本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理VPC终端节点服务的DNS名称
服务提供商可以为其终端节点服务配置私有DNS名称。当服务提供商使用现有公用DNS名称作为其终端节点服务的私有DNS名称时,服务使用者无需更改任何使用现有公用DNS名称的应用程序。在为终端节点服务配置私有DNS名称之前,必须通过执行域所有权验证检查来证明您拥有该域。
注意事项
-
一个终端节点服务只能有一个私有DNS名称。
-
当使用者创建接口终端节点以连接到您的服务时,我们会创建一个私有托管区域并将其与服务使用者关联VPC。我们在私有托管区域中创建了一条记录,该记录将终端节点服务的私有DNS名称映射到与终端节点服务关联的负载均衡器的DNS名称。这允许服务使用者中的服务器VPC解析私有DNS名称。
-
您不得在公共托管区域中为私有DNS名称创建 A 记录。这样做将允许服务使用者之外的服务器VPC解析端点服务的私有DNS名称。
-
Gateway Load Balancer 终端节点不支持私有DNS名称。
-
要验证域名,您必须拥有公共主机名或公共提供DNS商。
-
您可以验证子域的域。例如,您可以验证 example.com,而不是 a.example.com。每个DNS标签最多可包含 63 个字符,整个域名的总长度不得超过 255 个字符。
如果添加其他子域,则必须验证子域或域。例如,假设您有 .example.com 并验证了 example.com。现在,您可以将 b.example.com 添加为私人名称。DNS在服务使用者可以使用该名称之前,您必须验证 example.com 或 b.example.com。
域所有权验证
您的域名与您通过DNS提供商管理的一组域名服务 (DNS) 记录相关联。TXTDNS记录是一种提供有关您的域名的额外信息的记录。其中包含一个名称和一个值。作为验证过程的一部分,您必须在DNS服务器上为您的公共领域添加一条TXT记录。
当我们在您的域名DNS设置中检测到TXT记录存在时,域名所有权验证即告完成。
添加记录后,您可以使用 Amazon VPC 控制台查看域名验证流程的状态。在导航窗格中,选择 Endpoint services(端点服务)。选择端点服务,并在 Details(详细信息)选项卡中检查 Domain verification status(域验证状态)的值。如果域验证正在等待处理,请等待几分钟,然后刷新屏幕。如果需要,您可以手动启动验证过程。选择操作,验证私有DNS名称的域名所有权。
验证状态后,私有DNS名称可供服务使用者使用。如果验证状态发生变化,新的连接请求将被拒绝,但现有连接不会受到影响。
如果验证状态为 failed(失败),请参阅 解决域验证问题。
获取名称和值
我们为您提供您在TXT记录中使用的名称和值。例如,在 Amazon Web Services Management Console中提供信息。选择端点服务,并在端点服务的 Details(详细信息)选项卡中查看 Domain verification name(域验证名称)和 Domain verification value(域验证值)。您还可以使用以下 describe-vpc-endpoint-service-configur ation Amazon CLI s命令检索有关指定终端节点服务的私有DNS名称配置的信息。
aws ec2 describe-vpc-endpoint-service-configurations \ --service-ids
vpce-svc-071afff70666e61e0
\ --query ServiceConfigurations[*].PrivateDnsNameConfiguration
下面是示例输出。当你创建TXT记录Name
时,你将使用Value
和。
[ { "State": "pendingVerification", "Type": "TXT", "Value": "vpce:l6p0ERxlTt45jevFwOCp", "Name": "_6e86v84tqgqubxbwii1m" } ]
例如,假设您的域名是 example.com,并且 Value
和 Name
如前面的示例输出所示。下表是TXT记录设置的示例。
名称 | Type | 值 |
---|---|---|
_6e86v84tqgqubxbwii1m.example.com |
TXT |
vpce: l6p0 ERxlTt45jevFwOCp |
建议您使用 Name
作为记录子域,因为基本域名可能已在使用中。但是,如果您的DNS提供商不允许DNS记录名称包含下划线,则可以省略 “_6e86v84tqqqubxbwii1m”,只需在记录中使用 “example.com” 即可。TXT
