Pasos para la delegación saliente Tipos de delegación

Tutorial sobre las reglas de delegación de Resolver

La regla de delegación permite a Route 53 Resolver llegar a los servidores de nombres que alojan la zona delegada a través del punto de conexión de salida especificado. Mientras que la regla de reenvío indica a Route 53 Resolver que reenvíe las consultas de DNS a los servidores de nombres que coincidan con el dominio especificado a través del punto de conexión de salida, la regla de delegación indica a Route 53 Resolver que llegue a los servidores de nombres delegados a través del punto de conexión de salida especificado cuando se devuelven los registros NS delegados. Route 53 Resolver envía una consulta a los servidores de nombres delegados cuando los registros NS de la respuesta DNS coinciden con el nombre de dominio especificado en el registro de delegación.

Pasos para utilizar la delegación saliente a través del punto de conexión de Resolver

Cree un punto de conexión de salida de Route 53 Resolver en la VPC desde la que quiere que se originen las consultas de DNS a los solucionadores de su red.

Puede utilizar la siguiente API o el comando de CLI:
- API de CreateResolverEndpoint
- CLI de create-resolver-endpoint
Cree una o más reglas de delegación que especifiquen los nombres de dominio para los que se deben delegar las consultas a la red a través del punto de conexión de salida especificado.

Ejemplo de creación de reglas de delegación con CLI:
```
aws route53resolver create-resolver-rule \
--region REGION \
--creator-request-id delegateruletest \
--delegation-record example.com \
--name delegateruletest \
--rule-type DELEGATE \
--resolver-endpoint-id outbound endpoint ID
```
Asocie la regla de delegación VPCs a la que desee delegar las consultas.

Puede utilizar la siguiente API o el comando de CLI:
- AssociateResolverRuleAPI.
- associate-resolver-rulesComando CLI.

Tipos de delegación admitidos por el punto de conexión de salida de Resolver

Route 53 Resolver admite dos tipos de delegación saliente:

Delegación saliente de una zona alojada privada de Route 53 a Route 53 Resolver:

Delega un subdominio de una zona alojada privada a un servidor DNS en las instalaciones o a una zona alojada pública de Internet mediante la delegación saliente. Esta delegación saliente le permite dividir la administración de sus registros de DNS entre la zona alojada privada y la zona delegada. La delegación se puede hacer con o sin un registro de adherencia en una zona alojada privada en función de la configuración de DNS. Para obtener más información, consulte De una zona alojada privada a un punto de conexión de salida.
Delegación entre puntos de conexión de salida de Route 53 Resolver:

Delega un subdominio de su servidor DNS en las instalaciones a otro servidor en las instalaciones en una ubicación igual o diferente mediante la delegación entre puntos de conexión de salida. Esto es similar a la delegación de una zona alojada privada a un punto de conexión de salida, donde puede delegar a una zona alojada en su servidor de nombres en las instalaciones. Para obtener más información, consulte Entre puntos de salida.

Ejemplo de configuración de la delegación saliente de una zona alojada privada de Route 53 a Route 53 Resolver:

Supongamos que se tiene una configuración de DNS en la que la zona alojada principal está alojada en una zona alojada privada de Route 53 en una Amazon VPC y los subdominios se delegan a servidores de nombres alojados en Europa, Asia y América del Norte. Todas las consultas de DNS se pasan a través de Route 53 Resolver.

Siga los pasos del ejemplo para configurar su zona alojada privada y Route 53 Resolver.

Configuración de una zona alojada privada para la delegación saliente

Para la configuración de la zona alojada privada:

Zona alojada principal: hr.example.com


$TTL    86400 ; 24 hours
$ORIGIN hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation

ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record

Para el servidor de nombres en las instalaciones en la región de Europa:

Zona alojada: eu.hr.example.com, IP del NS: 10.0.0.30


$TTL    86400 ; 24 hours
$ORIGIN eu.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.eu.hr.example.com IN A 1.2.3.4

Para el servidor de nombres en las instalaciones en la región de Asia:

Zona alojada: apac.hr.example.com, 10.0.0.40

El servidor de nombres de APAC puede delegar el subdominio a otros servidores de nombres.


