解決 VPCs與 網路之間的DNS查詢 - Amazon Route 53
網路上的DNS解析程式如何將DNS查詢轉送至 Route 53 Resolver 端點Route 53 Resolver 端點如何將DNS查詢從 轉送VPCs到您的網路建立傳入和傳出端點時的注意事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

解決 VPCs與 網路之間的DNS查詢

Resolver 包含您設定的端點,以接聽對內部部署環境的DNS查詢。

注意

不支援從您的內部部署DNS伺服器轉送私有DNS查詢到任何 VPC CIDR + 2 地址,這可能會導致不穩定的結果。建議您改為使用 Resolver 傳入端點。

您也可以設定轉送規則,在 Resolver 與網路上的DNS解析程式之間整合DNS解析度。您的網路可以包含可從 連線的任何網路VPC,例如:

  • VPC 本身

  • 另一個對等互連 VPC

  • AWS 使用 AWS Direct Connect、 VPN或網路地址轉譯 (NAT) 閘道連線至 的內部部署網路

開始轉送查詢之前,您可以在連接的 中建立 Resolver 傳入和/或傳出端點VPC。這些端點提供輸入或輸出查詢的路徑:

傳入端點:您網路上的DNS解析程式可以透過此端點將DNS查詢轉送至 Route 53 Resolver

這可讓您的DNS解析程式輕鬆解析 AWS 資源的網域名稱,例如 Route 53 私有託管區域中的EC2執行個體或記錄。如需詳細資訊,請參閱網路上的DNS解析程式如何將DNS查詢轉送至 Route 53 Resolver 端點

傳出端點:Resolver 會有條件地透過此端點向您網路上的解析程式轉送查詢

若要轉送選取的查詢,您可以建立解析程式規則,指定您要轉送之DNS查詢的網域名稱 (例如 example.com),以及您要轉送查詢之網路上DNS解析程式的 IP 地址。如果查詢符合多項規則 (example.com、acme.example.com),Resolver 會選擇最符合的規則 (acme.example.com),並轉送查詢到您以該規則指定的 IP 地址。如需詳細資訊,請參閱Route 53 Resolver 端點如何將DNS查詢從 轉送VPCs到您的網路

如同 Amazon VPC,Resolver 是區域性的。在您擁有 的每個區域中VPCs,您可以選擇是否要將查詢從 轉送VPCs至您的網路 (傳出查詢)、從網路轉送至您的 VPCs(傳入查詢),或兩者。

您無法在非 擁有VPC的 中建立解析程式端點。只有VPC擁有者可以建立 VPC層級資源,例如傳入端點。

注意

當您建立解析程式端點時,您無法指定執行個體租用屬性設定為 VPC的 dedicated。如需詳細資訊,請參閱在VPCs已針對專用執行個體租用設定的 中使用解析程式

若要使用傳入或傳出轉送,請在 中建立解析程式端點VPC。作為端點定義的一部分,您可以指定您要轉送傳入DNS查詢的 IP 地址,或您要傳出查詢來源的 IP 地址。對於您指定的每個 IP 地址,Resolver 會自動建立VPC彈性網路介面。

下圖顯示DNS查詢從網路上的DNS解析程式到 Route 53 Resolver 端點的路徑。

概念圖形,顯示從網路上的DNS解析程式到 Route 53 Resolver 端點的DNS查詢路徑。

下圖顯示查詢的路徑,DNS從 中其中一個 EC2 執行個體VPCs到您網路上的DNS解析程式。

概念圖形,顯示查詢DNS從網路到 Route 53 Resolver 的路徑。

如需VPC網路介面的概觀,請參閱《Amazon VPC使用者指南》中的彈性網路介面

主題

網路上的DNS解析程式如何將DNS查詢轉送至 Route 53 Resolver 端點

當您想要將DNS查詢從網路轉送到 區域中的 AWS Route 53 Resolver 端點時,請執行下列步驟:

