使用私有托管区域的注意事项 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用私有托管区域的注意事项

使用私有托管区域时请注意以下事项:

Amazon VPC 设置

要使用私有托管区域,您必须将以下 Amazon VPC 设置设为 true

  • enableDnsHostnames

  • enableDnsSupport

有关更多信息,请参阅 Amazon VPC 用户指南中的查看和更新 VPC 的 DNS 属性

Route 53 运行状况检查

在私有托管区中,只能将 Route 53 运行状况检查与失效转移、多值应答、加权、延迟、地理位置和地理位置临近度记录相关联。有关将运行状况检查与故障转移记录关联的信息,请参阅在私有托管区域中配置故障转移

私有托管区域中的记录支持的路由策略

在私有托管区域中创建记录时,可以使用以下路由策略:

不支持使用其他路由策略在私有托管区域中创建记录。

拆分视图 DNS

可以使用 Route 53 来配置分割视图 DNS,又称作水平分割 DNS。在拆分视图 DNS 中,内部使用的域名 (accounting.example.com) 和外部使用的域名(例如,公共网站 (www.example.com))相同 (example.com)。您可能还希望在内部和外部使用相同的子域名,但是为内部和外部用户提供不同的内容或要求不同的身份验证。

要配置拆分视图 DNS,请执行以下步骤:

  1. 创建具有相同名称的公共和私有托管区域。(如果您在公共托管区域中使用其他 DNS 服务,则拆分视图 DNS 仍然可以使用。)

  2. 将一个或多个 Amazon VPCs 与私有托管区域关联。Route 53 VPC 解析器使用私有托管区域在指定 VPCs区域中路由 DNS 查询。

  3. 在每个托管区域中创建记录。公共托管区域中的记录控制互联网流量的路由方式,私有托管区域中的记录控制流量在您的 Amazon 中的路由方式。 VPCs

如果您需要对 VPC 和本地工作负载执行名称解析,则可以使用 Route 53 VPC 解析器。有关更多信息,请参阅 什么是 Route 53 VPC 解析器?

具有重叠命名空间的公有和私有托管区域

如果您的私有和公有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,VPC Resolver 会根据最具体的匹配项来路由流量。当用户登录到您与私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 Route 53 VPC 解析器处理 DNS 查询的方式:

  1. VPC 解析器评估私有托管区域的名称是否与请求中的域名匹配,例如 accounting.example.com。以下任一形式均可定义为匹配:

    • 相同匹配

    • 私有托管区域的名称是请求中域名的父级。例如,假设请求中的域名如下:

      seattle.accounting.example.com

      以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父级:

      • accounting.example.com

      • example.com

    如果没有匹配的私有托管区域,VPC Resolver 会将请求转发给公有 DNS 解析器,您的请求将作为常规 DNS 查询进行解析。

  2. 如果存在与请求中的域名匹配的私有托管区域名称,则会在该托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,如 accounting.example.com 的 A 记录。

    注意

    如果有匹配的私有托管区域,但没有与请求中的域名和类型相匹配的记录,则 VPC 解析器不会将请求转发给公有 DNS 解析器。而是将 NXDOMAIN (不存在的域) 返回给客户端。

具有重叠命名空间的私有托管区域

如果您有两个或更多具有重叠命名空间的私有托管区域,例如 example.com 和 accounting.example.com,VPC Resolver 会根据最具体的匹配项来路由流量。

注意

如果您有一个私有托管区域 (example.com) 和 Route 53 VPC 解析器规则,用于将流量路由到您的网络,则优先使用 VPC 解析器规则。请参阅Private hosted zones and Route 53 VPC Resolver rules

当用户登录到您已与所有私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 VPC 解析器处理 DNS 查询的方式:

  1. VPC 解析器会评估请求中的域名(例如 accounting.example.com)是否与其中一个私有托管区域的名称匹配。

  2. 如果没有与请求中的域名完全匹配的托管区域,VPC Resolver 会检查是否存在名称为请求中域名的父域名的托管区域。例如,假设请求中的域名如下:

    seattle.accounting.example.com

    以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父项:

    • accounting.example.com

    • example.com

    VPC 解析器accounting.example.com之所以选择,是因为它比example.com它更具体。

  3. VPC Resolver 在accounting.example.com托管区域中搜索与请求中的域名和 DNS 类型相匹配的记录,例如 A 记录。seattle.accounting.example.com

    如果没有与请求中的域名和类型相匹配的记录,VPC 解析器会将 NXDOMAIN(不存在的域)返回给客户端。

私有托管区域和 Route 53 VPC 解析器规则

如果您有一个私有托管区域 (example.com) 和一个 VPC 解析器规则,用于将流量路由到您的网络,则优先使用 VPC 解析器规则。

例如,假设您有以下配置:

  • 您有一个名为 example.com 的私有托管区域,并将其与 VPC 关联。

  • 您创建了一条 Route 53 VPC 解析器规则,该规则将 example.com 的流量转发到您的网络,然后将该规则与同一 VPC 相关联。

在此配置中,VPC 解析器规则优先于私有托管区域。DNS 查询将转发到您的网络,而不是根据私有托管区域中的记录进行解析。

委派子域的责任

您现在可在私有托管区中创建 NS 记录来委托子域的责任。有关更多信息,请参阅 解析程序委托规则教程

自定义 DNS 服务器

如果您在 VPC 中的亚马逊 EC2 实例上配置了自定义 DNS 服务器,则必须将这些 DNS 服务器配置为将您的私有 DNS 查询路由到亚马逊为您的 VPC 提供的 DNS 服务器的 IP 地址。此 IP 地址是 VPC 网络范围的基础上“+2”。例如,如果您的 VPC 的 CIDR 范围为 10.0.0.0/16,则 DNS 服务器的 IP 地址为 10.0.0.2。

如果您想在 VPCs 和您的网络之间路由 DNS 查询,可以使用 VPC 解析器。有关更多信息,请参阅 什么是 Route 53 VPC 解析器?

所需的 IAM 权限

要创建私有托管区域,除了授予 Route 53 EC2 操作的权限外,您还需要授予 Amazon 操作的 IAM 权限。有关更多信息,请参阅《服务授权参考》中的 Route 53 的操作、资源和条件键