我有两个 VPC:
- 入站 VPC CIDR 为 10.0.0.0/16(2 个公有子网)
- 具有 CIDR 10.1.0.0/16 的私有 VPC(私有端点)
两者都与 Transit Gateway 相连,并且我可以使用 EC2 实例中的 curl 命令解析从入站 VPC 到私有 VPC 的 DNS 和私有 API。
然而,我已经创建了一个转发到私有 DNS 的入站 VPC 中的 ALB仅可通过 Transit Gateway 从入站 VPC 访问,并且它无法解决这个问题。
我认为它正在尝试解析 VPC 外部的正向 DNS。我看到的唯一解决方案是创建一个带有代理 (Nginx/Apache) 的 EC2 实例并从中重定向流量。
还有其他解决方案吗?例如,使用 Route 53 Resolver?
谢谢
答案1
为了实现您通常要做的事情,您需要将 R53 私有托管区域与您的 ALB 所在的 VPC 以及它控制的资源所在的 VPC 关联起来。您可以在控制台中执行此操作这或者使用类似 API / CLI这(关键部分复制如下,但请阅读链接)。
aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> --vpc VPCRegion=<region>,VPCId=<vpc-id> --region us-east-1
aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> --vpc VPCRegion=<region>,VPCId=<vpc-id> --region us-east-1
另一种常见模式是按 VPC 进行互联网入口,而不是共享。这样可以避免通过传输网关发送所有入口流量的成本,这对于大型系统来说可能是巨大的。
即使入口是直接的,通过共享 VPC 出口也很常见。AWS着陆区加速器框架设置得很好,可以选择包含 AWS 网络防火墙(注意成本),还可以设置共享 VPC 端点。在企业着陆区中,每个 VPC 中的 VPC 端点的成本很快就会增加,因此共享它们可以节省相当多的钱。