  1. 您可以在 中建立 Route 53 Resolver 傳入端點,VPC並指定網路上解析程式轉送DNS查詢的 IP 地址。

    對於您為傳入端點指定的每個 IP 地址,Resolver 會在VPC您建立傳入端點的 中建立VPC彈性網路介面。

  2. 您可以在網路上設定解析程式,將適用網域名稱的DNS查詢轉送到您在傳入端點中指定的 IP 地址。如需詳細資訊,請參閱建立傳入和傳出端點時的注意事項

以下是 Resolver 如何解決源自您網路上的DNS查詢:

  1. 網路上的 Web 瀏覽器或其他應用程式會為您轉送至解析程式的網域名稱提交DNS查詢。

  2. 您網路上的解析程式會將查詢轉送至傳入端點的 IP 地址。

  3. 傳入端點將查詢轉送至 Resolver。

  4. Resolver 會在內部或透過對公有名稱伺服器執行遞迴查詢,取得DNS查詢中網域名稱的適用值。

  5. Resolver 會將值傳回傳入端點。

  6. 傳入端點將值傳回您網路上的解析程式。

  7. 您網路上的解析程式將值傳回應用程式。

  8. 使用 Resolver 傳回的值,應用程式會提交HTTP請求,例如 Amazon S3 儲存貯體中物件的請求。

建立傳入端點不會變更解析程式的行為,只會提供從 AWS 網路外部位置到解析程式的路徑。

Route 53 Resolver 端點如何將DNS查詢從 轉送VPCs到您的網路

當您想要將DNS查詢從 VPCs AWS 區域中一或多個EC2執行個體轉送至網路時,請執行下列步驟。

  1. 您可以在 中建立 Route 53 Resolver 傳出端點VPC,並指定數個值:

    • VPC 您希望DNS查詢傳遞至您網路上解析程式的 。

    • VPC 您希望 Resolver 轉送DNS查詢的 中 IP 地址。若要在您的網路上託管,這些是DNS查詢來源的 IP 地址。

    • VPC 安全群組

    對於您為傳出端點指定的每個 IP 地址,Resolver 會在VPC您指定的 中建立 Amazon VPC彈性網路介面。如需詳細資訊,請參閱建立傳入和傳出端點時的注意事項

  2. 您可以建立一或多個規則,指定您希望解析程式轉送至網路上解析程式的DNS查詢網域名稱。您也要指定解析程式的 IP 地址。如需詳細資訊,請參閱使用規則來控制哪些查詢轉送到您的網路

  3. 您可以將每個規則與您要將DNS查詢轉送至網路VPCs的 建立關聯。

使用規則來控制哪些查詢轉送到您的網路

規則控制哪些DNS查詢 Route 53 Resolver 端點會轉送至您網路上的DNS解析程式,以及哪些查詢 Resolver 自行回答。

有幾種方式可以分類規則。一種方法是以規則建立者為分類依據:

  • 自動定義規則 – Resolver 會自動建立自動定義規則,並將規則與您的 建立關聯VPCs。這些規則大多適用於解析程式回答查詢 AWS的特定網域名稱。如需詳細資訊,請參閱Resolver 建立自動定義規則所針對的網域名稱

  • 自訂規則 – 您可以建立自訂規則,並將規則與 建立關聯VPCs。目前,您只能建立一種自訂規則,即條件式轉送規則,也稱為轉送規則。轉送規則會導致解析程式將DNS查詢從 轉送VPCs到您網路上DNS解析程式的 IP 地址。

    如果您為與自動定義規則相同的網域建立轉送規則,解析程式會根據轉送規則中的設定,將該網域名稱的查詢轉送至網路上的DNS解析程式。

另一個方法是依據操作內容分類規則:

  • 條件式轉送規則 – 當您想要將指定網域名稱的DNS查詢轉送到網路上的DNS解析程式時,您可以建立條件式轉送規則 (也稱為轉送規則)。

  • 系統規則 – 系統規則可讓 Resolver 選擇性地覆寫在轉送規則中定義的行為。當您建立系統規則時,Resolver 會解析指定子網域的DNS查詢,否則會由網路上的DNS解析程式解析。

