问题描述
在使用 AWS VPC 通过 AWS Site-to-Site VPN 连接到企业网络时,遇到了一个问题。他能够通过 VPN 隧道的私有 IP 地址访问他的 EC2 实例,而在 VPC 内部,每个 EC2 实例都可以通过提供的 Amazon DNS 服务器解析私有 DNS 主机名 ip-private-ipv4-address.region.compute.internal,Amazon DNS 服务器的 IP 地址为 VPN-CIDR + 2。用户希望能够通过 VPN 隧道从企业网络查询 Amazon DNS 服务器。他的目标是能够通过 DNS 名称而不是每次在他们的 DNS 中创建记录来通过 VPN 访问 EC2 实例。
解决方案
请注意以下操作可能涉及版本差异,务必谨慎操作,并备份重要数据。
方案1
直接从企业网络通过 VPN 隧道查询 Amazon VPC 中的 Amazon DNS 服务器并不可行,因为Amazon限制了此操作。然而,你可以通过创建一个 DNS 转发器(forwarder)来实现类似的功能。以下是如何使用 AWS Route 53 Resolver 服务或类似的软件(例如 Unbound)来设置 DNS 转发的步骤:
使用 AWS Route 53 Resolver 服务
- 登录 AWS 控制台并打开 Route 53 服务。
- 在 Route 53 控制台中,导航到 “Resolvers”(解析器)。
- 创建一个新的解析器,并将其与你的 VPC 关联。
- 配置解析器的 DNS 地址。你可以选择使用 Amazon 提供的 DNS 地址(
VPN-CIDR + 2)作为目标。 - 配置转发规则以将特定域名(例如
ip-private-ipv4-address.region.compute.internal)转发到你的 Route 53 解析器。
使用 Unbound 或类似的软件
- 在你的企业网络中,设置一个运行 Unbound 或类似软件的 DNS 服务器。
- 配置 Unbound 以充当 DNS 转发器。设置 Unbound 以将特定域名(例如
ip-private-ipv4-address.region.compute.internal)转发到 Amazon VPC 中的 Amazon DNS 服务器(VPN-CIDR + 2)。 - 在你的企业网络中,将 DNS 配置指向 Unbound 服务器。
这样,当你的企业网络中的主机查询特定的 DNS 主机名时,Unbound 或 AWS Route 53 Resolver 会将查询转发到 Amazon VPC 中的 Amazon DNS 服务器。这样,你就能够通过 VPN 使用 DNS 名称而无需每次在企业 DNS 中创建记录。
参考链接
这些参考链接将为你提供更详细的配置和设置指导。请根据你的具体情况选择适合的解决方案,以实现通过 VPN 访问 Amazon VPC 中的 DNS 服务器的目标。
正文完