使用私有託管區域的考量

使用私有託管區域時，請注意下列注意事項：

• Amazon VPC settings

• Route 53 health checks

• Supported routing policies for records in a private hosted zone

• Split-view DNS

• Public and private hosted zones that have overlapping namespaces

• Private hosted zones that have overlapping namespaces

• Private hosted zones and Route 53 Resolver rules

• Delegating responsibility for a subdomain

• Custom DNS servers

• Required IAM permissions

Amazon VPC 設定

若要使用私有託管區域，您必須將下列 Amazon VPC 設定設為 true：

• enableDnsHostnames

• enableDnsSupport

如需詳細資訊，請參閱 Amazon VPC 使用者指南中的更新 VPC 的 DNS 支援。

Route 53 運作狀態檢查

在私有託管區域中，只能將 Route 53 運作狀態檢查與容錯移轉、多值回答、加權、延遲和地理位置記錄相關聯。如需將運作狀態檢查與容錯移轉記錄關聯的資訊，請參閱 在私有託管區域中設定容錯移轉。

支援的私有託管區域中記錄的路由政策

在私有託管區域中建立記錄時，可以使用以下路由政策：

• 簡便路由

• 容錯移轉路由

• 多值回答路由

• 加權路由

• 以延遲為基礎的路由

• 地理位置路由

• 地理鄰近路由

不支援使用其他路由政策在私有託管區域中建立記錄。

分割檢視 DNS

可以使用 Route 53 設定分割檢視 DNS，也稱為水平分割 DNS。在分割檢視 DNS 中，您會針對內部用途 (accounting.example.com) 和外部用途 (例如，您的公有網站 (www.example.com)) 使用相同的網域名稱 (example.com)。您可能還需要在內部和外部使用相同的子網域名稱，但提供不同的內容，或需要對內部和外部使用者進行不同的身分驗證。

若要設定分割檢視 DNS，請執行下列步驟：

1. 建立具有相同名稱的公有和私有託管區域。(如果您針對公有託管區域使用其他 DNS 服務，則分割檢視 DNS 仍可運作。)

2. 將一或多個 Amazon VPC 與私有託管區域建立關聯。Route 53 Resolver 會使用私有託管區域來路由指定 VPC 中的 DNS 查詢。

3. 在每個託管區域中建立記錄。公有託管區域中的記錄會控制網際網路流量的路由方式，私有託管區域中的記錄會控制流量在 Amazon VPC 中路由的方式。

如果您需要同時執行 VPC 和現場部署工作負載的名稱解析，您可以使用 Route 53 Resolver。如需詳細資訊，請參閱 什麼是 Amazon Route 53 Resolver？。

具有重疊命名空間的公有和私有託管區域

如果您的私有和公有託管區域具有重疊的命名空間，例如 example.com 和 accounting.example.com，則 Resolver 會根據最明確的匹配結果來路由傳送流量。當使用者在 Amazon VPC 中登入與私有託管區域相關聯的 EC2 執行個體時，以下是 Route 53 Resolver 處理 DNS 查詢的方式：

1. Resolver 評估私有託管區域的名稱是否與請求中的網域名稱相符，例如 accounting.example.com。符合定義為下列任一項：

   • 完全符合

   • 私有託管區域的名稱是請求中網域名稱的父系。例如，假設請求中的網域名稱如下：

     seattle.accounting.example.com

     以下託管區域相符，因為它們是 seattle.accounting.example.com 的父系：

     • accounting.example.com

     • example.com

   如果沒有相符的私有託管區域，Resolver 會將請求轉送到公有 DNS 解析程式，您的請求會被解析一般的 DNS 查詢。

2. 如果有與請求中的網域名稱相符的私有託管區域名稱，則會在該託管區域中搜尋與請求中的網域名稱和 DNS 類型相符的記錄，如 accounting.example.com 的 A 記錄。

   注意

   如果有相符的私有託管區域名稱，但沒有與請求中的網域名稱和類型相符的記錄，Resolver 不會將請求轉送到公有 DNS 解析程式，而是將 NXDOMAIN (不存在的網域) 傳回給用戶端。

具有重疊命名空間的私有託管區域

如果您的兩個或更多個私有託管區域具有重疊的命名空間，例如 example.com 和 accounting.example.com，則 Resolver 會根據最明確的匹配結果來路由傳送流量。

注意

如果您有私有託管區域 (example.com)，以及將流量路由到相同網域名稱之網路的 規則，則 Route 53 Resolver 規則優先。請參閱Private hosted zones and Route 53 Resolver rules。

當使用者在 Amazon VPC 中登入與全部私有託管區域相關聯的 EC2 執行個體時，以下是 Resolver 處理 DNS 查詢的方式：

1. Resolver 評估請求中的網域名稱，例如 accounting.example.com，是否與其中一個私有託管區域的名稱相符。

2. 如果沒有完全符合請求中之網域名稱的託管區域，Resolver 會在請求中檢查具有網域名稱父系名稱的託管區域。例如，假設請求中的網域名稱如下：

   seattle.accounting.example.com

   下列託管區域相符，因為它們是 seattle.accounting.example.com 的父系：

   • accounting.example.com

   • example.com

   Resolver 選擇 accounting.example.com，因為它比 example.com 更為特定。

3. Resolver 會搜尋 accounting.example.com 託管區域中符合請求中網域名稱和 DNS 類型的記錄，例如 seattle.accounting.example.com 的 A 記錄。

   如果沒有符合請求中網域名稱和類型的記錄，則 Resolver 會向用戶端傳回 NXDOMAIN (不存在的網域) 。

私有託管區域和 Route 53 Resolver 規則

如果您有私有託管區域 (example.com)，以及將流量路由到相同網域名稱之網路的 Resolver 規則，則 Resolver 規則優先。

舉例而言，假設您的組態如下：

• 您有一個名為 example.com 的私有託管區域，並與 VPC 建立關聯。

• 您建立將 example.com 流量轉送到您網路的 Route 53 Resolver 規則，並將規則與相同的 VPC 建立關聯。

在此組態中，Resolver 規則優先於私有託管區域。DNS 查詢會轉送到您的網路，而不是根據私有託管區域中的記錄解析。

委派子網域的責任

您不能在私有託管區域中建立 NS 記錄來委派子網域的責任。

自訂 DNS 伺服器

如果您已在 VPC 中的 Amazon EC2 執行個體上設定自訂 DNS 伺服器，則必須設定這些 DNS 伺服器，將私有 DNS 查詢路由到 Amazon 為您的 VPC 提供的 DNS 伺服器的 IP 地址。此 IP 地址是 VPC 網路範圍基礎上的 IP 地址「加 2」。例如，如果您的 VPC 的 CIDR 範圍是 10.0.0.0/16，DNS 伺服器的 IP 地址就是 10.0.0.2。

如果您想要在 VPC 與您的網路之間路由 DNS 查詢，可以使用 Resolver。如需詳細資訊，請參閱 什麼是 Amazon Route 53 Resolver？。

所需的 IAM 許可

若要建立私有託管區域，除了 Route 53 動作許可之外，您還需要授予 Amazon EC2 動作的 IAM 許可。如需詳細資訊，請參閱《服務授權參考》中的 Route 53 的動作、資源和條件索引鍵。