將 Route 53 做為使用中網域的 DNS 服務 - Amazon Route 53
步驟 1:從目前的 DNS 服務提供者取得您目前的 DNS 組態 (選用但建議)步驟 2:建立託管區域步驟 3:建立記錄步驟 4:較低的 TTL 設定步驟 5:(如果您已設定 DNSSEC) 從父區域移除 DS 記錄步驟 6:等待舊 TTL 過期步驟 7:更新 NS 記錄,以使用 Route 53 名稱伺服器步驟 8:監控網域的流量步驟 9:將 NS 記錄的 TTL 變更回較高的值步驟 10:將網域註冊轉移到 Amazon Route 53步驟 11:重新啟用 DNSSEC 簽署 (如果需要)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Route 53 做為使用中網域的 DNS 服務

如果要為目前正在取得流量—例如,如果您的使用者正在使用該網域名稱瀏覽網站或存取 Web 應用程式—的網域將 DNS 服務遷移至 Amazon Route 53,請執行本節中的程序。

步驟 1:從目前的 DNS 服務提供者取得您目前的 DNS 組態 (選用但建議)

當您將 DNS 服務從另一個提供者遷移至 Route 53 時,您將在 Route 53 中重現目前的 DNS 組態。在 Route 53 中,您建立一個與您的網域同名的託管區域,而且您在該託管區域中建立記錄。每個記錄表示您希望如何針對指定的網域名稱或子網域名稱路由流量。例如,當有人在 Web 瀏覽器中輸入您的網域名稱,您希望流量路由到資料中心的 Web 伺服器、Amazon EC2 執行個體、CloudFront 分佈或其他位置?

您使用的程序取決於目前 DNS 組態的複雜性:

  • 在目前 DNS 組態是簡單的情況下 – 如果您只是將幾個子網域的網際網路流量路由到少數資源 (例如,Web 伺服器或 Amazon S3 儲存貯體),則可以在 Route 53 主控台中手動建立幾個記錄。

  • 在目前 DNS 組態更複雜而且您只希望重現目前組態的情況下 – 如果您可以從目前 DNS 服務提供者取得區域檔案並將該區域檔案匯入 Route 53 中,則可簡化遷移程序。(並非所有 DNS 服務提供者都提供區域檔案。) 當您匯入區域檔案時,Route 53 會在您的託管區域中建立對應記錄來自動重現現有的組態。

    請嘗試詢問您目前 DNS 服務提供者的客戶支援如何取得區域檔案記錄清單。如需所需區域檔案格式的資訊,請參閱透過匯入區域檔案建立記錄

  • 在目前 DNS 組態更加複雜,而且您對 Route 53 路由功能感興趣的情況下 – 檢閱下列文件,了解您是否需要使用其他 DNS 服務提供者未提供的 Route 53 功能。若是如此,您可以手動建立記錄,也可以匯入區域檔案,並稍後建立或更新記錄:

    • 選擇別名或非別名記錄 說明 Route 53 別名記錄的優勢,這些記錄可免費將流量路由到一些 AWS 資源 (例如 CloudFront 分佈和 Amazon S3 儲存貯體)。

    • 選擇路由政策 說明 Route 53 路由選項,例如,根據使用者位置的路由、根據使用者和資源之間延遲的路由、根據資源是否正常運作的路由,以及根據您指定的權重來路由到資源。

    注意

    您也可以匯入區域檔案,並在稍後變更組態以利用別名記錄和複雜的路由政策。

如果您無法取得區域檔案,或者如果您要在 Route 53 中手動建立記錄,則可能要遷移的記錄包括:

  • A (地址) 記錄 – 將網域名稱或子網域名稱與對應資源的 IPv4 地址 (例如,192.0.2.3) 建立關聯

  • AAAA (地址) 記錄 – 將網域名稱或子網域名稱與對應資源的 IPv6 地址 (例如,2001:0db8:85a3:0000:0000:abcd:0001:2345) 建立關聯

