Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate

Configura la risoluzione DNS per reti ibride in un ambiente AWS multi-account

Creato da Amir Durrani

Ambiente: produzione

Tecnologie: infrastruttura; networking

Servizi AWS: AWS RAM; Amazon Route 53; AWS Control Tower

Riepilogo

Questo modello descrive come utilizzare i servizi DNS (Domain Name System) locali con le regole Amazon Route 53 Resolver e gli endpoint Resolver in uscita per la risoluzione dei nomi.

Il DNS è fondamentale per stabilire e mantenere le comunicazioni tra ambienti di rete. Se disponi di un ambiente di connettività di rete ibrido, puoi condividere servizi di rete critici come DNS e Active Directory senza l'onere operativo della gestione di un ambiente distribuito tra account e cloud privati virtuali (VPC). Questo approccio consente di creare e supportare applicazioni che si estendono su un gran numero di account. Ad esempio, se disponi di centinaia o migliaia di account multiregionali con requisiti di connettività ibrida, puoi condividere i servizi DNS in modo sicuro ed efficiente in tutti gli ambienti connessi all'interno della tua organizzazione AWS.

Il DNS è fondamentale per le reti IP tra tutti i livelli (web, applicazione e database) di un'applicazione. È consigliabile concedere solo al team di esperti DNS l'accesso completo per configurare, utilizzare e supportare questa risorsa. In un ambiente di connettività ibrido, puoi continuare a utilizzare il DNS locale per le richieste di risoluzione dei nomi provenienti da risorse che risiedono in account diversi, utilizzando l'inoltro condizionale.

Questo modello copre la risoluzione DNS ibrida in un ambiente multi-account AWS. Per gli account singoli, consulta lo schema Configurare la risoluzione DNS per reti ibride in un ambiente AWS con account singolo.

Prerequisiti e limitazioni

Prerequisiti

Un ambiente AWS multi-account basato sulle best practice e creato utilizzando AWS Control Tower. Il diagramma nella sezione successiva mostra l'architettura tipica di tale ambiente.
Infrastruttura di routing scalabile tra account e VPC utilizzando AWS Transit Gateway.
Endpoint Resolver in uscita e regole Resolver utilizzando Amazon Route 53.
Condivisioni di risorse per le regole Resolver in uscita utilizzando AWS Resource Access Manager (AWS RAM).

Architettura

Architettura multi-account AWS

Stack tecnologico Target

Un'infrastruttura DNS locale esistente per la risoluzione dei nomi in uscita su un gran numero di principali AWS
Regola Route 53 Resolver ed endpoint Resolver in uscita
RAM AWS per condividere le regole del Route 53 Resolver con altri responsabili AWS all'interno e all'esterno dell'organizzazione AWS

Architettura Target

Il diagramma seguente illustra i passaggi per configurare la risoluzione DNS end-to-end ibrida. La RAM AWS viene utilizzata per condividere le regole e gli endpoint Resolver Route 53, configurati e gestiti dall'account Shared Services centrale. Gli endpoint Route 53 Resolver sono configurati per ogni zona di disponibilità per ricevere le richieste di risoluzione dei nomi in uscita per le risorse che risiedono nel data center locale e per inoltrare quindi tali richieste ai resolver DNS locali. I resolver DNS locali inviano le risposte di risoluzione dei nomi agli endpoint in uscita, che quindi inoltrano le risposte al resolver VPC. Questi passaggi stabiliscono la comunicazione utilizzando nomi host anziché indirizzi IP. end-to-end

Condivisione degli endpoint Resolver con i principali AWS

Il diagramma seguente mostra l'architettura in modo più dettagliato.

AWS network architecture diagram showing shared services, accounts, VPCs, and connections to on-premises infrastructure.

Automazione e scalabilità

Puoi configurare e condividere le regole del Route 53 Resolver tramite la RAM AWS utilizzando i modelli CloudFormation AWS.

Strumenti

Servizi AWS

AWS Control Tower ti aiuta a configurare e gestire un ambiente AWS multi-account, seguendo le best practice prescrittive.
AWS Resource Access Manager (AWS RAM) ti aiuta a condividere in modo sicuro le tue risorse tra gli account AWS per ridurre il sovraccarico operativo e fornire visibilità e verificabilità.
Amazon Route 53 è un servizio Web DNS altamente scalabile e disponibile.

Strumenti aggiuntivi

nslookup e dig sono utilità per interrogare i record DNS.