    根據預設,轉送規則適用於網域名稱及其所有子網域。如果您想要將網域查詢轉送到網路的解析程式,但不想轉送某些子網域的查詢,您可以建立針對子網域的系統規則。例如,如果您為 example.com 建立了轉送規則,但不想轉送 acme.example.com 的查詢,您可以建立一項系統規則,並指定 acme.example.com 為網域名稱。

  • 遞迴規則 – Resolver 會自動建立名為 Internet Resolver (網際網路解析程式) 的遞迴規則。對於您未建立自訂規則,而且 Resolver 也未建立自動定義規則的任何網域名稱,這個規則會使 Route 53 Resolver 成為遞迴解析程式。如需如何覆寫這種行為的資訊,請參閱本主題稍後的「將所有查詢轉送到您的網路」。

您可以建立適用於特定網域名稱 (您的網域名稱或大多數 AWS 網域名稱)、公有 AWS 網域名稱或所有網域名稱的自訂規則。

將特定網域名稱的查詢轉送到您的網路

若要將 example.com 等特定網域名稱的查詢轉送到您的網路,您可以建立一項規則,指定該網域名稱。您也可以在網路上指定要轉送查詢的DNS解析程式 IP 地址。然後,您可以將每個規則與您要將DNS查詢轉送至網路VPCs的 建立關聯。例如,您可以分別為 example.com、example.org 和 example.net 建立規則。然後,您可以在任何組合VPCs中將規則與 AWS 區域中的 建立關聯。

將 amazonaws.com 的查詢轉送至您的網路

網域名稱 amazonaws.com 是EC2執行個體和 S3 儲存貯體等 AWS 資源的公有網域名稱。如果您想要將 amazonaws.com 的查詢轉送到您的網路,請建立一項規則,指定網域名稱為 amazonaws.com,並指定規則類型為 Forward (轉送)

注意

即使您為 amazonaws.com 建立轉送規則,解析程式也不會自動轉送某些 amazonaws.com 子網域的DNS查詢。如需詳細資訊,請參閱Resolver 建立自動定義規則所針對的網域名稱。如需如何覆寫這種行為的資訊,請參閱接下來的「將所有查詢轉送到您的網路」。

將所有查詢轉送到您的網路

如果您想要將所有查詢轉送到網路,請建立規則、為網域名稱指定 "." (點),並將規則與您要將所有DNS查詢轉送到網路VPCs的 建立關聯。Resolver 仍然不會將所有DNS查詢轉送到您的網路,因為在 外部使用DNS解析程式 AWS 會中斷某些功能。例如,某些內部 AWS 網域名稱具有無法從外部存取的內部 IP 地址範圍 AWS。如需建立「.」規則後無法將查詢轉送到您網路的網域名稱清單,請參閱 Resolver 建立自動定義規則所針對的網域名稱

不過,DNS可以停用自動定義的反向系統規則,允許「.」規則將所有反向DNS查詢轉送到您的網路。如需如何關閉自動定義之規則的詳細資訊,請參閱 在解析程式中轉送反向DNS查詢的規則

如果您想要嘗試將所有網域名稱的DNS查詢轉送至您的網路,包括預設排除在轉送之外的網域名稱,您可以建立「.」規則,並執行下列其中一項操作:

重要

如果您在建立「.」規則時將所有網域名稱轉送到您的網路,包括 Resolver 排除的網域名稱,有些功能可能會停止運作。

Resolver 如何判斷查詢中的網域名稱是否符合任何規則

Route 53 Resolver 會將DNS查詢中的網域名稱與規則中的網域名稱進行比較,這些規則與VPC查詢來源的 相關聯。在下列情況中,Resolver 認為網域名稱符合:

  • 網域名稱完全相符

  • 查詢中的網域名稱是規則中網域名稱的子網域

例如,如果規則中的網域名稱是 acme.example.com,Resolver 會將DNS查詢中的下列網域名稱視為相符:

  • acme.example.com

  • zenith.acme.example.com

下列網域名稱不相符:

  • example。com

  • nadir.example.com

如果查詢中的網域名稱符合多個規則 (例如 example.com 和 www.example.com) 中的網域名稱,Resolver 會使用包含最特定網域名稱 (www.example.com) 的規則來路由傳出DNS查詢。

