终端节点服务的私有 DNS 名称
当您创建 VPC 终端节点服务时,我们将生成您可用于与服务通信的终端节点特定的 DNS 主机名。这些名称包括 VPC 终端节点 ID、可用区名称以及区域名称,例如,vpce-1234-abcdev-us-east-1.vpce-svc-123345.us-east-1.vpce.amazonaws.com。默认情况下,您的使用者使用该 DNS 名称访问服务,通常需要修改应用程序配置。
如果端点服务适用于 Amazon 服务或 Amazon Marketplace 中可用的服务,则存在默认 DNS 名称。对于其他服务,服务提供商可以配置私有 DNS 名称,以便使用者可以使用现有 DNS 名称访问服务,而无需更改其应用程序。有关更多信息,请参阅 VPC 终端节点服务 (Amazon PrivateLink)。
服务提供商可以为新的终端节点服务或现有终端节点服务指定私有 DNS 名称。要使用私有 DNS 名称,请启用该功能,然后指定私有 DNS 名称。在使用者可以使用私有 DNS 名称之前,您必须验证您是否拥有对域/子域的控制权。您可以使用 Amazon VPC 控制台或 API 启动域所有权验证。域所有权验证完成后,使用者通过使用私有 DNS 名称访问终端节点。
要验证域,您必须拥有公有托管名称或公有 DNS 提供商。
为网关负载均衡器终端节点创建的终端节点服务不支持私有 DNS 名称。
概括过程如下:
-
添加私有 DNS 名称。有关更多信息,请参阅 为接口终端节点创建 VPC 终端节点服务配置 或 修改现有终端节点服务私有 DNS 名称。
-
请注意 DNS 服务器记录所需的 Domain verification value (域验证值) 和 Domain verification name (域验证名称)。有关更多信息,请参阅 查看终端节点服务私有 DNS 名称配置。
-
向 DNS 服务器添加记录。有关更多信息,请参阅 VPC 终端节点服务私有 DNS 名称验证。
-
验证私有 DNS 名称。有关更多信息,请参阅 手动启动终端节点服务私有 DNS 名称域验证。
您可以使用 Amazon VPC 控制台或 Amazon VPC API 管理验证过程。
域名验证注意事项
注意有关域所有权验证的以下要点:
-
仅当验证状态为 verified (已验证) 时,使用者才能使用私有 DNS 名称访问终端节点服务。
-
如果验证状态从 verified (已验证) 更改为 pendingVerification (待验证) 或 failed (失败),则现有的使用者连接保留,但任何新的连接请求都将被拒绝。
重要 对于担心与不再处于已验证状态的终端节点服务的连接的服务提供商,我们建议您使用 Describevpcendpoints 以定期检查验证状态。我们建议您每天至少执行一次此检查。
-
终端节点服务只能有一个私有 DNS 名称。
-
您可以为新的终端节点服务或现有终端节点服务指定私有 DNS 名称。
-
您只能使用公有域名服务器。
-
您可以在域名中使用通配符,例如“*.myexampleservice.com”。
-
您必须对每个终端节点服务执行单独的域所有权验证检查。
-
您可以验证子域的域。例如,您可以验证 example.com,而不是 a.example.com。按照 RFC 1034
中的规定,每个 DNS 标签最多可包含 63 个字符,域名总长度不得超过 255 个字符。 如果添加其他子域,则必须验证子域或域。例如,假设您有 .example.com 并验证了 example.com。您现在添加 b.example.com 作为私有 DNS 名称。在使用者可以使用该名称之前,您必须验证 example.com 或 b.example.com。
-
域名必须小写。