使用私有托管区域的注意事项 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用私有托管区域的注意事项

使用私有托管区域时请注意以下事项:

Amazon VPC 设置

要使用私有托管区域,您必须将以下 Amazon VPC 设置设为 true

  • enableDnsHostnames

  • enableDnsSupport

有关更多信息,请参阅 Amazon VPC 用户指南中的查看和更新您的 VPC 的 DNS 属性

Route 53 运行状况检查

在私有托管区域中,您只能将 Route 53 运行状况检查与故障转移、多值答案、加权、延迟、地理位置和地理位置记录相关联。有关将运行状况检查与故障转移记录关联的信息,请参阅在私有托管区域中配置故障转移

私有托管区域中的记录支持的路由策略

在私有托管区域中创建记录时,可以使用以下路由策略:

不支持使用其他路由策略在私有托管区域中创建记录。

拆分视图 DNS

可以使用 Route 53 来配置分割视图 DNS,又称作水平分割 DNS。在拆分视图 DNS 中,内部使用的域名 (accounting.example.com) 和外部使用的域名(例如,公共网站 (www.example.com))相同 (example.com)。您可能还希望在内部和外部使用相同的子域名,但是为内部和外部用户提供不同的内容或要求不同的身份验证。

要配置拆分视图 DNS,请执行以下步骤:

  1. 创建具有相同名称的公共和私有托管区域。(如果您在公共托管区域中使用其他 DNS 服务,则拆分视图 DNS 仍然可以使用。)

  2. 将一个或多个 Amazon VPCs 与私有托管区域关联。Route 53 Resolver 使用私有托管区域在指定 VPCs区域中路由 DNS 查询。

  3. 在每个托管区域中创建记录。公共托管区域中的记录控制互联网流量的路由方式,私有托管区域中的记录控制流量在您的 Amazon 中的路由方式。 VPCs

如果需要同时为您的 VPC 和本地工作负载执行名称解析,您可以使用 Route 53 Resolver。有关更多信息,请参阅 什么是 Amazon Route 53 Resolver?

具有重叠命名空间的公有和私有托管区域

如果您的私有和公有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则 Resolver 会根据最具体的匹配来路由流量。当用户登录到与私有托管区域关联的 Amazon VPC 中的 EC2 实例时,Route 53 Resolver 处理域名查询的方式如下:

  1. Resolver 会评估私有托管区域的名称是否与请求中的域名(如 accounting.example.com)匹配。以下任一形式均可定义为匹配:

    • 相同匹配

    • 私有托管区域的名称是请求中域名的父级。例如,假设请求中的域名如下:

      seattle.accounting.example.com

      以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父级:

      • accounting.example.com

      • example.com

    如果没有匹配的私有托管区域,Resolver 会将请求转发给公有 DNS 解析程序,您的请求将被解析为常规的 DNS 查询。

  2. 如果存在与请求中的域名匹配的私有托管区域名称,则会在该托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,如 accounting.example.com 的 A 记录。

    注意

    如果存在匹配的私有托管区域,但没有与请求中的域名和类型匹配的记录,则 Resolver 不会将请求转发至公有 DNS 解析程序。而是将 NXDOMAIN (不存在的域) 返回给客户端。

具有重叠命名空间的私有托管区域

如果您的两个或多个私有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,则 Resolver 会根据最具体的匹配来路由流量。

注意

如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Route 53 Resolver 规则,则 Resolver 规则优先。请参阅 Private hosted zones and Route 53 Resolver rules

当用户登录到您已与所有私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 Resolver 处理 DNS 查询的方式:

  1. Resolver 会评估请求中的域名(如 accounting.example.com)是否与其中一个私有托管区域的名称匹配。

  2. 如果不存在与请求中域名完全匹配的托管区域,Resolver 会检查请求中域名的父域名称所对应的托管区域。例如,假设请求中的域名如下:

    seattle.accounting.example.com

    以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父项:

    • accounting.example.com

    • example.com

    Resolver 选择 accounting.example.com,因为它比 example.com 更具体。

  3. Resolver 在 accounting.example.com 托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,例如 seattle.accounting.example.com 的 A 记录。

    如果不存在与请求中的域名和类型匹配的记录,则 Resolver 会将 NXDOMAIN(不存在的域)返回给客户端。

私有托管区域和 Route 53 Resolver 规则

如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Resolver 规则,则 Resolver 规则优先。

例如,假设您有以下配置:

  • 您有一个名为 example.com 的私有托管区域,并将其与 VPC 关联。

  • 您可以创建一个将 example.com 的流量转发到您的网络的 Route 53 Resolver 规则,并将该规则与同一 VPC 关联。

在此配置中,Resolver 规则优先于私有托管区域。DNS 查询将转发到您的网络,而不是根据私有托管区域中的记录进行解析。

委派子域的责任

您不能在私有托管区域中创建 NS 记录来委派子域的责任。

自定义 DNS 服务器

如果您在 VPC 中的亚马逊 EC2 实例上配置了自定义 DNS 服务器,则必须将这些 DNS 服务器配置为将您的私有 DNS 查询路由到亚马逊为您的 VPC 提供的 DNS 服务器的 IP 地址。此 IP 地址是 VPC 网络范围的基础上“+2”。例如,如果您的 VPC 的 CIDR 范围为 10.0.0.0/16,则 DNS 服务器的 IP 地址为 10.0.0.2。

如果你想在 VPCs 和你的网络之间路由 DNS 查询,你可以使用 Resolver。有关更多信息,请参阅 什么是 Amazon Route 53 Resolver?

所需的 IAM 权限

要创建私有托管区域,除了授予 Route 53 EC2 操作的权限外,您还需要授予 Amazon 操作的 IAM 权限。有关更多信息,请参阅《服务授权参考》中的 Route 53 的操作、资源和条件键