dns resolution inter-vpc + on-prem via transit gateway galère

Posté par helene33 le 15/09/2024
RÉSOLU
Retour Répondre Créer

Avatar de helene33

helene33

Membre depuis le 11/07/2024

Salut la team on est en train de setup une nouvelle infra avec une transit gateway (tgw) pour connecter plusieurs vpc et notre datacenter on-prem via vpn. le souci c'est que les instances on-prem arrivent pas à résoudre les noms dns des ressources dans un vpc donné, genre un rds. pourtant la tgw est bien up les routes sont là mais le dns c'est la misère.

# exemple de ce qu'on essaye de ping
ping rds-database-1.abcdefghijk.eu-west-3.rds.amazonaws.com
# Name or service not known

Commentaires

Avatar de raymond28

raymond28

Membre depuis le 20/04/2020

yo t'as bien associé tes dns resolver endpoint (inbound et outbound) du vpc au niveau de la tgw ? souvent on oublie l'assoc du resolver. il faut que ton on-prem puisse forwarder les requêtes vers l'inbound endpoint du vpc

Avatar de gilbert-renault

gilbert-renault

Membre depuis le 30/11/2019

et inversement pour que les vpc puissent résoudre des trucs on-prem il faut des conditional forwarders sur le dns resolver du vpc pour ton domaine on-prem

Avatar de helene33

helene33

Membre depuis le 11/07/2024

ah merde c'est ptete ça. côté on-prem j'ai mon dns qui forwarde tout vers 169.254.x.x (le dns resolver aws par défaut). faut que je pointe sur l'ip de l'inbound endpoint du vpc c'est ça ?

Avatar de raymond28

raymond28

Membre depuis le 20/04/2020

exactement. et cette ip doit être routable depuis ton on-prem via la tgw. et n'oublie pas les security groups et nacls sur ton inbound endpoint pour autoriser le trafic dns (udp/tcp 53) depuis ton range on-prem

Avatar de kblanc

kblanc

Membre depuis le 26/12/2019

et une fois que ça c'est fait check que les vpc qui ont besoin de résoudre des trucs on-prem aient bien des règles de résolution vers ton dns on-prem dans le resolver du vpc. c'est des private hosted zones souvent ça

Avatar de helene33

helene33

Membre depuis le 11/07/2024

bon j'ai revu la config des forwarders sur mon dns on-prem. je pointe bien sur les inbound endpoint et j'ai ouvert les sg. et miracle ça marche ! les rds sont résolus. merci les gars énorme coup de main

Avatar de raymond28

raymond28

Membre depuis le 20/04/2020

nickel les dns c'est toujours un peu le bordel à debug dès qu'on sort du classique

Avatar de helene33

helene33

Membre depuis le 11/07/2024

c'est clair. prochaine étape les reverse dns

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire