Route53 解析器出站端点不工作

问题描述 投票:0回答:1

我在 Route53 中创建了出站端点解析器,并为我们的组织域organization.com 附加了一条规则,转发到目标 DNS 本地端口 53。

但是,我仍然无法 ping 通 AWS 中的 EC2 实例中的organization.com。

我可以从 EC2 实例 AWS 成功 ping 到 Organization.com 的私有 IP 地址到本地服务器,但不能 ping 通 dns 名称 (organization.com)。

我检查了这个链接,出站端点故障排除部分并遵循所有内容。

  • SG 入站和出站允许使用 TCP 和 UDP 端口 53
  • 没有 NACL(默认)
  • 我可以成功远程登录本地 DNS 服务器的端口 53。
  • 我可以成功 ping 通organization.com的私有IP地址。
  • 在 VPC 中启用 DNS 解析和 DNS 主机名
  • 添加了自定义 TCP 和 UDP 端口范围 1024-65535
  • 站点到站点 VPN 工作正常
  • 本地防火墙也允许端口 53

我期望从 AWS 解析/连接到本地 DNS 名称,或者通过 DNS 名称从 AWS ping 到本地 DNS 名称。让我知道是否缺少什么并感谢任何帮助。谢谢你

amazon-web-services amazon-ec2 amazon-route53 hybrid-cloud
1个回答
0
投票

使安全组允许出站流量到达本地 DNS。

长答案

Route53 中的出站终端节点解析器是一个代理,它针对为 VPC 定义的规则执行 DNS 查询。工作原理:

  1. DNS 查询到达 VPC DNS 解析器(VPC CIDR + 2 地址)。
  2. VPC DNS 解析器将 DNS 名称与规则进行匹配。
  3. 如果规则匹配,它将使用关联的出站端点解析器(其 IP 是与本地 DNS 解析器通信的源 IP)来解析 DNS 查询。

因此,附加到出站端点解析程序的安全组应该:

  1. 入站规则允许源自 VPC 的 DNS 流量。 
    Do53
    需要 
    tcp:53
    udp:53
    ,并且 
    DoH
    需要 
    tcp:443
  2. 出站规则应允许流量通过适当的端口流向本地 DNS 解析器。

测试DNS解析需要VPC内有实例(EC2等)。 

nslookup my-on-premise-host
应解析本地 DNS 记录。 
dig
ping
curl
等也很好用。

因此,除了尝试解析 DNS 记录之外,无法与出站端点解析器对话。

AWS 配置文档:https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.