Netzwerkkonnektivitätsprobleme mit privater DNS-Auflösung zwischen VCNs oder zwischen einem VCN und einem On-Premise-Netzwerk
Netzwerkkonnektivitätsprobleme mit DNS-Auflösung zwischen VCNs oder zwischen einem VCN und einem On-Premise-Netzwerk
- Stellen Sie bei Verwendung eines lokalen Peering-Gateways (LPG ) sicher, dass es korrekt zwischen VCNs eingerichtet ist und dass die Remote-Peering-Verbindung, der Tunnel IPSec oder FastConnect zwischen Resolvern korrekt eingerichtet ist. Weitere Informationen finden Sie unter Site-to-Site-VPN, FastConnect und Lokales VCN-Peering mit lokalen Peering-Gateways.
- Prüfen Sie beim Beheben von Konnektivitätsproblemen für Ingress und Egress alle VCN-Konfigurationen.
-
DNS-Transaktionen sind kurzlebig. Daher wird empfohlen, zustandslose Sicherheitsregeln sowohl für UDP - als auch für TCP -DNS-Traffic zu verwenden. Obwohl zustandsbehaftete Regeln häufig funktionieren, ist es möglich, dass die Verbindungstrackingtabelle bei hoher Belastung ausgefüllt wird, um neue Verbindungen zu verhindern. Das kann dazu führen, dass es sich um einen DNS-Ausfall handelt. Weitere Informationen finden Sie unter Sicherheitsregeln.
Wenn das VCN zum Senden von Abfragen Weiterleitungsendpunkte verwendet, sind für eine zustandslose Konfiguration zwei Regelpaare erforderlich. Erstellen Sie sowohl für UDP als auch für TCP eine Egress-Regel für Zielport 53 sowie eine Ingress-Regel, die Antworten von Quellport 53 zulässt. Weitere Informationen finden Sie unter Sicherheitsregeln.
Wenn das VCN für den Empfang von Abfragen Listening-Endpunkte verwendet, erstellen Sie sowohl für UDP als auch für TCP eine Egress-Regel für Quellport 53, die Antworten zulässt. Erstellen Sie dann eine Ingress-Regel für Quellport 53, um externe Abfragen zuzulassen. Gehen Sie bei den Quell- und Ziel-CIDRs so restriktiv wie möglich vor, um unabsichtlichen Zugriff auf DNS-Services zu verhindern. Weitere Informationen finden Sie unter Sicherheitsregeln.