Überlegungen zum Arbeiten mit einer privaten gehosteten Zone - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen zum Arbeiten mit einer privaten gehosteten Zone

Beachten Sie die folgenden Überlegungen zur Verwendung von privaten gehosteten Zonen.

Amazon VPC-Einstellungen

Zur Verwendung von privat gehosteten Zonen müssen Sie die folgenden Amazon-VPC-Einstellungen auf true setzen:

  • enableDnsHostnames

  • enableDnsSupport

Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC anzeigen und aktualisieren im Amazon VPC-Benutzerhandbuch.

Route 53 Zustandsprüfungen

In einer privat gehosteten Zone können Sie Route 53-Zustandsprüfungen nur mit Failover-, mehrwertigen Antworten-, Gewichtungs-, Latenz-, Geolokalisierungs- und Geoproximitätsdatensätzen verknüpfen. Weitere Informationen zum Zuordnen von Zustandsprüfungen zu Failover-Datensätzen finden Sie unter Konfigurieren von Failover in einer privaten gehosteten Zone.

Unterstützte Routing-Richtlinien für Datensätze in einer privaten gehosteten Zone

Sie können die folgenden Routing-Richtlinien verwenden, wenn Sie Datensätze in einer privat gehosteten Zone erstellen:

Sie können keine Datensätze in einer privat gehosteten Zone mit anderen Routing-Richtlinien erstellen.

Split-View-DNS

Sie können Route 53 verwenden, um Split-View-DNS (auch als Split-Horizon-DNS bekannt) zu konfigurieren. In Split-View-DNS verwenden Sie denselben Domänennamen (example.com) für interne Zwecke (accounting.example.com) und externe Zwecke, z. B. für Ihre öffentliche Website (www.example.com). Sie können auch denselben Subdomänennamen intern und extern verwenden, aber unterschiedliche Inhalte bereitstellen oder eine unterschiedliche Authentifizierung für interne und externe Benutzer erfordern.

Um Split-View-DNS zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie öffentliche und private gehostete Zonen mit demselben Namen. (Split-View-DNS funktioniert auch weiterhin, wenn Sie einen anderen DNS-Service für die öffentliche gehostete Zone verwenden.)

  2. Ordnen Sie der privaten VPCs Hosting-Zone ein oder mehrere Amazon zu. Route 53 VPC Resolver verwendet die private gehostete Zone, um DNS-Abfragen in der angegebenen Zone weiterzuleiten. VPCs

  3. Erstellen Sie Datensätze in jeder gehosteten Zone. Aufzeichnungen in der öffentlich gehosteten Zone steuern, wie der Internetverkehr weitergeleitet wird, und Aufzeichnungen in der privaten gehosteten Zone steuern, wie der Verkehr in Ihrem Amazon weitergeleitet wird. VPCs

Wenn Sie die Namensauflösung sowohl für Ihre VPC- als auch für Ihre lokalen Workloads durchführen müssen, können Sie Route 53 VPC Resolver verwenden. Weitere Informationen finden Sie unter Was ist Route 53 VPC Resolver?.

Öffentliche und private gehostete Zonen mit überlappenden Namespaces

Wenn Sie private und öffentliche Hosting-Zonen mit sich überschneidenden Namespaces haben, z. B. example.com und accounting.example.com, leitet VPC Resolver den Verkehr auf der Grundlage der genauesten Übereinstimmung weiter. Wenn Benutzer bei einer EC2 Instance in einer Amazon VPC angemeldet sind, die Sie der privaten Hosting-Zone zugeordnet haben, verarbeitet Route 53 VPC Resolver DNS-Abfragen wie folgt:

  1. VPC Resolver bewertet, ob der Name der privaten gehosteten Zone mit dem Domainnamen in der Anfrage übereinstimmt, z. B. accounting.example.com. Eine Übereinstimmung wird wie folgt definiert (entweder/oder):

    • Eine identische Übereinstimmung

    • Der Name der privat gehosteten Zone ist ein übergeordneter Domänenname in der Anforderung. Angenommen, der Domänenname in der Anforderung lautet wie folgt:

      seattle.finanzen.beispiel.com

      Die folgenden gehosteten Zonen stimmen überein, da sie "seattle.finanzen.beispiel.com" übergeordnet sind:

      • finanzen.beispiel.com

      • example.com

    Wenn es keine passende private gehostete Zone gibt, leitet VPC Resolver die Anfrage an einen öffentlichen DNS-Resolver weiter, und Ihre Anfrage wird als reguläre DNS-Anfrage gelöst.