  • 郵件伺服器 (MX) 記錄 – 將流量路由至郵件伺服器

  • CNAME 記錄 – 將單一網域名稱 (example.net) 的流量重新路由至另一個網域名稱 (example.com)

  • 其他支援的 DNS 記錄類型記錄 – 如需支援的記錄類型清單,請參閱 支援的 DNS 記錄類型

步驟 2:建立託管區域

為了告知 Amazon Route 53 您希望如何路由網域的流量,您建立一個與網域同名的託管區域,然後在該託管區域中建立記錄。

重要

您只能針對擁有管理許可的網域建立託管區域。一般而言,這表示您擁有網域,但也可能是您為網域註冊者開發應用程式。

當您建立託管區域時,Route 53 會為此區域自動建立名稱伺服器 (NS) 記錄和起始授權 (SOA) 記錄。NS 記錄識別透過 Route 53 與您的託管區域關聯的四個名稱伺服器。為了讓 Route 53 成為網域的 DNS 服務,您需要更新網域註冊以使用這四個名稱伺服器。

重要

請勿建立其他名稱伺服器 (NS) 或起始授權 (SOA) 記錄,也請勿刪除現有的 NS 和 SOA 記錄。

若要建立託管區域

  1. 登入 AWS Management Console 並開啟位於 https://console.aws.amazon.com/route53/ 的 Route 53 主控台。

  2. 如果您是 Route 53 的新手,請選擇 DNS management (DNS 管理) 下的 Get Started (開始),然後選擇 Create hosted zones (建立託管區域)

    如果您已經在使用 Route 53,請在導覽窗格中選擇 Hosted zones (託管區域),然後選擇 Create hosted zones (建立託管區域)

  3. Create hosted zone (建立託管區域) 窗格中,輸入網域名稱並選擇性輸入註解。如需有關設定的詳細資訊,請選擇開啟右側的說明面板。

    如需如何指定 a-z、0-9 與 - (連字號) 以外的字元,以及如何指定國際化網域名稱的資訊,請參閱 DNS 網域名稱格式

  4. 針對 Type (類型),接受 Public hosted zone (公有託管區域) 的預設值。

  5. 選擇 Create hosted zone (建立託管區域)

步驟 3:建立記錄

建立託管區域後,您可在該託管區域中建立記錄,這些記錄定義您要將網域 (example.com) 或子網域 (www.example.com) 的流量路由到的位置。例如,如果您希望將 example.com 和 www.example.com 的流量路由到 Amazon EC2 執行個體上的 Web 伺服器,則可建立兩個記錄,一個記錄名為 example.com,另一個記錄名為 www.example.com。在每個記錄,指定 EC2 執行個體的 IP 地址。

您可以透過各種方式建立記錄:

匯入區域檔案

如果您已在 步驟 1:從目前的 DNS 服務提供者取得您目前的 DNS 組態 (選用但建議) 中從目前 DNS 服務取得區域檔案,這是最輕鬆的方式。Amazon Route 53 無法預測何時建立別名記錄或使用特殊路由類型 (例如,加權或容錯移轉)。因此,如果您匯入區域檔案,Route 53 會使用簡單路由政策建立標準 DNS 記錄。

如需更多詳細資訊,請參閱 透過匯入區域檔案建立記錄

在主控台中個別建立記錄

如果您沒有取得區域檔案,並且您只想建立幾個具有簡單路由政策的記錄來開始操作,則可在 Route 53 主控台中建立記錄。您可以建立別名和非別名記錄。

如需詳細資訊,請參閱下列主題:

以程式設計方式建立記錄

您可以使用 AWS 開發套件、AWS CLI 或 AWS Tools for Windows PowerShell 建立記錄。如需詳細資訊,請參閱 AWS 文件

如果您使用 AWS 未提供開發套件的程式設計語言,您也可以使用 Route 53 API。如需詳細資訊,請參閱 Amazon Route 53 API 參考

步驟 4:較低的 TTL 設定

記錄的 TTL (存留時間) 設定指定您希望 DNS 解析程式快取記錄和使用快取資訊的時間。當 TTL 過期,解析程式會向網域的 DNS 服務提供者傳送另一個查詢以取得最新資訊。

