主页 / server / 问题 / 1051133
Accepted
Jovan Perovic
Asked: 2021-01-26 08:18:48 +0800 CST

将域解析转发到 AWS 的域名服务器

  • 772

我正在尝试配置本地bindDNS 服务器以通过 AWS Route 53 解析域。

到目前为止,我已经在 Route 53 中创建了一个托管区域,为此我拥有了名称服务器:

ns-1474.awsdns-56.org.
ns-189.awsdns-23.com.
ns-2002.awsdns-58.co.uk.
ns-892.awsdns-47.net.

现在是棘手的部分。在我的本地机器上,我已经安装bind并创建了一个应该将其转发到 AWS 的区域文件,但它没有。

(免责声明,我已将真实域名替换为ha-test.com

;
; BIND data file for ha-test.com
;
$TTL    604800
@   IN  SOA  ha-test.com. root.ha-test.com. (
                 10     ; Serial
             604800     ; Refresh
              86400     ; Retry
            2419200     ; Expire
             604800 )   ; Negative Cache TTL
;

;ha-test.com.   IN    A     192.168.1.100

ha-test.com.    IN    NS    ns-1474.awsdns-56.org.
ha-test.com.    IN    NS    ns-189.awsdns-23.com.
ha-test.com.    IN    NS    ns-2002.awsdns-58.co.uk.
ha-test.com.    IN    NS    ns-892.awsdns-47.net.

如果我取消注释A,它确实将域解析为 IP,否则,它不起作用。

我希望将 NS 设置为上述那些足以bind转发到 DNS,但显然,我错了。

这是的输出dig

dig @127.0.0.1 ha-test.com

; <<>> DiG 9.16.1-Ubuntu <<>> @127.0.0.1 ha-test.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60486
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 99e2f6f74458640b01000000600eed92f545a3c7ada5b428 (good)
;; QUESTION SECTION:
;ha-test.com.   IN  A

;; AUTHORITY SECTION:
ha-test.com. 604800 IN  SOA ha-test.com. root.ha-test.com. 10 604800 86400 2419200 604800

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: пон јан 25 17:10:58 CET 2021
;; MSG SIZE  rcvd: 121

如果我做

dig @ns-1474.awsdns-56.org ha-test.com

它可以正确解决。

更新

设法解决它,但我不确定这是否是正确的方法:

named.conf.local中,我有一个这样的区域:

zone "ha-test.com" IN {
  type master;
  file "/etc/bind/zones/ha-test.com";
};

将其替换为转发区域后:

zone "ha-test.com" {
 type forward;
 forwarders { 205.251.194.241; };
};

上面的IP是我得到的IP ns-1474.awsdns-56.org。我可以从所有 NS 中放置多个 IP,但这似乎有点不对劲。不是吗?

bind amazon-route53 dns-zone

1 个回答

  1. Best Answer

    通过查看这些片段,我假设您已经配置了一个私有托管区域(您有一个用于尝试解析的服务器的私有 IP)并且您已经在本地绑定和 AWS(VPN 或 Direct Connect)之间建立了一些网络连接。

    基本上,您在更新后处于正确的轨道上。您需要将 BIND 配置为相关托管区域的转发器。如果托管区域与服务器所在的 VPC 相关联,并且如果您有适当的连接,则可以直接转发到 VPC DNS 服务器,它的地址通常是 VPC CIDR 范围的第二个 IP(例如 192.168.0.2)

    在这种情况下,您将请求直接转发到 AWS。

    一个稍微不同的版本,这在一段时间内很常见,即在同一 VPC 中运行一个 EC2 实例,该 VPC 充当 Route53 的转发器,然后在您的本地计算机上将 EC2 实例的 IP 配置为您的 DNS服务器,实际上与您所做的相同,不同之处在于 BIND 在 VPC 内的 EC2 实例上运行。

    现在,AWS 推荐的方法是使用所谓的 Route 53 Resolver 和入站端点。应该满足上述相同的先决条件 - 您需要在本地和 AWS 之间建立互联网连接,并且您的 VPC 应该与您的托管区域相关联。这里的不同之处在于,您现在不必运行需要保护和管理的专用 EC2 实例,而是拥有 AWS 服务为您执行此操作。除此之外,您还可以获得一些弹性和 HA,因为您可以在多个子网 (AZ) 中设置 Route53 解析器。除此之外,您还可以创建一个出站端点,这将使您能够将来自 AWS 的请求转发到本地 DNS 服务器,从而以相反的方式解析 DNS 查询)。您可以在文档中阅读有关 Route53 解析器的更多信息。

    • 1

相关问题