Resolver 如何決定轉送DNS查詢的位置

當在 中的EC2執行個體上執行的應用程式VPC提交DNS查詢時,Route 53 Resolver 會執行下列步驟:

  1. Resolver 檢查規則中的網域名稱。

    如果查詢中的網域名稱符合規則中的網域名稱,Resolver 會將查詢轉送至您建立傳出端點時所指定的 IP 地址。然後傳出端點會將查詢轉送至您網路的解決程式 IP 地址,即您在建立規則時所指定的地址。

    如需詳細資訊,請參閱Resolver 如何判斷查詢中的網域名稱是否符合任何規則

  2. 解析程式端點會根據「.」規則中的設定轉送DNS查詢。

    如果查詢中的網域名稱不符合任何其他規則中的網域名稱,Resolver 會根據自動定義之「.」(點) 規則中的設定轉送查詢。點規則適用於所有網域名稱,但私有託管區域中的某些 AWS 內部網域名稱和記錄名稱除外。如果DNS查詢中的網域名稱與您自訂轉送規則中的任何名稱不相符,此規則會導致解析程式將查詢轉送至公有名稱伺服器。如果您想要將所有查詢轉送至您網路上的DNS解析程式,您可以建立自訂轉送規則、指定網域名稱的 "."、指定 類型的轉送,以及指定這些解析程式的 IP 地址。

  3. Resolver 會將回應傳回至提交查詢的應用程式。

在多個區域中使用規則

Route 53 Resolver 是一項區域服務,因此您在一個 AWS 區域中建立的物件只能在該區域中使用。若要在多個區域中使用相同的規則,您必須在每個區域中建立該規則。

建立規則 AWS 的帳戶可以與其他 AWS 帳戶共用規則。如需詳細資訊,請參閱與其他 AWS 帳戶共用解析程式規則並使用共用規則

Resolver 建立自動定義規則所針對的網域名稱

Resolver 會自動建立自動定義的系統規則,其中會定義如何解析所選網域的查詢:

  • 對於私有託管區域和 Amazon EC2– 特定網域名稱 (例如 compute.amazonaws.com 和 compute.internal),自動定義規則可確保如果您為不太特定的網域名稱建立條件式轉送規則,例如 "." (點) 或 "com",則私有託管區域和EC2執行個體會繼續解析。

  • 對於公開保留網域名稱 (例如 localhost 和 10.in-addr.arpa),DNS最佳實務建議在本機回答查詢,而不是轉送到公有名稱伺服器。請參閱 RFC 6303,本機服務DNS區域

注意

如果為「.」(點) 或「com」建立條件式轉送規則,建議您也為 amazonaws.com 建立系統規則。(系統規則會導致解析程式在本機解析特定網域和子網域的DNS查詢。) 建立此系統規則可提升效能、減少轉送至您網路的查詢數量,以及降低 Resolver 費用。

如果您想要覆寫自動定義的規則,則可以為相同的網域名稱建立條件式轉送規則。

您也可以停用某些自動定義的規則。如需詳細資訊,請參閱在解析程式中轉送反向DNS查詢的規則

Resolver 會建立下列自動定義的規則。

私有託管區域的規則

對於與 相關聯的每個私有託管區域VPC,解析程式會建立規則並將其與 建立關聯VPC。如果您將私有託管區域與多個 建立關聯VPCs,Resolver 會將規則與相同的 建立關聯VPCs。

此規則的類型為 Forward (轉送)

各種 AWS 內部網域名稱的規則

在本節中,所有內部網域名稱的規則類型都是 Forward (轉送)。解析程式會將這些網域名稱的DNS查詢轉送到 的權威名稱伺服器VPC。

注意

當您將 的enableDnsHostnames旗標設定為 VPC 時,解析程式會建立大部分的這些規則true。即使您未使用 Resolver 端點,Resolver 也會建立規則。

