Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengatur resolusi DNS untuk jaringan hybrid di lingkungan multi-akun AWS
Anvesh Kokganti, Amazon Web Services
Ringkasan
Pola ini memberikan solusi komprehensif untuk menyiapkan resolusi DNS di lingkungan jaringan hybrid yang mencakup beberapa akun Amazon Web Services (AWS). Ini memungkinkan resolusi DNS dua arah antara jaringan lokal dan lingkungan melalui titik akhir. AWS Amazon Route 53 Resolver Pola ini menyajikan dua solusi untuk mengaktifkan resolusi DNS dalam arsitektur multi-akun dan terpusat:
Pengaturan dasar tidak menggunakan Profil Route 53. Ini membantu mengoptimalkan biaya untuk penyebaran kecil hingga menengah dengan kompleksitas yang lebih rendah.
Penyiapan yang disempurnakan menggunakan Route 53 Profiles untuk menyederhanakan operasi. Cara terbaik untuk penyebaran DNS yang lebih besar atau lebih kompleks.
catatan
Tinjau bagian Batasan untuk batasan layanan dan kuota sebelum implementasi. Pertimbangkan faktor-faktor seperti overhead manajemen, biaya, kompleksitas operasional, dan keahlian tim ketika Anda membuat keputusan.
Prasyarat dan batasan
Prasyarat
Lingkungan AWS multi-akun dengan Amazon Virtual Private Cloud (Amazon VPC) diterapkan di seluruh Layanan Bersama dan akun beban kerja (sebaiknya disiapkan melalui AWS Control Tower dengan AWS mengikuti praktik terbaik untuk struktur akun).
Konektivitas hybrid yang ada (AWS Direct Connect atau AWS Site-to-Site VPN) antara jaringan lokal Anda dan AWS lingkungan.
Amazon VPC peering, AWS Transit Gateway, atau AWS Cloud WAN untuk konektivitas jaringan Layer 3 antara. VPCs (Konektivitas ini diperlukan untuk lalu lintas aplikasi. Resolusi DNS tidak diperlukan untuk bekerja. Resolusi DNS beroperasi secara independen dari konektivitas jaringan antara VPCs.)
Server DNS berjalan di lingkungan lokal.
Batasan
Titik akhir, aturan, dan Profil Resolver Route 53 adalah konstruksi Regional dan mungkin memerlukan replikasi dalam beberapa untuk organisasi global. Wilayah AWS
Untuk daftar lengkap kuota layanan untuk Resolver Route 53, zona host pribadi, dan Profil, lihat Kuota dalam dokumentasi Route 53.
Arsitektur
Tumpukan teknologi target
Rute 53 titik akhir keluar dan masuk
Aturan Route 53 Resolver untuk penerusan bersyarat
AWS Resource Access Manager (AWS RAM)
Route 53 zona host pribadi
Arsitektur target
Titik akhir keluar dan masuk
Diagram berikut menunjukkan aliran resolusi DNS dari AWS ke tempat. Ini adalah pengaturan konektivitas untuk resolusi keluar tempat domain di-host di tempat. Berikut adalah ikhtisar tingkat tinggi dari proses yang terlibat dalam pengaturan ini. Untuk detailnya, lihat bagian Epik.
Terapkan titik akhir Resolver Route 53 keluar di VPC Layanan Bersama.
Buat aturan Resolver Route 53 (aturan penerusan) di akun Layanan Bersama untuk domain yang dihosting di tempat.
Bagikan dan kaitkan aturan dengan VPCs akun lain yang menghosting sumber daya yang diperlukan untuk menyelesaikan domain yang dihosting lokal. Ini dapat dilakukan dengan cara yang berbeda tergantung pada kasus penggunaan Anda, seperti yang dijelaskan nanti di bagian ini.
Setelah Anda mengatur konektivitas, langkah-langkah yang terlibat dalam resolusi keluar adalah sebagai berikut:
Instans Amazon Elastic Compute Cloud (Amazon EC2) mengirimkan permintaan resolusi DNS
db.onprem.example.comke Resolver Route 53 VPC di alamat VPC+2.Route 53 Resolver memeriksa aturan Resolver dan meneruskan permintaan ke server DNS lokal dengan menggunakan titik akhir keluar. IPs
Titik akhir keluar meneruskan permintaan ke DNS lokal. IPs Lalu lintas melewati konektivitas jaringan hybrid yang mapan antara VPC Layanan Bersama dan pusat data lokal.
