了解 Amazon DNS

身为 AWS 架构师或管理员，您会遇到的一种基本联网组件是 Amazon DNS 服务器，也称为 Route 53 Resolver。此 DNS 解析器服务原生集成到您所在 AWS 区域的每个可用区中，可为虚拟私有云（VPC）中的域名解析提供可靠且可扩展的解决方案。在本节中，您会了解到 Amazon DNS 服务器的 IP 地址、Amazon DNS 服务器可以解析的私有 DNS 主机名以及管理着 Amazon DNS 服务器使用的规则。

Amazon DNS 服务器

Route 53 Resolver（也称“Amazon DNS 服务器”或“AmazonProvidedDNS”）是一种 DNS 解析程序服务，内置于 AWS 区域内的每个可用区中。Route 53 Resolver 位于 169.254.169.253（IPv4）、fd00:ec2::253（IPv6）以及预置到“VPC+2”的主要私有 IPV4 CIDR 范围。例如，如果您 VPC 的 IPv4 CIDR 为 10.0.0.0/16、IPv6 CIDR 为 2001:db8::/32，则可通过 169.254.169.253（IPv4）、fd00:ec2::253（IPv6）或 10.0.0.2（IPv4）访问 Route 53 Resolver。VPC 内的资源使用链路本地地址进行 DNS 查询。这些查询会私下传输到 Route 53 Resolver，但在网络上不可见。在仅限 IPv6 子网中，只要“AmazonProvidedDNS”是 DHCP 选项集中的域名服务器，便仍可访问 IPv4 链路本地地址（169.254.169.253）。

当您将实例启动到 VPC 中时，我们会为该实例提供一个私有 DNS 主机名。如果该实例配置了一个公有 IPv4 地址并且启用了 VPC DNS 属性，我们还会提供一个公有 DNS 主机名。

私有 DNS 主机名的格式取决于您在启动 EC2 实例时如何配置它。有关私有 DNS 主机名类型的更多信息，请参阅《Amazon EC2 用户指南》中的 Amazon EC2 实例主机名类型。

您的 VPC 中的 Amazon DNS 服务器用于解析您在 Route 53 中的私有托管区域中指定的 DNS 域名。有关私有托管区域的更多信息，请参阅 Amazon Route 53 开发人员指南 中的使用私有托管区域。

规则和注意事项

使用 Amazon DNS 服务器时，适用以下规则和注意事项。

EC2 实例的 DNS 主机名称

当您启动实例时，实例始终会收到一个私有 IPv4 地址和一个与其私有 IPv4 地址对应的私有 DNS 主机名。如果您的实例具有公有 IPv4 地址，则该实例 VPC 的 DNS 属性决定实例是否接收与公有 IPv4 地址对应的公有 DNS 主机名。有关更多信息，请参阅 VPC 中的 DNS 属性。

启用 Amazon 提供的 DNS 服务器后，DNS 主机名按如下方式解析。

私有 IPv4 DNS 名称

实例的私有 IPv4 DNS 主机名解析为私有 IPv4 地址。您可以使用私有 IPv4 DNS 主机名，在同一 VPC 中或连接的 VPC 中的实例之间进行通信。有关更多信息，请参阅《Amazon EC2 用户指南》中的私有 IPv4 地址。

公有 IPv4 DNS 名称

实例的公有 IPv4 DNS 主机名解析为（该实例网络外）的公有 IPv4 地址或（该实例网络内）的私有 IPv4 地址。有关更多信息，请参阅《Amazon EC2 用户指南》中的公有 IPv4 地址。

要通过 VPC 对等连接将公有 IPv4 DNS 名称解析为私有 IPv4 地址，必须启用对等连接的 DNS 解析功能。有关更多信息，请参阅实现对 VPC 对等连接的 DNS 解析。

私有资源 DNS 名称

基于 RBN 的 DNS 名称，它可以解析为此实例选择的 A 和 AAAA DNS 记录。此 DNS 主机名在双堆栈和仅 IPv6 子网中的实例的实例详细信息中可见。有关 RBN 的更多信息，请参阅《Amazon EC2 用户指南》中的 EC2 实例主机名类型。

VPC 中的 DNS 属性

以下 VPC 属性决定了为您的 VPC 提供的 DNS 支持。如果两项属性均启用，则如果在创建时为启动到 VPC 内的实例分配了公有 IPv4 地址或弹性 IP 地址，则该实例会接收公有 DNS 主机名。如果您为之前未启用两项属性的 VPC 启用这两项属性，则已经启动至该 VPC 的实例将接收公有 DNS 主机名（如果它们具有公有 IPv4 地址或弹性 IP 地址）。

要检查是否为 VPC 启用了这些属性，请参阅查看和更新 VPC 的 DNS 属性。

DNS 配额

对于使用本地链路地址的服务，每秒数据包数（PPS）限制为 1024 个。此限制是 Route 53 Resolver DNS 查询、实例元数据服务（IMDS）请求、Amazon Time Service 网络时间协议（NTP）请求和 Windows 许可服务（适用于基于 Microsoft Windows 的实例）请求的总和。无法提高此配额。

由 Route 53 Resolver 支持的每秒 DNS 查询数量因查询类型、响应大小和所用协议而异。有关可扩展 DNS 架构的更多信息和建议，请参阅具有 Active Directory 的 AWS 混合 DNS 技术指南。

如果您达到配额，Route 53 Resolver 将拒绝流量。达到配额的部分原因可能是 DNS 节流问题，或者是使用 Route 53 Resolver 网络接口的实例元数据查询。有关如何解决 VPC DNS 节流问题的信息，请参阅如何确定我对 Amazon 提供的 DNS 服务器的 DNS 查询是否由于 VPC DNS 节流而失败。有关实例元数据检索的更多信息，请参阅《Amazon EC2 用户指南》中的检索实例元数据。

私有托管区域

要使用自定义 DNS 域名（如 example.com）而不是使用私有 IPv4 地址或AWS提供的私有 DNS 主机名来访问您的 VPC 中的资源，您可以在 Route 53 中创建一个私有托管区域。私有托管区域就是一个容器，其中包含的信息说明您希望如何在一个或多个 VPC 中为某个域及其子域路由流量而不将您的资源公开到 Internet。您可以创建 Route 53 资源记录集，用来确定 Route 53 将如何响应对您的域及其子域的查询。例如，如果您希望将对 example.com 的浏览器请求路由到您 VPC 中的某个 Web 服务器，可以在您的私有托管区域中创建一条 A 记录并指定该 Web 服务器的 IP 地址。有关创建私有托管区域的更多信息，请参阅 Amazon Route 53 开发人员指南 中的使用私有托管区域。

要使用自定义 DNS 域名访问资源，必须连接到您的 VPC 中的实例。在您的实例中，您可通过使用 ping 命令来测试是否可从私有托管区域中的资源的自定义 DNS 名称访问该资源；例如，ping mywebserver.example.com。(您必须确保您的实例的安全组规则允许入站 ICMP 流量才能使 ping 命令正常运行。)

私有托管区域不支持 VPC 外的传递关系；例如，您不能使用资源的自定义私有 DNS 名称从 VPN 连接的另一端访问资源。