本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 Amazon Route 53 Resolver?
Amazon Route 53 Resolver 以递归方式响应来自公共记录 Amazon 资源、Amazon VPC 特定的 DNS 名称和 Amazon Route 53 私有托管区域的 DNS 查询,并且默认在所有 VPC 中都可用。
注意
Amazon Route 53 Resolver 以前被称为 Amazon DNS 服务器,但在引入 Resolver 规则以及入站和出站终端节点时被重命名。有关更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的 Amazon DNS 服务器。
Amazon VPC 连接到 VPC+2 IP 地址上的 Route 53 Resolver。此 VPC +2 地址连接到可用区内的 Route 53 Resolver。
Route 53 Resolver 会自动应答下列 DNS 查询:
-
EC2 实例的本地 VPC 域名(例如,ec2-192-0-2-44.compute-1.amazonaws.com)。
-
私有托管区(例如 acme.example.com)中的记录。
-
对于公有域名,Route 53 Resolver 针对互联网上的公有名称服务器执行递归查找。
如果您的工作负载同时利用 VPC 和本地资源,则还需要解析本地托管的 DNS 记录。同样,这些本地资源可能需要解析托管在上的名称 Amazon。通过解析程序端点和条件转发规则,您可以解析本地资源和 VPC 之间的 DNS 查询,以通过 VPN 或 Direct Connect (DX) 创建混合云设置。具体来说:
-
入站解析程序端点允许从您的本地网络或其他 VPC 对您的 VPC 进行 DNS 查询。
-
出站解析程序端点允许从您的 VPC 对您的本地网络或另一个 VPC 执行 DNS 查询。
-
解析程序规则允许您为每个域名创建一条转发规则,并指定要将 DNS 查询从 VPC 转发到本地 DNS 解析程序和从本地转发到 VPC 的域名。规则将直接应用于您的 VPC,可以在多个账户之间共享。
下图显示了使用解析程序端点的混合 DNS 解析原理。请注意,该图已简化为仅显示一个可用区。
下图说明了以下步骤:
出站(实心箭头 1–5):
-
Amazon EC2 实例需要将 DNS 查询解析到域 internal.example.com。权威 DNS 服务器位于本地数据中心。此 DNS 查询将发送到 VPC 中连接到 Route 53 Resolver 的 VPC+2。
-
Route 53 Resolver 转发规则配置为将查询转发到本地数据中心的 internal.example.com。
-
查询将被转发到出站端点。
-
出站终端节点通过与数据中心之间的 Amazon 私有连接将查询转发给本地 DNS 解析器。该连接可以是 Amazon Direct Connect 或 Amazon Site-to-Site VPN,描述为虚拟专用网关。
-
本地 DNS 解析程序会解析 internal.example.com 的 DNS 查询,反向通过相同的路径将应答返回给 Amazon EC2 实例。
入站(虚线箭头 a—d):
-
本地数据中心的客户端需要将 DNS 查询解析为域 dev.example.com 的 Amazon 资源。它会将查询发送到本地 DNS 解析程序。
-
本地 DNS 解析程序有一条转发规则,可将对 dev.example.com 的查询指向入站端点。
-
查询通过私有连接(例如 Amazon Direct Connect 或)到达入站终端节点 Amazon Site-to-Site VPN,该连接被描述为虚拟网关。
-
入站终端节点将查询发送到 Route 53 解析器,Route 53 解析器解析 dev.example.com 的 DNS 查询,并通过相同的路径反向将答案返回给客户端。