解析程式會建立下列自動定義的規則,並在將 的enableDnsHostnames旗標設定為 VPC時,將規則與 VPC 建立關聯true

  • Region-name.compute.internal,例如 eu-west-1.compute.internal。us-east-1 區域不使用此網域名稱。

  • Region-name.compute.amazon-domain-name,例如 eu-west-1.compute.amazonaws.com 或 cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn。us-east-1 區域不使用此網域名稱。

  • ec2.internal。僅 us-east-1 區域使用此網域名稱。

  • compute-1.internal。僅 us-east-1 區域使用此網域名稱。

  • compute-1.amazonaws.com。僅 us-east-1 區域使用此網域名稱。

下列自動定義規則是針對 Resolver 在您將 的enableDnsHostnames旗標設定為 VPC 時建立的規則進行反向DNS查詢true

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa 到 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • 每個 CIDR範圍的規則VPC。例如,如果 CIDR的範圍VPC為 10.0.0.0/23,Resolver 會建立下列規則:

    • 0.0.10.in-addr-arpa

    • 1.0.10.in-addr-arpa

當您將 的enableDnsHostnames旗標設定為 VPC時,也會建立下列自動定義規則,以用於 localhost VPC 相關網域true

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

解析程式會建立下列自動定義的規則,並在您VPC透過傳輸閘道或VPC對等互連將 VPC與另一個 連線,並啟用DNS支援VPC時,將它們與 建立關聯:

  • 對等 VPC的 IP 地址範圍反向DNS查詢,例如 0.192.in-addr.arpa

    如果您將 IPv4CIDR區塊新增至 VPC,Resolver 會為新的 IP 地址範圍新增自動定義的規則。

  • 如果另一個VPC位於另一個 區域,則下列網域名稱:

    • Region-name.compute.internal。us-east-1 區域不使用此網域名稱。

    • Region-name.computeamazon-domain-name. us-east-1 區域不使用此網域名稱。

    • ec2.internal。僅 us-east-1 區域使用此網域名稱。

    • compute-1.amazonaws.com。僅 us-east-1 區域使用此網域名稱。

所有其他網域的規則

Resolver 建立的「.」(點) 規則適用本主題前文中未指定的所有網域名稱。「.」規則都有 Recursive (遞迴) 類型,這表示規則可讓 Resolver 做為遞廻解析程式使用。

建立傳入和傳出端點時的注意事項

在 AWS 區域中建立傳入和傳出解析程式端點之前,請考慮下列問題。

每個 區域中的傳入和傳出端點數量

當您想要DNS將 與 整合VPCs到 AWS 區域的 中,DNS以用於您的網路時,通常需要一個解析程式傳入端點 (用於轉送至 的DNS查詢VPCs) 和一個傳出端點 (用於從 轉送VPCs至網路的查詢)。您可以建立多個傳入端點和多個傳出端點,但一個傳入或傳出端點足以處理每個個別方向的DNS查詢。注意下列事項:

  • 對於每個 Resolver 端點,您需要指定位於不同可用區域的兩個或更多個 IP 地址。端點中的每個 IP 地址每秒可以處理大量DNS查詢。(如需了解端點中每個 IP 地址每秒的查詢次數的目前上限,請參閱 Route 53 Resolver 的配額。) 如果您需要 Resolver 來處理更多的查詢,您可以將多個 IP 地址新增到現有的端點,而不是新增其他端點。

  • 解析程式定價是根據端點中的 IP 地址數量,以及端點處理的DNS查詢數量。每個端點包含至少兩個 IP 地址。如需 Resolver 定價的詳細資訊,請參閱 Amazon Route 53 定價

  • 每個規則都會指定要轉送DNS查詢的傳出端點。如果您在 AWS 區域中建立多個傳出端點,而且想要將部分或全部解析程式規則與每個 建立關聯VPC,則需要建立這些規則的多個複本。

VPC 對傳入和傳出端點使用相同的

您可以在相同區域中,於相同VPC或不同的 VPCs中建立傳入和傳出端點。

如需詳細資訊,請參閱Amazon Route 53 的最佳實務

傳入端點和私有託管區域

如果您希望 Resolver 使用私有託管區域中的記錄來解決傳入DNS查詢,請將私有託管區域與您建立傳入端點VPC的 建立關聯。如需將私有託管區域與 建立關聯的資訊VPCs,請參閱 使用私有託管區域

