通过DNS解析器实现跨区域访问特定域名
应用场景
企业在多个区域部署了虚拟私有云和云服务器,通过云连接服务实现跨区域VPC互通,为了满足业务需求,需要灵活控制不同域名的流量路径,实现精细化管理。
例如,中国大陆某区域VPC中的ECS请求访问海外某些特定互联网域名(如www.example.com)时,需要通过海外区域的公网出口进行解析,并且对该域名的业务访问也通过海外区域出口,而其他互联网域名请求仍然通过VPC所在区域的公网出口。
方案概述
通过华为云DNS解析器的出站终端节点和入站终端节点功能,结合云连接服务,实现跨区域访问特定域名。
资源成本和规划
本节介绍最佳实践中资源规划情况,包含以下内容:
资源 |
资源名称 |
资源说明 |
数量 |
费用 |
---|---|---|---|---|
DNS解析器 |
inbound |
|
2 |
免费 |
outbound |
|
|||
ECS |
ECS1 |
|
2 |
请参见弹性云服务器价格详情中的各引擎价格。 |
ECS2 |
|
|||
EIP |
自定义资源名称 |
|
1 |
请参见弹性公网IP价格详情中的各引擎价格。 |
NAT网关 |
自定义资源名称 |
在中国-香港区域购买公网NAT网关,配置DNAT规则绑定EIP,实现VPC内跨可用区的多个云主机共享弹性公网IP。 |
1 |
请参见NAT网关价格详情中的各引擎价格。 |
VPC |
VPC1 |
|
2 |
免费 |
VPC2 |
|
- 华东-上海一区域:VPC1、ECS1(关联VPC1)。
- 中国-香港区域:VPC2、ECS2(关联VPC2)、EIP、公网NAT网关。
基于DNS解析器实现跨区域访问特定域名总流程
实施步骤
- 配置公网NAT网关。
为公网NAT网关添加DNAT规则,关联已购买的EIP,详细请参见添加DNAT规则。
- 配置跨区域VPC互通。
创建云连接,加载网络实例VPC1和VPC2,实现跨区域VPC互通,详细请参见通过云连接实例实现同账号下跨区域的VPC互通。
- 配置DNS解析器入站终端节点。
- 配置DNS解析器出站终端节点和转发规则。
- 创建出站终端节点
- 进入解析器列表页面。
- 单击管理控制台左上角的
,选择区域和项目。
此处选择“华东-上海一”华区域。
- 在页面右上角,单击“创建终端节点”。
- 根据界面提示配置相关参数,详细内容请参见表3。
图2 创建出站终端节点
表3 创建出站终端节点参数说明 参数
说明
终端节点方式
支持选择入站、出站。
此处请选择“出站”。
终端节点名称
终端节点的名称。
- 只能由中文字符,英文字母,数字,及“_”,“-”,“.”组成。
- 长度为1-64字符。
区域
出站终端节点所属区域。
此处请选择“华东-上海一”。
VPC
云上DNS通过此VPC将转发规则指定域名的解析请求转发到指定的IP解析。
此处请选择VPC1。
注意:终端节点创建后无法更改VPC。
子网
子网必须具有可用的IP地址。目前仅支持IPv4地址。
IP地址
支持“自动选择”或“自定义”。
此处请选择自定义,并输入以下IP地址:
192.168.2.2
192.168.3.3
- 单击“立即创建”
- 创建转发规则并设置生效范围
- 在解析器列表页,单击进入“规则”页签。
- 在规则列表上方,单击“添加规则”。
- 根据界面提示配置相关参数,详细内容请参见表4。
图3 添加规则
表4 添加规则参数说明 参数
说明
名称
出站终端节点的转发规则名称。
域名
终端节点规则对应的域名。
类型
默认选择“解析器”。
出站终端节点
选择需要关联的出站终端节点。
此处请选择步骤4.a创建的出站终端节点。
关联VPC
支持打开或关闭。
开关打开后,需要配置VPC相关信息。
此处请选择打开。
区域
VPC所属区域。
打开“关联VPC”开关后,显示该参数。
此处请选择华东-上海一。
VPC
勾选转发规则需要关联的VPC,支持多选。
打开“关联VPC”开关后,显示该参数。
此处请选择VPC1。
IP地址
云下数据中心DNS的IP地址。
支持添加多个IP地址。
此处请填写中国-香港区域VPC2内的入站终端节点IP地址:
172.16.5.5
172.16.6.6
转发规则创建后,不支持修改域名、类型、出站终端节点信息。
- 单击“确定”。
- 创建出站终端节点
配置验证
- 验证跨区域访问特定域名之前,需要确保公网NAT网关配置生效,同时跨区域VPC已通过云连接打通。
- 验证公网NAT网关生效:登录云服务器ECS2,通过ping命令访问外部域名。
示例:ping www.huawei.com
- 验证跨区域VPC连通性:登录云服务器ECS1,通过ping命令访问ECS2。
示例:ping 172.16.100.10
- 验证公网NAT网关生效:登录云服务器ECS2,通过ping命令访问外部域名。
- 确保公网NAT网关配置已生效,且跨区域VPC已打通,参考以下方式验证跨区域访问特定域名:
示例:ping www.example.com
返回结果显示域名www.example.com对应的IP地址,则表示配置验证成功。