Atributos de DNS para sua VPC - Amazon Virtual Private Cloud

Atributos de DNS para sua VPC

Domain Name System (DNS) é um padrão por meio do qual os nomes usados na Internet são determinados de acordo com os endereços IP correspondentes. O nome de host DNS é aquele que é atribuído exclusiva e absolutamente a um computador; ele é formado por um nome de host e um nome de domínio. Os servidores DNS determinam os nomes do host DNS de acordo com os endereços IP correspondentes.

Os endereços IPv4 públicos habilitam a comunicação pela Internet e os endereços IPv4 privados habilitam a comunicação na rede da instância. Para mais informações, consulte Endereçamento IP.

A Amazon fornece um servidor DNS (o Amazon Route 53 Resolver) à VPC. Para usar seu próprio servidor DNS, crie um novo conjunto de opções de DHCP para a VPC. Para mais informações, consulte Conjuntos de opções DHCP no Amazon VPC.

Servidor de DNS da Amazon

O servidor DNS da Amazon é um servidor do Amazon Route 53 Resolver. Esse servidor habilita DNS para instâncias que precisam se comunicar pelo gateway da Internet da VPC.

O servidor DNS da Amazon não reside em uma sub-rede ou zona de disponibilidade específica em uma VPC. Ele se encontra no endereço 169.254.169.253 (e o endereço IP reservado na base do intervalo de rede IPv4 da VPC, mais dois) e fd00:ec2::253. Por exemplo, o servidor DNS da Amazon em uma rede 10.0.0.0/16 fica localizado em 10.0.0.2. Para VPCs com vários blocos CIDR IPv4, o endereço IP do servidor de DNS está localizado no bloco CIDR principal.

Quando você inicia uma instância em uma VPC, fornecemos à instância um nome de host DNS privado. Também fornecemos um nome de host DNS público se a instância estiver configurada com um endereço público IPv4 e os atributos DNS da VPC estiverem habilitados.

O formato do nome do host DNS privado depende de como você configura a instância do EC2 ao iniciá-la. Para obter mais informações sobre os tipos de nomes do host DNS privado, consulte Nomeação de instâncias do EC2.

O servidor de DNS da Amazon na VPC é usado para determinar os nomes de domínio DNS que você especifica em uma zona hospedada privada no Route 53. Para obter mais informações sobre zonas hospedadas privadas, consulte Trabalhar com zonas hospedadas privadas no Guia do desenvolvedor do Amazon Route 53.

Regras e considerações

Ao usar o servidor de DNS da Amazon, as seguintes regras e considerações se aplicam.

  • Não é possível filtrar o tráfego de ou para um servidor de DNS da Amazon usando network ACLs ou grupos de segurança.

  • Os serviços que utilizam o framework do Hadoop , como o Amazon EMR, requerem instâncias para determinar seus próprios nomes de domínio totalmente qualificados (FQDN). Nesses casos, a resolução do DNS pode falhar se a opção domain-name-servers estiver configurada para um valor personalizado. Para garantir uma resolução de DNS adequada, considere adicionar um encaminhador condicional no seu servidor de DNS para encaminhar consultas para o domínio region-name.compute.internal para o servidor de DNS da Amazon. Para obter mais informações, consulte Configurar uma VPC para hospedar clusters no Guia de gerenciamento do Amazon EMR.

  • O Windows Server 2008 não permite o uso de um servidor de DNS localizado no intervalo de endereços link-local (169.254.0.0/16).

  • O Amazon Route 53 Resolver é compatível apenas com consultas de DNS recursivas.

Nomes de hosts DNS

Quando você inicia uma instância, ela sempre recebe um endereço IPv4 privado e um nome de host DNS privado que corresponde ao seu endereço IPv4 privado. Se a instância tiver um endereço IPv4 público, os atributos DNS para a VPC determinarão se ela receberá um nome de host DNS público que corresponda ao endereço IPv4 público. Para mais informações, consulte Atributos de DNS em sua VPC.

Com o servidor de DNS fornecido pela Amazon habilitado, os nomes do host DNS são atribuídos e determinados da seguinte forma.

Nome DNS de IP privado (somente IPv4)

Você pode usar o nome de host do nome DNS de IP privado (somente IPv4) para comunicações entre instâncias na mesma VPC. Você pode resolver os nomes de host do nome DNS de IP privado (apenas IPv4) de outras instâncias em outras VPCs, desde que as instâncias estejam na mesma região da AWS e o nome de host da outra instância esteja no intervalo de espaços de endereços privados definido pelo RFC 1918: 10.0.0.0 - 10.255.255.255 (10/8 prefix), 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) e 192.168.0.0 - 192.168.255.255 (192.168/16 prefix).

