本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 Route 53 全局解析器中的配置问题进行故障排除
Route 53 Global Resolver 为 DNS 视图、身份验证和防火墙规则提供了广泛的配置选项,这有时会导致配置冲突或不匹配。识别并解决影响 DNS 解析的常见 Route 53 全局解析器配置问题。
身份验证问题
常见的身份验证问题和解决方案:
- 访问源规则不匹配
-
-
验证客户端设备的 IP 地址与配置的 CIDR 块相匹配
-
检查更改源 IP 地址的 NAT 或代理设备
-
确保访问源规则涵盖所有预期的客户端设备 IP 范围
-
- 令牌身份验证失败
-
-
验证客户端设备上的令牌配置是否正确
-
查看代币到期日期和续订流程
-
确保客户端设备时钟同步以进行令牌验证
-
- 协议不匹配
-
-
验证客户端设备是否使用访问源规则允许的协议
-
检查 DoH 和 DoT 的配置是否与令牌协议匹配
-
确保防火墙规则不会阻止所需的协议
-
DNS 视图配置问题
常见的 DNS 视图配置问题:
- DNS 视图关联不正确
-
-
验证客户端设备是否已通过身份验证到预期的 DNS 视图
-
检查私有托管区域是否与正确的 DNS 视图相关联
-
查看应用于每个 DNS 视图的防火墙规则
-
- DNS 设置冲突
-
-
查看 DNSSEC 验证设置是否与客户端设备兼容
-
检查 EDNS 客户端子网设置,确保隐私和性能平衡
-
验证防火墙失效打开行为是否符合安全要求
-
防火墙规则问题
常见的防火墙规则配置问题:
- 规则优先级冲突
-
-
查看规则评估顺序并确保优先级分配正确
-
检查是否存在优先级高于预期允许规则的屏蔽规则
-
在生产部署之前,在受控环境中测试规则更改
-
- 域名列表不匹配
-
-
验证自定义域名列表中的域名规范
-
检查通配符模式的语法和覆盖范围是否正确
-
确保域名列表已更新和同步
-
