本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用私有託管區域的考量
使用私有託管區域時,請注意下列注意事項:
- Amazon VPC 設定
若要使用私有託管區域,您必須將下列 Amazon VPC 設定設為
true:enableDnsHostnamesenableDnsSupport
如需詳細資訊,請參閱 Amazon DNS 使用者指南中的檢視和更新 VPC 的 Word 屬性。 VPC
- Route 53 運作狀態檢查
在私有託管區域中,您只能將 Route 53 運作狀態檢查與容錯移轉、多值回答、加權、延遲、地理位置和地理鄰近性記錄建立關聯。如需將運作狀態檢查與容錯移轉記錄關聯的資訊,請參閱 在私有託管區域中設定容錯移轉。
- 支援的私有託管區域中記錄的路由政策
在私有託管區域中建立記錄時,可以使用以下路由政策:
不支援使用其他路由政策在私有託管區域中建立記錄。
- 分割檢視 DNS
您可以使用 Route 53 設定分割檢視 DNS,也稱為分割水平 DNS。在分割檢視 DNS 中,您將相同的網域名稱 (example.com) 用於內部使用 (accounting.example.com) 和外部使用,例如公有網站 (www.example.com)。您可能還需要在內部和外部使用相同的子網域名稱,但提供不同的內容,或需要對內部和外部使用者進行不同的身分驗證。
若要設定分割檢視 DNS,請執行下列步驟:
建立具有相同名稱的公有和私有託管區域。(如果您使用公有託管區域的另一個 DNS 服務,Split-view DNS 仍然有效。)
將一或多個 Amazon VPCs 與私有託管區域建立關聯。Route 53 Resolver 使用私有託管區域來路由指定 DNS 中的 VPCs 查詢。
在每個託管區域中建立記錄。公有託管區域中的記錄會控制網際網路流量的路由方式,而私有託管區域中的記錄則會控制 Amazon VPCs 中流量的路由方式。
如果您需要同時執行 VPC 和內部部署工作負載的名稱解析,您可以使用 Route 53 Resolver。如需詳細資訊,請參閱什麼是 Amazon Route 53 Resolver?。
- 具有重疊命名空間的公有和私有託管區域
如果您的私有和公有託管區域具有重疊的命名空間,例如 example.com 和 accounting.example.com,則 Resolver 會根據最明確的匹配結果來路由傳送流量。使用者登入與私有託管區域相關聯的 Amazon VPC 中 EC2 執行個體時,以下是 Route 53 Resolver 處理 DNS 查詢的方式:
-
Resolver 評估私有託管區域的名稱是否與請求中的網域名稱相符,例如 accounting.example.com。符合定義為下列任一項:
完全符合
私有託管區域的名稱是請求中網域名稱的父系。例如,假設請求中的網域名稱如下:
seattle.accounting.example.com
以下託管區域相符,因為它們是 seattle.accounting.example.com 的父系:
accounting.example.com
example.com
如果沒有相符的私有託管區域,則 Resolver 會將請求轉送至公有 DNS 解析器,您的請求會以一般 DNS 查詢的形式解決。
如果私有託管區域名稱符合請求中的網域名稱,則託管區域會搜尋符合請求中的網域名稱和 DNS 類型的記錄,例如 accounting.example.com 的 A 記錄。
注意
如果有一個相符的私有託管區域,但沒有符合請求中的網域名稱和類型的記錄,Resolver 不會將請求轉送至公有 DNS 解析程式。相反地,它會將 NXDOMAIN (不存在的網域) 傳回給用戶端。
-
- 具有重疊命名空間的私有託管區域
如果您的兩個或更多個私有託管區域具有重疊的命名空間,例如 example.com 和 accounting.example.com,則 Resolver 會根據最明確的匹配結果來路由傳送流量。
注意
如果您有私有託管區域 (example.com),以及將流量路由到相同網域名稱之網路的 規則,則 Route 53 Resolver 規則優先。請參閱 Private hosted zones and Route 53 Resolver rules。
當使用者登入您已與所有私有託管區域相關聯的 Amazon VPC 中 Word EC2執行個體時,Resolver 會如何處理 DNS 查詢:
Resolver 評估請求中的網域名稱,例如 accounting.example.com,是否與其中一個私有託管區域的名稱相符。
如果沒有完全符合請求中之網域名稱的託管區域,Resolver 會在請求中檢查具有網域名稱父系名稱的託管區域。例如,假設請求中的網域名稱如下:
seattle.accounting.example.com下列託管區域相符,因為它們是
seattle.accounting.example.com的父系:accounting.example.comexample.com
Resolver 選擇
accounting.example.com,因為它比example.com更為特定。Resolver 會搜尋
accounting.example.com託管區域,尋找符合請求中網域名稱和 DNS 類型的記錄,例如 的 A 記錄seattle.accounting.example.com。如果沒有符合網域名稱並輸入請求的記錄,Resolver 會將 NXDOMAIN (不存在的網域) 傳回用戶端。
- 私有託管區域和 Route 53 Resolver 規則
如果您有私有託管區域 (example.com),以及將流量路由到相同網域名稱之網路的 Resolver 規則,則 Resolver 規則優先。
舉例而言,假設您的組態如下:
您有名為 example.com 的私有託管區域,並將其與 VPC 建立關聯。
您可以建立 Route 53 Resolver 規則,將 example.com 的流量轉送至您的網路,並將規則與相同的 VPC 建立關聯。
在此組態中,Resolver 規則優先於私有託管區域。DNS 查詢會轉送至您的網路,而不是根據私有託管區域中的記錄進行解析。
- 委派子網域的責任
您不能在私有託管區域中建立 NS 記錄來委派子網域的責任。
- 自訂 DNS 伺服器
-
如果您已在 DNS 中的 Amazon EC2 執行個體上設定自訂 VPC 伺服器,則必須設定這些 DNS 伺服器,將私有 DNS 查詢路由至 Amazon 提供的 DNS 伺服器的 IP 地址VPC。此 IP 地址是 VPC 網路範圍「加兩個」底部的 IP 地址。例如,如果 VPC 的 CIDR 範圍為 10.0.0.0/16,則 DNS 伺服器的 IP 地址為 10.0.0.2。
如果您想要在 DNS 與網路之間路由 VPCs 查詢,您可以使用 Resolver。如需詳細資訊,請參閱什麼是 Amazon Route 53 Resolver?。
- 必要的 IAM 許可
若要建立私有託管區域,除了 Route 53 動作的IAM許可之外,您還需授予 Amazon EC2 動作的 Word 許可。如需詳細資訊,請參閱《服務授權參考》中的 Route 53 的動作、資源和條件索引鍵。