Epiche

Attività	Descrizione	Competenze richieste
Configura gli endpoint e le regole Resolver in uscita di Route 53.	Accedi alla Console di gestione AWS per l'account AWS da cui desideri configurare e condividere la regola Route 53 Outbound Resolver. Apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/. Nella barra di navigazione, scegli la regione in cui desideri configurare l'endpoint Resolver. Nel riquadro di navigazione, scegli Endpoint in uscita, quindi scegli Configura endpoint. Fornisci impostazioni generali, indirizzi IP e informazioni opzionali sui tag, quindi scegli Avanti. Crea una o più regole per specificare i nomi di dominio delle query DNS che desideri inoltrare alla rete, quindi scegli Salva. Per ulteriori informazioni, consulta Inoltro delle query DNS in uscita alla rete nella documentazione di Route 53.	Informazioni generali su AWS
Crea e condividi le regole del Resolver in uscita Route 53 con i principali AWS.	Apri la console RAM AWS all'indirizzo https://console.aws.amazon.com/ram/. Nel riquadro di navigazione, scegli Condivisioni di risorse, quindi scegli Crea condivisione di risorse. Fornisci un nome di condivisione. Per il tipo di risorsa, scegli Resolver Rules. Scegliete la regola Resolver che desiderate condividere, fornite informazioni facoltative sulla chiave e sul valore del tag, quindi scegliete Avanti. Scegli i principali con cui vuoi condividere la risorsa relativa alle regole del Resolver. I responsabili possono essere interni o esterni alla tua organizzazione AWS. Ad esempio, puoi scegliere la tua organizzazione AWS, un'unità organizzativa (OU) specifica all'interno dell'organizzazione o un account specifico. Rivedi e crea la condivisione delle risorse. Una volta creata e condivisa, la risorsa viene visualizzata nella sezione Condivisa con me del riquadro di navigazione relativa ai principali con cui è condivisa. Associa i VPC dell'account (principale) alla regola Resolver condivisa dai servizi condivisi o dall'account di rete. Per ulteriori informazioni, consulta Condivisione delle risorse AWS nella documentazione RAM AWS.	Informazioni generali su AWS
Verifica la risoluzione dei nomi DNS in uscita.	Verifica la risoluzione dei nomi utilizzando l'utilità nslookup o dig sulle istanze in un VPC in un account con cui hai condiviso la regola Resolver. La query dovrebbe rispondere all'indirizzo IP di una risorsa che si trova all'interno del data center locale.	Informazioni generali su AWS

Attività

Descrizione

Competenze richieste

Configura gli endpoint e le regole Resolver in uscita di Route 53.

Accedi alla Console di gestione AWS per l'account AWS da cui desideri configurare e condividere la regola Route 53 Outbound Resolver.
Apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.
Nella barra di navigazione, scegli la regione in cui desideri configurare l'endpoint Resolver.
Nel riquadro di navigazione, scegli Endpoint in uscita, quindi scegli Configura endpoint.
Fornisci impostazioni generali, indirizzi IP e informazioni opzionali sui tag, quindi scegli Avanti.
Crea una o più regole per specificare i nomi di dominio delle query DNS che desideri inoltrare alla rete, quindi scegli Salva.

Per ulteriori informazioni, consulta Inoltro delle query DNS in uscita alla rete nella documentazione di Route 53.

Informazioni generali su AWS

Crea e condividi le regole del Resolver in uscita Route 53 con i principali AWS.

Apri la console RAM AWS all'indirizzo https://console.aws.amazon.com/ram/.
Nel riquadro di navigazione, scegli Condivisioni di risorse, quindi scegli Crea condivisione di risorse.
Fornisci un nome di condivisione.
Per il tipo di risorsa, scegli Resolver Rules.
Scegliete la regola Resolver che desiderate condividere, fornite informazioni facoltative sulla chiave e sul valore del tag, quindi scegliete Avanti.
Scegli i principali con cui vuoi condividere la risorsa relativa alle regole del Resolver. I responsabili possono essere interni o esterni alla tua organizzazione AWS. Ad esempio, puoi scegliere la tua organizzazione AWS, un'unità organizzativa (OU) specifica all'interno dell'organizzazione o un account specifico.
Rivedi e crea la condivisione delle risorse.
Una volta creata e condivisa, la risorsa viene visualizzata nella sezione Condivisa con me del riquadro di navigazione relativa ai principali con cui è condivisa.
Associa i VPC dell'account (principale) alla regola Resolver condivisa dai servizi condivisi o dall'account di rete.

Per ulteriori informazioni, consulta Condivisione delle risorse AWS nella documentazione RAM AWS.

Informazioni generali su AWS

Verifica la risoluzione dei nomi DNS in uscita.

Verifica la risoluzione dei nomi utilizzando l'utilità nslookup o dig sulle istanze in un VPC in un account con cui hai condiviso la regola Resolver.

La query dovrebbe rispondere all'indirizzo IP di una risorsa che si trova all'interno del data center locale.

Informazioni generali su AWS

Risorse correlate

Risoluzione del DNS locale in ambienti ibridi (video)
Inoltro di query DNS in uscita alla rete (documentazione Route 53)
Condivisione delle risorse AWS (documentazione RAM AWS)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registra più account AWS con un unico indirizzo e-mail

Configura la risoluzione DNS per reti ibride in un ambiente AWS con account singolo