使用私有托管区域的注意事项
使用私有托管区域时请注意以下事项:
- Amazon VPC 设置
要使用私有托管区域,您必须将以下 Amazon VPC 设置设为
true:enableDnsHostnamesenableDnsSupport
有关更多信息,请参阅 Amazon VPC 用户指南中的更新 VPC 的 DNS 支持。
- Route 53 运行状况检查
在私有托管区域中,只能将 Route 53 运行状况检查与故障转移、多值应答和加权记录相关联。有关将运行状况检查与故障转移记录关联的信息,请参阅在私有托管区域中配置故障转移。
- 私有托管区域中的记录支持的路由策略
在私有托管区域中创建记录时,可以使用以下路由策略:
不支持使用其他路由策略在私有托管区域中创建记录。
- 拆分视图 DNS
可以使用 Route 53 来配置分割视图 DNS,又称作水平分割 DNS。在拆分视图 DNS 中,内部使用的域名 (accounting.example.com) 和外部使用的域名(例如,公共网站 (www.example.com))相同 (example.com)。您可能还希望在内部和外部使用相同的子域名,但是为内部和外部用户提供不同的内容或要求不同的身份验证。
要配置拆分视图 DNS,请执行以下步骤:
创建具有相同名称的公共和私有托管区域。(如果您在公共托管区域中使用其他 DNS 服务,则拆分视图 DNS 仍然可以使用。)
将一个或多个 Amazon VPC 与私有托管区域关联。Route 53 Resolver 使用私有托管区域在指定的 VPC 中路由 DNS 查询。
在每个托管区域中创建记录。公有托管区域中的记录控制如何路由互联网流量,而私有托管区域中的记录控制如何在您的 Amazon VPC 中路由流量。
如果需要同时为您的 VPC 和本地工作负载执行名称解析,您可以使用 Route 53 Resolver。有关更多信息,请参阅解析 VPC 与您的网络之间的 DNS 查询。
- 具有重叠命名空间的公有和私有托管区域
如果您的私有和公有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则 Resolver 会根据最具体的匹配来路由流量。当用户登录到与私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 Route 53 Resolver 处理 DNS 查询的方式:
-
Resolver 会评估私有托管区域的名称是否与请求中的域名(如 accounting.example.com)匹配。以下任一形式均可定义为匹配:
相同匹配
私有托管区域的名称是请求中域名的父级。例如,假设请求中的域名如下:
seattle.accounting.example.com
以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父级:
accounting.example.com
example.com
如果没有匹配的私有托管区域,Resolver 会将请求转发给公有 DNS 解析程序,您的请求将被解析为常规的 DNS 查询。
如果存在与请求中的域名匹配的私有托管区域名称,则会在该托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,如 accounting.example.com 的 A 记录。
注意 如果存在匹配的私有托管区域,但没有与请求中的域名和类型匹配的记录,则 Resolver 不会将请求转发至公有 DNS 解析程序。而是将 NXDOMAIN (不存在的域) 返回给客户端。
-
- 具有重叠命名空间的私有托管区域
如果您的两个或多个私有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则 Resolver 会根据最具体的匹配来路由流量。
注意 如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Route 53 Resolver 规则,则 Resolver 规则优先。请参阅Private hosted zones and Route 53 Resolver rules。
当用户登录到与所有私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 Resolver 处理 DNS 查询的方式:
Resolver 会评估请求中的域名(如 accounting.example.com)是否与其中一个私有托管区域的名称匹配。
如果不存在与请求中域名完全匹配的托管区域,Resolver 会检查请求中域名的父域名称所对应的托管区域。例如,假设请求中的域名如下:
seattle.accounting.example.com以下托管区域匹配,因为它们是
seattle.accounting.example.com的父项:accounting.example.comexample.com
Resolver 选择
accounting.example.com,因为它比example.com更具体。Resolver 在
accounting.example.com托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,例如seattle.accounting.example.com的 A 记录。如果不存在与请求中的域名和类型匹配的记录,则 Resolver 会将 NXDOMAIN(不存在的域)返回给客户端。
- 私有托管区域和 Route 53 Resolver 规则
如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Resolver 规则,则 Resolver 规则优先。
例如,假设您有以下配置:
您有一个名为 example.com 的私有托管区域,并将其与 VPC 关联。
您可以创建一个将 example.com 的流量转发到您的网络的 Route 53 Resolver 规则,并将该规则与同一 VPC 关联。
在此配置中,Resolver 规则优先于私有托管区域。DNS 查询将转发到您的网络,而不是根据私有托管区域中的记录进行解析。
- 委派子域的责任
您不能在私有托管区域中创建 NS 记录来委派子域的责任。
- 自定义 DNS 服务器
-
如果您已在 VPC 中的 Amazon EC2 实例上配置自定义 DNS 服务器,则必须对这些 DNS 服务器进行配置,将您的私有 DNS 查询路由到 Amazon 为您的 VPC 提供的 DNS 服务器的 IP 地址。此 IP 地址是 VPC 网络范围的基础上“+2”。例如,如果您的 VPC 的 CIDR 范围为 10.0.0.0/16,则 DNS 服务器的 IP 地址为 10.0.0.2。
如果要在 VPC 和网络之间路由 DNS 查询,可以使用 Resolver。有关更多信息,请参阅解析 VPC 与您的网络之间的 DNS 查询。
- 所需的 IAM 权限
要创建私有托管区域,您除了需要授予 Route 53 操作权限外,还需要授予 Amazon EC2 操作的 IAM 权限。有关更多信息,请参阅对私有托管区域执行操作所需的权限。