Étapes relatives à la délégation sortante Types de délégation

Tutoriel sur les règles de délégation Resolver

La règle de délégation permet au résolveur Route 53 d'atteindre les serveurs de noms hébergeant la zone déléguée via le point de terminaison sortant spécifié. Alors que la règle de transfert indique au résolveur Route 53 de transférer les requêtes DNS aux serveurs de noms correspondant au domaine spécifié via le point de terminaison sortant, la règle de délégation indique au résolveur Route 53 d'atteindre les serveurs de noms délégués via le point de terminaison sortant spécifié lorsque les enregistrements NS délégués sont renvoyés. Route 53 Resolver envoie une requête aux serveurs de noms délégués lorsque les enregistrements NS de la réponse DNS correspondent au nom de domaine spécifié dans l'enregistrement de délégation.

Étapes d'utilisation de la délégation sortante du point de terminaison Resolver

Créez un point de terminaison sortant Route 53 Resolver dans le VPC dont vous souhaitez que les requêtes DNS proviennent vers les résolveurs de votre réseau.

Vous pouvez utiliser l'API ou la commande CLI suivante :
- API CreateResolverEndpoint
- create-resolver-endpoint CLI
Créez une ou plusieurs règles de délégation, qui spécifient les noms de domaine pour lesquels les requêtes doivent être déléguées à votre réseau via le point de terminaison sortant spécifié.

Exemple de création de règles de délégation avec la CLI :
```
aws route53resolver create-resolver-rule \
--region REGION \
--creator-request-id delegateruletest \
--delegation-record example.com \
--name delegateruletest \
--rule-type DELEGATE \
--resolver-endpoint-id outbound endpoint ID
```
Associez la règle de délégation à celle VPCs pour laquelle vous souhaitez que les requêtes soient déléguées.

Vous pouvez utiliser l'API ou la commande CLI suivante :
- AssociateResolverRuleAPI.
- associate-resolver-rulesCommande CLI.

Types de délégation pris en charge par le point de terminaison sortant de Resolver

Route 53 Resolver prend en charge deux types de délégation sortante :

Délégation sortante de la zone hébergée privée Route 53 vers Route 53 Resolver :

Délégue un sous-domaine d'une zone hébergée privée vers un serveur DNS local ou vers une zone hébergée publique sur Internet à l'aide de la délégation sortante. Cette délégation sortante vous permet de répartir la gestion de vos enregistrements DNS entre la zone hébergée privée et la zone déléguée. La délégation peut être effectuée avec ou sans enregistrement adhésif dans une zone hébergée privée en fonction de votre configuration DNS. Pour plus d'informations, consultez. Zone hébergée privée vers le trafic sortant
Route 53 Resolver de la délégation sortante vers la délégation sortante :

Délégue un sous-domaine de votre serveur DNS local à un autre serveur local situé au même endroit ou à un emplacement différent en utilisant la délégation sortante à sortante. Cela est similaire à la délégation d'une zone hébergée privée vers un point de terminaison sortant, où vous pouvez déléguer à une zone hébergée sur votre serveur de noms local. Pour de plus amples informations, veuillez consulter Sortant vers sortant.

Exemple de configuration de délégation sortante de la zone hébergée privée Route 53 vers Route 53 Resolver

Supposons une configuration DNS dans laquelle la zone hébergée parent est hébergée dans une zone hébergée privée Route 53 dans un Amazon VPC et où les sous-domaines sont délégués à des serveurs de noms hébergés en Europe, en Asie et en Amérique du Nord. Toutes les requêtes DNS sont transmises via le résolveur Route 53.

Suivez les exemples d'étapes pour configurer votre zone hébergée privée et votre résolveur Route 53.

Configurer une zone hébergée privée pour la délégation sortante

Pour la configuration de la zone hébergée privée :

Zone hébergée par le parent : hr.example.com


$TTL    86400 ; 24 hours
$ORIGIN hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation

ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record

Pour le serveur de noms local de la région Europe sur site :

Zone hébergée : eu.hr.example.com NS IP : 10.0.0.30


$TTL    86400 ; 24 hours
$ORIGIN eu.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.eu.hr.example.com IN A 1.2.3.4

Pour le serveur de noms local de la région Asie sur site :

Zone hébergée :apac.hr.example.com, 10.0.0.40

Le serveur de noms apac peut déléguer le sous-domaine à d'autres serveurs de noms.


