Amazon Web Services: Route 53

Route 53

Il servizio DNS è un servizio chiave per il buon funzionamento di una qualunque infrastruttura: ad esso, infatti, sono legati non solo la risoluzione dei domini Internet ma per esempio anche la nomenclatura delle macchine facenti parte della nostra subnet privata.

Pertanto abbiamo bisogno di un servizio affidabile, robusto, scalabile, a basso costo e con poca manutenzione su cui basare le nostre soluzioni.

Alcune caratteristiche

Route 53 è il servizio che ci permette di ospitare le zone DNS dei nostri domini pubblici e privati all’interno di Amazon AWS. Il motivo per cui è particolarmente affidabile è che si basa sull’infrastruttura globale di Amazon; per questo non è possibile scegliere la Region come per gli altri servizi. Route 53 è strettamente legato ad altri servizi (ad esempio: Cloudfront, S3, Ec2, RDS etc…) tanto che Amazon stessa lo usa internamente per gli altri Web Services.

All’interno di RDS, ad esempio, viene sfruttato Route53 per aggiornare dinamicamente il puntamento dell’hostname del database a cui si collegano le nostre applicazioni. Questo serve per modificare l’indirizzo IP dell’instanza RDS attiva in un determinato momento, utile quando è necessario attivare il meccanismo di failover.

Altre caratteristiche importanti di Route 53 sono:

  • Health checks per alcuni tipi di Resource Records: possiamo facilmente implementare strategie di failover verso un sito di Disaster Recovery (DR) senza aggiornare manualmente il DNS.
  • Mitigazione di attacchi DDOS basati su DNS reflection: in linea teorica possiamo mitigare i più comuni attacchi basati su questa tecnica; Amazon dichiara in via non ufficiale di poter sopportare attacchi fino a 70Gbit/s.

Route 53 come dns per i nostri domini

Bisogna tenere sempre presente che il servizio DNS è un elemento funzionale che ci permette di costruire infrastrutture robuste e scalabili. Possiamo comporre perfettamente le nostre risorse di computing, ma se la risoluzione DNS non funziona correttamente (magari a causa di un attacco verso di esso), la nostra strategia di scalabilità e ridondanza fallirà! È anche possibile utilizzare Route 53 come DNS autoritativo per i nostri domini che già abbiamo registrato, per beneficiare dei vantaggi sopra illustrati.

Registrazione domini

Da alcuni mesi è possibile acquistare domini direttamente dalla management console di AWS, nella sezione di Route 53. Una volta acquistato il dominio verrà configurata automaticamente una nuova “Hosted Zone”.

I vantaggi sono:

  • whois protection gratuito: nessun costo annuo per offuscare i propri dati personali dal whois pubblico,
  • integrazione con la fatturazione degli altri servizi: la stessa fattura che contiene le spese per l’infrastruttura, ora può contenere anche quelle per i domini,
  • numerose estensioni disponibili: anche regionali come ad esempio .de, .it, .us; altri servizi concorrenti come “Google domain service” non le supportano pienamente.

Zone private

Oltre all’utilizzo classico di Route 53 come DNS autoritativo per i nostri domini, potremmo considerare di utilizzarlo per mappare risorse all’interno del nostro VPC. Facendo così, possiamo nascondere su un segmento di rete privata tutti i record DNS che non vogliamo pubblicare su Internet oppure che hanno senso solo in una porzione della nostra infrastruttura.

Per poter utilizzare questa funzionalità dobbiamo assicurarci che il nostro VPC abbia abilitato la risoluzione DNS e degli hostname. Possiamo verificarlo entrando nel dettaglio del VPC e controllare che sia uguale all’immagine.
JQkVKJCngyRd0jA3jr6DFUwUl4vlY31yRDM0QW54acAUGYlAUEXbf93MSIaghQEujvh4jNGilKf4V90yKFmMcQfzC1WfZpBeWMV3Wl_sBhPk6OvxL5B6OVFuSNgesx2z=s1600

Se non ci troviamo già in questa condizione, possiamo abilitare tali proprietà dal menù posto sopra l’elenco delle VPC nella console web di AWS.
2

Ora è il momento di impostare la nostra prima zona privata: per farlo, navighiamo nel pannello di Route 53 e clicchiamo sul bottone “Create Hosted Zone”.

3

 

4

Qui possiamo impostare il nome del dominio, scegliere il tipo di zona e il VPC di riferimento nel quale precedentemente abbiamo abilitato la risoluzione DNS.

Una volta creata la zona, possiamo cominciare a creare i Resource Records che ci servono per il nostro dominio.

5