Server DNS lokal merespons kembali ke titik akhir keluar, yang kemudian meneruskan respons kembali ke Resolver Route 53 VPC. Resolver mengembalikan respons terhadap instance. EC2
Diagram berikutnya menunjukkan aliran resolusi DNS dari lingkungan lokal ke. AWS Ini adalah pengaturan konektivitas untuk resolusi masuk tempat domain di-host. AWS Berikut adalah ikhtisar tingkat tinggi dari proses yang terlibat dalam pengaturan ini. Untuk detailnya, lihat bagian Epik.
Menerapkan titik akhir Resolver masuk di VPC Layanan Bersama.
Buat zona host pribadi di akun Layanan Bersama (pendekatan terpusat).
Kaitkan zona yang dihosting pribadi dengan VPC Layanan Bersama. Bagikan dan kaitkan zona ini dengan akun silang VPCs untuk resolusi VPC-to-VPC DNS. Ini dapat dilakukan dengan cara yang berbeda tergantung pada kasus penggunaan Anda, seperti yang dijelaskan nanti di bagian ini.
Setelah Anda mengatur konektivitas, langkah-langkah yang terlibat dalam resolusi masuk adalah sebagai berikut:
Sumber daya lokal mengirimkan permintaan resolusi DNS
ec2.prod.aws.example.comke server DNS lokal.Server DNS lokal meneruskan permintaan ke titik akhir Resolver masuk di VPC Layanan Bersama melalui koneksi jaringan hybrid.
Titik akhir Resolver masuk mencari permintaan di zona host pribadi terkait dengan bantuan VPC Route 53 Resolver dan mendapatkan alamat IP yang sesuai.
Alamat IP ini dikirim kembali ke server DNS lokal, yang mengembalikan respons ke sumber daya lokal.
Konfigurasi ini memungkinkan sumber daya lokal untuk menyelesaikan nama domain AWS pribadi dengan merutekan kueri melalui titik akhir masuk ke zona host pribadi yang sesuai. Dalam arsitektur ini, zona host pribadi dipusatkan dalam VPC Layanan Bersama, yang memungkinkan manajemen DNS pusat oleh satu tim. Zona ini dapat dikaitkan dengan banyak orang VPCs untuk mengatasi kasus penggunaan resolusi VPC-to-VPC DNS. Atau, Anda mungkin ingin mendelegasikan kepemilikan dan pengelolaan domain DNS ke masing-masing domain. Akun AWS Dalam hal ini, setiap akun mengelola zona host pribadinya sendiri dan mengaitkan setiap zona dengan VPC Layanan Bersama pusat untuk resolusi terpadu dengan lingkungan lokal. Pendekatan terdesentralisasi ini berada di luar cakupan pola ini. Untuk informasi selengkapnya, lihat Menskalakan manajemen DNS di beberapa akun dan VPCs di whitepaper opsi DNS Cloud Hybrid untuk Amazon VPC.
Saat Anda menetapkan alur resolusi DNS dasar dengan menggunakan titik akhir Resolver, Anda perlu menentukan cara mengelola pembagian dan asosiasi aturan Resolver dan zona host pribadi di seluruh area Anda. Akun AWS Anda dapat melakukan pendekatan ini dengan dua cara: melalui berbagi yang dikelola sendiri dengan menggunakan AWS RAM untuk berbagi aturan Resolver dan mengarahkan asosiasi zona host pribadi, seperti yang dirinci di bagian Pengaturan dasar, atau melalui Profil Route 53, seperti yang dibahas di bagian Penyiapan yang ditingkatkan. Pilihannya tergantung pada preferensi manajemen DNS organisasi Anda dan persyaratan operasional. Diagram arsitektur berikut menggambarkan lingkungan berskala yang mencakup beberapa akun yang berbeda, VPCs yang mewakili penerapan perusahaan yang khas.
