Remarques sur l'utilisation des zones hébergées privées

Lorsque vous utilisez des zones hébergées privées, notez les informations suivantes.

• Amazon VPC settings

• Route 53 health checks

• Supported routing policies for records in a private hosted zone

• Split-view DNS

• Public and private hosted zones that have overlapping namespaces

• Private hosted zones that have overlapping namespaces

• Private hosted zones and Route 53 Resolver rules

• Delegating responsibility for a subdomain

• Custom DNS servers

• Required IAM permissions

Paramètres Amazon VPC

Pour utiliser les zones hébergées privées, vous devez définir les paramètres Amazon VPC suivants sur true :

• enableDnsHostnames

• enableDnsSupport

Pour plus d'informations, consultez Mise à jour du support DNS pour votre VPC dans le Guide de l'utilisateur Amazon VPC.

Surveillances d'états Route 53

Dans une zone hébergée privée, vous pouvez associer des surveillances d'états Route 53 uniquement à des registres de basculement, de réponse multivaleur et pondérée, de latence, et de registres de géolocalisation ,. Pour plus d'informations sur l'association de vérifications de l'état à des enregistrements de basculement, consultez Configuration du basculement dans une zone hébergée privée.

Politiques de routage des registres dans une zone hébergée privée prises en charge

Vous pouvez utiliser les stratégies de routage suivantes lors de la création d'enregistrements dans une zone hébergée privée :

• Routage simple

• Routage par basculement

• Multivalue answer routing (Routage de réponse multivaleur)

• Weighted routing (Routage pondéré)

• Routage basé sur la latence

• Routage de géolocalisation

La création d'enregistrements dans une zone hébergée privée à l'aide d'autres stratégies de routage de géolocalisation ou de latence n'est pas prise en charge.

DNS vue divisée

Vous pouvez utiliser Route 53 pour configurer un DNS en mode d'affichage fractionné, également connu sous le nom « DNS à horizon fractionné ». Dans le DNS en vue divisée, vous utilisez le même nom de domaine (example.com) pour des utilisations internes (accounting.example.com) et externes, notamment votre site web public (www.example.com). Vous pouvez également vouloir utiliser le même nom de sous-domaine en interne et en externe, mais proposer un contenu différent ou exiger une authentification différente pour les utilisateurs internes et externes.

Pour configurer le DNS en vue divisée, effectuez les opérations suivantes :

1. Créez des zones hébergées publiques et privées ayant le même nom (Le DNS en vue divisée continue à fonctionner si vous utilisez un autre service DNS pour la zone hébergée publique.)

2. Associez un ou plusieurs VPC Amazon à la zone hébergée privée. Route 53 Resolver utilise la zone hébergée privée pour acheminer les requêtes DNS dans les VPC spécifiés.

3. Créez des enregistrements dans chaque zone hébergée. Les enregistrements de la zone hébergée publique contrôlent la façon dont le trafic Internet est acheminé, et les enregistrements de la zone hébergée privée contrôlent la façon dont le trafic est acheminé dans vos VPC Amazon.

Si vous devez effectuer la résolution de nom de votre VPC et de vos charges de travail sur site, vous pouvez utiliser Route 53 Resolver. Pour de plus amples informations, veuillez consulter Qu'est-ce que c'est Amazon Route 53 Resolver ?.

Zones hébergées publiques et privées dont les espaces de noms se chevauchent

Si vous disposez de zones hébergées privées et publiques dont les espaces de noms se chevauchent, comme example.com et accounting.example.com, Resolver achemine le trafic en fonction de la correspondance la plus spécifique. Lorsque des utilisateurs sont connectés à une instance EC2 dans un VPC Amazon que vous avez associé à la zone hébergée privée, voici comment Route 53 Resolver gère les requêtes DNS :

1. Resolver évalue si le nom de la zone hébergée privée correspond au nom de domaine de la demande, par exemple, accounting.example.com. Une correspondance se définit de l'une des façons suivantes :

   • Une correspondance identique

   • Le nom de la zone hébergée privée est un parent du nom de domaine de la demande. Supposons par exemple que le nom de domaine de la demande soit :

     seattle.accounting.example.com

     Les zones hébergées suivantes correspondent, car elles sont parents de seattle.accounting.example.com :

     • accounting.example.com

     • example.com

   S'il n'existe aucune zone hébergée privée correspondante, Resolver transmet la demande à un résolveur DNS public et votre demande est résolue en tant que requête DNS normale.