NS 記錄的典型 TTL 設定為 172800 秒或兩天。NS 記錄列出網域名稱系統 (DNS) 可用來取得有關如何路由網域流量的資訊的名稱伺服器。透過為目前 DNS 服務提供者和 Amazon Route 53 降低 NS 記錄的 TTL,可在您將 DNS 遷移至 Route 53 的過程中發現問題時,縮短網域的停機時間。如果未降低 TTL,您的網域可能會在出現問題時最多兩天內在網際網路上無法使用。

注意

某些完整解析器可能會快取父授權伺服器之 NS 記錄的 TTL,因此也必須減少在父授權 DNS 伺服器上註冊之 NS 記錄的 TTL。

我們建議您針對以下 NS 記錄變更 TTL:

  • 目前 DNS 服務提供者的託管區域中的 NS 記錄。(目前提供者可能使用不同的術語。)

  • 您在步驟 2:建立託管區域中建立的託管區域中的 NS 記錄。

若要為目前 DNS 服務提供者降低 NS 記錄的 TTL 設定

  • 使用網域目前的 DNS 服務提供者提供的方法,來變更網域的託管區域中的 NS 記錄的 TTL。

若要降低 Route 53 託管區域中 NS 記錄的 TTL 設定

  1. 登入 AWS Management Console 並開啟位於 https://console.aws.amazon.com/route53/ 的 Route 53 主控台。

  2. 選擇導覽窗格中的 Hosted Zones (託管區域)

  3. 選擇託管區域的名稱。

  4. 選擇 NS 記錄,然後選擇 Edit (編輯)

  5. 變更 TTL (Seconds) (TTL (秒)) 的值。我們建議您指定介於 60 秒和 900 秒 (15 分鐘) 之間的值。

  6. 選擇 Save changes (儲存變更)

步驟 5:(如果您已設定 DNSSEC) 從父區域移除 DS 記錄

如果您已為網域設定 DNSSEC,請先從父區域移除委派簽署人 (DS) 記錄,然後再將網域遷移至 Route 53。

如果父區域託管是透過 Route 53 或其他註冊商託管,請聯絡他們以移除 DS 記錄。

目前無法跨兩個提供者啟用 DNSSEC 簽署,因此您必須移除任何 DS 或 DNSKEY 來停用 DNSSEC。這會暫時向 DNS 解析程式發出訊號,以停用 DNSSEC 驗證。在步驟 11 中,您可以在完成轉換至 Route 53 之後,視需要重新啟用 DNSSEC 驗證。

如需更多詳細資訊,請參閱 刪除網域的公開金鑰

步驟 6:等待舊 TTL 過期

如果您的網域正在使用中—例如,如果您的使用者正在使用該網域名稱瀏覽網站或存取 Web 應用程式—則 DNS 解析程式已快取目前 DNS 服務提供者所提供的名稱伺服器的名稱。已在幾分鐘前快取該資訊的 DNS 解析程式會將其儲存近兩天。

為了確保一次性完成 DNS 服務到 Route 53 的遷移,請在降低 TTL 後等待兩天。為期兩天的 TTL 過期且解析程式請求您的網域的名稱伺服器後,解析程式將取得目前名稱伺服器,並且還將取得您在步驟 4:較低的 TTL 設定中指定的新 TTL。

步驟 7:更新 NS 記錄,以使用 Route 53 名稱伺服器

如果要開始使用 Amazon Route 53 做為網域的 DNS 服務,請使用註冊商或父區域所提供的方法,以 Route 53 名稱伺服器取代 NS 記錄中目前的名稱伺服器。

