Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar la resolución de DNS para redes híbridas en un entorno de cuentas múltiples AWS
Anvesh Koganti, Amazon Web Services
Resumen
Este patrón proporciona una solución integral para configurar la resolución de DNS en entornos de redes híbridas que incluyen varias cuentas de Amazon Web Services (AWS). Permite la resolución de DNS bidireccional entre las redes locales y el entorno a través de puntos finales. AWS Amazon Route 53 Resolver El patrón presenta dos soluciones para permitir la resolución de DNS en una arquitectura centralizada de varias cuentas:
La configuración básica no utiliza los perfiles de Route 53. Ayuda a optimizar los costos de las implementaciones pequeñas y medianas de menor complejidad.
La configuración mejorada utiliza los perfiles de Route 53 para simplificar las operaciones. Es la mejor opción para implementaciones de DNS más grandes o complejas.
nota
Consulte la sección Limitaciones para conocer las limitaciones y cuotas del servicio antes de la implementación. Al tomar la decisión, tenga en cuenta factores como los gastos generales de administración, los costos, la complejidad operativa y la experiencia del equipo.
Requisitos previos y limitaciones
Requisitos previos
Un entorno de AWS varias cuentas con Amazon Virtual Private Cloud (Amazon VPC) implementado en cuentas de carga de trabajo y de servicios compartidos (preferiblemente configuradas a través de la Torre de Control de AWS AWS siguiendo las prácticas recomendadas para la estructura de cuentas).
Conectividad híbrida existente (AWS Direct Connect o AWS Site-to-Site VPN) entre su red local y el entorno. AWS
Emparejamiento de Amazon VPC o Nube de AWS WAN para conectividad de red de capa 3 entre. AWS Transit Gateway VPCs (Esta conectividad es necesaria para el tráfico de aplicaciones. No es necesaria para que funcione la resolución de DNS. La resolución de DNS funciona independientemente de la conectividad de red entre los VPCs.)
Servidores DNS que se ejecutan en el entorno en las instalaciones.
Limitaciones
Los puntos finales, las reglas y los perfiles de Route 53 Resolver son construcciones regionales y, en el caso de las organizaciones globales, es posible que deban replicarse en varios Regiones de AWS .
Para obtener una lista completa de las cuotas de servicio de Route 53 Resolver, las zonas alojadas privadas y los perfiles, consulte la sección Quotas en la documentación de Route 53.
Arquitectura
Pila de tecnología de destino
Puntos de conexión entrantes y salientes de Route 53
Reglas de Route 53 Resolver para el reenvío condicional
AWS Resource Access Manager (AWS RAM)
Zona alojada privada de Route 53
Arquitectura de destino
Puntos de conexión entrantes y salientes
En el siguiente diagrama, se muestra el flujo de resolución de DNS desde el entorno local AWS hasta el entorno local. Esta es la configuración de conectividad para las resoluciones salientes en las que el dominio se aloja en las instalaciones. A continuación se presenta información general del proceso que implica la configuración de esto. Para más información, consulte la sección Epics.
Implemente puntos de conexión de Route 53 Resolver salientes en la VPC de servicios compartidos.
Cree reglas de Route 53 Resolver (reglas de reenvío) en la cuenta de servicios compartidos para los dominios alojados en las instalaciones.
Comparta las reglas y VPCs asócielas con otras cuentas que alojen los recursos necesarios para resolver los dominios alojados de forma local. Esto se puede hacer de maneras distintas según el caso de uso, como se describe más adelante en esta sección.
Una vez configurada la conectividad, los pasos necesarios para la resolución saliente son los siguientes:
La instancia de Amazon Elastic Compute Cloud (Amazon EC2) envía una solicitud de resolución de DNS
db.onprem.example.comal solucionador de Route 53 de la VPC a la dirección de la VPC+2.Route 53 Resolver comprueba las reglas del Resolver y reenvía la solicitud al servidor DNS local IPs mediante el punto final de salida.
