管理 DNS 端點服務的 VPC 名稱 - Amazon Virtual Private Cloud
網域所有權驗證獲取名稱和值將 TXT 記錄新增至網域的 DNS 伺服器檢查 TXT 記錄是否已發佈對網域驗證問題進行疑難排解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 DNS 端點服務的 VPC 名稱

服務供應商可以為其端點服務設定私有 DNS 名稱。當服務提供者使用現有的公有 DNS 名稱作為其端點服務的私有 DNS 名稱時,服務消費者不需要變更任何使用現有公有 DNS 名稱的應用程式。您必須先執行網域擁有權驗證檢查來證明您擁有網域,才能為端點服務設定私有 DNS 名稱。

考量事項

  • 端點服務只能有一個私有 DNS 名稱。

  • 當取用者建立介面端點以連線至您的服務時,我們會建立私有託管區域,並將其與服務取用者 VPC 建立關聯。我們在私有託管區域中建立記錄,將端點服務的私有 DNS 名稱映射至與端點服務相關聯的負載平衡器的 DNS 名稱。這可讓服務取用者 VPC 中的伺服器解析私有 DNS 名稱。

  • 您不得在公有託管區域中為私有 DNS 名稱建立 A 記錄。這樣做會允許服務消費者 VPC 以外的伺服器解析端點服務的私有 DNS 名稱。

  • Gateway Load Balancer 端點不支援私有 DNS 名稱。

  • 若要驗證網域,您必須具有公有主機名稱或公有 DNS 供應商。

  • 您可以驗證子網域的網域。例如,您可以驗證 example.com,而非 a.example.com。每個 DNS 標籤最多可以有 63 個字元,且整個網域名稱的總長度不得超過 255 個字元。

    如果您新增其他子網域,您必須驗證子網域或是網域。例如,假設您有一個 a.example.com 及已驗證的 example.com。您現在新增 b.example.com 作為私有 DNS 名稱。您必須先驗證 example.comb.example.com,服務消費者才能使用該名稱。

網域所有權驗證

您的網域與您透過 DNS 供應商管理的一組網域名稱服務 (DNS) 記錄相關聯。TXT 記錄是一種 DNS 記錄,可提供您網域的其他資訊。由名稱和值組成。作為驗證程序的一部分,您必須將 TXT 記錄新增至公有網域的 DNS 伺服器。

當我們偵測到網域的 TXT 設定中存在 DNS 記錄時,網域擁有權驗證即完成。

新增記錄後,您可以使用 Amazon VPC 主控台檢查網域驗證程序的狀態。在導覽窗格中,選擇 Endpoints Services (端點服務)。選取端點服務,並檢查 Details (詳細資訊) 標籤中 Domain verification status (網域驗證狀態) 的值。如果網域驗證處於擱置狀態,請等待幾分鐘並重新整理畫面。如果需要,您可以手動啟動驗證程序。選擇動作驗證私有 DNS 名稱的網域擁有權

驗證狀態時,私有 DNS 名稱可供服務消費者使用。如果驗證狀態變更,新的連線請求會遭到拒絕,但現有的連線不受影響。

如果驗證狀態為 failed (失敗),請參閱 對網域驗證問題進行疑難排解

獲取名稱和值

我們會提供您在 TXT 記錄中使用的名稱和值。例如,資訊在 AWS Management Console中可用。選取端點服務,然後參閱端點服務 Details (詳細資訊) 標籤中的 Domain verification name (網域驗證名稱) 和 Domain verification value (網域驗證值)。您也可以使用下列 describe-vpc-endpoint-service-configurations AWS CLI 命令來擷取指定端點服務之私有 DNS 名稱組態的相關資訊。

aws ec2 describe-vpc-endpoint-service-configurations \
    --service-ids vpce-svc-071afff70666e61e0 \
    --query ServiceConfigurations[*].PrivateDnsNameConfiguration

下列為範例輸出。當您建立 TXT 記錄Name時,將使用 Value和 。

[
    {
        "State": "pendingVerification",
        "Type": "TXT",
        "Value": "vpce:l6p0ERxlTt45jevFwOCp",
        "Name": "_6e86v84tqgqubxbwii1m"
    }
]

例如,假設您的網域名稱為 example.com,而 ValueName 如前面的範例輸出所示。下表是 TXT 記錄設定的範例。

名稱 Type Value

_6e86v84tqgqubxbwii1m.example.com

TXT

vpce:l6p0ERxlTt45jevFwOCp

我們建議您使用 Name 作為記錄子網域,因為基礎網域名稱可能已在使用中。但是,如果您的 DNS 提供者不允許 DNS 記錄名稱包含底線,您可以省略 "_6e86v84tqgqubxbwii1m",並在 TXT 記錄中使用 "example.com"。

在我們驗證 "_6e86v84tqgqubxbwii1m.example.com" 之後,服務消費者可以使用 "example.com" 或子網域 (例如,"service.example.com" 或 "my.service.example.com")。

