Überlegungen zum Arbeiten mit einer privaten gehosteten Zone - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen zum Arbeiten mit einer privaten gehosteten Zone

Beachten Sie die folgenden Überlegungen zur Verwendung von privaten gehosteten Zonen.

Amazon VPC-Einstellungen

Zur Verwendung von privat gehosteten Zonen müssen Sie die folgenden Amazon-VPC-Einstellungen auf true setzen:

  • enableDnsHostnames

  • enableDnsSupport

Weitere Informationen finden Sie unter Anzeigen und Aktualisieren der DNS-Unterstützung für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

Route 53 Zustandsprüfungen

In einer privaten gehosteten Zone können Sie Route-53-Zustandsprüfungen nur mit Failover und mehrwertigen Antworten sowie mit gewichteten, Latenz- und Geolokalisierungsdatensätzen verknüpfen. Weitere Informationen zum Zuordnen von Zustandsprüfungen zu Failover-Datensätzen finden Sie unter Konfigurieren von Failover in einer privaten gehosteten Zone.

Unterstützte Routing-Richtlinien für Datensätze in einer privaten gehosteten Zone

Sie können die folgenden Routing-Richtlinien verwenden, wenn Sie Datensätze in einer privat gehosteten Zone erstellen:

Sie können keine Datensätze in einer privat gehosteten Zone mit anderen Routing-Richtlinien erstellen.

Split-View-DNS

Sie können Route 53 verwenden, um Split-View-DNS (auch als Split-Horizon-DNS bekannt) zu konfigurieren. In Split-View-DNS verwenden Sie denselben Domänennamen (example.com) für interne Zwecke (accounting.example.com) und externe Zwecke, z. B. für Ihre öffentliche Website (www.example.com). Sie können auch denselben Subdomänennamen intern und extern verwenden, aber unterschiedliche Inhalte bereitstellen oder eine unterschiedliche Authentifizierung für interne und externe Benutzer erfordern.

Um Split-View-DNS zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie öffentliche und private gehostete Zonen mit demselben Namen. (Split-View-DNS funktioniert auch weiterhin, wenn Sie einen anderen DNS-Service für die öffentliche gehostete Zone verwenden.)

  2. Verknüpfen Sie eine oder mehrere Amazon VPCs mit der privaten gehosteten Zone. Route 53 Resolver verwendet die private gehostete Zone, um DNS-Abfragen in den angegebenen VPCs weiterzuleiten.

  3. Erstellen Sie Datensätze in jeder gehosteten Zone. Datensätze in der öffentlichen gehosteten Zone steuern, wie Internetdatenverkehr weitergeleitet wird, und Datensätze in der privaten gehosteten Zone steuern, wie der Datenverkehr in Ihren Amazon VPCs weitergeleitet wird.

Wenn Sie die Namensauflösung Ihrer VPC und Ihrer On-Premises-Workloads durchführen müssen, können Sie Route 53 Resolver verwenden. Weitere Informationen finden Sie unter Was ist Amazon Route 53 Resolver?.

Öffentliche und private gehostete Zonen mit überlappenden Namespaces

Wenn Sie private und öffentliche gehostete Zonen mit überlappenden Namespaces wie „example.com“ und „accounting.example.com“ haben, leitet den Datenverkehr auf der Grundlage der spezifischsten Übereinstimmung weiter. Wenn Benutzer bei einer EC2-Instance in einer Amazon VPC angemeldet sind, die Sie der privaten gehosteten Zone zugeordnet haben, verarbeitet Route 53 Resolver DNS-Abfragen folgendermaßen:

  1. bewertet, ob der Name der privaten gehosteten Zone dem Domänennamen in der Anforderungen entspricht, z. B. "finanzen.beispiel.com". Eine Übereinstimmung wird wie folgt definiert (entweder/oder):

    • Eine identische Übereinstimmung

    • Der Name der privat gehosteten Zone ist ein übergeordneter Domänenname in der Anforderung. Angenommen, der Domänenname in der Anforderung lautet wie folgt:

      seattle.finanzen.beispiel.com

      Die folgenden gehosteten Zonen stimmen überein, da sie "seattle.finanzen.beispiel.com" übergeordnet sind:

      • finanzen.beispiel.com

      • example.com

    Wenn es keine passende private gehostete Zone gibt, leitet die Anforderung an einen öffentlichen DNS-Auflöser weiter, und Ihre Anforderung wird als reguläre DNS-Abfrage aufgelöst.

  2. Wenn es eine privat gehostete Zone gibt, die dem Domänennamen in der Anforderung entspricht, wird die gehostete Zone nach einem Datensatz durchsucht, der dem Domänennamen und dem DNS-Datensatz in der Anforderung entspricht, z. B. ein A-Datensatz für „accounting.example.com“.

    Anmerkung

    Wenn es eine private gehostete Zone gibt, aber keinen Datensatz, der dem Domänennamen und -typ in der Anforderung entspricht, leitet die Anforderung nicht an den öffentlichen DNS-Resolver weiter. Stattdessen wird NXDOMAIN (nicht existierende Domäne) an den Client zurückgegeben.

Öffentliche und private gehostete Zonen mit überlappenden Namespaces

Wenn Sie über mindestens zwei private gehostete Zonen mit überlappenden Namespaces wie „example.com“ und „accounting.example.com“ verfügen, leitet den Datenverkehr auf der Grundlage der spezifischsten Übereinstimmung weiter.

Anmerkung

Wenn Sie über eine private gehostete Zone (example.com) und eine Route 53-Regel verfügen, die Datenverkehr für denselben Domänennamen an Ihr Netzwerk weiterleitet, hat die Resolver-Regel Vorrang. Siehe Private hosted zones and Route 53 Resolver rules.

Wenn Benutzer bei einer EC2-Instance in einer Amazon VPC angemeldet sind, die Sie allen privaten gehosteten Zonen zugeordnet haben, verarbeitet DNS-Abfragen folgendermaßen:

  1. bewertet, ob der Domänenname in der Anforderung wie „accounting.example.com“ dem Namen einer der privaten gehosteten Zonen entspricht.

  2. Wenn keine gehostete Zone vorhanden ist, die genau dem Domänennamen in der Anforderung entspricht, sucht nach einer gehosteten Zone mit einem Namen, der der übergeordnete Domänenname in der Anforderung ist. Angenommen, der Domänenname in der Anforderung lautet wie folgt:

    seattle.accounting.example.com

    Die folgenden gehosteten Zonen stimmen überein, weil sie übergeordnete Zonen von seattle.accounting.example.com sind:

    • accounting.example.com

    • example.com

    Resolver wählt accounting.example.com aus, weil es spezifischer ist als example.com.

  3. Resolver durchsucht die accounting.example.com gehostete Zone nach einem Datensatz, der dem Domänennamen und DNS-Typ in der Anforderung entspricht, z. B. einem A-Eintrag für seattle.accounting.example.com.

    Wenn kein Datensatz vorhanden ist, der dem Domänennamen und dem Typ in der Anforderung entspricht, gibt NXDOMAIN (nicht existierende Domäne) an den Client zurück.

Private gehostete Zonen und Route 53 Resolver-Regeln

Wenn Sie über eine private gehostete Zone (example.com) und eine -Regel verfügen, die Datenverkehr für denselben Domänennamen an Ihr Netzwerk weiterleitet, hat die -Regel Vorrang.

Angenommen, folgende Konfiguration liegt vor:

  • Sie haben eine private gehostete Zone namens example.com und verknüpfen sie mit einer VPC.

  • Sie erstellen eine Route 53-Regel, die Datenverkehr für example.com an Ihr Netzwerk weiterleitet, und Sie ordnen die Regel derselben VPC zu.

In dieser Konfiguration hat die -Regel Vorrang vor der privaten gehosteten Zone. DNS-Abfragen werden an Ihr Netzwerk weitergeleitet, anstatt basierend auf den Datensätzen in der privaten gehosteten Zone aufgelöst zu werden.

Delegieren der Verantwortlichkeit für eine Subdomäne

Sie können keine NS-Datensätze in einer privat gehosteten Zone erstellen, um die Verantwortlichkeit für eine Subdomäne zu delegieren.

Benutzerdefinierte DNS-Server

Wenn Sie benutzerdefinierte DNS-Server auf den Amazon-EC2-Instances in Ihrer VPC konfiguriert haben, müssen Sie diese DNS-Server so konfigurieren, dass Ihre privaten DNS-Abfragen an die IP-Adresse der von Amazon bereitgestellten DNS-Server für Ihre VPC weitergeleitet werden. Diese IP-Adresse ist die IP-Adresse an der Basis der VPC-Netzwerkbereichs "plus zwei". Wenn beispielsweise den CIDR-Bereich für Ihre VPC 10.0.0.0/16 lautet, ist die IP-Adresse des DNS-Servers 10.0.0.2.

Wenn Sie DNS-Abfragen zwischen VPCs und Ihrem Netzwerk weiterleiten möchten, können Sie resolver verwenden. Weitere Informationen finden Sie unter Was ist Amazon Route 53 Resolver?.

Erforderliche IAM-Berechtigungen

Zum Erstellen von privat gehosteten Zonen müssen Sie IAM-Berechtigungen für Amazon EC2-Aktionen zusätzlich zu den Berechtigungen für Route 53-Aktionen gewähren. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Route 53 in der Service-Autorisierungs-Referenz.