在我们验证“_6e86v84tqgqubxbwii1m.example.com”之后,服务使用者可使用“example.com”或子域(例如“service.example.com”或“my.service.example.com”)。
向你的域名的DNS服务器添加TXT一条记录
向域名DNS服务器添加TXT记录的过程取决于谁提供您的DNS服务。您的DNS提供商可能是 Amazon Route 53 或其他域名注册商。
为公有托管区创建记录。使用以下值:
-
对于 “记录类型”,选择TXT。
-
在 TTL(秒)中,输入
1800
。 -
对于 Routing policy(路由策略),选择 Simple routing(简单路由)。
-
对于 Record name(记录名称),输入域或子域。
-
对于 Value/Route traffic to(值/流量路由至),输入域验证值。
有关更多信息,请参阅《Amazon Route 53 开发人员指南》中的使用控制台创建记录。
访问您的DNS提供商的网站并登录您的帐户。找到更新您的域名DNS记录的页面。添加一条包含我们提供的名称和值的TXT记录。DNS记录更新最多可能需要 48 小时才能生效,但生效时间通常要早得多。
有关更具体的说明,请查阅您的DNS提供商提供的文档。下表提供了几个常见提供DNS商的文档链接。此列表并不全面,也并非旨在推荐这些公司提供的产品或服务。
DNS/托管服务提供商 | 文档链接 |
---|---|
GoDaddy |
|
Dreamhost |
|
Cloudflare |
|
HostGator |
|
Namecheap |
|
Names.co.uk |
|
Wix |
检查TXT记录是否已发布
您可以使用以下步骤验证您的私有域DNS名所有权验证TXT记录是否已正确发布到您的DNS服务器。您将运行 nslookup 命令,目前支持的平台有 Windows 和 Linux。
您将查询为您的域提供服务的DNS服务器,因为这些服务器包含的域 up-to-date信息最多。您的域名信息需要一段时间才能传播到其他DNS服务器。
验证您的TXT记录是否已发布到您的DNS服务器
-
使用以下命令查找您的域的名称服务器。
nslookup -type=NS
example.com
此输出将列出可用于您的域的名称服务器。您将在下一步骤中查询这些服务器之一。
-
使用以下命令验证TXT记录是否已正确发布,其中
name_server
是您在上一步中找到的域名服务器之一。nslookup -type=TXT
_6e86v84tqgqubxbwii1m.example.com
name_server
-
在上一步的输出中,验证后面的字符串是否与TXT值
text =
匹配。在我们的示例中,如果记录正确发布,则输出包括以下内容。
_6e86v84tqgqubxbwii1m.example.com text = "vpce:l6p0ERxlTt45jevFwOCp"
解决域验证问题
如果域验证过程失败,以下信息可以帮助您解决问题。
-
检查您的DNS提供商是否允许在TXT记录名称中使用下划线。如果您的DNS提供商不允许使用下划线,则可以省略记录中的域名验证名称(例如 “_6e86v84tqqqubxbwii1m”)。TXT
-
检查您的DNS提供商是否将域名附加到TXT记录的末尾。某些DNS提供商会自动将您的域名附加到TXT记录的属性名称中。为避免域名重复,请在创建TXT记录时在域名的末尾添加一个句点。这会告诉您的DNS提供商,没有必要将域名附加到TXT记录中。
-
检查您的DNS提供商是否将DNS记录值修改为仅使用小写字母。只有当验证记录的属性值与我们提供的值完全匹配时,我们才会验证您的域。如果DNS提供商将您的TXT记录值更改为仅使用小写字母,请联系他们寻求帮助。
-
由于您支持多个区域或多个 Amazon Web Services 账户,因而您可能需要多次验证您的域。如果您的DNS提供商不允许您拥有多个具有相同属性名称的TXT记录,请检查您的DNS提供商是否允许您为同一TXT记录分配多个属性值。例如,如果您由 Amazon Route 53 管理,则可以使用以下步骤。DNS
-
在 Route 53 控制台中,选择您在第一个区域验证域名时创建的TXT记录。
-
对于 Value(值),转到现有属性值的末尾,然后按 Enter。
-
添加附加区域的属性值,然后保存记录集。
如果您的DNS提供商不允许您为同一TXT条记录分配多个值,则您可以使用TXT记录的属性名称中的值对域进行一次验证,另一次使用从属性名称中删除该值进行一次验证。但是,您只能对同一个域验证两次。
-