本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 Amazon DNS
作為 AWS 架構師或管理員,您會遇到的基礎聯網組件之一是 Amazon DNS 服務器,也稱為 Route 53 解析器。此解析DNS器服務原生整合至您 AWS 區域內的每個可用區域,為虛擬私有雲 () 中的網域名稱解析提供可靠且可擴充的解決方案。VPC在本節中,您將了解 Amazon DNS 伺服器的 IP 地址、它可以解析的私有DNS主機名稱,以及管理其使用情況的規則。
Amazon DNS 服務
Route 53 解析器(也稱為「Amazon 服務DNS器」或「AmazonProvidedDNS「)是內置在一個區域的每個可用區域中的DNS解析器服務。 AWS Route 53 解析器位於 169.254.169.253
(IPv4)、fd00:ec2::253
(IPv6),並且位於佈建給您VPC加兩個的主要私有IPV4CIDR範圍。例如,如果您VPC有一個IPv4CIDR的10.0.0.0/16
和一個IPv6CIDR的2001:db8::/32
,則可以到達 Route 53 解析器位於 169.254.169.253
(IPv4)、fd00:ec2::253
(IPv6) 或 10.0.0.2
(IPv4)。內的資源使VPC用鏈接本地地址進行DNS查詢。這些查詢會私下傳送到 Route 53 解析器,並且在網路上看不到。在IPv6唯一子網路中,只要 "AmazonProvidedDNS" 是選項集中的名稱伺服器,連IPv4結本機位址 (169.254.169.253) 仍然可以存取。DHCP
當您將執行個體啟動到中時VPC,我們會為執行個體提供私人DNS主機名稱。如果執行個體設定為公用IPv4位址且VPCDNS屬性已啟用,我們也會提供公用DNS主機名稱。
私人DNS主機名稱的格式取決於您啟動EC2執行個體時的設定方式。如需私人DNS主機名稱類型的詳細資訊,請參閱EC2執行個體命名。
您的 Amazon DNS 伺服器用VPC於解析您在 Route 53 中的私有託管區DNS域中指定的網域名稱。如需私有託管區域的詳細資訊,請參閱 Amazon Route 53 開發人員指南中的使用私有託管區域。
規則和考量
使用 Amazon DNS 伺服器時,需遵守下列規則和注意事項。
-
您無法使用網ACLs路或安全群組篩選進出 Amazon DNS 伺服器的流量。
-
使用 Hadoop 架構的服務 (例如 AmazonEMR) 需要執行個體解析其自己的完整網域名稱 (FQDN)。在這種情況下,如果
domain-name-servers
選項設定為自訂值,DNS解析度可能會失敗。為確保正確DNS解決方案,請考慮在DNS伺服器上新增條件式轉寄站,將網域的查詢轉寄
至 Amazon DNS 伺服器。如需詳細資訊,請參閱 Amazon EMR 管理指南中的設定主機叢集。VPCregion-name
.compute.internal -
Amazon 路線 53 解析器僅支持遞歸DNS查詢。
DNS主機名稱
當您啟動執行個體時,它一律會接收私人IPv4位址和與其私人位IPv4址相對應的私人DNS主機名稱。如果您的執行個體具有公開IPv4位址,其DNS屬性會VPC決定是否接收到與公用IPv4位址對應的公開DNS主機名稱。如需詳細資訊,請參閱DNS您的屬性 VPC。
啟用 Amazon 提供的DNS服務器後,DNS主機名稱被分配和解析,如下所示。
私人 IP DNS 名稱 (IPv4僅限)
您可以使用私有 IP DNS 名稱 (IPv4僅) 主機名稱來進行相同執行個體之間的通訊VPC。IPv4只要執行個體位DNS於相同 AWS 區域,而另一個執行個體的主機名稱位於 RFC191810.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
、和。VPCs 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
私人資源DNS名稱
可以解析為 A 的RBN基礎DNS名稱以及為此執行個體選取的AAAADNS記錄。在雙堆疊和IPv6僅子網路中的執行個體的執行個體詳細資料中,會顯示此DNS主機名稱。如需詳細資訊RBN,請參閱EC2執行個體主機名稱類型。
公眾 IPv4 DNS
公共(外部)IPv4DNS主機名稱採ec2-
用「public-ipv4-address
.compute-1.amazonaws.com.rproxy.goskope.comus-east-1
區域」和其他區域ec2-
的形式。Amazon DNS 伺服器會將公有DNS主機名稱解析為執行個體網路外部執行個體的公IPv4有IPv4地址,以及從執行個體網路內解析為執行個體的私有地址。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的公用IPv4地址和外部DNS主機名稱。public-ipv4-address
.region
.compute.amazonaws.com
