Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados

Configure a resolução de DNS para redes híbridas em um ambiente AWS com várias contas

Criado por Amir Durrani

Ambiente: produção

Tecnologias: infraestrutura; rede

Serviços da AWS: AWS RAM; Amazon Route 53; AWS Control Tower

Resumo

Esse padrão descreve como você pode usar serviços on-premises de Sistema de Nomes de Domínio (DNS) com regras do Amazon Route 53 Resolver e endpoints de saída do Resolver para resolução de nomes.

O DNS é fundamental para estabelecer e manter comunicações em ambientes de rede. Se você tiver um ambiente de conectividade de rede híbrida, pode compartilhar serviços de rede essenciais, como DNS e Active Directory, sem a carga operacional de gerenciar um ambiente distribuído entre contas e nuvens privadas virtuais (VPCs). Essa abordagem ajuda você a criar e oferecer suporte a aplicativos que abrangem um grande número de contas. Por exemplo, se você tiver centenas ou milhares de contas multirregionais com requisitos de conectividade híbrida, poderá compartilhar os serviços de DNS com segurança e eficiência em todos os ambientes conectados em sua AWS Organizations.

O DNS é essencial para a rede IP em todas as camadas (web, aplicativo e banco de dados) de um aplicativo. É uma prática recomendada dar acesso total somente à equipe de especialistas em DNS para configurar, operar e dar suporte a esse recurso. Em um ambiente de conectividade híbrida, você pode continuar usando seu DNS on-premises para solicitações de resolução de nomes provenientes de recursos que residem em contas diferentes, usando o encaminhamento condicional.

Esse padrão abrange a resolução de DNS híbrido em um ambiente de múltiplas contas da AWS. Para contas individuais, consulte o padrão Configurar a resolução de DNS para redes híbridas em um ambiente AWS de conta única

Pré-requisitos e limitações

Pré-requisitos

Um ambiente de várias contas AWS baseado nas melhores práticas e criado usando o AWS Control Tower. O diagrama na próxima seção mostra a arquitetura típica desse ambiente.
Infraestrutura de roteamento escalável entre as contas e as VPCs usando o AWS Transit Gateway.
Endpoints de saída do Resolver e regras do Resolver usando o Amazon Route 53.
Compartilhamentos de regras do Resolver de saída usando o AWS Resource Access Manager (AWS RAM).

Arquitetura

Arquitetura de várias contas AWS

Pilha de tecnologias de destino

Uma infraestrutura de DNS on-premises existente para resolução de nomes de saída em um grande número de entidades principais da AWS
Regra do Resolver do Route 53 e endpoints de saída do Resolver
AWS RAM para compartilhar regras do Route 53 Resolver com outras entidades principais da AWS dentro e fora da AWS Organizations

Arquitetura de destino

O diagrama a seguir mostra as etapas para configurar a resolução do DNS end-to-end híbrido. O AWS RAM é usado para compartilhar as regras do Route 53 Resolver e os endpoints do Resolver, que são configurados e gerenciados a partir da conta central do Shared Services. Os endpoints do Route 53 Resolver são configurados para cada Zona de disponibilidade para receber as solicitações de resolução de nomes de saída para os recursos que residem no datacenter on-premises e, em seguida, encaminhar essas solicitações para os solucionadores de DNS on-premises. Os solucionadores de DNS on-premises enviam as respostas de resolução de nomes para os endpoints de saída que, então, encaminham as respostas para o solucionador de VPC. Essas etapas estabelecem a end-to-end comunicação usando nomes de host em vez de endereços IP.

Compartilhamento de endpoints do Resolver com entidades principais da AWS

O diagrama a seguir mostra a arquitetura mais detalhada.

AWS network architecture diagram showing shared services, accounts, VPCs, and connections to on-premises infrastructure.

Automação e escala

Você pode configurar e compartilhar regras do Route 53 Resolver por meio da AWS RAM usando CloudFormation modelos da AWS.

Ferramentas

Serviços da AWS

O AWS Control Tower ajuda você a configurar e governar um ambiente de várias contas da AWS, seguindo as melhores práticas prescritivas.
O AWS Resource Access Manager (AWS RAM) ajuda a compartilhar com segurança seus recursos entre contas da para reduzir a sobrecarga operacional e fornecer visibilidade e auditabilidade.
O Amazon Route 53 é um serviço web de DNS altamente disponível e escalável.

Ferramentas adicionais

nslookup e dig são utilitários para consultar registros DNS.

