我似乎在 R53 中设置了带有水平分割/视图的 DNS 问题。我们希望能够从我的本地 FreeIPA 服务器获取来自 R53 的内部区域的副本。这可能吗?我在 FreeIPA 中设置了区域转发,这样如果您在 AWS VPC 中,您就可以查询 R53。但是我无法从我的本地办公室执行此操作。我们正在尝试弄清楚如何将内部区域的副本发送到我的本地 FreeIPA 服务器。据我所知,这是不可能的,因为我无法递归地与 R53 通信。
答案1
当然,“可能”从 VPC 外部解析私有托管区域……但不能使用区域传输,因为 Route 53 不支持区域传输。要实现这一点,您需要能够查询 VPC 的内置解析器。这只能通过使用 VPC 内的源 IP 地址配置来实现——查询必须来自实例。
就递归查询而言,您的内部服务器的配置与您的内部 AWS 服务器几乎没有什么不同,但它们递归查询的目标 IP 地址需要是 VPC 内部的一个实例,该实例托管一个 DNS 代理,该代理代表它们将这些查询发送到 VPC 解析器。
假设您的场所和 VPC 之间已经有 VPN,则此流量将通过 VPN 到达 DNS 代理实例。如果没有 VPN,则此代理实例还可以托管 OpenVPN 以终止从您的场所发出的查询隧道。
无论哪种情况,两个可用区域中的一对 t2.nano 实例(5 美元/月)对于这样的工作负载来说应该足够了。
如果您不想使用自己的实例来处理该任务,AWS Marketplace 中还有几个支持 DNS 正向代理的“防火墙”AMI。
我对 FreeIPA 不是特别熟悉,但是......想想你说你已经在做的事情......似乎你甚至可以配置你的内部服务器以将其查询转发到 VPC 内的 FreeIPA 服务器,然后应该以与 VPC 内其他客户端完全相同的方式递归查询记录...所以不需要额外的实例。