amazon-web-services - AWS Route53 私有(private)托管区域和反向查找

Question

与 AWS 作为我们的云提供商合作......我们的平台工程团队希望利用 Route53 为公共(public)和私有(private)托管区域提供我们的 DNS 解决方案。

此外，我们一直在使用自定义 DHCP 选项，以便我们可以为我们的 EC2 实例提供自定义主机名，但目前遇到反向 DNS 查找问题以引用正确的主机名......

场景
当我们在环境(例如 DEV)中配置新的 EC2 实例时，我们希望使用我们的自定义域名为其配置主机名... ip-10-100-1-10.dev.example.net vs ip-10- 100-1-10.ec2.internal 并且仍然能够利用 AmazonProvidedDNS

这是我们的 DHCP 选项的示例，我们指定一个自定义域并指向 AmazonProvidedDNS...

EXAMPLE DHCP OPTIONS
domain-name = dev.example.net
domain-name-servers = AmazonProvidedDNS

对于 Route53，我们创建了两个私有(private)托管区域……一个用于正向查找，一个用于反向查找……

# Forward Zone  dev.example.net.
ip-10-100-1-10.dev.example.net.   A      10.100.1.10

# Reverse Zone  1.100.10.in-addr.arpa.
10.1.100.10.in-addr.arpa.   PTR    ip-10-100-1-10.dev.example.net.

一旦，这些工件就位...... DHCP选项，正向区域，反向区域......我们通过IP执行反向查找我们没有得到想要的结果......即我们在反向中指定的自定义主机名区域，似乎没有传播...

nslookup 10.100.1.10
Server:     10.100.0.2
Address:    10.100.0.2#53

Non-authoritative answer:
10.1.100.10.in-addr.arpa    name = ip-10-100-1-10.ec2.internal.

正如您在上面看到的，我们仍然会返回 Amazon ec2.internal 域。

有没有办法覆盖这种行为？我们注意到私有(private)区域的 TTL 设置为 48 小时 (172800)。所以，我们继续测试。

我们的目标是我们能够从 Route53 DNS 中受益并使用自定义 DHCP 选项。到目前为止，我们在配置 Route53 私有(private)托管正向和反向区域以实现此结果的尝试没有按预期工作。

剩下的唯一两个选项似乎是非此即彼的……

1.) 使用默认 DHCP 选项... AmazonDNS 域(例如 ec2.internal)和 AmazonDNSProvider。

2.) 使用我们自己的托管 DNS...更新 DHCP 选项以指定自定义域并指向我们自己的名称服务器。

我已经阅读了一些与公共(public)托管区域相关的主题的帖子，但在私有(private)托管区域上没有看到太多。以为我会发布这个问题，以获得对我们方法的任何评论或反馈。

任何意见、想法或建议将不胜感激。

干杯!

Answer 1

对于自定义 DHCP 选项和使用 AmazonProvidedDNS，这是我们正在使用的当前配置:

VPC 配置

DNS resolution = yes
DNS hostnames  = yes

DHCP 选项

domain-name = dev.example.com
domain-name-servers = AmazonProvidedDNS

Route53 私有(private)托管区域(转发)

# dev.example.com
ip-10-100-1-110.dev.example.com    A    10.100.1.110

Route53 私有(private)托管区域(反向)

# 1.110.10.in-addr.arpa.
110.1.100.10.in-addr.arpa.    PTR    ip-10-100-1-110.dev.example.com

注:
如果您使用 VPC 对等连接和跨 VPC CIDR block 的私有(private)路由，您需要确保已将这些对等 VPC 与您的托管区域正确关联，以便 DNS 解析适用于任一 VPC 环境。

示例:假设您有一个操作 vpc 与您的开发 vpc 环境对等。

ops.example.com -> OPS VPC CIDR 10.10.0.0/16
dev.example.com -> DEV VPC CIDR 10.100.0.0/16

为了使 DNS 解析正常工作，在 Route53 中，您需要将 VPC 关联到它们需要解析的托管区域。

ops.example.com zone associations
-> OPS VPC 10.10.0.0/16
-> DEV VPC 10.100.0.0/16

dev.example.com zone associations
-> DEV VPC 10.100.0.0/16
-> OPS VPC 10.10.0.0/16

此关联将允许 dev vpc 主机、应用程序和服务成功解析 ops.example.com DNS 路由，反之亦然。建立这些关联后，您将能够使用 VPC 的内置名称服务器解析正向和反向区域。

nslookup 10.10.1.10
Server:     10.100.0.2
Address:    10.100.0.2#53

Non-authoritative answer:
10.1.10.10.in-addr.arpa   name = ip-10-10-1-10.dev.example.com.

如果您目前没有这样做，我强烈建议您使用配置和编排工具(例如 Terraform)来编码、部署和版本化您的 AWS 平台，从网络、安全和存储层一直到数据库、服务和应用程序。

希望这会有所帮助。

干杯!