定製的DNS與AWS Privatelink磚工作區
2021年4月30日 在Beplay体育安卓版本平台的博客
這篇文章是寫在與亞馬遜網絡服務(AWS)合作。我們感謝合著者Ranjit Kalidasan、高級解決方案架構師,和Pratik Mankad、合作夥伴解決方案架構師,AWS的貢獻。
上周,我們很高興宣布釋放AWS PrivateLink磚工作區,現在在公共預覽,使新模式和功能,以滿足現代雲治理和安全需求的工作負載。一個模式,我們經常被問到是能夠利用定製DNS服務器Customer-managed VPC磚的工作區。在AWS PrivateLink-enabled數據磚工作區提供此功能,我們與AWS合作,創建一個可伸縮的、可重複的結構。在這個博客中,我們將討論如何實現亞馬遜路線53解析器要啟用這個用例,以及如何重建相同的架構自己的磚工作區。
動機
許多企業配置他們的雲vpc使用自己的DNS服務器。他們這樣做是因為他們想要限製使用外部DNS服務器控製,和/或因為他們有on-prem,私人領域需要解決的雲應用程序。一般來說,這不是一個問題,當使用標準磚,因為我們的部署,甚至安全集群連接(即私人子網),使用域,通過AWS解析。
然而,AWS PrivateLink磚接口要求私人DNS解析為了使連接到後端和前端接口工作。如果客戶自己配置DNS服務器的工作區VPC,他們將無法自行解決這些VPC端點,所以磚之間的連接數據和控製飛機將被打破。為了部署與AWS PrivateLink磚和定製的DNS,路線53可以用來解決這些私人DNS名稱數據平麵。
亞馬遜53路線是什麼?
亞馬遜路線53是高可用性和可伸縮的雲域名係統(DNS)web服務。它的目的是給開發人員和企業一個非常可靠和具有成本效益的方法路線最終用戶互聯網應用翻譯的名字www.example.com進入數字IP地址像192.0.2.1電腦使用連接到對方。Route53由不同的組件,如承載區域,政策和域。在這個博客中,我們專注於53解析器的端點(具體來說,出站端點)和應用端點的規則。
高級體係結構
在高級別上,建築為一個接口創建私人DNS名稱亞馬遜虛擬私有雲(VPC)端點在服務客戶端如下所示:
在這種情況下Route53提供出站端點解析器。這個本質上提供了一種解決本地、私人領域路線53歲,和使用自定義任何剩餘的DNS,未解決的領域。從技術上講,這個架構包括路線53出站端點解析器部署在DNS服務器VPC,和路線53解析器規則,告訴服務如何以及在哪裏解決域。更多信息關於路線53私人托管區條目通過AWS來解決,請查看文檔和用戶指南。有關更多信息,請參考私人DNS接口端點和工作與私人承載區。注意,這個作品同樣的情況下一個DNS服務器托管on-prem。在這種情況下,出站的VPC解析器部署應該是一樣的VPC主辦直接連接端點on-prem數據中心。
一步一步的指示
下麵,我們走過的步驟設置Route53出站解析器與適當的規則。我們假設一個AWS PrivateLink-enabled磚工作區已經部署並運行。
- 確保工作區部署適當的根據我們PrivateLink文檔。如果你不能自旋向上集群由於定製DNS已經到位,盡量使AWS DNS解析確保集群創建暢通並沒有額外的問題。
- 收集以下信息:
- VPC ID用於磚數據平麵(如果適用,User-to-Workspace VPC端點)
- VPC的VPC ID包含定製的DNS服務器
- 的子網Route53端點將部署。這些必須在相同的VPC定義DNS服務器(至少需要2個子網,他們應該在單獨的阿茲)
- 定製的DNS服務器的IP
- 的安全組ID將被應用到53個端點的路線。這應該允許入站連接UDP端口從數據平麵VPC 53(10.175.0.0/16在上麵的圖),並且應該使用默認的出站規則(即。,允許0.0.0.0/0)
- 首先創建一個新的Route53出站解析器(服務> Route53 > >創建出站端點出站端點)。在DNS VPC VPC ID創建這個端點從步驟2 b,從步驟2 c和子網。從step2e選擇創建的安全組。除非你有一個令人信服的理由去做否則,選擇“使用IP地址自動選擇“當選擇IP地址。
- 創建一個新的解析器規則(服務規則> Route53 > >創建規則)。這個規則將DNS查詢所有領域的定製的DNS服務器除了私人DNS名稱磚VPC的端點(這些端點將使用私人托管區分辨率)。在“域名”,輸入一個點(“。“沒有引號),這是翻譯領域。VPC,選擇您的數據平麵VPC從步驟2。出站端點應該在步驟3中創建的端點。在“目標IP”,使用定製的DNS服務器的IP。注意:如果你使用一個User-to-Workspace PrivateLink端點在一個單獨的VPC的鱗狀細胞癌/ REST端點,也附上VPC的規則。
- 如果正在使用AWS端點的數據平麵(即。,Kinesis, S3 and STS endpoints), add another rule to forward these domain resolution requests to the Route 53 default resolver. This rule should have a domain of “amazonaws.com”(沒有引號)。VPC和端點設置應該步驟4中的相同。為目標IP地址,使用AWS VPC解析器,這是第二個VPC CIDR的IP範圍;即。,for CIDR 10.0.0.0/16, use 10.0.0.2. This should be the VPC from Step 2b; in this example the IP would be 10.100.100.2.
- 你現在Route53解析器設置。確保DNS和數據平麵vpc路由正確配置;不需要額外的路由Route53端點一旦與適當的vpc相關聯。不需要顯式路由磚VPC的端點(因為它們通過Route53解決),但其他端點,如Amazon S3或其他服務,可能有明確的路線。
- 打開你的工作區啟動集群。驗證該決議是工作,你可以在筆記本上運行以下命令:
% sh挖region.privatelink.cloud.www.eheci.com
在哪裏地區
將會改變取決於你在該地區。us-east-1,這將是nvirginia
。這個命令應該返回類似於以下幾點:
;>挖9.11。31ubuntu113。- - - - - -Ubuntu>nvirginia.privatelink.cloud.www.eheci.com;;全球選項:+cmd;;得到的答案:;;- - - - - -> >頭如果這成功,您已經成功地集你的DNS路由與Route53!