Comprendre Amazon DNS - Amazon Virtual Private Cloud
Serveur Amazon DNSRègles et considérationsNoms d’hôte DNS des instances EC2Attributs DNS pour votre VPCQuotas DNSZones hébergées privées

Comprendre Amazon DNS

En tant qu’architecte ou administrateur AWS, l’un des composants de mise en réseau fondamentaux que vous rencontrerez est le serveur Amazon DNS, également connu sous le nom de Route 53 Resolver. Ce service de résolution DNS est intégré de manière native dans chaque zone de disponibilité de votre région AWS, fournissant une solution fiable et évolutive pour la résolution de noms de domaine au sein de votre cloud privé virtuel (VPC). Dans cette section, vous découvrirez les adresses IP du serveur Amazon DNS, les noms d’hôte DNS privés qu’il peut résoudre et les règles qui régissent son utilisation.

Serveur Amazon DNS

Route 53 Resolver (également appelé « serveur DNS Amazon » ou « AmazonProvidedDNS ») est un service de résolveur DNS intégré à chaque Zone de dDisponibilité d'une région AWS. Route 53 Resolver se localise aux adresses 169.254.169.253 (IPv4) et fd00:ec2::253 (IPv6), ainsi que dans la plage CIDR IPv4 privée principale fournie à votre VPC plus deux. Par exemple, si vous disposez d'un VPC avec une adresse CIDR IPv4 10.0.0.0/16 et une adresse CIDR IPv6 2001:db8::/32, vous pouvez accéder à Route 53 Resolver à l'adresse 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) ou 10.0.0.2 (IPv4). Les ressources d’un VPC utilisent une adresse locale de lien pour les requêtes DNS. Ces requêtes sont transportées vers Route 53 Resolver en mode privé et ne sont pas visibles sur le réseau. Dans un sous-réseau IPv6 uniquement, l’adresse locale du lien IPv4 (169.254.169.253) est toujours accessible tant que « AmazonProvidedDNS » est le serveur de noms dans le jeu d’options DHCP.

Lorsque vous lancez une instance dans un VPC, nous fournissons l'instance avec un nom d'hôte DNS privé. Nous fournissons également un nom d'hôte DNS public si l'instance est configurée avec une adresse IPv4 publique et que les attributs DNS VPC sont activés.

Le format du nom d'hôte DNS privé dépend de la façon dont vous configurez l'instance EC2 lorsque vous la lancez. Pour plus d’informations sur les types de noms d’hôtes DNS privés, consultez Types de noms d’hôte des instances Amazon EC2 dans le Guide de l’utilisateur Amazon EC2.

Le serveur Amazon DNS dans votre VPC est utilisé pour résoudre les noms de domaine DNS que vous spécifiez dans une zone hébergée privée dans Route 53. Pour de plus amples informations sur les zones hébergées privées, veuillez consulter Utilisation des zones hébergées privées dans le Guide du développeur Amazon Route 53.

Règles et considérations

Lors de l'utilisation du serveur Amazon DNS, les règles et considérations suivantes s'appliquent.

  • Il n'est pas possible de filtrer le trafic vers ou depuis le serveur Amazon DNS à l'aide de groupes de sécurité ou de liste de contrôle d'accès réseau.

  • Les services qui utilisent le framework Hadoop, tels que Amazon EMR, ont besoin d'instances pour résoudre leurs propres noms de domaine complets (FQDN). Dans de tels cas, une résolution DNS peut échouer si l'option domain-name-servers est définie comme valeur personnalisée. Pour garantir une résolution DNS appropriée, pensez à ajouter un redirecteur conditionnel à votre serveur DNS pour faire suivre les requêtes pour le domaine region-name.compute.internal vers le serveur Amazon DNS. Pour plus d'informations, veuillez consulter Configuration d'un VPC pour héberger des clusters dans le Guide de gestion Amazon EMR.

  • Amazon Route 53 Resolver ne prend en charge que les requêtes DNS récursives.

Noms d’hôte DNS des instances EC2

Lorsque vous lancez une instance, elle reçoit toujours une adresse IPv4 privée et un nom d'hôte DNS privé qui correspond à son adresse IPv4 privée. Si votre instance possède une adresse IPv4 publique, les attributs DNS de son VPC déterminent si elle reçoit un nom d'hôte DNS public qui correspond à l'adresse IPv4 publique. Pour de plus amples informations, consultez Attributs DNS pour votre VPC.