DNS您的屬性 VPC
下列VPC屬性決定了為您提供的DNS支援VPC。如果啟用這兩個屬性,則啟動到該執行個體的執行個體在建立時被指派公用位IPv4址或彈性 IP 位址時VPC會收到公用DNS主機名稱。如果您為先前未啟用VPC這兩個屬性啟用這兩個屬性,則已啟動到該執行個體的執行個體會在具有公用位IPv4址或彈性 IP 位址時VPC接收公用DNS主機名稱。
若要檢查是否已為您啟用這些屬性VPC,請參閱檢視和更新您的DNS屬性 VPC。
屬性 | 描述 |
---|---|
enableDnsHostnames |
判斷是否VPC支援將公用DNS主機名稱指派給具有公用 IP 位址的執行個體。 除非是預設值, |
enableDnsSupport |
確定是否VPC支持通過 Amazon 提供的DNS服務器DNS解決。 如果此屬性是 此屬性的預設值為 |
規則和考量
-
如果這兩個屬性都設定為
true
,會發生下列情況:-
具有公用 IP 位址的執行個體會接收對應的公用DNS主機名
-
Amazon Route 53 Resolver 服務器可以解析亞馬遜提供的私人DNS主機名。
-
-
如果至少一個屬性設定為
false
,將發生以下情況:-
具有公用 IP 位址的執行個體不會收到對應的公用DNS主機名稱。
-
Amazon Route 53 Resolver 無法解析亞馬遜提供的私人DNS主機名。
-
如果DHCP選項集中有自訂網域DNS名稱,執行個體會接收自訂私人主機名稱。如果您未使用 Amazon Route 53 Resolver 伺服器,您的自訂網域名稱伺服器就必須視需要解析主機名稱。
-
-
如果您使用 Amazon Route 53 中私有託管區DNS域中定義的自訂網域名稱,或使DNS用私有介面VPC端點 (AWS PrivateLink),則必須將
enableDnsHostnames
和enableDnsSupport
屬性設定為true
。 -
Amazon Route 53 Resolver 可以將所有IPv4位址空間的私人DNS主機名稱解析為私人位址,包括您VPC的位IPv4址範圍超出 RFC19
18 年指定的私人IPv4位址範圍的地址。但是,如果您VPC在 2016 年 10 月之前建立,則如果您VPC的IPv4位址範圍超出這些範圍,則不 Amazon Route 53 Resolver 會解析私人DNS主機名稱。若要啟用這項支援,請聯絡 AWS Support 。 -
如果您使用VPC對等互連,則必須為兩者啟用這兩個屬性VPCs,並且必須啟用對等連線的DNS解決方案。如需詳細資訊,請參閱啟用對VPC等連線的DNS解析度。
DNS配額
對於使用連結本機位址的服務,每秒有 1024 個封包 (PPS) 限制。此限制包括 Route 53 解析器DNS查詢、執行個體中繼資料服務 (IMDS) 請求、Amazon 時間服務網路時間通訊協定 (NTP) 請求以及 Windows 授權服務 (適用於 Microsoft Windows 執行個體)
Route 53 解析器每秒支援的查DNS詢次數會因查詢類型、回應大小和使用中的通訊協定而有所不同。如需有關可擴充DNS架構的詳細資訊和建議,請參閱DNS與 Active Directory AWS
混合
如果您達到配額限制,Route 53 Resolver 會拒絕流量。達到配額的一些原因可能是DNS節流問題,或使用 Route 53 解析器網路介面的執行個體中繼資料查詢。如需如何解決VPCDNS節流問題的相關資訊,請參閱如何判斷我對 Amazon 提供之DNS伺服器的DNS查詢是否因為節流而失敗
私有託管區域
若要VPC使用自訂DNS網域名稱存取您中的資源,例如example.com
,而不是使用私人IPv4位址或 AWS提供的私人DNS主機名稱,您可以在 Route 53 中建立私有託管區域。私有託管區域是一個容器,其中包含有關如何在一個或多個網域內路由網域及其子網域的流量的資訊,VPCs而不會將資源暴露到網際網路。接著,您可以建立 Route 53 資源紀錄集,以決定 Route 53 如何回應網域和子網域的查詢。例如,如果您希望將 example.com 的瀏覽器請求路由到您的網頁伺服器VPC,您將在私人託管區域中建立 A 記錄,並指定該 Web 伺服器的 IP 位址。如需如何建立私有託管區域的詳細資訊,請參閱 Amazon Route 53 開發人員指南中的使用私有託管區域。
若要使用自訂DNS網域名稱存取資源,您必須連線至VPC. 在執行個體中,您可以使用ping
指令測試私有託管區域中的資源是否可從其自訂DNS名稱存取;例如ping mywebserver.example.com
。您必須確保執行個體的安全群組規則允許輸入ICMP流量,命ping
令才能運作。)
私有託管區域不支援以外的傳遞關係VPC;例如,您無法從VPN連線的另一端使用其自訂私有DNS名稱來存取資源。
重要
如果您使用 Amazon Route 53 中私有託管區DNS域中定義的自訂網域名稱,則必須將enableDnsHostnames
和enableDnsSupport
屬性設定為true
。