5.4. 配置 AWS PrivateLink DNS 转发
使用 AWS PrivateLink 集群时,在 Route 53 中创建公共托管区和一个私有托管区。使用私有托管区,区中的记录只能从 VPC 中将其分配给它。
Let 的 Encrypt DNS-01 验证需要一个公共区,以便为域发布有效的公开可信证书。验证记录会在 Let’s Encrypt 验证完成后删除。但是,在发布和更新这些证书时仍需要该区域,这通常需要 60 天。虽然这些区域通常会出现为空,但在验证过程中提供关键角色。
如需有关私有托管区的更多信息,请参阅 AWS 私有托管区文档。有关公共托管区的更多信息,请参阅 AWS 公共托管区文档。
先决条件
- 您的公司网络或其他 VPC 有连接
- 在您的网络中启用 UDP 端口 53 和 TCP 端口 53 以允许 DNS 查询
- 您已使用 Red Hat OpenShift Service on AWS 创建 AWS PrivateLink 集群
流程
-
要允许记录(如
api.<cluster_domain>
和*.apps.<cluster_domain>
) 在 VPC 之外解析,配置一个 Route 53 Resolver Inbound Endpoint。 - 配置入站端点时,选择创建集群时使用的 VPC 和专用子网。
-
在端点运行并关联后,配置公司网络以将 DNS 查询转发到顶级集群域(如
drow-pl-01.htno.p1.openshiftapps.com
)的 IP 地址。 - 如果您要将 DNS 查询从一个 VPC 转发到另一个 VPC,请配置转发规则。
- 如果要配置远程网络 DNS 服务器,请参阅您的特定 DNS 服务器文档为已安装集群域配置选择性 DNS 转发。