Lorsque le serveur DNS fourni par Amazon est activé, les noms d’hôte DNS sont résolus comme suit.

Nom DNS IPv4 privé

Le nom d’hôte DNS IPv4 privé d’une instance est résolu en son adresse IPv4 privée. Vous pouvez utiliser le nom d’hôte DNS IPv4 privé pour les communications entre les instances d’un même VPC ou de VPC connectés. Pour plus d’informations, consultez Private IPv4 addresses dans le Guide d’utilisation d’Amazon EC2.

Nom DNS IPv4 public

Le nom d’hôte DNS IPv4 public d’une instance est résolu en son adresse IPv4 publique (en dehors du réseau de l’instance) et en son adresse IPv4 privée (au sein du réseau de l’instance). Pour plus d’informations, consultez Public IPv4 addresses dans le Guide d’utilisation d’Amazon EC2.

Pour résoudre les noms DNS IPv4 publics en adresses IPv4 privées via une connexion d’appairage de VPC, vous devez activer la résolution DNS pour la connexion d’appairage. Pour plus d'informations, consultez Activation de la résolution DNS pour une connexion d'appairage de VPC.

Private resource DNS name (Nom DNS de la ressource privée)

Nom DNS basé sur RBN qui peut se traduire par les enregistrements DNS A et AAAA sélectionnés pour cette instance. Ce nom d'hôte DNS est visible dans les détails des instances des sous-réseaux à double pile et IPv6 uniquement. Pour plus d’informations sur RBN, consultez EC2 instance hostname types dans le Guide d’utilisation d’Amazon EC2.

Attributs DNS pour votre VPC

Les attributs VPC suivants déterminent la prise en charge DNS fournie pour votre VPC. Si les deux attributs sont activés, une instance lancée dans le VPC reçoit un nom d'hôte DNS public si une adresse IPv4 publique ou une adresse IP Elastic lui est attribuée à la création. Si vous activez les deux attributs pour un VPC qui ne l'était pas auparavant, les instances qui ont déjà été lancées dans ce VPC reçoivent des noms d'hôtes DNS publics si elles ont une adresse IPv4 publique ou une adresse IP Elastic.

Pour vérifier si votre VPC est activé pour ces attributs, veuillez consulter Afficher et mettre à jour les attributs DNS pour votre VPC.

Attribut Description
enableDnsHostnames

Détermine si le VPC prend en charge l'attribution de noms d'hôtes DNS publics à des instances avec des adresses IP publiques.

La valeur par défaut de cet attribut est false, sauf si le VPC est un VPC par défaut. Notez les règles et considérations relatives à l’attribut ci-dessous.
enableDnsSupport

Détermine si le VPC prend en charge la résolution DNS via le serveur DNS fourni par Amazon.

Si cet attribut est true, les requêtes adressées au serveur DNS fourni par Amazon aboutissent. Pour de plus amples informations, consultez Serveur Amazon DNS.

La valeur par défaut de cet attribut est true. Notez les règles et considérations relatives à l’attribut ci-dessous.
Règles et considérations

  • Si les deux attributs sont définis sur true, les actions suivantes ont lieu :

    • Les instances avec une adresse IP publique reçoivent les noms d'hôte DNS publics correspondants.

    • Le serveur Route 53 Resolver peut résoudre les noms d’hôte DNS privés fournis par Amazon.

  • Si au moins un des attributs est défini sur false, les actions suivantes se produisent :

    • Les instances avec une adresse IP publique ne reçoivent pas de noms d'hôte DNS publics correspondants.

    • Le serveur Route 53 Resolver ne peut pas résoudre les noms d’hôte DNS privés fournis par Amazon.

    • Les instances reçoivent des noms d'hôte DNS privés personnalisés si le jeu d'options DHCP contient un nom de domaine personnalisé. Si vous n’utilisez pas le serveur Route 53 Resolver, vos serveurs de noms de domaine personnalisés doivent résoudre le nom d’hôte si nécessaire.

  • Si vous utilisez des noms de domaine DNS personnalisés définis dans une zone hébergée privée dans Amazon Route 53 ou un DNS privé avec des points de terminaison de VPC d'interface (AWS PrivateLink), vous devez définir les attributs enableDnsHostnames et enableDnsSupport sur true.

