Route 53 Resolver 可用性和擴展

Amazon Route 53 Resolver，在 Amazon VPC CIDR + 2 地址和 fd00：ec2：：253 上執行，預設可在所有 VPCs 中使用，並遞迴回應 DNS 查詢，以取得公有記錄、Amazon VPC 特定 DNS 名稱和 Route 53 私有託管區域。有兩個高度可用的元件，對使用者透明，構成 Route 53 Resolver：Nitro Resolver 服務和 Zonal Resolver 機群。Nitro Resolver Service 是一項服務，可在 Nitro 執行個體上的 Nitro 卡和較舊執行個體中的 Dom0 中執行，並使用在主機伺服器上本機傳送至 Route 53 Resolver 的封包。如需詳細資訊，請參閱 AWS Nitro 系統的安全設計。

Nitro Resolver 服務具有本機快取，可透過回應執行個體在短時間內重複的查詢，協助減少延遲。當 Nitro Resolver 服務收到沒有快取答案的查詢時，它會將查詢轉送到區域解析程式機群，這是一個高度可用的解析程式機群，通常與執行個體位於相同的可用區域中。當透過上游名稱伺服器或路徑中的其他元件處理查詢失敗時，Nitro Resolver 服務通常能夠透明地處理這些失敗，而不會影響執行個體上執行的工作負載。此外，如果解析程式從網域名稱伺服器遇到查詢逾時、拒絕連線或 SERVFAILS，可能會回應超出Time-To-Live(TTL) 值的快取答案，以改善可用性。Nitro Resolver 服務與區域解析程式機群之間的查詢僅限於客戶 VPC 外部的嚴格控制網路，客戶無法存取該網路，且受到嚴格的安全控制。透過處理 Nitro Resolver 服務與 VPC 外部區域解析程式機群之間的查詢，客戶將無法攔截其 VPC 內的 DNS 查詢。目的地為 外部伺服器名稱的查詢 AWS 將周遊公有網際網路，源自屬於區域解析程式機群的公有 IP 地址。我們目前不支援 EDNS0-Client 子網路屬性，這表示所有目的地為公有 DNS 名稱伺服器的查詢都不會包含原始客戶 IP 地址的相關資訊。

Nitro Resolver 服務是執行個體上 Link-Local 服務的一部分。Link-Local 服務包括 Route 53 Resolver、Amazon Time Service (NTP)、Instance Metadata Service (IMDS) 和 Windows Licensing Service （適用於 Windows 執行個體）。這些服務會隨著您在 VPC 中建立的每個彈性網路介面進行擴展，而且每個網路介面每秒允許 1024 個封包 (PPS)，以 Link-Local 服務為目標。超過此限制的封包會遭到拒絕。您可以判斷您是否已從 ethtool 傳回linklocal_allowance_exceeded的值中超過此限制。如需 ethtool 的詳細資訊，請參閱《Amazon EC2 使用者指南》中的監控 Amazon EC2 執行個體的網路效能。 Amazon EC2 CloudWatch Agent 也可以將此指標報告給 CloudWatch 指標。由於 Route 53 Resolver 是依網路介面實作，因此當您在更多可用區域中新增更多執行個體時，它會擴展並變得更可靠。查詢數量沒有每個 VPC 彙總限制，因此 Route 53 Resolver 可以在 VPC 的邊界內進行擴展，而 VPC 本身是以網路地址用量 (NAU) 為基礎。如需詳細資訊，請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 網路地址用量。

下圖顯示 Route 53 Resolver 如何在可用區域中解析 DNS 查詢的概觀。