磚

為私有工作區配置DNS解析

介紹

為客戶在bep
Beplay体育安卓版本08;ay体育app下载地址E2平台上,磚有一個功能,允許他們使用AWS PrivateLink提供安全的私有工作區創建VPC端點的前端和後端接口數據磚基礎設施。確保用戶前端VPC端點連接到磚web應用程序中,REST api和JDBC / ODBC接口專用網絡。後端VPC端點確保集群在自己的VPC連接到安全管理集群連接繼電器和REST api在AWS網絡骨幹。

我們之前客戶介紹了如何利用AWS路線53出站端點解析beplay体育app下载地址器允許部署在自己的VPC工作區解決自定義主機名可以駐留在客戶管理的DNS服務器。當使用PrivateLink前端,工作區URL需要解決的私有IP PrivateLink接口,以使通過私人訪問工作區連接(從本地或其他連接vpc)。

在這篇文章中,我將展示如何利用路線53入站端點使DNS名稱解析的工作區啟用了PrivateLink前端界麵。我們還將演示如何使用起程拓殖的客戶管理工作部署可以添加這個beplay体育app下载地址配置管道和自動使私有工作區可訪問私有網絡。

體係結構

下圖顯示了一個客戶端客戶本地網絡上發送一個請求到企業DNS服務器轉發規則配置的cloud.www.eheci.com域。DNS查詢轉發到IP解析器的端點在AWS與私人有關托管區域存在一個記錄的工作區URL指向私有IP前端PrivateLink接口。

體係結構的關鍵組件是:

1. 本地企業DNS服務器和轉發規則cloud.www.eheci.com域
2. 私人企業數據中心和AWS VPC之間的連接。這個連接可以使用AWS建立直接連接或一個IPSec VPN
3. 私人托管區(PHZ)在路線53cloud.www.eheci.com域。每個工作區中創建了一個新的記錄需要被添加到工作區名稱解析PrivateLink接口的IP地址
4. 53個解析器入站端點路由到尋找DNS記錄私人承載區,提供回本地DNS服務器的響應。
5. 磚工作區與PrivateLink前端接口(Web應用程序和REST api)

DNS記錄

為了讓這個平台正常工作有一些PHZBeplay体育安卓版本需要創建記錄。這些記錄連接到後端REST api將允許集群和集群安全連接繼電器。

此外,您需要包含額外的記錄能夠繼續解決公共可訪問的url,比如“accounts.cloud.www.eheci.com”。這是必要的,因為工作區URL PrivateLink實現股票相同的域數據磚賬戶頁麵。

強烈建議你檢查AWS考慮舉辦私人區域文件在實現這一功能。

下麵你將所需的一些注意事項和總結記錄在你的PHZ成功部署的工作區:

1. 當你向前cloud.www.eheci.com域的PHZ AWS,您需要確保所有工作區注冊域名
2. 創建工作空間時,有兩個與之相關的主機名:
   1. 第一個是URL用於登錄到工作區,例如yourcompany.cloud.www.eheci.com
   2. 第二個是一個URL的火花司機代理用於訪問服務,如火花UI和網絡終端。第二個域dbc-dp——< workspace-id >格式。cloud.www.eheci.com
   3. 這兩個主機PHZ需要注冊
3. AWS路線53行為PHZs是,如果有一個匹配的PHZ但沒有記錄相匹配的域名和類型的請求,解析器不請求轉發到一個公共DNS解析器。相反,它返回NXDOMAIN(不存在域)到客戶機。這意味著你需要將記錄添加到PHZ解決公開可獲得的accounts.cloud.www.eheci.com域。

下麵的表總結了PHZ所需的記錄。請注意,工作區URL和火花司機代理URL需要為每個磚工作區。

起程拓殖代碼

當創建一個新的工作空間時,可以創建DNS記錄在PHZ CI / CD管道的一部分。下麵的代碼顯示了如何創建入站端點,使用起程拓殖PHZ和DNS記錄:

#創建一個入站路線53解析器端點資源“aws_route53_resolver_endpoint”“聽眾”{name =“dns-inbound-resolver”=“入境”security_group_ids = [aws_security_group.dns-sg方向。id] ip_address {subnet_id = aws_subnet.mysubnet-1。id} ip_address {subnet_id = aws_subnet.mysubnet-2。id}} #創建私人托管區磚領域的資源“aws_route53_zone”“磚”{name = " cloud.www.eheci.com " vpc {vpc_id = aws_vpc.myvpc。id}} #為磚工作區中創建數據源前端PrivateLink接口。數據“aws_network_interface”“工作區”{for_each = aws_vpc_endpoint.workspace.network_interface_ids id =。值}#創建DNS記錄使用PrivateLink接口IP和工作區資源的FQDN“aws_route53_record”“工作區”{for_each = data.aws_network_interface。工作區zone_id = aws_route53_zone.databricks。= databricks_mws_workspaces.workspace zone_id名稱。workspace_url類型=“A”ttl = 300 = [each.value記錄。private_ip]}