Похоже, у меня проблема с настройкой DNS с разделением горизонта / представлений в R53. Мы хотим получить копию внутренней зоны от R53 с моих локальных серверов FreeIPA. Это возможно? У меня есть настройка переадресации зон в FreeIPA, так что, если вы работаете в AWS VPC, вы можете запросить R53. Однако я не могу сделать это из местного офиса. Мы пытаемся понять, как передать копию внутренней зоны на мои локальные серверы FreeIPA. Из того, что я прочитал, это НЕ возможно, поскольку я не могу рекурсивно разговаривать с R53.
Конечно, «возможно» разрешить частные размещенные зоны извне VPC ... но не с передачей зон, поскольку Route 53 не поддерживает передачи зон. Чтобы это работало, вам необходимо иметь возможность запрашивать встроенный преобразователь VPC. Это можно сделать только с помощью конфигурации с исходным IP-адресом, который находится в VPC - запросы должны поступать от экземпляра.
Конфигурация ваших локальных серверов будет почти не отличаться от ваших внутренних серверов AWS, что касается рекурсивных запросов, но целевой IP-адрес, который они рекурсивно запрашивают, должен быть экземпляром внутри VPC, на котором размещен прокси-сервер DNS, который отправляет эти запросы в резольвер VPC от их имени.
Предполагая, что у вас уже есть VPN между вашим помещением и VPC, этот трафик направляется через VPN, чтобы добраться до экземпляра DNS-прокси. Если нет VPN, то этот экземпляр прокси-сервера также может размещать OpenVPN для завершения туннеля из вашего помещения для запросов.
В любом случае пары экземпляров t2.nano (5 долларов США в месяц) в двух зонах доступности должно быть более чем достаточно для такой рабочей нагрузки.
В AWS Marketplace также есть несколько AMI «брандмауэра», которые поддерживают прокси-сервер DNS, если вы не хотите запускать собственные экземпляры для обработки задачи.
Я не особо знаком с FreeIPA, но ... думая о том, что вы говорите, что уже делаете ... кажется, что вы даже можете настроить свои локальные серверы для пересылки их запросов на серверы FreeIPA внутри VPC, который затем должен рекурсивно запрашивать записи точно так же, как и для других клиентов в VPC ... поэтому дополнительный экземпляр не потребуется.