  • Le serveur Route 53 Resolver peut résoudre les noms d’hôte DNS privés en adresses IPv4 privées pour tous les espaces d’adressage, y compris lorsque la plage d’adresses IPv4 de votre VPC se trouve en dehors des plages d’adresses IPv4 privées spécifiées par la RFC 1918. Toutefois, si vous avez créé votre VPC avant le mois d’octobre 2016, le serveur Route 53 Resolver ne résout pas les noms d’hôte DNS privés lorsque la plage d’adresses IPv4 de votre VPC se situe en dehors de ces plages. Pour activer la prise en charge correspondante, contactez Support.

Quotas DNS

Il existe une limite de 1 024 paquets par seconde (PPS) pour les services qui utilisent des adresses lien-local. Cette limite inclut l’ensemble des requêtes DNS de Route 53 Resolver, des demandes du service de métadonnées d’instance (IMDS), des demandes de NTP (Amazon Time Service Network Time Protocol) et des demandes de Windows Licensing Service (pour les instances basées sur Microsoft Windows). Ce quota ne peut pas être augmenté.

Le nombre de requêtes DNS par seconde prises en charge par Route 53 Resolver varie selon le type de requête, la taille de la réponse et le protocole utilisé. Pour plus d'informations sur les recommandations relatives à une architecture DNS évolutive, veuillez consulter le Guide technique DNS hybride AWS avec Active Directory.

Si vous atteignez le quota, le Route 53 Resolver rejette le trafic. Certaines des causes de l'atteinte du quota peuvent être un problème de limitation DNS ou des requêtes de métadonnées d'instance qui utilisent l'interface réseau du Route 53 Resolver. Pour plus d'informations sur la résolution des problèmes de limitation DNS VPC, consultez Comment puis-je déterminer si mes requêtes DNS envoyées vers le serveur DNS fourni par Amazon échouent en raison de limitations DNS du VPC ? Pour plus d’informations sur la récupération des métadonnées d’instance, consultez Récupérer les métadonnées d’instance dans le Guide de l’utilisateur Amazon EC2.

Zones hébergées privées

Si vous souhaitez accéder aux ressources de votre VPC à l'aide de noms de domaine DNS personnalisés (comme example.com) au lieu d'utiliser des adresses IPv4 privées ou des noms d'hôte DNS privés fournis par AWS, vous pouvez créer une zone hébergée privée dans Route 53. Une zone hébergée privée est un conteneur qui comporte des informations sur la façon dont vous souhaitez acheminer le trafic pour un domaine et ses sous-domaines dans un ou plusieurs VPC, sans exposer vos ressources à Internet. Vous pouvez ensuite créer des ensembles d'enregistrements de ressource Route 53, qui déterminent de quelle manière Route 53 répond aux requêtes pour votre domaine et vos sous-domaines. Par exemple, si vous souhaitez que les requêtes du navigateur pour exemple.com soient acheminées vers un serveur Web dans votre VPC, vous devez créer un enregistrement A dans votre zone hébergée privée et spécifier l'adresse IP de ce serveur Web. Pour de plus amples informations sur la création d'une zone hébergée privée, veuillez consulter Utilisation de zones hébergées privées dans le Guide du développeur Amazon Route 53.

Pour accéder aux ressources à l'aide de noms de domaine DNS personnalisés, vous devez être connecté à une instance au sein de votre VPC. À partir de votre instance, vous pouvez tester si la ressource incluse dans votre zone hébergée privée est accessible depuis son nom DNS personnalisé, à l'aide de la commande ping (par exemple, ping mywebserver.example.com). Assurez-vous que les règles de groupe de sécurité de votre instance autorisent le trafic ICMP entrant pour que la commande ping fonctionne.

Les zones hébergées privées ne prennent pas en charge les relations transitives en dehors du VPC. Par exemple, vous ne pouvez pas accéder à vos ressources à l'aide de leurs noms DNS privés personnalisés depuis l'autre extrémité d'une connexion VPN.

Important

Si vous utilisez des noms de domaine DNS personnalisés définis dans une zone hébergée privée dans Amazon Route 53, vous devez définir les attributs enableDnsHostnames et enableDnsSupport sur true.