VPC 對等互連

無論VPC您選擇的 是否與其他 對等,您都可以VPC在 AWS 區域中將任何 用於傳入或傳出端點VPCs。如需詳細資訊,請參閱 Amazon Virtual Private Cloud 對VPC等互連。

共用子網路中的 IP 位址

當您建立傳入或傳出端點時,只有在目前帳戶建立 時,才能在共用子網路中指定 IP 地址VPC。如果另一個帳戶在 中建立 ,VPC並與VPC您的帳戶共用子網路,則您無法在該子網路中指定 IP 地址。如需共用子網路的詳細資訊,請參閱《Amazon VPC使用者指南》中的使用共用VPCs子網路。

您的網路與您在 中建立端點VPCs的 之間的連線

您的網路與您在其中建立端點VPCs的 之間必須具有下列其中一個連線:

當您共用規則時,您也會共用傳出端點

建立規則時,您可以指定您希望 Resolver 用來將DNS查詢轉送至網路的傳出端點。如果您與其他 AWS 帳戶共用規則,您也可以間接共用您在規則中指定的傳出端點。如果您使用多個 AWS 帳戶在 VPCs AWS 區域中建立,您可以執行下列動作:

  • 在該區域中建立一個傳出端點。

  • 使用一個 AWS 帳戶建立規則。

  • 與VPCs在 區域中建立的所有 AWS 帳戶共用規則。

這可讓您使用 區域中的一個傳出端點,從多個 將DNS查詢轉送至您的網路,VPCs即使 VPCs 是使用不同的 AWS 帳戶建立。

選擇端點的協定

端點協定確定如何將資料傳輸至傳入端點以及從傳出端點傳輸資料。不需要加密VPC流量的DNS查詢,因為網路上的每個封包流程都會針對規則個別授權,以在傳輸和交付之前驗證正確的來源和目的地。未同時經傳輸和接收實體明確授權,資訊在實體之間任意傳遞的可能性極小。如果封包路由至目的地時沒有與其相符的規則,則此封包會捨棄。如需詳細資訊,請參閱 VPC 功能

可用的通訊協定包括:

  • Do53:DNS透過連接埠 53。透過使用 Route 53 Resolver 轉送資料,而無需額外加密。雖然外部單位無法讀取資料,但可以在 AWS 網路中檢視。使用 UDP或 TCP 傳送封包。Do53 主要用於 Amazon 內和之間的流量VPCs。

  • DoH:資料會透過加密HTTPS工作階段傳輸。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。

  • DoH-FIPS:資料會透過符合 140-2 FIPS 密碼編譯標準的加密HTTPS工作階段傳輸。僅支援傳入端點。如需詳細資訊,請參閱 FIPS PUB 140-2

對於傳入端點,您可以按如下方式套用協定:

  • Do53 和 DOH 組合。

  • Do53 和 DoH-FIPS 組合。

  • 單獨 Do53。

  • 單獨 DoH。

  • 僅 DoHFIPS。

  • 無,視為 Do53。

對於傳出端點,您可以按如下方式套用協定:

  • Do53 和 DOH 組合。

  • 單獨 Do53。

  • 單獨 DoH。

  • 無,視為 Do53。

另請參閱 當您建立或編輯傳入端點時所指定的值當您建立或編輯傳出端點時所指定的值

在VPCs已針對專用執行個體租用設定的 中使用解析程式

當您建立解析程式端點時,您無法指定執行個體租用屬性設定為 VPC的 dedicated。Resolver 不會在單一租戶硬體上執行。

您仍然可以使用 Resolver 來解決源自 的DNS查詢VPC。建立至少一個執行個體租用屬性設定為 VPC的 default,並在建立傳入和傳出端點VPC時指定 。

建立轉送規則時,您可以將它與任何 建立關聯VPC,無論執行個體租用屬性的設定為何。