Nome DNS de recurso privado

O nome DNS baseado em RBN que pode determinar os registros DNS A e AAAA selecionados para esta instância. Esse nome do host DNS fica visível nos detalhes da instância para instâncias em sub-redes de pilha dual e somente IPv6. Para obter mais informações sobre o RBN, consulte Tipos de nomes do host da instância do Amazon EC2.

DNS IPv4 público

Um nome do host DNS IPv4 público (externo) assume a forma ec2-public-ipv4-address.compute-1.amazonaws.com para a região us-east-1 e ec2-public-ipv4-address.region.compute.amazonaws.com para as demais regiões. O servidor de DNS da Amazon determina o nome do host DNS público para o endereço IPv4 público da instância fora da rede da instância e para o endereço IPv4 privado da instância dentro da rede da instância. Para obter mais informações, consulte Endereços IPv4 públicos e nomes de host DNS externos no Manual do usuário do Amazon EC2 para instâncias do Linux.

Atributos de DNS em sua VPC

Os atributos da VPC a seguir determinam o suporte a DNS fornecido para a VPC. Se ambos os atributos estiverem habilitados, uma instância iniciada na VPC receberá um nome de host DNS público se tiver recebido um endereço IPv4 público ou um endereço IP elástico na criação. Se você ativar ambos os atributos para uma VPC que anteriormente não tinha os dois atributos, as instâncias que já tiverem sido executadas nessa VPC receberão nomes de host DNS públicos se tiverem um endereço IPv4 público ou um endereço IP elástico.

Para verificar se esses atributos estão habilitados para a VPC, consulte Exibir e atualizar atributos DNS para sua VPC.

Atributo Descrição
enableDnsHostnames

Determina se a VPC oferece suporte à atribuição de nomes de host DNS públicos a instâncias com endereços IP públicos.

O padrão desse atributo é false, a não ser que a VPC seja uma VPC padrão.

enableDnsSupport

Determina se a VPC oferece suporte à resolução de DNS por meio do servidor de DNS fornecido pela Amazon.

Se esse atributo for true, as consultas ao servidor de DNS fornecido pela Amazon terão êxito. Para mais informações, consulte Servidor de DNS da Amazon.

O padrão desse atributo é true.

Regras e considerações

As seguintes regras se aplicam:

  • Se ambos os atributos estiverem definidos como true, ocorrerá o seguinte:

    • Instâncias com endereços IP públicos recebem nomes de host DNS públicos correspondentes.

    • O servidor Amazon Route 53 Resolver poderá determinar nomes de host DNS privados fornecidos pela Amazon.

  • Se pelo menos um dos atributos estiver definido como false, ocorrerá o seguinte:

    • Instâncias com endereços IP públicos não recebem nomes de host DNS públicos correspondentes.

    • O Amazon Route 53 Resolver não poderá determinar nomes de host DNS privados fornecidos pela Amazon.

    • As instâncias receberão nomes de host DNS privados personalizados se houver um nome de domínio personalizado no conjunto de opções DHCP. Se você não estiver usando o servidor Amazon Route 53 Resolver, seus servidores de nomes de domínio personalizados deverão determinar o nome de host do modo apropriado.

  • Se você usa nomes de domínio DNS definidos em uma zona hospedada privada no Amazon Route 53 ou usa DNS privado com endpoints da VPC de interface (AWS PrivateLink), é necessário definir os atributos enableDnsHostnames e enableDnsSupport como true.

  • O Amazon Route 53 Resolver pode determinar nomes de host DNS privados para endereços IPv4 privados para todos os espaços de endereço, inclusive quando o intervalo de endereços IPv4 de sua VPC não se encaixar nos intervalos de endereços IPv4 privados especificados pela RFC 1918. No entanto, se você criou a VPC antes de outubro de 2016, o Amazon Route 53 Resolver não resolverá nomes de host DNS privados se o intervalo de endereços IPv4 da VPC estiver fora desses intervalos. Para habilitar o suporte para isso, entre em contato com o AWS Support.

Cotas de DNS

Cada instância do EC2 pode enviar 1024 pacotes por segundo por interface de rede para o Route 53 Resolver (especificamente o endereço .2, como 10.0.0.2 e 169.254.169.253). Essa cota não pode ser aumentada. O número de consultas de DNS por segundo com suporte do Amazon Route 53 varia, dependendo do tipo da consulta, do tamanho da resposta e do protocolo em uso. Para obter mais informações e recomendações para uma arquitetura de DNS escalável, consulte o Guia técnico DNS híbrido da AWS com Diretório Ativo.