$TTL    86400 ; 24 hours
$ORIGIN apac.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90

Zona alojada: engineering.apac.hr.example.com, 10.0.0.80


$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1

Para el servidor de nombres en las instalaciones en la región de América del Norte:

Zona alojada: na.hr.example.net, IP del NS: 10.0.0.50


$TTL    86400 ; 24 hours
$ORIGIN na.hr.example.net
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com  IN A 9.10.11.12

Configuración de Route 53 Resolver

Para Route 53 Resolver, debe configurar una regla de reenvío y dos reglas de delegación:

Regla de reenvío
1. Para reenviar el registro de out-of-zone delegación, de modo que el Route 53 Resolver conozca la IP del NS delegado para reenviar la solicitud inicial.
  
  domain-name: hr.example.net target-ips: 10.0.0.50
Reglas de delegación
1. Regla de delegación para la delegación en la zona:
  
  delegation-record: hr.example.com
2. Regla de delegación para la delegación fuera de la zona:
  
  delegation-record: hr.example.net

Ejemplo de configuración de delegación entre puntos de salida

En lugar de tener la zona alojada principal en una Amazon VPC, supongamos que se tiene una configuración de DNS en la que la zona alojada principal se encuentra en la ubicación central en las instalaciones y los subdominios se delegan a servidores de nombres alojados en Europa, Asia y América del Norte. Todas las consultas de DNS se pasan a través de Route 53 Resolver.

Siga los pasos del ejemplo para configurar su DNS en las instalaciones y Route 53 Resolver.

Configuración de DNS en las instalaciones

Para el servidor de nombres en las instalaciones en la región central:

Zona alojada principal: hr.example.com

Zona alojada hr.example.com, IP del NS: 10.0.0.20


$TTL    86400 ; 24 hours
$ORIGIN hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation

ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record

Para el servidor de nombres en las instalaciones en la región de Europa (la configuración de los servidores de nombres de Europa, Asia y América del Norte es la misma que la de la delegación de una zona alojada privada a un punto de conexión de salida):
- Zona alojada: eu.hr.example.com, IP del NS: 10.0.0.30
```
$TTL    86400 ; 24 hours
$ORIGIN eu.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.eu.hr.example.com IN A 1.2.3.4
```

Para el servidor de nombres en las instalaciones en la región de Asia:

Zona alojada: apac.hr.example.com, 10.0.0.40

El servidor de nombres de APAC puede delegar el subdominio a otros servidores de nombres.


$TTL    86400 ; 24 hours
$ORIGIN apac.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90

Zona alojada: engineering.apac.hr.example.com, 10.0.0.80


$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1

Para el servidor de nombres en las instalaciones en la región de América del Norte:

Zona alojada: na.hr.example.net, IP del NS: 10.0.0.50


$TTL    86400 ; 24 hours
$ORIGIN na.hr.example.net
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com  IN A 9.10.11.12

Configuración de Route 53 Resolver

Para Route 53 Resolver, debe configurar reglas de reenvío y reglas de delegación:

Reglas de reenvío
1. Para reenviar la solicitud inicial de modo que las consultas se reenvíen a la zona alojada principal hr.example.com en la ubicación central:
  
  domain-name: hr.example.com target-ips: 10.0.0.20
2. Para reenviar el registro de out-of-zone delegación, de modo que el solucionador de Route 53 conozca la dirección IP del servidor de nombres delegado para reenviar la solicitud inicial:
  
  domain-name: hr.example.net target-ips: 10.0.0.50
Reglas de delegación
1. Regla de delegación para la delegación en la zona:
  
  registro de delegación: hr.example.com
2. Regla de delegación para la delegación fuera de la zona:
  
  delegation-record: hr.example.net

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de reglas de reenvío

Activar de la validación de DNSSEC