將 TXT 記錄新增至網域的 DNS 伺服器

將 TXT 記錄新增至網域 DNS 伺服器的程序取決於提供 DNS 服務的人員。您的 DNS 供應商可能是 Amazon Route 53 或其他網域名稱註冊商。

為您的公有託管區域建立記錄。使用下列的值:

  • 針對記錄類型,選擇 TXT

  • 對於 TTL (秒),輸入 1800

  • 對於 Routing policy (路由政策),請選擇 Simple routing (簡便路由)。

  • 針對 Record name (記錄名稱),請輸入網域或子網域。

  • 針對 Value/Route traffic to (值/將流量路由到),請輸入網域驗證值。

如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用主控台建立記錄

前往 DNS 提供者的網站並登入您的帳戶。尋找 頁面以更新網域的 DNS 記錄。使用我們提供的名稱和值來新增 TXT 記錄。DNS 記錄更新最多可能需要 48 小時才能生效,但通常更早生效。

如需更具體的指示,請參閱 DNS 供應商的文件。下表提供數個常見 DNS 提供者的文件連結。此清單並不全面,也不是對這些公司提供的產品或服務的建議。

DNS/Hosting 供應商 文件連結

GoDaddy

新增 TXT 記錄

Dreamhost

新增自訂 DNS 記錄

Cloudflare

管理 DNS 記錄

HostGator

使用Word/DNS 管理 eNom HostGator 記錄

Namecheap

如何新增網域的 TXT/SPF/DKIM/DMARC 記錄?

Names.co.uk

變更網域的 DNS 設定

Wix

新增或更新 Wix 帳戶中的 TXT 記錄

檢查 TXT 記錄是否已發佈

您可以使用下列步驟,確認您的私有 DNS 名稱網域擁有權驗證 TXT 記錄已正確發佈至 DNS 伺服器。您將執行 命令,該nslookup命令可用於 Windows 和 Linux。

您將查詢提供網域的 DNS 伺服器,因為這些伺服器包含網域的最多 up-to-date 資訊。您的網域資訊需要一些時間才能傳播到其他 DNS 伺服器。

驗證您的 TXT 記錄是否已發佈至您的 DNS 伺服器

  1. 使用以下命令來查找網域的名稱伺服器。

    nslookup -type=NS example.com

    輸出會列出提供您網域的名稱伺服器。您在下一步驟將查詢其中一個伺服器。

  2. 使用下列命令,確認 TXT 記錄已正確發佈,其中 name_server 是您在上一個步驟中找到的其中一個名稱伺服器。

    nslookup -type=TXT  _6e86v84tqgqubxbwii1m.example.com name_server

  3. 在上一個步驟的輸出中,確認下列字串text =符合 TXT 值。

    在我們的範例中,如果記錄已正確發佈,輸出會包括以下內容。

    _6e86v84tqgqubxbwii1m.example.com text = "vpce:l6p0ERxlTt45jevFwOCp"

對網域驗證問題進行疑難排解

如果網域驗證程序失敗,下列資訊有助於對問題進行疑難排解。

  • 檢查您的 DNS 提供者是否允許在 TXT 記錄名稱中加上底線。如果您的 DNS 供應商不允許底線,您可以從 TXT 記錄省略網域驗證名稱 (例如 "_6e86v84tqgqubxbwii1m")。

  • 檢查您的 DNS 供應商是否將網域名稱附加到 TXT 記錄的結尾。有些 DNS 供應商會自動將網域名稱附加至 TXT 記錄的屬性名稱。若要避免重複網域名稱,請在建立 TXT 記錄時,在網域名稱的結尾加上句點。這會告訴 DNS 供應商不需要將網域名稱附加到 TXT 記錄。

  • 檢查您的 DNS 供應商是否修改 DNS 記錄值,以僅使用小寫字母。只有當驗證記錄的屬性值與我們提供的值完全相符時,我們才會驗證您的網域。如果 DNS 供應商將您的 TXT 記錄值變更為僅使用小寫字母,請聯絡他們尋求協助。

  • 您可能需要多次驗證您的網域,因為您支援多個區域或多個 AWS 帳戶。如果您的 DNS 提供者不允許您擁有多個具有相同屬性名稱的 TXT 記錄,請檢查您的 DNS 提供者是否允許您將多個屬性值指派給相同的 TXT 記錄。例如,如果您的 DNS 由 Amazon Route 53 管理,您可以使用下列程序。

    1. 在 Route 53 主控台中,選擇您在第一個區域中驗證網域時建立的 TXT 記錄。

    2. 針對 Value (值),移至現有屬性值的結尾,然後按 Enter 鍵。

    3. 新增其他區域的屬性值,然後儲存記錄集。

    如果您的 DNS 提供者不允許您將多個值指派給相同的 TXT 記錄,則可以使用 TXT 記錄的屬性名稱中的值驗證網域一次,以及使用從屬性名稱中移除的值驗證一次。不過,您只能驗證相同的網域兩次。