El punto final saliente reenvía la solicitud al DNS local. IPs El tráfico pasa por la conectividad de red híbrida establecida entre la VPC de servicios compartidos y el centro de datos en las instalaciones.
El servidor DNS en las instalaciones responde al punto de conexión saliente, que luego reenvía la respuesta al solucionador de Route 53 Resolver de la VPC. El Resolver devuelve la respuesta a la instancia. EC2
El siguiente diagrama muestra el flujo de resolución de DNS desde el entorno local hasta AWS. Esta es la configuración de conectividad para las resoluciones entrantes en las que el dominio se aloja en AWS. A continuación se presenta información general del proceso que implica la configuración de esto. Para más información, consulte la sección Epics.
Implemente puntos de conexión entrantes de Resolver en la VPC de servicios compartidos.
Cree zonas alojadas privadas en la cuenta de servicios compartidos (enfoque centralizado).
Asocie las zonas alojadas privadas a la VPC de servicios compartidos. Comparta y asocie estas zonas con varias cuentas VPCs para la resolución de VPC-to-VPC DNS. Esto se puede hacer de maneras distintas según el caso de uso, como se describe más adelante en esta sección.
Una vez configurada la conectividad, los pasos necesarios para la resolución entrante son los siguientes:
El recurso en las instalaciones envía una solicitud de resolución de DNS para
ec2.prod.aws.example.comal servidor DNS en las instalaciones.El servidor DNS en las instalaciones reenvía la solicitud al punto de conexión de Resolver entrante de la VPC de servicios compartidos a través de la conexión de red híbrida.
El punto de conexión de Resolver entrante busca la solicitud en la zona alojada privada asociada con la ayuda Route 53 Resolver de VPC y obtiene la dirección IP adecuada.
Estas direcciones IP se devuelven al servidor DNS en las instalaciones, que devuelve la respuesta al recurso en las instalaciones.
Esta configuración permite que los recursos locales resuelvan los nombres de dominio AWS privados al enrutar las consultas a través de los puntos finales entrantes hasta la zona alojada privada adecuada. En esta arquitectura, las zonas alojadas privadas están centralizadas en una VPC de servicios compartidos, lo que permite la administración central del DNS por parte de un solo equipo. Estas zonas se pueden asociar VPCs a muchas para abordar el caso de uso de la resolución de VPC-to-VPC DNS. Como alternativa, puede delegar la propiedad y la administración del dominio DNS en cada una de ellas Cuenta de AWS. En ese caso, cada cuenta administra sus propias zonas alojadas privadas y asocia cada zona a la VPC central de servicios compartidos para lograr una resolución unificada con el entorno en las instalaciones. Este enfoque descentralizado queda fuera del alcance de este patrón. Para obtener más información, consulte Escalar la administración de DNS en varias cuentas y VPCs en el documento técnico Opciones de DNS en la nube híbrida para Amazon VPC.
Al establecer los flujos de resolución de DNS fundamentales mediante puntos de conexión de Resolver, debe determinar cómo administrar el uso compartido y la asociación de las reglas de Resolver y las zonas alojadas privadas en sus Cuentas de AWS. Puede abordarlo de dos maneras: mediante el uso compartido autogestionado, AWS RAM para compartir las reglas de Resolver y las asociaciones directas de zonas alojadas privadas, como se detalla en la sección Configuración básica, o mediante los perfiles de Route 53, como se explica en la sección Configuración mejorada. La elección depende de las preferencias de administración del DNS y de los requisitos operativos de su organización. Los siguientes diagramas de arquitectura ilustran un entorno escalado que incluye varias cuentas VPCs diferentes, lo que representa una implementación empresarial típica.