Se você atingir a cota, o Route 53 Resolver rejeitará o tráfego. Uma das causas para a cota ser atingida pode ser um problema de controle de utilização de DNS ou consultas de metadados de instância que usam a interface de rede do Route 53 Resolver. Para obter informações sobre como resolver problemas de limitação de DNS da VPC, consulte Como posso determinar se minhas consultas de DNS ao servidor de DNS fornecido pela Amazon falham devido à limitação de DNS da VPC?. Para obter informações sobre a recuperação de metadados de instância, consulte Recuperar metadados de instância no Guia do usuário do Amazon EC2 para instâncias do Linux.

Visualizar nomes de host DNS para a instância do EC2

É possível visualizar os nomes de host DNS para uma instância em execução ou uma interface de rede usando o console do Amazon EC2 ou a linha de comando.

Os campos Public DNS (IPv4) (DNS público (IPv4)) e Private DNS (DNS privado) ficam disponíveis quando as opções de DNS estão ativadas para a VPC associada à instância. Para mais informações, consulte Atributos de DNS em sua VPC.

Instância

Para visualizar nomes de host DNS para uma instância por meio do console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Instances (Instâncias).

  3. Selecione sua instância na lista.

  4. No painel de detalhes, os campos Public DNS (IPv4) e Private DNS exibem os nomes de host DNS, se aplicável.

Para visualizar nomes de host DNS para uma instância por meio da linha de comando

Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linha de comando, consulte Trabalhar com a Amazon VPC.

Interface de rede

Para visualizar o nome de host DNS privado para uma interface de rede por meio do console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Network Interfaces.

  3. Selecione a interface de rede na lista.

  4. No painel de detalhes, o campo Private DNS (IPv4) DNS privado (IPv4) exibe o nome do host DNS privado.

Para visualizar nomes de host DNS para uma interface de rede por meio da linha de comando

Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linha de comando, consulte Trabalhar com a Amazon VPC.

Exibir e atualizar atributos DNS para sua VPC

É possível visualizar e atualizar os atributos de suporte a DNS para a VPC usando o console da Amazon VPC.

Para descrever e atualizar o suporte a DNS para uma VPC por meio do console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Marque a caixa de seleção da VPC.

  4. Revise as informações em Details (Detalhes). Nesse exemplo, as opções DNS hostnames (Nomes de hosts DNS) e DNS Resolution (Resolução de DNS) estã habilitadas.

    
              A guia DNS Settings
  5. Para atualizar essas configurações, escolha Actions (Ações) e, em seguida, Edit DNS hostnames (Editar nomes de host DNS) ou Edit DNS resolution (Editar resolução de DNS). Quando solicitado, selecione ou desmarque Enable (Habilitar) e escolha Save changes (Salvar alterações).

Para descrever um suporte a DNS para uma VPC por meio da linha de comando

Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linha de comando, consulte Trabalhar com a Amazon VPC.

Para atualizar um suporte a DNS para uma VPC por meio da linha de comando

Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linha de comando, consulte Trabalhar com a Amazon VPC.

Zonas hospedadas privadas

Para acessar os recursos em seu VPC usando nomes de domínio DNS personalizados, como example.com, em vez de usar endereços IPv4 privados ou nomes de host DNS privados fornecidos pela AWS, você pode criar uma zona hospedada privada no Route 53. Uma zona hospedada privada é um contêiner que contém informações sobre como você deseja rotear o tráfego para um domínio e seus subdomínios dentro de uma ou mais VPCs sem expor seus recursos à Internet. Desse modo, é possível criar conjuntos de registros de recursos no Route 53, que determinam como o Route 53 responderá a consultas para o domínio e os subdomínios. Por exemplo, se desejar que as solicitações de navegador para exemplo.com sejam roteadas para um servidor web em sua VPC, você criará um registro A em sua zona hospedada privada e especificará o endereço IP desse servidor web. Para obter mais informações sobre como criar uma zona hospedada privada, consulte Trabalhar com zonas hospedadas privadas no Guia do desenvolvedor do Amazon Route 53.

Para acessar recursos usando nomes de domínio de DNS personalizados, você deve estar conectado a uma instância dentro da VPC. Em sua instância, você pode testar se seu recurso na zona hospedada privada pode ser acessado pelo respectivo nome de DNS personalizado usando o comando ping; por exemplo, ping mywebserver.example.com. (É essencial que as regras de security group de sua instância permitam tráfego ICMP de entrada para que o comando ping funcione.)

Zonas hospedadas privadas não comportarão relações temporárias fora da VPC. Por exemplo, você não pode acessar seus recursos usando nomes de DNS privados do outro lado de uma conexão VPN.

Importante

Se você usar nomes de domínio DNS personalizados definidos em uma zona hospedada privada no Amazon Route 53, deverá definir ambos os atributos enableDnsHostnames e enableDnsSupport como true.