AWS中的FreeIPA DNS问题

Question

我似乎对R53中分裂的视界/视图的DNS设置有问题。我们希望能够从本地R53服务器上从FreeIPA获得内部区域的副本。这个是可能的吗？我在FreeIPA中设置了区域转发，这样如果您在AWS中，您可以查询R53。不过，我不能在我当地的办公室这么做。我们正在努力弄清楚如何将内部区域的副本放到本地FreeIPA服务器上。根据我所读到的，这是不可能的，因为我不能递归地与R53对话。

Answer 1

当然，解决VPC之外的私有托管区域是“可能的”.但不适用于区域转移，因为53号公路不支持区域转移。为此，您需要能够查询VPC的内置解析器。这只能通过使用VPC内部的源IP地址的配置来实现--查询必须来自实例。

就递归查询而言，on服务器的配置几乎与内部AWS服务器没有什么不同，但它们递归查询的目标IP地址需要是VPC中的一个实例，该实例承载一个DNS代理，该代理代表VPC解析器将这些查询发送到VPC解析器。

假设您的前提和VPC之间已经有了一个VPN，那么这个流量就会通过VPN到达DNS代理实例。如果没有虚拟专用网，那么这个代理实例也可以宿主OpenVPN来终止来自查询前提的隧道。

在任何一种情况下，两个可用区域中的两个t2.nano实例($5/mo)应该足以应付这样的工作负载。

AWS市场中也有几个支持DNS转发代理的“防火墙”AMIs，如果您不想提交自己的实例来处理任务的话。

我不太熟悉FreeIPA，但是.想想你说你已经在做什么..。您甚至可以配置other服务器将它们的查询转发到VPC中的FreeIPA服务器，然后VPC中的记录应该像VPC中的其他客户端一样递归地查询记录.因此不需要额外的实例。