Configuración básica
En la configuración básica, la implementación de la resolución de DNS híbrida en un AWS entorno con varias cuentas se utiliza AWS RAM para compartir las reglas de reenvío de Resolver y las asociaciones de zonas alojadas privadas para gestionar las consultas de DNS entre las instalaciones y los recursos. AWS Este método utiliza puntos de conexión de Route 53 Resolver centralizados en una VPC de servicios compartidos que está conectada a la red en las instalaciones para gestionar la resolución de DNS entrante y saliente de manera eficiente.
Para la resolución de llamadas salientes, las reglas de reenvío de Resolver se crean en la cuenta de Shared Services y, a continuación, se comparten con otras personas mediante. Cuentas de AWS AWS RAM Este uso compartido está limitado a cuentas en la misma región. A continuación, las cuentas de destino pueden asociar estas reglas a las suyas VPCs y habilitar los recursos que contienen VPCs para resolver los nombres de dominio locales.
Para la resolución entrante, las zonas alojadas privadas se crean en la cuenta de servicios compartidos y se asocian a la VPC de servicios compartidos. Luego, estas zonas se pueden asociar VPCs a otras cuentas mediante la API de Route 53 o la AWS Command Line Interface (AWS CLI). AWS SDKs Los recursos asociados VPCs pueden entonces resolver los registros de DNS definidos en las zonas alojadas privadas, lo que crea una vista de DNS unificada en todo el AWS entorno.
En el diagrama siguiente se muestran los flujos de resolución de DNS en esta configuración básica.
Esta configuración funciona bien cuando se trabaja con una infraestructura de DNS a una escala limitada. Sin embargo, su administración puede resultar difícil a medida que crece el entorno. La sobrecarga operativa que supone administrar la forma en que se comparten y se asocian VPCs individualmente las reglas de las zonas alojadas privadas y del Resolver aumenta considerablemente con la escala. Además, las cuotas de servicio, como el límite de asociación de 300 VPC por zona alojada privada, pueden convertirse en factores restrictivos en las implementaciones a gran escala. La configuración mejorada aborda estos desafíos.
Configuración mejorada
Los perfiles de Route 53 ofrecen una solución simplificada para administrar la resolución de DNS en redes híbridas en varias Cuentas de AWS. En lugar de administrar las zonas alojadas privadas y las reglas de Resolver de forma individual, puede agrupar las configuraciones de DNS en un único contenedor que se pueda compartir y aplicar fácilmente en varias cuentas VPCs y cuentas de una región. Esta configuración mantiene la arquitectura centralizada del punto de conexión de Resolver en una VPC de servicios compartidos y, al mismo tiempo, simplifica considerablemente la administración de las configuraciones de DNS.
En el diagrama siguiente se muestran los flujos de resolución de DNS en una configuración mejorada.
Los perfiles de Route 53 le permiten empaquetar las asociaciones de zonas alojadas privadas, las reglas de reenvío de Resolver y las reglas de firewall de DNS en una sola unidad que se puede compartir. Puede crear perfiles en la cuenta de Shared Services y compartirlos con las cuentas de los miembros mediante AWS RAM. Cuando se comparte un perfil y se aplica a Target VPCs, el servicio gestiona automáticamente todas las asociaciones y configuraciones necesarias. Esto reduce de manera significativa los gastos generales operativos de la administración del DNS y proporciona una escalabilidad excelente para los entornos en crecimiento.
Automatización y escala
Utilice herramientas de infraestructura como código (IaC), como CloudFormation Terraform, para aprovisionar y administrar automáticamente los puntos finales, las reglas, las zonas alojadas privadas y los perfiles de Route 53 Resolver. Integre la configuración de DNS con flujos de integración continua y entrega continua (CI/CD) para lograr coherencia, repetibilidad y actualizaciones rápidas.
Tools (Herramientas)
Servicios de AWS
AWS Resource Access Manager (AWS RAM) le ayuda a compartir sus recursos de forma segura Cuentas de AWS para reducir los gastos operativos y ofrecer visibilidad y auditabilidad.