Pengaturan dasar
Dalam penyiapan dasar, implementasi untuk resolusi DNS hibrid di AWS lingkungan multi-akun digunakan AWS RAM untuk berbagi aturan penerusan Resolver dan asosiasi zona host pribadi untuk mengelola kueri DNS antara lokal dan sumber daya. AWS Metode ini menggunakan titik akhir Resolver Route 53 terpusat di VPC Layanan Bersama yang terhubung ke jaringan lokal Anda untuk menangani resolusi DNS masuk dan keluar secara efisien.
Untuk resolusi keluar, aturan penerusan Resolver dibuat di akun Layanan Bersama dan kemudian dibagikan dengan orang lain dengan menggunakan. Akun AWS AWS RAM Berbagi ini terbatas pada akun dalam Wilayah yang sama. Akun target kemudian dapat mengaitkan aturan ini dengan aturan mereka VPCs dan memungkinkan sumber daya di akun tersebut VPCs untuk menyelesaikan nama domain lokal.
Untuk resolusi masuk, zona yang dihosting pribadi dibuat di akun Layanan Bersama dan dikaitkan dengan VPC Layanan Bersama. Zona ini kemudian dapat dikaitkan dengan VPCs akun lain dengan menggunakan API Route 53 AWS SDKs,, atau AWS Command Line Interface (AWS CLI). Sumber daya yang terkait kemudian VPCs dapat menyelesaikan catatan DNS yang ditentukan di zona host pribadi, yang menciptakan tampilan DNS terpadu di seluruh lingkungan Anda. AWS
Diagram berikut menunjukkan aliran resolusi DNS dalam pengaturan dasar ini.
Pengaturan ini berfungsi dengan baik ketika Anda bekerja dengan infrastruktur DNS dalam skala terbatas. Namun, itu bisa menjadi tantangan untuk dikelola saat lingkungan Anda tumbuh. Overhead operasional untuk mengelola bagaimana zona host pribadi dan aturan Resolver dibagikan dan dikaitkan dengan VPCs individu meningkat secara signifikan dengan skala. Selain itu, kuota layanan seperti batas asosiasi VPC 300 per zona host pribadi dapat menjadi faktor pembatas dalam penerapan skala besar. Penyiapan yang disempurnakan mengatasi tantangan ini.
Pengaturan yang ditingkatkan
Route 53 Profiles menawarkan solusi efisien untuk mengelola resolusi DNS di jaringan hybrid di beberapa jaringan. Akun AWS Alih-alih mengelola zona yang dihosting pribadi dan aturan Resolver secara individual, Anda dapat mengelompokkan konfigurasi DNS ke dalam satu wadah yang dapat dengan mudah dibagikan dan diterapkan di beberapa akun VPCs dan akun di Wilayah. Pengaturan ini mempertahankan arsitektur titik akhir Resolver terpusat dalam VPC Layanan Bersama sambil secara signifikan menyederhanakan pengelolaan konfigurasi DNS.
Diagram berikut menunjukkan aliran resolusi DNS dalam pengaturan yang disempurnakan.
Profil Route 53 memungkinkan Anda mengemas asosiasi zona host pribadi, aturan penerusan Resolver, dan aturan firewall DNS ke dalam satu unit yang dapat dibagikan. Anda dapat membuat Profil di akun Layanan Bersama dan membagikannya dengan akun anggota dengan menggunakan AWS RAM. Ketika profil dibagikan dan diterapkan ke target VPCs, semua asosiasi dan konfigurasi yang diperlukan ditangani secara otomatis oleh layanan. Ini secara signifikan mengurangi overhead operasional manajemen DNS dan memberikan skalabilitas yang sangat baik untuk lingkungan yang berkembang.
Otomatisasi dan skala
Gunakan alat infrastruktur sebagai kode (IAc) seperti AWS CloudFormation atau Terraform untuk secara otomatis menyediakan dan mengelola titik akhir Route 53 Resolver, aturan, zona yang dihosting pribadi, dan Profil. Integrasikan konfigurasi DNS dengan pipeline integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD) untuk konsistensi, pengulangan, dan pembaruan cepat.
Alat
Layanan AWS
AWS Resource Access Manager (AWS RAM) membantu Anda berbagi sumber daya dengan aman Akun AWS untuk mengurangi overhead operasional dan memberikan visibilitas dan auditabilitas.