2. Si le nom d'une zone hébergée privée correspond au nom de domaine de la demande, une recherche est lancée dans la zone hébergée afin de trouver un enregistrement correspondant au nom de domaine et au type DNS de la demande, par exemple un enregistrement A pour accounting.example.com.

   Note

   S'il existe une zone hébergée privée correspondante, mais qu'aucun registre ne correspond au nom de domaine ni au type de domaine de la demande, Resolver ne transfère pas la demande à un résolveur DNS public. Au lieu de cela, elle renvoie une réponse NXDOMAIN (domaine non existant) au client.

Zones hébergées privées dont les espaces de noms se chevauchent

Si vous disposez de deux zones hébergées privées ou plus dont les espaces de noms se chevauchent, comme example.com et accounting.example.com, Resolver achemine le trafic en fonction de la correspondance la plus spécifique.

Note

Si vous disposez d'une zone hébergée privée (example.com) et d'une règle Route 53 Resolver qui achemine le trafic vers votre réseau pour le même nom de domaine, la règle Resolver est prioritaire. Consultez Private hosted zones and Route 53 Resolver rules.

Lorsque des utilisateurs sont connectés à une instance EC2 dans un VPC Amazon que vous avez associé à toutes les zones hébergées privées, voici comment Resolver gère les requêtes DNS :

1. Resolver évalue si nom de domaine de la demande, par exemple, accounting.example.com, correspond au nom de l'une des zones hébergées privées.

2. Si aucune zone hébergée ne correspond exactement au nom de domaine dans la demande, Resolver recherche une zone hébergée dont le nom est le parent du nom de domaine dans la demande. Supposons par exemple que le nom de domaine de la demande soit :

   seattle.accounting.example.com

   Les zones hébergées suivantes correspondent, car elles sont parents de seattle.accounting.example.com :

   • accounting.example.com

   • example.com

   Resolver choisit accounting.example.com car il est plus spécifique que example.com.

3. Resolver recherche, dans la zone hébergée accounting.example.com, un registre correspondant au nom de domaine et au type DNS de la demande, par exemple, un registre A pour seattle.accounting.example.com.

   Si aucun enregistrement ne correspond au nom de domaine et au type dans la demande, Resolver renvoie NXDOMAIN (domaine inexistant) au client.

Zones hébergées privées et règles Route 53 Resolver

Si vous disposez d'une zone hébergée privée (example.com) et d'une règle Resolver qui achemine le trafic vers votre réseau pour le même nom de domaine, la règle Resolver est prioritaire.

Par exemple, supposons que vous ayez la configuration suivante :

• Vous disposez d'une zone hébergée privée appelée example.com et vous l'associez à un VPC.

• Vous créez une règle Route 53 Resolver qui transfère le trafic pour example.com vers votre réseau, et vous associez la règle au même VPC.

Dans cette configuration, la règle Resolver a priorité sur la zone hébergée privée. Les requêtes DNS sont transférées à votre réseau au lieu d'être résolues en fonction des enregistrements de la zone hébergée privée.

Délégation de responsabilité pour un sous-domaine

Vous ne pouvez pas créer d'enregistrements NS dans une zone hébergée privée afin de déléguer la responsabilité d'un sous-domaine.

Serveurs DNS personnalisés

Si vous avez configuré des serveurs DNS personnalisés sur des instances Amazon EC2 dans votre VPC, vous devez configurer ces serveurs DNS pour qu'ils acheminent vos requêtes DNS privées vers l'adresse IP des serveurs DNS fournis par Amazon pour votre VPC. Cette adresse IP est l'adresse IP à la base de votre plage réseau VPC, plus le chiffre deux. Par exemple, si la plage d'adresses CIDR pour votre VPC est 10.0.0.0/16, l'adresse IP du serveur DNS est 10.0.0.2.

Si vous souhaitez acheminer des requêtes DNS entre les VPC et votre réseau, vous pouvez utiliser Resolver. Pour de plus amples informations, veuillez consulter Qu'est-ce que c'est Amazon Route 53 Resolver ?.

Autorisations IAM requises

Pour créer des zones hébergées privées, vous devez accorder des autorisations IAM pour les actions Amazon EC2 outre les autorisations pour les actions Route 53. Pour plus d'informations, consultez la rubrique Actions, ressources et clés de condition pour Route 53 dans la section Référence de l'autorisation de service.