Amazon Route 53 Resolverresponde de forma recursiva a las consultas de DNS procedentes de AWS los recursos y está disponible de forma predeterminada en todos ellos. VPCs Puede crear puntos de enlace de Resolver y reglas de reenvío condicional para resolver los espacios de nombres DNS entre su centro de datos local y el suyo. VPCs
Una zona alojada privada de Amazon Route 53 es un contenedor que aloja información acerca de cómo desea que responda Route 53 a las consultas de DNS de un dominio y sus subdominios.
Los perfiles de Amazon Route 53 le permiten aplicar y gestionar configuraciones de Route 53 relacionadas con el DNS en muchas VPCs y diferentes Cuentas de AWS configuraciones de forma simplificada.
Prácticas recomendadas
En esta sección, se proporcionan algunas de las prácticas recomendadas para la optimización de Route 53 Resolver. Representan un subconjunto de las prácticas recomendadas de Route 53. Para obtener información completa, consulte Best practices for Amazon Route 53.
Evite las configuraciones en bucle con los puntos finales de Resolver
Diseñe la arquitectura de DNS para evitar el enrutamiento recursivo y planifique con detenimiento las asociaciones de VPC. Cuando una VPC aloja un punto de conexión entrante, evite asociarlo a las reglas de Resolver que podrían crear referencias circulares.
AWS RAM Utilízalos estratégicamente cuando compartas los recursos de DNS entre cuentas para mantener limpias las rutas de enrutamiento.
Para más información, consulte Avoid loop configurations with Resolver endpoints en la documentación de Route 53.
Escalado de puntos de conexión de Resolver
En el caso de los entornos que requieren un número elevado de consultas por segundo (QPS), tenga en cuenta que hay un límite de 10 000 QPS por ENI en un punto de conexión. ENIs Se pueden añadir más a un punto final para escalar el QPS del DNS.
Amazon CloudWatch proporciona
InboundQueryVolumeyOutboundQueryVolumemétricas (consulta la CloudWatch documentación). Le recomendamos que configure reglas de supervisión que le avisen si el umbral supera un valor determinado (por ejemplo, el 80 % de 10 000 QPS).Configure reglas de grupos de seguridad con estado para los puntos de conexión de Resolver para evitar que los límites de seguimiento de la conexión provoquen una limitación de las consultas de DNS durante un tráfico de gran volumen. Para obtener más información sobre cómo funciona el seguimiento de conexiones en los grupos de seguridad, consulte el seguimiento de conexiones de los grupos de EC2 seguridad de Amazon en la EC2 documentación de Amazon.
Para más información, consulte Resolver endpoint scaling en la documentación de Route 53.
Cómo proporcionar alta disponibilidad para puntos de enlace de Resolver
Cree puntos de conexión de entrada con las direcciones IP al menos en dos zonas de disponibilidad para la redundancia.
Aprovisionamiento de interfaces de red adicionales para garantizar la disponibilidad durante el mantenimiento o los picos de tráfico.