Amazon Route 53 Resolvermerespons secara rekursif kueri DNS dari AWS sumber daya dan tersedia secara default di semua. VPCs Anda dapat membuat titik akhir Resolver dan aturan penerusan bersyarat untuk menyelesaikan ruang nama DNS antara pusat data lokal dan pusat data lokal Anda. VPCs
Amazon Route 53 private hosted zone adalah wadah yang menyimpan informasi tentang bagaimana Anda ingin Route 53 merespons kueri DNS untuk domain dan subdomainnya.
Profil Amazon Route 53 memungkinkan Anda menerapkan dan mengelola konfigurasi Route 53 terkait DNS di banyak VPCs dan berbeda dengan Akun AWS cara yang disederhanakan.
Praktik terbaik
Bagian ini menyediakan beberapa praktik terbaik untuk mengoptimalkan Resolver Route 53. Ini mewakili bagian dari praktik terbaik Route 53. Untuk daftar lengkap, lihat Praktik terbaik untuk Amazon Route 53.
Hindari konfigurasi loop dengan titik akhir Resolver
Rancang arsitektur DNS Anda untuk mencegah perutean rekursif dengan merencanakan asosiasi VPC dengan cermat. Saat VPC menghosting titik akhir masuk, hindari mengaitkannya dengan aturan Resolver yang dapat membuat referensi melingkar.
Gunakan AWS RAM secara strategis saat Anda berbagi sumber daya DNS di seluruh akun untuk mempertahankan jalur perutean yang bersih.
Untuk informasi selengkapnya, lihat Menghindari konfigurasi loop dengan titik akhir Resolver dalam dokumentasi Route 53.
Titik akhir Resolver Skala
Untuk lingkungan yang membutuhkan jumlah query per detik (QPS) yang tinggi, ketahuilah bahwa ada batas 10.000 QPS per ENI di titik akhir. Lebih banyak ENIs dapat ditambahkan ke titik akhir untuk menskalakan DNS QPS.
Amazon CloudWatch menyediakan
InboundQueryVolumedanOutboundQueryVolumemetrik (lihat CloudWatch dokumentasi). Kami menyarankan Anda mengatur aturan pemantauan yang mengingatkan Anda jika ambang batas melebihi nilai tertentu (misalnya, 80 persen dari 10.000 QPS).Konfigurasikan aturan grup keamanan stateful untuk titik akhir Resolver untuk mencegah batas pelacakan koneksi menyebabkan pembatasan kueri DNS selama lalu lintas volume tinggi. Untuk mempelajari selengkapnya tentang cara kerja pelacakan koneksi di grup keamanan, lihat Pelacakan sambungan grup EC2 keamanan Amazon di EC2 dokumentasi Amazon.
Untuk informasi selengkapnya, lihat Penskalaan titik akhir Resolver dalam dokumentasi Route 53.
Menyediakan ketersediaan tinggi untuk titik akhir Resolver
Buat titik akhir masuk dengan alamat IP di setidaknya dua Availability Zone untuk redundansi.
Menyediakan antarmuka jaringan tambahan untuk memastikan ketersediaan selama pemeliharaan atau lonjakan lalu lintas.
Untuk informasi selengkapnya, lihat Ketersediaan tinggi untuk titik akhir Resolver dalam dokumentasi Route 53.