Épicos

Tarefa	Descrição	Habilidades necessárias
Configure os endpoints e as regras do Resolvedor de saída do Route 53.	Faça login no Console de Gerenciamento da AWS da conta AWS da qual você quer configurar e compartilhar a regra do Resolver de saída do Route 53. Abra o console do Route 53 em https://console.aws.amazon.com/route53/. Na barra de navegação, escolha a Região onde deseja configurar um endpoint do Resolver. No painel de navegação, selecione Endpoints de saída e então escolha Configurar endpoint. Forneça configurações gerais, endereços IP e informações opcionais de tag e escolha Avançar. Crie uma ou mais regras para especificar os nomes de domínio das consultas ao DNS que deseja encaminhar à sua rede e escolha Salvar. Para obter mais informações, consulte Como encaminhar consultas ao DNS de saída para sua rede na documentação do Route 53.	AWS Geral
Crie e compartilhe regras do Resolver de saída do Route 53 com as entidades principais da AWS.	Abra o console de RAM da AWS em https://console.aws.amazon.com/ram/. No painel de navegação, selecione Compartilhamento de recursos e escolha Criar compartilhamento de recurso. Forneça um nome de compartilhamento. Para o tipo de recurso, escolha Regras do Resolver. Escolha a regra Resolver que você deseja compartilhar, forneça informações opcionais sobre a chave e o valor da tag e, em seguida, escolha Avançar. Marque as entidades principais com as quais você quer compartilhar o recurso da regra Resolver. As entidades principais podem ser internas ou externas à sua AWS Organizations. Por exemplo, você pode escolher sua AWS Organizations, uma unidade organizacional (OU) específica dentro da organização ou uma conta específica. Revise e crie o compartilhamento de recursos. Depois que o recurso é criado e compartilhado, ele aparece na seção Compartilhado comigo do painel de navegação das entidades principais com as quais ele é compartilhado. Associe as VPCs na conta (entidade principal) à regra Resolver que foi compartilhada pelos serviços compartilhados ou pela conta de rede. Para obter mais informações, consulte Compartilhamento de recursos AWS na documentação de AWS RAM.	AWS Geral
Teste a resolução do nome DNS de saída.	Teste a resolução de nomes usando o utilitário nslookup ou dig em instâncias em uma VPC em uma conta com a qual você compartilhou a regra Resolver. A consulta deve ser resolvida para o endereço IP de um recurso que reside em seu datacenter on-premises.	AWS Geral

Tarefa

Descrição

Habilidades necessárias

Configure os endpoints e as regras do Resolvedor de saída do Route 53.

Faça login no Console de Gerenciamento da AWS da conta AWS da qual você quer configurar e compartilhar a regra do Resolver de saída do Route 53.
Abra o console do Route 53 em https://console.aws.amazon.com/route53/.
Na barra de navegação, escolha a Região onde deseja configurar um endpoint do Resolver.
No painel de navegação, selecione Endpoints de saída e então escolha Configurar endpoint.
Forneça configurações gerais, endereços IP e informações opcionais de tag e escolha Avançar.
Crie uma ou mais regras para especificar os nomes de domínio das consultas ao DNS que deseja encaminhar à sua rede e escolha Salvar.

Para obter mais informações, consulte Como encaminhar consultas ao DNS de saída para sua rede na documentação do Route 53.

AWS Geral

Crie e compartilhe regras do Resolver de saída do Route 53 com as entidades principais da AWS.

Abra o console de RAM da AWS em https://console.aws.amazon.com/ram/.
No painel de navegação, selecione Compartilhamento de recursos e escolha Criar compartilhamento de recurso.
Forneça um nome de compartilhamento.
Para o tipo de recurso, escolha Regras do Resolver.
Escolha a regra Resolver que você deseja compartilhar, forneça informações opcionais sobre a chave e o valor da tag e, em seguida, escolha Avançar.
Marque as entidades principais com as quais você quer compartilhar o recurso da regra Resolver. As entidades principais podem ser internas ou externas à sua AWS Organizations. Por exemplo, você pode escolher sua AWS Organizations, uma unidade organizacional (OU) específica dentro da organização ou uma conta específica.
Revise e crie o compartilhamento de recursos.
Depois que o recurso é criado e compartilhado, ele aparece na seção Compartilhado comigo do painel de navegação das entidades principais com as quais ele é compartilhado.
Associe as VPCs na conta (entidade principal) à regra Resolver que foi compartilhada pelos serviços compartilhados ou pela conta de rede.

Para obter mais informações, consulte Compartilhamento de recursos AWS na documentação de AWS RAM.

AWS Geral

Teste a resolução do nome DNS de saída.

Teste a resolução de nomes usando o utilitário nslookup ou dig em instâncias em uma VPC em uma conta com a qual você compartilhou a regra Resolver.

A consulta deve ser resolvida para o endereço IP de um recurso que reside em seu datacenter on-premises.

AWS Geral

Recursos relacionados

Como resolver o DNS on-premises em ambientes híbridos (vídeo)
Como encaminhar consultas ao DNS de saída para a rede(documentação do Route 53)
Como compartilhar seus recursos AWS (documentação do AWS RAM)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrar várias contas da AWS com um único endereço de e-mail

Configure a resolução de DNS para redes híbridas em um ambiente de conta única da AWS