Para más información, consulte High availability for Resolver endpoints en la documentación de Route 53.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Cree un punto de conexión entrante. | Route 53 Resolver utiliza un punto de conexión de entrada para recibir las consultas de DNS de los solucionadores en las instalaciones. Para obtener instrucciones, consulte Reenviar las consultas de DNS entrantes a su cuenta VPCs en la documentación de Route 53. Anote la dirección IP del punto de conexión entrante. | Administrador de la nube, administrador de AWS |
Implemente un punto de conexión saliente. | Route 53 Resolver utiliza un punto de conexión de salida para enviar las consultas de DNS de los solucionadores en las instalaciones. Para obtener instrucciones, consulte Reenvío de consultas de DNS de salida a su red en la documentación de Route 53. Anote el ID del punto de conexión de salida. | Administrador de la nube, administrador de AWS |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Cree una zona alojada privada para un dominio alojado en AWS. | Esta zona contiene los registros DNS de los recursos AWS de un dominio hospedado (por ejemplo Al crear una zona alojada privada, debe asociar una VPC a la zona alojada que es responsabilidad de la misma cuenta. Seleccione la VPC de servicios compartidos para este fin. | Administrador de la nube, administrador de AWS |
Configuración básica: asocie la zona alojada privada a otras VPCs cuentas. | Si utiliza la configuración básica (consulte la sección Arquitectura): Para permitir que los recursos de la cuenta VPCs del miembro resuelvan los registros DNS de esta zona alojada privada, debe asociar los suyos VPCs a la zona alojada. Debe autorizar la asociación y, a continuación, crearla mediante programación. Para obtener instrucciones, consulte Associating an Amazon VPC and a private hosted zone that you created with different Cuentas de AWS en la documentación de Route 53. | Administrador de la nube, administrador de AWS |
Configuración mejorada: configure y comparta los perfiles de Route 53. | Si utiliza la configuración mejorada (consulte la sección Arquitectura):
notaSegún la estructura de su organización y los requisitos de DNS, es posible que deba crear y administrar varios perfiles para cuentas o cargas de trabajo distintas. | Administrador de la nube, administrador de AWS |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Cree una regla de reenvío para un dominio alojado en las instalaciones | Esta regla indicará a Route 53 Resolver que reenvíe las consultas de DNS para los dominios en las instalaciones (como | Administrador de la nube, administrador de AWS |
Configuración básica: comparte y asocia la regla de reenvío a la tuya VPCs en otras cuentas. | Si utiliza la configuración básica: Para que la regla de reenvío entre en vigor, debes compartir y asociar la regla a la tuya VPCs en otras cuentas. Luego, Route 53 Resolver toma en cuenta la regla al resolver un dominio. Para obtener instrucciones, consulte Compartir reglas de Resolver con otras Cuentas de AWS personas y usar reglas compartidas y Asociar reglas de reenvío a una VPC en la documentación de Route 53. | Administrador de la nube, administrador de AWS |
Configuración mejorada: configure y comparta los perfiles de Route 53. | Si utiliza la configuración mejorada:
notaSegún la estructura de su organización y los requisitos de DNS, es posible que deba crear y administrar varios perfiles para cuentas o cargas de trabajo distintas. | Administrador de la nube, administrador de AWS |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Configure el reenvío condicional en los solucionadores de DNS en las instalaciones. | Para que las consultas de DNS se envíen AWS desde el entorno local para su resolución, debe configurar el reenvío condicional en los solucionadores de DNS locales para que apunten a la dirección IP del punto final entrante. Esto indica a los solucionadores de DNS que reenvíen todas las consultas de DNS del dominio AWS hospedado (por ejemplo, para | Administrador de red |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Pruebe la resolución de DNS desde AWS el entorno local. | Desde una instancia en una VPC que tenga la regla de reenvío asociada, haga una consulta de DNS para un dominio alojado en las instalaciones (por ejemplo, para | Administrador de red |
Pruebe la resolución de DNS desde el entorno local hasta. AWS | Desde un servidor local, realice la resolución de DNS para un dominio AWS hospedado (por ejemplo, para). | Administrador de red |
Recursos relacionados
Opciones de DNS en la nube híbrida para Amazon VPC (documento técnico)AWS
Working with private hosted zones (documentación de Route 53)
Getting started with Route 53 Resolver (documentación de Route 53)
Simplifique la administración del DNS en un entorno de varias cuentas con Route 53 Resolver
(entrada del blog)AWS Unifique la administración de DNS mediante perfiles de Amazon Route 53 con múltiples VPCs y Cuentas de AWS
(AWS entrada de blog) Migración de su entorno DNS multicuenta a los perfiles de Amazon Route 53
(AWS entrada del blog) Uso de los perfiles de Amazon Route 53 para AWS entornos escalables con varias cuentas
(AWS entrada del blog)
