dns resolution inter-vpc + on-prem via transit gateway galère

RSS
helene33 15/09/2024
RÉSOLU
Retour Répondre
Avatar de helene33
helene33
Auteur Actif
Avatar de helene33
helene33
Auteur Actif

Salut la team on est en train de setup une nouvelle infra avec une transit gateway (tgw) pour connecter plusieurs vpc et notre datacenter on-prem via vpn. le souci c'est que les instances on-prem arrivent pas à résoudre les noms dns des ressources dans un vpc donné, genre un rds. pourtant la tgw est bien up les routes sont là mais le dns c'est la misère.

# exemple de ce qu'on essaye de ping
ping rds-database-1.abcdefghijk.eu-west-3.rds.amazonaws.com
# Name or service not known
15/09/2024 à 15:18

8 commentaires

Avatar de raymond28
raymond28
Membre Actif Secouriste
Avatar de raymond28
raymond28
Membre Actif Secouriste

yo t'as bien associé tes dns resolver endpoint (inbound et outbound) du vpc au niveau de la tgw ? souvent on oublie l'assoc du resolver. il faut que ton on-prem puisse forwarder les requêtes vers l'inbound endpoint du vpc

16/09/2024 à 14:43
Avatar de gilbert-renault
gilbert-renault
Membre
Avatar de gilbert-renault
gilbert-renault
Membre

et inversement pour que les vpc puissent résoudre des trucs on-prem il faut des conditional forwarders sur le dns resolver du vpc pour ton domaine on-prem

17/09/2024 à 12:48
Avatar de helene33
helene33
Auteur Actif
Avatar de helene33
helene33
Auteur Actif

ah merde c'est ptete ça. côté on-prem j'ai mon dns qui forwarde tout vers 169.254.x.x (le dns resolver aws par défaut). faut que je pointe sur l'ip de l'inbound endpoint du vpc c'est ça ?

18/09/2024 à 08:53
Avatar de raymond28
raymond28
Membre Actif Secouriste
Avatar de raymond28
raymond28
Membre Actif Secouriste

exactement. et cette ip doit être routable depuis ton on-prem via la tgw. et n'oublie pas les security groups et nacls sur ton inbound endpoint pour autoriser le trafic dns (udp/tcp 53) depuis ton range on-prem

19/09/2024 à 04:55
Avatar de kblanc
kblanc
Membre
Avatar de kblanc
kblanc
Membre

et une fois que ça c'est fait check que les vpc qui ont besoin de résoudre des trucs on-prem aient bien des règles de résolution vers ton dns on-prem dans le resolver du vpc. c'est des private hosted zones souvent ça

20/09/2024 à 01:07
Avatar de helene33
helene33
Auteur Actif
Avatar de helene33
helene33
Auteur Actif

bon j'ai revu la config des forwarders sur mon dns on-prem. je pointe bien sur les inbound endpoint et j'ai ouvert les sg. et miracle ça marche ! les rds sont résolus. merci les gars énorme coup de main

20/09/2024 à 20:03
Avatar de raymond28
raymond28
Membre Actif Secouriste
Avatar de raymond28
raymond28
Membre Actif Secouriste

nickel les dns c'est toujours un peu le bordel à debug dès qu'on sort du classique

21/09/2024 à 17:05
Avatar de helene33
helene33
Auteur Actif
Avatar de helene33
helene33
Auteur Actif

c'est clair. prochaine étape les reverse dns

22/09/2024 à 12:35

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire