Überlegungen zum Arbeiten mit einer privaten gehosteten Zone

Beachten Sie die folgenden Überlegungen zur Verwendung von privaten gehosteten Zonen.

• Amazon VPC settings

• Route 53 health checks

• Supported routing policies for records in a private hosted zone

• Split-view DNS

• Public and private hosted zones that have overlapping namespaces

• Private hosted zones that have overlapping namespaces

• Private hosted zones and Route 53 Resolver rules

• Delegating responsibility for a subdomain

• Custom DNS servers

• Required IAM permissions

VPCAmazon-Einstellungen

Um privat gehostete Zonen zu verwenden, müssen Sie die folgenden VPC Amazon-Einstellungen auf einstellentrue:

• enableDnsHostnames

• enableDnsSupport

Weitere Informationen finden Sie unter DNSSupport für Sie aktualisieren VPC im VPCAmazon-Benutzerhandbuch.

Route 53 Zustandsprüfungen

In einer privaten gehosteten Zone können Sie Route-53-Zustandsprüfungen nur mit Failover und mehrwertigen Antworten sowie mit gewichteten, Latenz- und Geolokalisierungsdatensätzen verknüpfen. Weitere Informationen zum Zuordnen von Zustandsprüfungen zu Failover-Datensätzen finden Sie unter Konfigurieren von Failover in einer privaten gehosteten Zone.

Unterstützte Routing-Richtlinien für Datensätze in einer privaten gehosteten Zone

Sie können die folgenden Routing-Richtlinien verwenden, wenn Sie Datensätze in einer privat gehosteten Zone erstellen:

• Einfaches Routing

• Failover-Routing

• Mehrwertiges Antwort-Routing

• Gewichtetes Routing

• Latenzbasiertes Routing

• Geolocation-Routing

• Routing mit Geoproximität

Sie können keine Datensätze in einer privat gehosteten Zone mit anderen Routing-Richtlinien erstellen.

Geteilte Ansicht DNS

Sie können Route 53 verwenden, um Split-View, auch bekannt als Split-HorizonDNS, zu konfigurieren. DNS In Split-View DNS verwenden Sie denselben Domainnamen (example.com) für interne Zwecke (accounting.example.com) und externe Zwecke, z. B. Ihre öffentliche Website (www.example.com). Sie können auch denselben Subdomänennamen intern und extern verwenden, aber unterschiedliche Inhalte bereitstellen oder eine unterschiedliche Authentifizierung für interne und externe Benutzer erfordern.

Um Split-View zu konfigurieren, führen Sie die folgenden Schritte aus: DNS

1. Erstellen Sie öffentliche und private gehostete Zonen mit demselben Namen. (Split-View funktioniert DNS immer noch, wenn Sie einen anderen DNS Dienst für die öffentlich gehostete Zone verwenden.)

2. Ordnen Sie der privaten VPCs Hosting-Zone ein oder mehrere Amazon zu. Route 53 Resolver verwendet die private gehostete Zone, um DNS Abfragen in der angegebenen VPCs Zone weiterzuleiten.

3. Erstellen Sie Datensätze in jeder gehosteten Zone. Aufzeichnungen in der öffentlich gehosteten Zone steuern, wie der Internetverkehr weitergeleitet wird, und Aufzeichnungen in der privaten gehosteten Zone steuern, wie der Verkehr in Ihrem Amazon weitergeleitet wird. VPCs

Wenn Sie die Namensauflösung sowohl für Ihre als auch für Ihre VPC lokalen Workloads durchführen müssen, können Sie Route 53 Resolver verwenden. Weitere Informationen finden Sie unter Was ist Amazon Route 53 Resolver?.

Öffentliche und private gehostete Zonen mit überlappenden Namespaces

Wenn Sie private und öffentliche gehostete Zonen mit überlappenden Namespaces wie „example.com“ und „accounting.example.com“ haben, leitet den Datenverkehr auf der Grundlage der spezifischsten Übereinstimmung weiter. Wenn Benutzer bei einer EC2 Instance in einem Amazon angemeldet sindVPC, die Sie der privaten Hosting-Zone zugeordnet haben, behandelt Route 53 Resolver DNS Abfragen wie folgt:

1. bewertet, ob der Name der privaten gehosteten Zone dem Domänennamen in der Anforderungen entspricht, z. B. "finanzen.beispiel.com". Eine Übereinstimmung wird wie folgt definiert (entweder/oder):

   • Eine identische Übereinstimmung

   • Der Name der privat gehosteten Zone ist ein übergeordneter Domänenname in der Anforderung. Angenommen, der Domänenname in der Anforderung lautet wie folgt:

     seattle.finanzen.beispiel.com

     Die folgenden gehosteten Zonen stimmen überein, da sie "seattle.finanzen.beispiel.com" übergeordnet sind:

     • finanzen.beispiel.com

     • example.com

   Wenn es keine passende private gehostete Zone gibt, leitet Resolver die Anfrage an einen öffentlichen DNS Resolver weiter, und Ihre Anfrage wird als reguläre Anfrage gelöst. DNS

2. Wenn es einen Namen für eine private gehostete Zone gibt, der mit dem Domainnamen in der Anfrage übereinstimmt, wird die Hosting-Zone nach einem Datensatz durchsucht, der dem Domainnamen entspricht, und DNS gibt die Anfrage ein, z. B. einen A-Eintrag für accounting.example.com.

