本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用私有托管区域的注意事项
使用私有托管区域时请注意以下事项:
- Amazon VPC 设置
-
要使用私有托管区域,您必须将以下 Amazon VPC 设置设为
true
:-
enableDnsHostnames
-
enableDnsSupport
有关更多信息,请参阅 https://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/vpc-dns.html#vpc-dns-updating 中的更新对 VPC 的 DNS 支持Amazon VPC 用户指南。
-
- Route 53运行状况检查
-
在私有托管区域中,只能将 Route 53 运行状况检查与故障转移、多值应答和加权记录相关联。有关将运行状况检查与故障转移记录关联的信息,请参阅在私有托管区域中配置故障转移。
- 私有托管区域中的记录支持的路由策略
-
在私有托管区域中创建记录时,可以使用以下路由策略:
不支持使用其他路由策略在私有托管区域中创建记录。
- 拆分视图 DNS
-
可以使用 Route 53 来配置分割视图 DNS,又称作水平分割 DNS。在拆分视图 DNS 中,内部使用的域名 (accounting.example.com) 和外部使用的域名(例如,公共网站 (www.example.com))相同 (example.com)。您可能还希望在内部和外部使用相同的子域名,但是为内部和外部用户提供不同的内容或要求不同的身份验证。
要配置拆分视图 DNS,请执行以下步骤:
-
创建具有相同名称的公共和私有托管区域。(如果您在公共托管区域中使用其他 DNS 服务,则拆分视图 DNS 仍然可以使用。)
-
将一个或多个 Amazon VPCs 与私有托管区域关联。Route 53 解析程序 使用私有托管区域来路由指定 VPCs 中的 DNS 查询。
-
在每个托管区域中创建记录。公有托管区域中的记录控制如何路由 Internet 流量,私有托管区域中的记录控制如何在 Amazon VPCs 中路由流量。
如果需要同时为您的 VPC 和本地工作负载执行名称解析,您可以使用 Route 53 解析程序。有关更多信息,请参阅解析 VPCs 和您的网络之间的 DNS 查询。
-
- 具有重叠命名空间的公有和私有托管区域
-
如果您的私有和公有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则 解析程序 会根据最具体的匹配来路由流量。当用户登录到与私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 Route 53 解析程序 处理 DNS 查询的方式:
-
解析程序 会评估私有托管区域的名称是否与请求中的域名(如 accounting.example.com)匹配。以下任一形式均可定义为匹配:
-
相同匹配
-
私有托管区域的名称是请求中域名的父级。例如,假设请求中的域名如下:
seattle.accounting.example.com
以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父级:
-
accounting.example.com
-
example.com
-
如果没有匹配的私有托管区域,解析程序 会将请求转发给公有 DNS 解析程序,您的请求将被解析为常规的 DNS 查询。
-
-
如果存在与请求中的域名匹配的私有托管区域名称,则会在该托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,如 accounting.example.com 的 A 记录。
注意 如果存在匹配的私有托管区域,但没有与请求中的域名和类型匹配的记录,则 解析程序 不会将请求转发至公有 DNS 解析程序。而是将 NXDOMAIN (不存在的域) 返回给客户端。
-
- 具有重叠命名空间的私有托管区域
-
如果您的两个或多个私有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则 解析程序 会根据最具体的匹配来路由流量。
注意 如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Route 53 解析程序 规则,则 解析程序 规则优先。请参阅Private hosted zones and Route 53 解析程序 rules。
当用户登录到与所有私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 解析程序 处理 DNS 查询的方式:
-
解析程序 会评估请求中的域名(如 accounting.example.com)是否与其中一个私有托管区域的名称匹配。
-
如果不存在与请求中域名完全匹配的托管区域,解析程序 会检查请求中域名的父域名称所对应的托管区域。例如,假设请求中的域名如下:
seattle.accounting.example.com
以下托管区域匹配,因为它们是
seattle.accounting.example.com
的父项:-
accounting.example.com
-
example.com
解析程序 选择
accounting.example.com
,因为它比example.com
更具体。 -
-
解析程序 在
accounting.example.com
托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,例如seattle.accounting.example.com
的 A 记录。如果不存在与请求中的域名和类型匹配的记录,则 解析程序 会将 NXDOMAIN(不存在的域)返回给客户端。
-
- 私有托管区域和 Route 53 解析程序 规则
-
如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 解析程序 规则,则 解析程序 规则优先。
例如,假设您有以下配置:
-
您有一个名为 example.com 的私有托管区域,并将其与 VPC 关联。
-
您可以创建一个将 example.com 的流量转发到您的网络的 Route 53 解析程序 规则,并将该规则与同一 VPC 关联。
在此配置中,解析程序 规则优先于私有托管区域。DNS 查询将转发到您的网络,而不是根据私有托管区域中的记录进行解析。
-
- 委派子域的责任
-
您不能在私有托管区域中创建 NS 记录来委派子域的责任。
- 自定义 DNS 服务器
-
如果您已在 VPC 中的 Amazon EC2 实例上配置自定义 DNS 服务器,则必须对这些 DNS 服务器进行配置,将您的私有 DNS 查询路由到 Amazon 为您的 VPC 提供的 DNS 服务器的 IP 地址。此 IP 地址是 VPC 网络范围的基础上“+2”。例如,如果您的 VPC 的 CIDR 范围为 10.0.0.0/16,则 DNS 服务器的 IP 地址为 10.0.0.2。
如果要在 VPCs 和您的网络之间路由 DNS 查询,您可以使用 解析程序。有关更多信息,请参阅解析 VPCs 和您的网络之间的 DNS 查询。
- 所需的 IAM 权限
-
要创建私有托管区域,您除了需要授予 Route 53 操作权限外,还需要授予 Amazon EC2 操作的 IAM 权限。有关更多信息,请参阅对私有托管区域执行操作所需的权限。