本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用私有託管區域時,請注意下列注意事項:
- Amazon VPC 設定
若要使用私有託管區域,您必須將下列 Amazon VPC 設定設為
true:enableDnsHostnamesenableDnsSupport
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的檢視和更新 VPC 的 DNS 屬性。
- Route 53 運作狀態檢查
在私有託管區域中,您只能將 Route 53 運作狀態檢查與容錯移轉、多值回答、加權、延遲、地理位置和地理鄰近性記錄建立關聯。如需將運作狀態檢查與容錯移轉記錄關聯的資訊,請參閱 在私有託管區域中設定容錯移轉。
- 支援的私有託管區域中記錄的路由政策
在私有託管區域中建立記錄時,可以使用以下路由政策:
不支援使用其他路由政策在私有託管區域中建立記錄。
- 分割檢視 DNS
可以使用 Route 53 設定分割檢視 DNS,也稱為水平分割 DNS。在分割檢視 DNS 中,您會針對內部用途 (accounting.example.com) 和外部用途 (例如,您的公有網站 (www.example.com)) 使用相同的網域名稱 (example.com)。您可能還需要在內部和外部使用相同的子網域名稱,但提供不同的內容,或需要對內部和外部使用者進行不同的身分驗證。
若要設定分割檢視 DNS,請執行下列步驟:
建立具有相同名稱的公有和私有託管區域。(如果您針對公有託管區域使用其他 DNS 服務,則分割檢視 DNS 仍可運作。)
將一或多個 Amazon VPC 與私有託管區域建立關聯。Route 53 Resolver 會使用私有託管區域來路由指定 VPC 中的 DNS 查詢。
在每個託管區域中建立記錄。公有託管區域中的記錄會控制網際網路流量的路由方式,私有託管區域中的記錄會控制流量在 Amazon VPC 中路由的方式。
如果您需要同時執行 VPC 和現場部署工作負載的名稱解析,您可以使用 Route 53 Resolver。如需詳細資訊,請參閱什麼是 Amazon Route 53 Resolver?。
- 具有重疊命名空間的公有和私有託管區域
如果您的私有和公有託管區域具有重疊的命名空間,例如 example.com 和 accounting.example.com,則 Resolver 會根據最明確的匹配結果來路由傳送流量。當使用者在 Amazon VPC 中登入與私有託管區域相關聯的 EC2 執行個體時,以下是 Route 53 Resolver 處理 DNS 查詢的方式:
-
Resolver 評估私有託管區域的名稱是否與請求中的網域名稱相符,例如 accounting.example.com。符合定義為下列任一項:
完全符合
私有託管區域的名稱是請求中網域名稱的父系。例如,假設請求中的網域名稱如下:
seattle.accounting.example.com
以下託管區域相符,因為它們是 seattle.accounting.example.com 的父系:
accounting.example.com
example.com
如果沒有相符的私有託管區域,Resolver 會將請求轉送到公有 DNS 解析程式,您的請求會被解析一般的 DNS 查詢。
如果有與請求中的網域名稱相符的私有託管區域名稱,則會在該託管區域中搜尋與請求中的網域名稱和 DNS 類型相符的記錄,如 accounting.example.com 的 A 記錄。
注意
如果有相符的私有託管區域名稱,但沒有與請求中的網域名稱和類型相符的記錄,Resolver 不會將請求轉送到公有 DNS 解析程式,而是將 NXDOMAIN (不存在的網域) 傳回給用戶端。
-
- 具有重疊命名空間的私有託管區域
如果您的兩個或更多個私有託管區域具有重疊的命名空間,例如 example.com 和 accounting.example.com,則 Resolver 會根據最明確的匹配結果來路由傳送流量。
注意
如果您有私有託管區域 (example.com),以及將流量路由到相同網域名稱之網路的 規則,則 Route 53 Resolver 規則優先。請參閱 Private hosted zones and Route 53 Resolver rules。
當使用者在 Amazon VPC 中登入與全部私有託管區域相關聯的 EC2 執行個體時,以下是 Resolver 處理 DNS 查詢的方式:
Resolver 評估請求中的網域名稱,例如 accounting.example.com,是否與其中一個私有託管區域的名稱相符。
如果沒有完全符合請求中之網域名稱的託管區域,Resolver 會在請求中檢查具有網域名稱父系名稱的託管區域。例如,假設請求中的網域名稱如下:
seattle.accounting.example.com下列託管區域相符,因為它們是
seattle.accounting.example.com的父系:accounting.example.comexample.com
Resolver 選擇
accounting.example.com,因為它比example.com更為特定。Resolver 會搜尋
accounting.example.com託管區域中符合請求中網域名稱和 DNS 類型的記錄,例如seattle.accounting.example.com的 A 記錄。如果沒有符合請求中網域名稱和類型的記錄,則 Resolver 會向用戶端傳回 NXDOMAIN (不存在的網域) 。
- 私有託管區域和 Route 53 Resolver 規則
如果您有私有託管區域 (example.com),以及將流量路由到相同網域名稱之網路的 Resolver 規則,則 Resolver 規則優先。
舉例而言,假設您的組態如下:
您有一個名為 example.com 的私有託管區域,並與 VPC 建立關聯。
您建立將 example.com 流量轉送到您網路的 Route 53 Resolver 規則,並將規則與相同的 VPC 建立關聯。
在此組態中,Resolver 規則優先於私有託管區域。DNS 查詢會轉送到您的網路,而不是根據私有託管區域中的記錄解析。
- 委派子網域的責任
您不能在私有託管區域中建立 NS 記錄來委派子網域的責任。
- 自訂 DNS 伺服器
-
如果您已在 VPC 中的 Amazon EC2 執行個體上設定自訂 DNS 伺服器,則必須設定這些 DNS 伺服器,將私有 DNS 查詢路由到 Amazon 為您的 VPC 提供的 DNS 伺服器的 IP 地址。此 IP 地址是 VPC 網路範圍基礎上的 IP 地址「加 2」。例如,如果您的 VPC 的 CIDR 範圍是 10.0.0.0/16,DNS 伺服器的 IP 地址就是 10.0.0.2。
如果您想要在 VPC 與您的網路之間路由 DNS 查詢,可以使用 Resolver。如需詳細資訊,請參閱什麼是 Amazon Route 53 Resolver?。
- 所需的 IAM 許可
若要建立私有託管區域,除了 Route 53 動作許可之外,您還需要授予 Amazon EC2 動作的 IAM 許可。如需詳細資訊,請參閱《服務授權參考》中的 Route 53 的動作、資源和條件索引鍵。
