Eu tenho uma rede de instâncias AWS EC2. A maioria deles usa o resolvedor DNS da VPC padrão para evitar exfiltração e resolver domínios internos (usando um TLD personalizado). Tudo isso funciona bem.
No entanto, há uma instância (Ubuntu) que precisa usar um resolvedor público geral para acessar a Internet em geral (por exemplo, 8.8.8.8).
Consegui fazer esse trabalho em us-east-1 substituindo /etc/systemd/resolved.conf por
[Resolve]
DNS=8.8.8.8 208.67.222
e adicionando um /etc/systemd/resolved.conf.d/MYTLD.conf
[Resolve]
Domains=MYTLD
DNS=10.6.0.2
Depois de reiniciar o systemd-resolved, a instância resolve todos os domínios perfeitamente. Mas quando aplico exatamente essa mesma configuração a uma rede quase idêntica em us-east-2, o DNS público não funciona.
Uma sugestão que encontrei no StackExchange foi criar um link simbólico de /etc/resolv.conf para /run/systemd/resolve/resolv.conf. Isso fez com que o DNS público começasse a ser resolvido, mas o TLD interno parou.
Como faço para que o DNS seja resolvido de forma consistente em qualquer região?
Responder1
Eu encontrei minha solução.
O DNS Resolver foi definido como bloco padrão (obviamente. Esse foi o objetivo deste exercício). Mas a resposta foi definida como NODATA. Isso criou uma condição de corrida: systemd-resolve usaResolução de nomes multicast link-localpara obter resultados de DNS. Isso significa que ele consultou simultaneamente o servidor interno da AWS e um dos servidores públicos. LLMNR retorna o primeiro resultado bem-sucedido obtido ou a última falha (se todos os resultados forem falhas)
Um resultado NODATA do DNS Resolver é tecnicamente um sucesso, portanto esse resultado foi retornado se chegou primeiro. Alterar a ação para NXDOMAIN - que é um resultado de falha da perspectiva do systemd-resolve - corrigiu o problema.