Route 53 Resolver 的可用性和扩展

Amazon Route 53 Resolver在 Amazon VPC CIDR + 2 地址和 fd00: ec2:: 253 上运行，默认情况下全部可用，它会递归响应公共记录 VPCs、亚马逊 VPC 特定的 DNS 名称和 Route 53 私有托管区域的 DNS 查询。Route 53 Resolver 由两个对用户透明的高可用性组件组成：Nitro Resolver 服务和 Zonal Resolver 实例集。Nitro Resolver 服务运行在 Nitro 实例上的 Nitro 卡以及老一代实例中的 Dom0 中，并通过主机服务器在本地使用发往 Route 53 Resolver 的数据包。有关更多信息，请参阅 Amazon Nitro 系统的安全设计。

Nitro Resolver 服务带有本地缓存，这有助于通过响应实例在短时间内发出的重复查询来减小延迟。当 Nitro Resolver 服务收到一个没有缓存答案的查询时，它会将查询转发给 Zonal Resolver 实例集，这是一个高度可用的解析程序实例集，通常与此实例位于同一个可用区。当路径中的上游名称服务器或其他组件在处理查询时出现故障时，Nitro Resolver 服务通常可以透明地处理这些故障，而不会影响实例上运行的工作负载。此外，如果解析器遇到来自域名服务器的查询超时、连接被拒绝或 SERVFAILS，它可能会使用超出 Time-To-Live (TTL) 值的缓存答案进行响应，以提高可用性。Nitro Resolver 服务和 Zonal Resolver 实例集之间的查询仅限于客户 VPC 之外的严格控制网络，客户无法访问该网络，并且网络受到严格的安全控制。通过在 VPC 外部处理 Nitro Resolver 服务与 Zonal Resolver 实例集之间的查询，可以防止客户拦截其 VPC 内部的 DNS 查询。发往外部域名服务器的查询 Amazon 将通过公共互联网，源自属于区域解析器队列的公有 IP 地址。我们目前不支持 edns0-Client 子网属性，这意味着发往公有 DNS 名称服务器的所有查询都不包含有关源客户 IP 地址的信息。

Nitro Resolver 服务是实例上的链接本地服务的一部分。链接本地服务包括 Route 53 Resolver、Amazon Time Service (NTP)、实例元数据服务 (IMDS) 和 Windows 许可服务（适用于 Windows 实例）。这些服务随着您在 VPC 中创建的每个弹性网络接口而扩展，每个网络接口允许每秒发送 1024 个数据包 (PPS) 到链接本地服务。超过此限制的数据包将被拒收。您可以根据 ethtool 返回的 linklocal_allowance_exceeded 值确定是否已超过此限制。有关 ethtool 的更多信息，请参阅亚马逊 EC2 用户指南中的监控您的亚马逊 EC2 实例的网络性能。 CloudWatch代理也可以将此 CloudWatch 指标报告给指标。由于 Route 53 Resolver 是按网络接口实现的，因此当您在更多可用区中添加更多实例时，它会随之扩展并且变得更加可靠。每个 VPC 的查询数量没有总额限制，因此 Route 53 Resolver 可以在 VPC 的范围内进行扩展，这本质上取决于网络地址使用情况 (NAU)。有关更多信息，请参阅《Amazon Virtual Private Cloud 用户指南》中的您的 VPC 的网络地址使用情况。

下图概述了 Route 53 Resolver 如何解析可用区内的 DNS 查询。