使用私有托管区域的注意事项 - Amazon Route 53
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用私有托管区域的注意事项

使用私有托管区域时请注意以下事项:

Amazon VPC 设置

要使用私有托管区域,您必须将以下 Amazon VPC 设置设为 true

  • enableDnsHostnames

  • enableDnsSupport

有关更多信息,请参阅 https://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/vpc-dns.html#vpc-dns-updating 中的更新对 VPC 的 DNS 支持Amazon VPC 用户指南。

Route 53运行状况检查

在私有托管区域中,只能将 Route 53 运行状况检查与故障转移、多值应答和加权记录相关联。有关将运行状况检查与故障转移记录关联的信息,请参阅在私有托管区域中配置故障转移

私有托管区域中的记录支持的路由策略

在私有托管区域中创建记录时,可以使用以下路由策略:

不支持使用其他路由策略在私有托管区域中创建记录。

拆分视图 DNS

可以使用 Route 53 来配置分割视图 DNS,又称作水平分割 DNS。在拆分视图 DNS 中,内部使用的域名 (accounting.example.com) 和外部使用的域名(例如,公共网站 (www.example.com))相同 (example.com)。您可能还希望在内部和外部使用相同的子域名,但是为内部和外部用户提供不同的内容或要求不同的身份验证。

要配置拆分视图 DNS,请执行以下步骤:

  1. 创建具有相同名称的公共和私有托管区域。(如果您在公共托管区域中使用其他 DNS 服务,则拆分视图 DNS 仍然可以使用。)

  2. 将一个或多个 Amazon VPCs 与私有托管区域关联。Route 53 解析程序 使用私有托管区域来路由指定 VPCs 中的 DNS 查询。

  3. 在每个托管区域中创建记录。公有托管区域中的记录控制如何路由 Internet 流量,私有托管区域中的记录控制如何在 Amazon VPCs 中路由流量。

如果需要同时为您的 VPC 和本地工作负载执行名称解析,您可以使用 Route 53 解析程序。有关更多信息,请参阅解析 VPCs 和您的网络之间的 DNS 查询

具有重叠命名空间的公有和私有托管区域

如果您的私有和公有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则 解析程序 会根据最具体的匹配来路由流量。当用户登录到与私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 Route 53 解析程序 处理 DNS 查询的方式:

  1. 解析程序 会评估私有托管区域的名称是否与请求中的域名(如 accounting.example.com)匹配。以下任一形式均可定义为匹配:

    • 相同匹配

    • 私有托管区域的名称是请求中域名的父级。例如,假设请求中的域名如下:

      seattle.accounting.example.com

      以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父级:

      • accounting.example.com

      • example.com

    如果没有匹配的私有托管区域,解析程序 会将请求转发给公有 DNS 解析程序,您的请求将被解析为常规的 DNS 查询。

  2. 如果存在与请求中的域名匹配的私有托管区域名称,则会在该托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,如 accounting.example.com 的 A 记录。

    注意

    如果存在匹配的私有托管区域,但没有与请求中的域名和类型匹配的记录,则 解析程序 不会将请求转发至公有 DNS 解析程序。而是将 NXDOMAIN (不存在的域) 返回给客户端。

具有重叠命名空间的私有托管区域

如果您的两个或多个私有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则 解析程序 会根据最具体的匹配来路由流量。

注意

如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Route 53 解析程序 规则,则 解析程序 规则优先。请参阅Private hosted zones and Route 53 解析程序 rules

当用户登录到与所有私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 解析程序 处理 DNS 查询的方式:

  1. 解析程序 会评估请求中的域名(如 accounting.example.com)是否与其中一个私有托管区域的名称匹配。

  2. 如果不存在与请求中域名完全匹配的托管区域,解析程序 会检查请求中域名的父域名称所对应的托管区域。例如,假设请求中的域名如下:

    seattle.accounting.example.com

    以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父项:

    • accounting.example.com

    • example.com

    解析程序 选择 accounting.example.com,因为它比 example.com 更具体。

  3. 解析程序 在 accounting.example.com 托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,例如 seattle.accounting.example.com 的 A 记录。

    如果不存在与请求中的域名和类型匹配的记录,则 解析程序 会将 NXDOMAIN(不存在的域)返回给客户端。

私有托管区域和 Route 53 解析程序 规则

如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 解析程序 规则,则 解析程序 规则优先。

例如,假设您有以下配置:

  • 您有一个名为 example.com 的私有托管区域,并将其与 VPC 关联。

  • 您可以创建一个将 example.com 的流量转发到您的网络的 Route 53 解析程序 规则,并将该规则与同一 VPC 关联。

在此配置中,解析程序 规则优先于私有托管区域。DNS 查询将转发到您的网络,而不是根据私有托管区域中的记录进行解析。

委派子域的责任

您不能在私有托管区域中创建 NS 记录来委派子域的责任。

自定义 DNS 服务器

如果您已在 VPC 中的 Amazon EC2 实例上配置自定义 DNS 服务器,则必须对这些 DNS 服务器进行配置,将您的私有 DNS 查询路由到 Amazon 为您的 VPC 提供的 DNS 服务器的 IP 地址。此 IP 地址是 VPC 网络范围的基础上“+2”。例如,如果您的 VPC 的 CIDR 范围为 10.0.0.0/16,则 DNS 服务器的 IP 地址为 10.0.0.2。

如果要在 VPCs 和您的网络之间路由 DNS 查询,您可以使用 解析程序。有关更多信息,请参阅解析 VPCs 和您的网络之间的 DNS 查询

所需的 IAM 权限

要创建私有托管区域,您除了需要授予 Route 53 操作权限外,还需要授予 Amazon EC2 操作的 IAM 权限。有关更多信息,请参阅对私有托管区域执行操作所需的权限