本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Route 53 Resolver在 Amazon VPC CIDR + 2 地址和 fd00:ec2::253 上執行的 ,預設可在所有 VPCs 中使用,並以遞迴方式回應公有記錄、Amazon VPC 特定 DNS 名稱和 Route 53 私有託管區域的 DNS 查詢。有兩個高度可用的元件,對使用者來說是透明的,這些元件組成 Route 53 Resolver:Nitro Resolver 服務和區域解析程式機群。Nitro Resolver Service 是一項服務,可在 Nitro 執行個體上的 Nitro 卡和舊版執行個體中的 Dom0 中執行,並使用本機主機伺服器上 Route 53 Resolver 的封包。如需詳細資訊,請參閱 AWS Nitro 系統的安全設計。
Nitro Resolver 服務具有本機快取,可透過回應執行個體在短時間內進行的重複查詢,協助減少延遲。當 Nitro Resolver 服務收到沒有快取答案的查詢時,會將查詢轉送至區域解析程式機群,這是一個高度可用的解析程式機群,通常與執行個體位於相同的可用區域中。當透過上游名稱伺服器或路徑中的其他元件處理查詢失敗時,Nitro Resolver 服務通常能夠透明地處理這些失敗,而不會影響執行個體上執行的工作負載。此外,如果解析程式從網域名稱伺服器遇到查詢逾時、拒絕連線或 SERVFAILS,則可能會回應超出Time-To-Live(TTL) 值的快取答案,以改善可用性。Nitro Resolver 服務與區域解析程式機群之間的查詢僅限於客戶 VPC 外部的嚴格控制網路,客戶無法存取該網路並受到嚴格的安全控制。透過處理 Nitro Resolver 服務與 VPC 外部區域解析程式機群之間的查詢,客戶將無法攔截其 VPC 內的 DNS 查詢。目的地為 外部名稱伺服器的查詢 AWS 將周遊公有網際網路,源自屬於區域解析程式機群的公有 IP 地址。我們目前不支援 EDNS0-Client 子網路屬性,這表示所有以公有 DNS 名稱伺服器為目標的查詢都不會包含原始客戶 IP 地址的相關資訊。
Nitro Resolver 服務是執行個體上連結本機服務的一部分。Link-Local 服務包括 Route 53 Resolver、Amazon Time Service (NTP)、Instance Metadata Service (IMDS) 和 Windows Licensing Service (適用於 Windows 執行個體)。這些服務會隨著您在 VPC 中建立的每個彈性網路介面擴展,而每個網路介面允許 1024 個封包每秒 (PPS),目的地為連結本機服務。超過此限制的封包會遭到拒絕。您可以判斷您是否已從 ethtool 傳回linklocal_allowance_exceeded
的值中超過此限制。如需 ethtool 的詳細資訊,請參閱《Amazon EC2 使用者指南》中的監控 Amazon EC2 執行個體的網路效能。 Amazon EC2 CloudWatch Agent 也可以將此指標報告給 CloudWatch 指標。由於 Route 53 Resolver 是依網路界面實作,因此隨著您在更多可用區域中新增更多執行個體,它會擴展並變得更可靠。查詢數量沒有每個 VPC 彙總限制,因此 Route 53 Resolver 可以在 VPC 的邊界內進行擴展,這本質上是以網路位址用量 (NAU) 為基礎。如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 的網路地址使用方式。
下圖顯示 Route 53 Resolver 如何在可用區域內解析 DNS 查詢的概觀。