Epik
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Menerapkan titik akhir masuk. | Route 53 Resolver menggunakan titik akhir masuk untuk menerima kueri DNS dari resolver DNS lokal. Untuk petunjuk, lihat Meneruskan kueri DNS masuk ke dokumentasi Route 53 Anda VPCs . Catat alamat IP titik akhir masuk. | Administrator AWS, Administrator cloud |
Menyebarkan titik akhir keluar. | Route 53 Resolver menggunakan titik akhir keluar untuk mengirim kueri DNS ke resolver DNS lokal. Untuk petunjuk, lihat Meneruskan kueri DNS keluar ke jaringan Anda di dokumentasi Route 53. Catat ID titik akhir keluaran. | Administrator AWS, Administrator cloud |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Buat zona host pribadi untuk domain yang di-host AWS. | Zona ini menyimpan catatan DNS untuk sumber daya dalam domain AWS-host (misalnya, Saat membuat zona host pribadi, Anda harus mengaitkan VPC dengan zona host yang dimiliki oleh akun yang sama. Pilih VPC Layanan Bersama untuk tujuan ini. | Administrator AWS, Administrator cloud |
Pengaturan dasar: Kaitkan zona host pribadi VPCs dengan akun lain. | Jika Anda menggunakan pengaturan dasar (lihat bagian Arsitektur): Untuk mengaktifkan sumber daya di akun anggota VPCs untuk menyelesaikan catatan DNS di zona host pribadi ini, Anda harus mengaitkannya VPCs dengan zona yang dihosting. Anda harus mengotorisasi asosiasi dan kemudian membuat asosiasi secara terprogram. Untuk petunjuknya, lihat Mengaitkan VPC Amazon dan zona host pribadi yang Anda buat dengan Akun AWS berbeda dalam dokumentasi Route 53. | Administrator AWS, Administrator cloud |
Penyiapan yang disempurnakan: Konfigurasikan dan bagikan Profil Route 53. | Jika Anda menggunakan penyiapan yang disempurnakan (lihat bagian Arsitektur):
catatanBergantung pada struktur organisasi dan persyaratan DNS, Anda mungkin perlu membuat dan mengelola beberapa Profil untuk akun atau beban kerja yang berbeda. | Administrator AWS, Administrator cloud |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Buat aturan penerusan untuk domain yang di-host di tempat. | Aturan ini akan menginstruksikan Resolver Route 53 untuk meneruskan kueri DNS apa pun untuk domain lokal (seperti) ke resolver DNS lokal. | Administrator AWS, Administrator cloud |
Pengaturan dasar: Bagikan dan kaitkan aturan penerusan dengan akun Anda VPCs di akun lain. | Jika Anda menggunakan pengaturan dasar: Agar aturan penerusan berlaku, Anda harus membagikan dan mengaitkan aturan tersebut dengan akun Anda VPCs di akun lain. Route 53 Resolver kemudian mempertimbangkan aturan saat menyelesaikan domain. Untuk petunjuknya, lihat Berbagi aturan Resolver dengan aturan lain Akun AWS dan menggunakan aturan bersama serta Mengaitkan aturan penerusan dengan VPC dalam dokumentasi Route 53. | Administrator AWS, Administrator cloud |
Penyiapan yang disempurnakan: Konfigurasikan dan bagikan Profil Route 53. | Jika Anda menggunakan pengaturan yang disempurnakan:
catatanBergantung pada struktur organisasi dan persyaratan DNS, Anda mungkin perlu membuat dan mengelola beberapa Profil untuk akun atau beban kerja yang berbeda. | Administrator AWS, Administrator cloud |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Konfigurasikan penerusan bersyarat di resolver DNS lokal. | Agar kueri DNS dikirim AWS dari lingkungan lokal untuk resolusi, Anda harus mengonfigurasi penerusan bersyarat di resolver DNS lokal untuk menunjuk ke alamat IP titik akhir masuk. Ini menginstruksikan resolver DNS untuk meneruskan semua kueri DNS untuk domain AWS-host (misalnya, untuk | Administrator jaringan |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Uji resolusi DNS dari AWS ke lingkungan lokal. | Dari instance di VPC yang memiliki aturan penerusan yang terkait dengannya, lakukan kueri DNS untuk domain host lokal (misalnya, untuk). | Administrator jaringan |
Uji resolusi DNS dari lingkungan lokal ke. AWS | Dari server lokal, lakukan resolusi DNS untuk domain AWS-host (misalnya, untuk). | Administrator jaringan |
Sumber daya terkait
Opsi DNS Cloud Hybrid untuk Amazon VPCAWS (whitepaper)
Bekerja dengan zona host pribadi (dokumentasi Route 53)
Sederhanakan manajemen DNS di lingkungan multi-akun dengan Route 53 Resolver
(posting blog)AWS Menyatukan manajemen DNS menggunakan Profil Amazon Route 53 dengan beberapa VPCs dan Akun AWS
(AWS posting blog) Memigrasi lingkungan DNS multi-akun Anda ke Profil Amazon Route 53 (posting blog
)AWS Menggunakan Profil Amazon Route 53 untuk AWS lingkungan multi-akun yang dapat diskalakan
(AWS posting blog)