   Anmerkung

   Wenn es eine passende private Hosting-Zone gibt, aber kein Datensatz vorhanden ist, der dem Domainnamen und dem Typ der Anfrage entspricht, leitet Resolver die Anfrage nicht an einen öffentlichen Resolver weiter. DNS Stattdessen gibt es NXDOMAIN (nicht existierende Domain) an den Client zurück.

Öffentliche und private gehostete Zonen mit überlappenden Namespaces

Wenn Sie über mindestens zwei private gehostete Zonen mit überlappenden Namespaces wie „example.com“ und „accounting.example.com“ verfügen, leitet den Datenverkehr auf der Grundlage der spezifischsten Übereinstimmung weiter.

Anmerkung

Wenn Sie über eine private gehostete Zone (example.com) und eine Route 53-Regel verfügen, die Datenverkehr für denselben Domänennamen an Ihr Netzwerk weiterleitet, hat die Resolver-Regel Vorrang. Siehe Private hosted zones and Route 53 Resolver rules.

Wenn Benutzer bei einer EC2 Instance in Amazon angemeldet sindVPC, die Sie mit allen privaten Hosting-Zonen verknüpft haben, behandelt Resolver DNS Anfragen wie folgt:

1. bewertet, ob der Domänenname in der Anforderung wie „accounting.example.com“ dem Namen einer der privaten gehosteten Zonen entspricht.

2. Wenn keine gehostete Zone vorhanden ist, die genau dem Domänennamen in der Anforderung entspricht, sucht nach einer gehosteten Zone mit einem Namen, der der übergeordnete Domänenname in der Anforderung ist. Angenommen, der Domänenname in der Anforderung lautet wie folgt:

   seattle.accounting.example.com

   Die folgenden gehosteten Zonen stimmen überein, weil sie übergeordnete Zonen von seattle.accounting.example.com sind:

   • accounting.example.com

   • example.com

   Resolver wählt accounting.example.com aus, weil es spezifischer ist als example.com.

3. Resolver durchsucht die accounting.example.com gehostete Zone nach einem Datensatz, der dem Domainnamen und dem DNS Typ der Anfrage entspricht, z. B. einem A-Eintrag für. seattle.accounting.example.com

   Wenn es keinen Datensatz gibt, der mit dem Domainnamen und dem Typ der Anfrage übereinstimmt, gibt Resolver NXDOMAIN (Domain nicht vorhanden) an den Client zurück.

Private gehostete Zonen und Route 53 Resolver-Regeln

Wenn Sie über eine private gehostete Zone (example.com) und eine -Regel verfügen, die Datenverkehr für denselben Domänennamen an Ihr Netzwerk weiterleitet, hat die -Regel Vorrang.

Angenommen, folgende Konfiguration liegt vor:

• Sie haben eine private gehostete Zone namens example.com und verknüpfen sie mit einer. VPC

• Sie erstellen eine Route 53 Resolver-Regel, die den Datenverkehr für example.com an Ihr Netzwerk weiterleitet, und ordnen die Regel derselben zu. VPC

In dieser Konfiguration hat die -Regel Vorrang vor der privaten gehosteten Zone. DNSAnfragen werden an Ihr Netzwerk weitergeleitet, anstatt anhand der Datensätze in der privaten Hosting-Zone gelöst zu werden.

Delegieren der Verantwortlichkeit für eine Subdomäne

Sie können keine NS-Datensätze in einer privat gehosteten Zone erstellen, um die Verantwortlichkeit für eine Subdomäne zu delegieren.

Benutzerdefinierte DNS Server

Wenn Sie in Ihren benutzerdefinierte DNS Server auf EC2 Amazon-Instances konfiguriert habenVPC, müssen Sie diese DNS Server so konfigurieren, dass Ihre privaten DNS Anfragen an die IP-Adresse der von Amazon bereitgestellten DNS Server für Sie weitergeleitet werden. VPC Diese IP-Adresse ist die IP-Adresse an der Basis des VPC Netzwerkbereichs „plus zwei“. Wenn der CIDR Bereich für Ihren beispielsweise 10.0.0.0/16 VPC ist, ist die IP-Adresse des DNS Servers 10.0.0.2.

Wenn Sie DNS Abfragen zwischen VPCs und Ihrem Netzwerk weiterleiten möchten, können Sie Resolver verwenden. Weitere Informationen finden Sie unter Was ist Amazon Route 53 Resolver?.

Erforderliche Berechtigungen IAM

Um privat gehostete Zonen zu erstellen, müssen Sie zusätzlich zu den IAM Berechtigungen für Route EC2 53-Aktionen auch Berechtigungen für Amazon-Aktionen gewähren. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Route 53 in der Service-Autorisierungs-Referenz.