注意

當您使用目前的 DNS 服務提供者來更新 NS 記錄以使用 Route 53 名稱伺服器時,您會更新網域的 DNS 組態。(這相當於更新網域的 Route 53 託管區域中的 NS 記錄,差別在於使用要移出的 DNS 服務來更新設定。)

若要更新註冊商或父區域的 NS 記錄,以使用 Route 53 名稱伺服器

  1. 在 Route 53 主控台中,取得託管區域的名稱伺服器:

    1. 登入 AWS Management Console 並開啟位於 https://console.aws.amazon.com/route53/ 的 Route 53 主控台。

    2. 在導覽窗格中,選擇 Hosted zones (託管區域)

    3. Hosted zones (託管區域) 頁面上,選擇適用託管區域的名稱。

    4. 記下 Hosted zone details (託管區域詳細資訊)Name servers (名稱伺服器) 下列出的四個名稱。

  2. 使用網域目前的 DNS 服務提供的方法,更新託管區域的 NS 記錄。如果此網域已向 Route 53 註冊,請參閱 新增或變更網域的名稱伺服器和黏附記錄。具體程序取決於目前的 DNS 服務是否可讓您刪除名稱伺服器:

    如果您可以刪除名稱伺服器

    • 記下託管區域 NS 記錄中目前名稱伺服器的名稱。如果您需要恢復到目前的 DNS 組態,這些是您要指定的伺服器。

    • 從 NS 記錄刪除目前的名稱伺服器。

    • 使用您在此程序的步驟 1 中取得的四個 Route 53 名稱伺服器名稱來更新 NS 記錄。

      注意

      完成後,NS 記錄的名稱伺服器只會有四個 Route 53 名稱伺服器。

    如果您無法刪除名稱伺服器

    • 選擇使用自訂名稱伺服器的選項。

    • 新增全部四個在此程序步驟 1 中取得的 Route 53 名稱伺服器。

步驟 8:監控網域的流量

監控網域的流量,包括網站或應用程式流量和電子郵件:

步驟 9:將 NS 記錄的 TTL 變更回較高的值

在網域的 Amazon Route 53 託管區域中,將 NS 記錄的 TTL 變更為更典型的值,例如,172800 秒 (兩天)。這減少使用者的延遲,因為他們不必像 DNS 解析程式一樣通常需要等待為網域的名稱伺服器傳送查詢。

若要變更 Route 53 託管區域中 NS 記錄的 TTL

  1. 登入 AWS Management Console 並開啟位於 https://console.aws.amazon.com/route53/ 的 Route 53 主控台。

  2. 選擇導覽窗格中的 Hosted Zones (託管區域)

  3. 選擇託管區域的名稱。

  4. 在託管區域的記錄清單中,選擇 NS 記錄。

  5. 選擇 編輯

  6. TTL (Seconds) (TTL (秒)) 變更為您希望 DNS 解析程式快取網域之名稱伺服器名稱的秒數。我們建議值 172800 秒。

  7. 選擇 Save changes (儲存變更)

步驟 10:將網域註冊轉移到 Amazon Route 53

現在您已將網域的 DNS 服務轉移到 Amazon Route 53,您可以選擇將網域的註冊轉移到 Route 53。如需更多詳細資訊,請參閱 將網域註冊轉移到 Amazon Route 53

步驟 11:重新啟用 DNSSEC 簽署 (如果需要)

現在您已將網域的 DNS 服務轉移到 Amazon Route 53,接下來可以重新啟用 DNSSEC 簽署。

啟用 DNSSEC 簽章有兩個步驟:

  • 步驟 1:啟用 Route 53 的 DNSSEC 簽署,並要求 Route 53 根據 AWS Key Management Service (AWS KMS) 中的客戶受管金鑰建立金鑰簽署金鑰 (KSK)。

  • 步驟 2:將委派簽署人 (DS) 記錄新增至父區域,以建立託管區域的信任鏈,以便透過受信任的密碼編譯簽章驗證 DNS 回答。

    如需說明,請參閱 啟用 DNSSEC 簽署和建立信任鏈