Я установил Microsoft AD, используя службы каталогов внутри существующего VPC, и теперь все запросы DNS внутри VPC разрешаются на общедоступный IP-адрес экземпляров. Например, экземпляр RDS теперь будет возвращать открытый IP вместо частного.
Это мешает мне правильно настроить группы безопасности и, как правило, делает мой DNS сомнительным. Запросы DNS на ресурсы Route 53, размещенные в VPC, также не выполняются, но работают вне VPC.
Я связался со службой поддержки и мне сказали
Причина, по которой вы получаете общедоступный IP-адрес, заключается в том, что указанные серверы доменных имен сами выполняют разрешение. Когда это происходит, они получают внешний IP-адрес экземпляра RDS, поскольку запрос не проходит через распознаватель VPC.
Чтобы получить возвращенный частный IP-адрес, вам необходимо настроить AD DNS для пересылки запросов локальному распознавателю VPC. Для этого вам необходимо войти в систему AD.
Для справки: распознаватель VPC всегда находится по адресу +2. Это означает, что, поскольку ваш VPC - 172.30.0.0/16, распознаватель DNS будет 172.30.0.2.
Возможно ли это с помощью служб каталогов? Чего мне не хватает?