У меня есть сеть экземпляров AWS EC2. Большинство из них используют DNS-резолвер VPC по умолчанию для предотвращения эксфильтрации и разрешения внутренних доменов (используя пользовательский TLD). Все работает отлично.
Однако есть один экземпляр (Ubuntu), которому необходимо использовать общий публичный резолвер для доступа к Интернету в целом (например, 8.8.8.8).
Мне удалось заставить это работать в us-east-1, заменив /etc/systemd/resolved.conf на
[Resolve]
DNS=8.8.8.8 208.67.222
и добавление /etc/systemd/resolved.conf.d/MYTLD.conf
[Resolve]
Domains=MYTLD
DNS=10.6.0.2
После перезапуска systemd-resolved экземпляр прекрасно разрешает все домены. Но когда я применяю эту же самую конфигурацию к почти идентичной сети в us-east-2, публичный DNS не работает.
Одно из предложений, которое я нашел на StackExchange, заключалось в том, чтобы сделать символическую ссылку /etc/resolv.conf на /run/systemd/resolve/resolv.conf. Это заставило публичный DNS начать разрешаться, но внутренний TLD остановился.
Как добиться того, чтобы DNS работал стабильно в любом регионе?
решение1
Я нашел решение.
DNS Resolver был установлен на блокировку по умолчанию (очевидно. В этом и была суть этого упражнения.) Но ответ был установлен на NODATA. Это создало состояние гонки: systemd-resolve используетРазрешение имен многоадресной рассылки Link-Localдля получения результатов DNS. Это означает, что он одновременно запросил внутренний сервер AWS и один из публичных серверов. LLMNR возвращает либо первый полученный им успешный результат, либо последний неудачный (если все результаты неудачные)
Результат NODATA от DNS Resolver технически является успешным, поэтому этот результат возвращался, если он приходил первым. Изменение действия на NXDOMAIN — что является результатом сбоя с точки зрения systemd-resolve — исправило проблему.