使用私有托管区域 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用私有托管区域

私有托管区域就是一个容器,其中包含的信息说明您希望 Amazon Route 53 如何响应您使用 Amazon VPC 服务创建的一个或多个 VPC 中的某个域及其子域的 DNS 查询。下面是私有托管区域的工作原理:

  1. 先创建私有托管区(例如 example.com),并指定要与该托管区关联的 VPC。创建托管区后,您可以将更多 VPC 与其关联。

  2. 您在托管区域中创建记录,用于确定 Route 53 如何响应您的 VPC 中的域及子域的 DNS 查询。例如,假设您有一个数据库服务器,该服务器在与私有托管区关联的 VPC 中的 EC2 实例上运行。您创建 A 或 AAAA 记录(如 db.example.com),并指定数据库服务器的 IP 地址。

    有关记录的更多信息,请参阅 使用记录。有关使用私有托管区域的 Amazon VPC 要求的信息,请参阅 Amazon VPC 用户指南中的使用私有托管区域

  3. 当应用程序提交 db.example.com 的 DNS 查询时,Route 53 会返回相应的 IP 地址。要从私有托管区获取答案,您还需在其中一个关联的 VPC 中运行 EC2 实例(或者具有来自混合设置的入站端点)。如果您尝试从 VPC 或混合设置外部查询私有托管区,则该查询将在互联网上递归解析。

  4. 应用程序使用从 Route 53 获得的 IP 地址与数据库服务器建立连接。

创建私有托管区时,将使用以下名称服务器:

  • ns-0.awsdns-00.com

  • ns-512.awsdns-00.net

  • ns-1024.awsdns-00.org

  • ns-1536.awsdns-00.co.uk

使用这些名称服务器是因为 DNS 协议要求每个托管区都必须具有 NS 记录集。这些名称服务器属于保留的服务器,Route 53 公有托管区不得使用。您只能使用连接到私有托管区中指定 VPC 的入站端点,通过已与托管区关联的 VPC 中的 Route 53 Resolver 查询这些区域。

尽管名称服务器在互联网上可见,但 Route 53 Resolver 不会连接到名称服务器地址。此外,如果您通过互联网直接查询名称服务器,不会返回私有托管区信息。相反,Route 53 Resolver 会根据 VPC 与托管区的关联检测到查询位于私有命名空间内,然后使用直接的私有连接访问私有 DNS 服务器。

注意

如果需要,您可以更改私有托管区中的 NS 记录集,私有 DNS 解析仍然有效。我们不建议这种做法,但如果您选择这样做,则应使用公有 DNS 服务器不使用的预留域名。

如果希望路由您的域的互联网流量,可使用 Route 53 公有托管区域。有关更多信息,请参阅使用公有托管区域

主题