Default DNS-Server in AWS VPCs

AWS reserviert in jedem Subnetz die dritte IP (bei einer 24er Maske also die x.x.x.2) für Ihren DNS-Server. Sobald man mit Network ACLs arbeitet, geht man daher davon aus, dass die DNS-Queries innerhalb des Subnetzes der Instanz stattfinden.

Allerdings findet sich versteckt in den Dokumentationen der Hinweis, dass es sich bei “Subnetz+2” nur um eine Reservierung handelt, der DNS aber eigentlich auf “VPC+2” liegt - selbst wenn dort überhaupt kein Subnetz konfiguriert ist.

Dieses Problem kann man elegant umgehen, indem der DNS Endpunkt auf dem lokalen Interface genutzt wird. Während die Existenz des Metadata-Services auf der 169.254.169.254 weithin bekannt ist, ist nämlich der DNS auf 169.254.169.253 eher unbekannt.

Bei Security Groups findet sich eine weitere Besonderheit im Zusammenhang mit DNS: Sofern man ausgehende Regeln explizit konfiguriert hat, ist der default DNS-Server implizit auch freigegeben - selbst wenn udp/53 nicht in den erlaubten Regeln vorhanden ist. Ein externer DNS Server, der z.B. im on-Premise Netzwerk steht, braucht allerdings eine explizite Freigabe.

Similar Posts You Might Enjoy

Vorteile einer VPC für den Schutz von EC2-Instanzen

Viele Amazon AWS Kunden nutzen ihre EC2 Instanzen ohne ein VPC … und schützen Ihre EC2 Instanzen ausschließlich über EC2-Security Groups … das ist soweit ok, aber man kann es natürlich unter Einsatz einer Amazon AWS VPC besser machen … denn durch eine Amazon AWS VPC, die übrigens nichts groß extra kostet, kann man ein höheres Maß an Sicherheit erreichen. Am besten für die meisten Anwendungsfälle ist eigentlich da Szenario bestehend aus einem Public- und einem Private-Subnet in einer VPC. - by tecRacer

Mit allen verbunden Teil 1

Test Transit Gateway mit CloudFormation/taskCat (Teil 1) und kitchen/Inspec (Teil 2) Zu Teil 2 Test Transit Gateway mit taskCat und Inspec Transit Gateway What is a Transit Gateway? - Amazon Virtual Private Cloud ist ein neuer AWS Service, der VPC Peering komplett ablösen kann. Zusätzlich kann damit auch ein “transitives” Peering gebaut werden. Das heißt, anders als bei einer VPC Peering Verbindung, die immer nur zwei VPCs miteinander verbindet, werden hier alle Netze miteinander verbunden. - by Gernot Glawe

Druckfrisch: Amazon Web Services in Action (Second Edition)

Die erste Version von Amazon Web Services in Action haben Michael und ich 2015 geschrieben und publiziert. Unser Buch wurde schnell zum Bestseller. Wir sind immer noch vom positiven Feedback unserer Leser begeistert. Vielen Dank dafür! Allerdings entwickelt sich AWS schnell weiter. Jede Woche werden neue Features angekündigt. Daher haben wir uns wieder an die Tastatur gesetzt um unser Buch zu überarbeiten und zu erweitern. Heute ist es endlich soweit! Die zweite Version unseres Buches Amazon Web Services in Action ist sowohl als “echtes” Buch sowie als eBook (PDF) verfügbar. - by Andreas Wittig