principaux utilisateurs avec lesquels elle est partagée.

  8. Associez VPCs le compte (principal) à la règle Resolver qui a été partagée par les services partagés ou le compte réseau.

Pour plus d'informations, consultez la section Partage de vos AWS ressources dans la AWS RAM documentation.

Général AWS

Testez la résolution des DNS noms sortants.

Testez la résolution des noms à l'aide de l'utilitaire nslookup ou dig sur les instances d'un VPC compte avec lequel vous avez partagé la règle Resolver.

La requête doit être résolue vers l'adresse IP d'une ressource résidant dans votre centre de données sur site.

Général AWS

Ressources connexes