使用私有托管区域的注意事项 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用私有托管区域的注意事项

使用私有托管区域时请注意以下事项:

Amazon VPC 设置

要使用私有托管区域,您必须将以下 Amazon VPC 设置设为true

  • enableDnsHostnames

  • enableDnsSupport

有关更多信息,请参阅 。更新针对 VPC 的 DNS 支持中的Amazon VPC User Guide.

Route 53 运行状况检查

在私有托管区域中,只能将 Route 53 运行状况检查与故障转移、多值应答和加权记录相关联。有关将运行状况检查与故障转移记录关联的信息,请参阅在私有托管区域中配置故障转移

私有托管区域中的记录支持的路由策略

在私有托管区域中创建记录时,可以使用以下路由策略:

不支持使用其他路由策略在私有托管区域中创建记录。

拆分视图 DNS

可以使用 Route 53 来配置分割视图 DNS,又称作水平分割 DNS。在拆分视图 DNS 中,内部使用的域名 (accounting.example.com) 和外部使用的域名(例如,公共网站 (www.example.com))相同 (example.com)。您可能还希望在内部和外部使用相同的子域名,但是为内部和外部用户提供不同的内容或要求不同的身份验证。

要配置拆分视图 DNS,请执行以下步骤:

  1. 创建具有相同名称的公共和私有托管区域。(如果您在公共托管区域中使用其他 DNS 服务,则拆分视图 DNS 仍然可以使用。)

  2. 将一个或多个 Amazon VPC 与私有托管区域关联。Route 53 解析程序使用私有托管区域在指定的 VPC 中路由 DNS 查询。

  3. 在每个托管区域中创建记录。公有托管区域中的记录控制如何路由互联网流量,而私有托管区域中的记录控制如何在您的 Amazon VPC 中路由流量。

如果您需要执行 VPC 和本地工作负载的名称解析,可以使用 Route 53 解析程序。有关更多信息,请参阅 解析 VPC 与您的网络之间的 DNS 查询

具有重叠命名空间的公有和私有托管区域

如果您的私有和公有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则解析程序会根据最具体的匹配来路由流量。当用户登录到与私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 Route 53 解析程序处理 DNS 查询的方式:

  1. 解析程序会评估私有托管区域的名称是否与请求中的域名 (如 accounting.example.com) 匹配。以下任一形式均可定义为匹配:

    • 相同匹配

    • 私有托管区域的名称是请求中域名的父级。例如,假设请求中的域名如下:

      seattle.accounting.example.com

      以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父级:

      • accounting.example.com

      • example.com

    如果没有匹配的私有托管区域,则解析程序会将请求转发给公有 DNS 解析程序,您的请求将被解析为常规的 DNS 查询。

  2. 如果存在与请求中的域名匹配的私有托管区域名称,则会在该托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,如 accounting.example.com 的 A 记录。

    注意

    如果存在匹配的私有托管区域,但没有与请求中的域名和类型匹配的记录,则解析程序不会将请求转发至公有 DNS 解析程序,而是将 NXDOMAIN (不存在的域) 返回给客户端。

具有重叠命名空间的私有托管区域

如果您的两个或多个私有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则解析程序会根据最具体的匹配来路由流量。

注意

如果您的私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Route 53 解析程序规则优先。请参阅 Private hosted zones and Route 53 Resolver rules

当用户登录到与所有私有托管区域关联的 Amazon VPC 中的 EC2 实例时,将按如下方式处理 DNS 查询:

  1. 解析程序会评估请求中的域名(如 accounting.example.com)是否与其中一个私有托管区域的名称匹配。

  2. 如果不存在与请求中域名完全匹配的托管区域,则解析程序会检查请求中域名的父域名称所对应的托管区域。例如,假设请求中的域名如下:

    seattle.accounting.example.com

    以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父项:

    • accounting.example.com

    • example.com

    解析程序选择accounting.example.com因为它比example.com.

  3. 解析程序搜索accounting.example.com托管区域,以便与请求中的域名和 DNS 类型匹配的记录,例如seattle.accounting.example.com.

    如果不存在与请求中的域名和类型匹配的记录,则解析程序会将 NXDOMAIN(不存在的域)返回给客户端。

私有托管区域和 Route 53 解析程序规则

如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的解析程序规则,则处理程序规则优先。

例如,假设您有以下配置:

  • 您有一个名为 example.com 的私有托管区域,并将其与 VPC 关联。

  • 您创建一个 Route 53 解析程序规则,将 example.com 的流量转发到您的网络,并将该规则与同一 VPC 关联。

在此配置中,解析程序规则优先于私有托管区域。DNS 查询将转发到您的网络,而不是根据私有托管区域中的记录进行解析。

委派子域的责任

您不能在私有托管区域中创建 NS 记录来委派子域的责任。

自定义 DNS 服务器

如果您已在 VPC 中的 Amazon EC2 实例上配置自定义 DNS 服务器,则必须对这些 DNS 服务器进行配置,将您的私有 DNS 查询路由到 Amazon 为您的 VPC 提供的 DNS 服务器的 IP 地址。此 IP 地址是 VPC 网络范围的基础上“+2”。例如,如果您的 VPC 的 CIDR 范围为 10.0.0.0/16,则 DNS 服务器的 IP 地址为 10.0.0.2。

如果要在 VPC 和网络之间路由 DNS 查询,可以使用解析程序。有关更多信息,请参阅 解析 VPC 与您的网络之间的 DNS 查询

所需的 IAM 权限

要创建私有托管区域,您除了需要授予 Route 53 操作权限外,还需要授予 Amazon EC2 操作的 IAM 权限。有关更多信息,请参阅 对私有托管区域执行操作所需的权限