Hands-on Lab | 模拟混合云场景下使用 Resolver 转发 DNS 请求

火山引擎私网解析（PrivateZone）可以通过解析器（Resolver）把火山引擎私有网络（VPC）内的 DNS 请求转发到外部的 DNS 服务器。在混合云场景下，该 DNS 服务器通常是您的自建 IDC 中的 DNS 服务器；在公有云场景下，该 DNS 服务器通常是互联网上的 DNS 服务器。

• 转发规则所关联的 VPC 与出站终端节点必须同时位于中国内地或中国内地之外。私网解析 PrivateZone 不支持把 DNS 请求从中国内地转发到中国内地之外，也不支持把 DNS 请求从中国内地之外转发到中国内地。

如果您要实现 DNS 请求转发，您需要在私网解析 PrivateZone 中创建出站 VPC、出站终端节点和转发规则。

• 出站 VPC 用于与自建 IDC 或互联网建立网络连接。VPC 和自建 IDC 之间一般通过 火山引擎专线连接 或 火山引擎 VPN 连接 互通；VPC 和互联网之间一般通过 火山引擎 NAT 网关 互通。
• 出站终端节点位于出站 VPC 中，是 DNS 请求的转发出口。一个出站终端节点可以包含多个出站源 IP。为了保证高可用，不同的出站源 IP 一般位于不同的可用区。
• 转发规则规定了需要转发 DNS 请求的私网域名、对应的出站终端节点及外部的 DNS 服务器的 IP 地址。

本次实验用于模拟混合云场景下从火山引擎私有网络中的DNS请求通过私网解析PrivateZone的解析器Resolver能力转出到外部的DNS服务器。

已经完成的准备有：

• 在火山引擎私有网络中创建一个出站VPC
• 在火山引擎私有网络中创建另一个出站VPC，并在该VPC内搭建一套权威DNS，用于模拟外部DNS服务器

1. 登录火山引擎控制台，账号个密码请使用活动现场的实验账号。

   1. 主账号：****
   2. IAM子账号：****
   3. 密码：****

2. 为了方便体验和实验，已经提前准备好模拟混合云公有云和IDC的两个VPC（如上图，左侧模拟公有云中的VPC，右侧模拟IDC中的VPC），两个VPC默认互相隔离，已经通过VPN打通内网通信。

3. 在上图右侧模拟IDC的VPC中使用一台ECS通过安装CoreDNS/Bind来搭建一个权威DNS，实验目的就是来查看通过右侧自建DNS解析和未通过右侧自建DNS解析所产生的不同效果。

4. 本实验已经准备了一台通用的ECS，在火山引擎控制台云服务器界面搜索“Lab-ECS-1”。

5. 在ECS列表右侧点击“远程连接”，选择通过Terminal方式来登录，登录密码见活动现场实验账号卡片中“Resolve实验ECS密码”。
6. 登录的这台ECS只是普通的一台ECS，在命令行中执行以下命令来确认访问douyin.com的DNS解析结果。

注意： 请提交本步骤实验结果截图。

dig douyin.com

7. 通过命令行访问douyin.com的页面内容，会发现已经屏蔽使用curl方式来访问，当然也可以自行通过浏览器访问douyin.com查看更丰富的信息。

curl douyin.com

8. 以上是通过互联网DNS解析服务来解析douyin.com的，接下来我们在混合云内网场景让自建的DNS服务来解析douyin.com等日常使用的域名，来看看有什么不同。

Task 2.1 添加出站终端节点

9. 在火山引擎控制台进入TrafficRoute DNS套件产品控制台。
10. 打开 解析器 Resolver 页面，选择 出站终端节点 标签页。

11. 点击 创建出站终端节点， 在 创建出站终端节点 页面配置以下参数：

• 终端节点名称建议按照实验账号卡片中实验昵称填写，比如“lab-001”；
• 出站VPC是该Resolver解析的VPC，绑定实验准备好的“华北2（北京）”中的“Lab-Resolver出站VPC”；
• 安全组选择“Default”；
• 出站流量源IP地址中可用区、子网分别选择可选项即可，注意IP地址不需要填写；
• 跨服务授权需要保证是授权状态。

12. 点击 确定 完成添加。添加完成后，出站终端节点需要一分钟左右才会创建完成。您可以在一分钟后点击右侧的刷新列表按钮检查出站终端节点是否创建完成。

注意： 需要提交本步骤实验结果截图。

Task 2.2：添加转发规则

转发规则规定了需要转发 DNS 请求的私网域名，对应的出站终端节点及外部的 DNS 服务器的 IP 地址。接下来将介绍如何创建一条转发规则。

13. 打开 解析器 Resolver 页面，选择 转发规则 标签页。
14. 点击 创建转发规则。在 创建转发规则 页面配置以下参数：

• 转发Zone选择我们要实验的“douyin.com”；
• 出站终端节点选择刚刚配置的节点，一般是使用的实验账号昵称（比如lab-001）；
• 外部DNS系统的IP地址填写“10.0.0.5”，端口可以不填写；
• VPC信息注意选择华北2（北京）的“Lab-Resolver出站VPC”，点击选中即可。

15. 点击 确定 完成添加。

验证逻辑 从 VPC 中的客户端发送一条 DNS 查询请求，请求的域名是转发规则中设置的域名。如果客户端收到了外部的 DNS 服务器返回的解析结果，则说明 DNS 请求转发生效。

在本次使实验中，可选择使用出站VPC内一台ECS dig/ping转发规则中的一个域名，来验证转发规则是否生效。

16. 切换到控制台云服务器页面，可使用本实验准备的“Lab-ECS-2-Resolver业务ECS”（可搜索关键词“Lab”），在列表右侧点击“远程连接”并选择Terminal方式登录到命令行中。注意，这台ECS和部署有自建DNS解析服务的ECS的VPC已经提前通过VPN连通。

17. （可选操作）也可以自行创建一台新的ECS来进行操作，自行创建ECS时注意私有网络VPC需要选择“Lab-Resolver出站VPC（VPC ID：vpc-rr8dp6xs588wv0x582r3bpz）”。
18. 输入登录密码登录进入到终端页面，登录密码见活动现场实验账号卡片。
19. 在命令行中输入以下命令来查看通过Resolver解析的效果。

dig douyin.com

20. 当出现AUTHORITY SECTION有ns.self-build.com或NS地址为ns.self-build.com时，则证明转发到Resolver解析成功。

注意： 请提交本步骤实验结果截图。

21. 除此之外，可以在命令行中执行以下命令来查看自定义的douyin.com服务。

curl douyin.com

22. 第6步和第20步都是dig douyin.com，第7步和第21步都是curl douyin.com，而结果完全不同，这是因为Task 1中对douyin.com的访问是默认使用的互联网中DNS的解析，访问的也是互联网中的douyin.com；而经过配置转发规则，在Task 3中对douyin.com的访问是自建DNS进行解析的，是混合云环境中的内网域名解析服务，这一切都是通过火山引擎TrafficRoute DNS Resolver来实现的。

23. 请确保已经提交第6步、第12步、第20步的实验结果截图，提交链接。
24. 恭喜完成DNS Resolver的实验。