$TTL    86400 ; 24 hours
$ORIGIN apac.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90

Zone hébergée :engineering.apac.hr.example.com, 10.0.0.80


$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1

Pour le serveur de noms local de la région Amérique du Nord :

Zone hébergée : na.hr.example.net NS IP : 10.0.0.50


$TTL    86400 ; 24 hours
$ORIGIN na.hr.example.net
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com  IN A 9.10.11.12

Configuration du résolveur Route 53

Pour le résolveur Route 53, vous devez configurer une règle directe et deux règles de délégation :

Règle directe
1. Pour transférer l'enregistrement de out-of-zone délégation, le résolveur Route 53 connaisse l'adresse IP du NS délégué pour transmettre la demande initiale.
  
  nom de domaine : target-ips : hr.example.net 10.0.0.50
Règles de délégation
1. Règle de délégation pour la délégation en zone :
  
  enregistrement de délégation : hr.example.com
2. Règle de délégation pour la délégation hors zone :
  
  enregistrement de délégation : hr.example.net

Exemple de configuration de délégation sortante vers sortie

Au lieu d'avoir la zone hébergée parent dans un Amazon VPC, supposons une configuration DNS dans laquelle la zone hébergée parent se trouve dans l'emplacement central sur site et les sous-domaines sont délégués à des serveurs de noms hébergés en Europe, en Asie et en Amérique du Nord. Toutes les requêtes DNS sont transmises via le résolveur Route 53.

Suivez les étapes décrites dans les exemples pour configurer votre DNS local et le résolveur Route 53.

Configuration du DNS sur site

Pour le serveur de noms local situé dans la région centrale sur site :

Zone hébergée par le parent : hr.example.com

Zone hébergéehr.example.com, adresse IP NS : 10.0.0.20


$TTL    86400 ; 24 hours
$ORIGIN hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation

ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record

Pour le serveur de noms local de la région Europe sur site (la configuration des serveurs de noms d'Europe, d'Asie et d'Amérique du Nord est la même que pour la zone hébergée privée vers la délégation sortante) :
- Zone hébergée : eu.hr.example.com NS IP : 10.0.0.30
```
$TTL    86400 ; 24 hours
$ORIGIN eu.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.eu.hr.example.com IN A 1.2.3.4
```

Pour le serveur de noms local de la région Asie sur site :

Zone hébergée :apac.hr.example.com, 10.0.0.40

Le serveur de noms apac peut déléguer le sous-domaine à d'autres serveurs de noms.


$TTL    86400 ; 24 hours
$ORIGIN apac.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90

Zone hébergée :engineering.apac.hr.example.com, 10.0.0.80


$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1

Pour le serveur de noms local de la région Amérique du Nord :

Zone hébergée : na.hr.example.net NS IP : 10.0.0.50


$TTL    86400 ; 24 hours
$ORIGIN na.hr.example.net
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com  IN A 9.10.11.12

Configuration du résolveur Route 53

Pour le Route 53 Resolver, vous devez configurer des règles de transfert et des règles de délégation :

Règles de transfert
1. Pour transférer la demande initiale afin que les requêtes soient transmises à la zone hébergée parent située hr.example.com au centre :
  
  nom de domaine : target-ips : hr.example.com 10.0.0.20
2. Pour transférer l'enregistrement de out-of-zone délégation, le résolveur Route 53 connaisse l'adresse IP du serveur de noms délégué pour transférer la demande initiale :
  
  nom de domaine : target-ips : hr.example.net 10.0.0.50
Règles de délégation
1. Règle de délégation pour la délégation en zone :
  
  dossier de délégation : hr.example.com
2. Règle de délégation pour la délégation hors zone :
  
  enregistrement de délégation : hr.example.net

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des règles de réacheminement

Activer la validation DNSSEC