使用私有托管区域的注意事项

使用私有托管区域时请注意以下事项：

Amazon VPC settings
Route 53 health checks
Supported routing policies for records in a private hosted zone
Split-view DNS
Public and private hosted zones that have overlapping namespaces
Private hosted zones that have overlapping namespaces
Private hosted zones and Route 53 Resolver rules
Delegating responsibility for a subdomain
Custom DNS servers
Required IAM permissions

亚马逊VPC设置

要使用私有托管区域，您必须将以下 Amazon VPC 设置设置为true：

enableDnsHostnames
enableDnsSupport

有关更多信息，请参阅《Amazon VPC 用户指南》VPC中的查看和更新您的DNS属性。

Route 53 运行状况检查

在私有托管区域中，您只能将 Route 53 运行状况检查与故障转移、多值答案、加权、延迟、地理位置和地理位置记录相关联。有关将运行状况检查与故障转移记录关联的信息，请参阅在私有托管区域中配置故障转移。

私有托管区域中的记录支持的路由策略

在私有托管区域中创建记录时，可以使用以下路由策略：

不支持使用其他路由策略在私有托管区域中创建记录。

分屏视图 DNS

您可以使用 Route 53 配置分割视图DNS，也称为水平分割。DNS在 split-view 中DNS，您将相同的域名 (example.com) 用于内部用途（accounting.example.com）和外部用途，例如您的公共网站（www.example.com）。您可能还希望在内部和外部使用相同的子域名，但是为内部和外部用户提供不同的内容或要求不同的身份验证。

要配置分屏视图DNS，请执行以下步骤：

创建具有相同名称的公共和私有托管区域。（如果您在公共托管区域使用其他DNS服务，则分屏视图DNS仍然有效。）
将一个或多个 Amazon VPCs 与私有托管区域关联。Route 53 Resolver 使用私有托管区域在指定VPCs区域中路由DNS查询。
在每个托管区域中创建记录。公共托管区域中的记录控制互联网流量的路由方式，私有托管区域中的记录控制流量在您的 Amazon 中的路由方式。VPCs

如果您需要对自己的工作负载VPC和本地工作负载执行名称解析，则可以使用 Route 53 Resolver。有关更多信息，请参阅什么是 Amazon Route 53 Resolver？。

具有重叠命名空间的公有和私有托管区域

如果您的私有和公有托管区域具有重叠的命名空间，例如 example.com 和 accounting.example.com，则 Resolver 会根据最具体的匹配来路由流量。当用户登录到与私有托管区域关联VPC的 Amazon EC2 实例时，Route 53 Resolver 处理DNS查询的方式如下：

Resolver 会评估私有托管区域的名称是否与请求中的域名（如 accounting.example.com）匹配。以下任一形式均可定义为匹配：
- 相同匹配
- 私有托管区域的名称是请求中域名的父级。例如，假设请求中的域名如下：
  
  seattle.accounting.example.com
  
  以下托管区域匹配，因为它们是 seattle.accounting.example.com 的父级：
  - accounting.example.com
  - example.com
如果没有匹配的私有托管区域，则 Resolver 会将请求转发给公共DNS解析器，您的请求将作为常规查询进行解析。DNS
如果私有托管区域名称与请求中的域名相匹配，则会在托管区域中搜索与请求中的域名和DNS类型匹配的记录，例如 accounting.example.com 的 A 记录。

注意
如果有匹配的私有托管区域，但没有与请求中的域名和类型相匹配的记录，则 Resolver 不会将请求转发给公共DNS解析器。相反，它会将NXDOMAIN（不存在的域）返回给客户端。

具有重叠命名空间的私有托管区域

如果您的两个或多个私有托管区域具有重叠的命名空间，例如 example.com 和 accounting.example.com，则 Resolver 会根据最具体的匹配来路由流量。

注意

如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Route 53 Resolver 规则，则 Resolver 规则优先。请参阅 Private hosted zones and Route 53 Resolver rules。

当用户登录到您已与所有私有托管区域关联VPC的 Amazon EC2 实例时，以下是 Resolver 处理DNS查询的方式：

Resolver 会评估请求中的域名（如 accounting.example.com）是否与其中一个私有托管区域的名称匹配。
如果不存在与请求中域名完全匹配的托管区域，Resolver 会检查请求中域名的父域名称所对应的托管区域。例如，假设请求中的域名如下：

seattle.accounting.example.com

以下托管区域匹配，因为它们是 seattle.accounting.example.com 的父项：
- accounting.example.com
- example.com
Resolver 选择 accounting.example.com，因为它比 example.com 更具体。
Resolver 在accounting.example.com托管区域中搜索与请求中的域名和DNS类型相匹配的记录，例如 A 记录。seattle.accounting.example.com

如果没有与请求中的域名和类型相匹配的记录，Resolver 会向客户端返回NXDOMAIN（不存在的域名）。

私有托管区域和 Route 53 Resolver 规则

如果您有一个私有托管区域 (example.com) 和一个用同一域名将流量路由到您网络的 Resolver 规则，则 Resolver 规则优先。

例如，假设您有以下配置：

您有一个名为 example.com 的私有托管区域，您可以将其关联到。VPC
您创建了一条 Route 53 Resolver 规则，该规则将 example.com 的流量转发到您的网络，然后将该规则与该规则相关联。VPC

在此配置中，Resolver 规则优先于私有托管区域。DNS查询将转发到您的网络，而不是根据私有托管区域中的记录进行解析。

委派子域的责任

您不能在私有托管区域中创建 NS 记录来委派子域的责任。

自定义DNS服务器

如果您在的 Amazon EC2 实例上配置了自定义DNS服务器VPC，则必须将这些DNS服务器配置为将您的私有DNS查询路由到亚马逊为您提供的DNS服务器的 IP 地址。VPC此 IP 地址是VPC网络范围 “加二” 底部的 IP 地址。例如，如果您的CIDR范围VPC是 10.0.0.0/16，则服务器的 IP 地址为 10.0.0.2。DNS

如果你想在VPCs和你的网络之间路由DNS查询，你可以使用 Resolver。有关更多信息，请参阅什么是 Amazon Route 53 Resolver？。

所需IAM权限

要创建私有托管区域，除了授予 Route 53 EC2 操作的IAM权限外，还需要授予 Amazon 操作的权限。有关更多信息，请参阅《服务授权参考》中的 Route 53 的操作、资源和条件键。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用私有托管区

创建私有托管区域