Mô phỏng On-premises DNS

AWS PrivateLink endpoint có một địa chỉ IP cố định trong từng AZ nơi chúng được triển khai, trong suốt thời gian tồn tại của endpoint (cho đến khi endpoint bị xóa). Các địa chỉ IP này được gắn vào Elastic network interface (ENI). AWS khuyến nghị sử dụng DNS để resolve địa chỉ IP cho endpoint để các ứng dụng downstream sử dụng địa chỉ IP mới nhất khi ENIs được thêm vào AZ mới hoặc bị xóa theo thời gian.

Trong phần này, bạn sẽ tạo một quy tắc chuyển tiếp (forwarding rule) để gửi các yêu cầu resolve DNS từ môi trường truyền thống (mô phỏng) đến Private Hosted Zone trên Route 53. Phần này tận dụng cơ sở hạ tầng do CloudFormation triển khai trong phần Chuẩn bị môi trường.

Tạo DNS Alias Records cho Interface endpoint

  1. Click link để đi đến Route 53 management console (Hosted Zones section). Mẫu CloudFormation mà bạn triển khai trong phần Chuẩn bị môi trường đã tạo Private Hosted Zone này. Nhấp vào tên của Private Hosted Zone, s3.us-east-1.amazonaws.com:

hosted zone

  1. Tạo 1 record mới trong Private Hosted Zone:

Create record

  • Giữ nguyên Record name và record type
  • Alias Button: click để enable
  • Route traffic to: Alias to VPC Endpoint
  • Region: US East (N. Virginia) [us-east-1]
  • Chọn endpoint: Paste tên (Regional VPC Endpoint DNS) bạn đã lưu lại ở phần 4.3

record1

  1. Click Add another record, và add 1 cái record thứ 2 sử dụng những thông số sau:
  • Record name: *.
  • Record type: giữ giá trị default (type A)
  • Alias Button: Click để enable
  • Route traffic to: Alias to VPC Endpoint
  • Region: US East (N. Virginia) [us-east-1]
  • Chọn endpoint: Paste tên (Regional VPC Endpoint DNS) bạn đã lưu lại ở phần 4.3
  • Click Create records

record 2

Record mới xuất hiện trên giao diện Route 53.

result

Tạo một Resolver Forwarding Rule

Route 53 Resolver Forwarding Rules cho phép bạn chuyển tiếp các DNS queries từ VPC của bạn đến các nguồn khác để resolve name. Bên ngoài môi trường workshop, bạn có thể sử dụng tính năng này để chuyển tiếp các DNS queries từ VPC của bạn đến các máy chủ DNS chạy trên on-premises. Trong phần này, bạn sẽ mô phỏng một on-premises conditional forwarder bằng cách tạo một forwarding rule để chuyển tiếp các DNS queries for Amazon S3 đến một Private Hosted Zone chạy trong “VPC Cloud” để resolve PrivateLink interface endpoint regional DNS name.

  1. Từ giao diện Route 53, chọn Inbound endpoints trên thanh bên trái

  2. Trong giao diện Inbound endpoint, Chọn ID của Inbound endpoint.

Inbound endpoint

  1. Sao chép 2 địa chỉ IP trong danh sách vào trình chỉnh sửa.

Ip addresses

  1. Từ giao diện Route 53, chọn Resolver > Rules và chọn Create rule

Ip addresses

  1. Trong giao diện Create rule
  • Name: myS3Rule
  • Rule type: Forward
  • Domain name: s3.us-east-1.amazonaws.com

create rule

  • VPC: VPC On-prem
  • Outbound endpoint: VPCOnpremOutboundEndpoint

create rule

  • Target IP Addresses: điền cả hai IP bạn đã lưu trữ trên trình soạn thảo (inbound endpoint addresses) và sau đó chọn Submit

create rule

Bạn đã tạo thành công resolver forwarding rule.

create rule

Kiểm tra on-premises DNS mô phỏng.

  1. Kết nối đến Test-Interface-Endpoint EC2 instance với Session Manager

create rule

  1. Kiểm tra DNS resolution. Lệnh dig sẽ trả về địa chỉ IP được gán cho VPC endpoint interface đang chạy trên VPC (địa chỉ IP của bạn sẽ khác):
dig +short s3.us-east-1.amazonaws.com 

Các địa chỉ IP được trả về là các địa chỉ IP VPC enpoint, KHÔNG phải là các địa chỉ IP Resolver mà bạn đã dán từ trình chỉnh sửa văn bản của mình. Các địa chỉ IP của Resolver endpoint và VPC endpoin trông giống nhau vì chúng đều từ khối CIDR VPC Cloud.

create rule

  1. Truy cập vào menu VPC (phần Endpoints), chọn S3 interface endpoint. Nhấp vào tab Subnets và xác nhận rằng các địa chỉ IP được trả về bởi lệnh Dig khớp với VPC endpoint:

create rule

  1. Hãy quay lại shell của bạn và sử dụng AWS CLI để kiểm tra danh sách các bucket S3 của bạn:
aws s3 ls --endpoint-url https://s3.us-east-1.amazonaws.com

create rule

  1. Kết thúc phiên làm việc của Session Manager của bạn:

create rule

Trong phần này, bạn đã tạo một Interface Endpoint cho Amazon S3. Điểm cuối này có thể được truy cập từ on-premises thông qua Site-to-Site VPN hoặc AWS Direct Connect. Các điểm cuối Route 53 Resolver outbound giả lập chuyển tiếp các yêu cầu DNS từ on-premises đến một Private Hosted Zone đang chạy trên đám mây. Các điểm cuối Route 53 inbound nhận yêu cầu giải quyết và trả về một phản hồi chứa địa chỉ IP của Interface Endpoint VPC. Sử dụng DNS để giải quyết các địa chỉ IP của điểm cuối cung cấp tính sẵn sàng cao trong trường hợp một Availability Zone gặp sự cố.