  2. Wenn es eine privat gehostete Zone gibt, die dem Domänennamen in der Anforderung entspricht, wird die gehostete Zone nach einem Datensatz durchsucht, der dem Domänennamen und dem DNS-Datensatz in der Anforderung entspricht, z. B. ein A-Datensatz für „accounting.example.com“.

    Anmerkung

    Wenn es eine passende private gehostete Zone gibt, aber kein Datensatz vorhanden ist, der dem Domainnamen und dem Typ der Anfrage entspricht, leitet VPC Resolver die Anfrage nicht an einen öffentlichen DNS-Resolver weiter. Stattdessen wird NXDOMAIN (nicht existierende Domäne) an den Client zurückgegeben.

Öffentliche und private gehostete Zonen mit überlappenden Namespaces

Wenn Sie über zwei oder mehr privat gehostete Zonen mit überlappenden Namespaces verfügen, z. B. example.com und accounting.example.com, leitet VPC Resolver den Verkehr auf der Grundlage der genauesten Übereinstimmung weiter.

Anmerkung

Wenn Sie über eine private gehostete Zone (example.com) und eine Route 53 53-VPC-Resolver-Regel verfügen, die den Datenverkehr für denselben Domainnamen an Ihr Netzwerk weiterleitet, hat die VPC-Resolver-Regel Vorrang. Siehe Private hosted zones and Route 53 VPC Resolver rules.

Wenn Benutzer bei einer EC2 Instance in einer Amazon VPC angemeldet sind, die Sie mit allen privaten Hosting-Zonen verknüpft haben, behandelt VPC Resolver DNS-Abfragen wie folgt:

  1. VPC Resolver bewertet, ob der Domainname in der Anfrage, z. B. accounting.example.com, mit dem Namen einer der privaten gehosteten Zonen übereinstimmt.

  2. Wenn es keine gehostete Zone gibt, die genau mit dem Domainnamen in der Anfrage übereinstimmt, sucht VPC Resolver nach einer gehosteten Zone, deren Name dem Domainnamen in der Anfrage übergeordnet ist. Angenommen, der Domänenname in der Anforderung lautet wie folgt:

    seattle.accounting.example.com

    Die folgenden gehosteten Zonen stimmen überein, weil sie übergeordnete Zonen von seattle.accounting.example.com sind:

    • accounting.example.com

    • example.com

    VPC Resolver wähltaccounting.example.com, weil es spezifischer ist als. example.com

  3. VPC Resolver durchsucht die accounting.example.com gehostete Zone nach einem Datensatz, der dem Domainnamen und dem DNS-Typ in der Anfrage entspricht, z. B. einem A-Eintrag für. seattle.accounting.example.com

    Wenn es keinen Datensatz gibt, der dem Domainnamen und dem Typ der Anfrage entspricht, gibt VPC Resolver NXDOMAIN (nicht existierende Domäne) an den Client zurück.

Private gehostete Zonen und Route 53 VPC Resolver-Regeln

Wenn Sie über eine private gehostete Zone (example.com) und eine VPC-Resolver-Regel verfügen, die den Datenverkehr für denselben Domainnamen an Ihr Netzwerk weiterleitet, hat die VPC-Resolver-Regel Vorrang.

Angenommen, folgende Konfiguration liegt vor:

  • Sie haben eine private gehostete Zone namens example.com und verknüpfen sie mit einer VPC.

  • Sie erstellen eine Route 53 VPC Resolver-Regel, die den Datenverkehr für example.com an Ihr Netzwerk weiterleitet, und ordnen die Regel derselben VPC zu.

In dieser Konfiguration hat die VPC-Resolver-Regel Vorrang vor der privaten Hosting-Zone. DNS-Abfragen werden an Ihr Netzwerk weitergeleitet, anstatt basierend auf den Datensätzen in der privaten gehosteten Zone aufgelöst zu werden.

Delegieren der Verantwortlichkeit für eine Subdomäne

Sie können jetzt NS-Einträge in einer privaten Hosting-Zone erstellen, um die Verantwortung für eine Subdomain zu delegieren. Weitere Informationen finden Sie unter Tutorial zu Regeln für die Delegierung von Resolvern.

Benutzerdefinierte DNS-Server

Wenn Sie benutzerdefinierte DNS-Server auf EC2 Amazon-Instances in Ihrer VPC konfiguriert haben, müssen Sie diese DNS-Server so konfigurieren, dass Ihre privaten DNS-Abfragen an die IP-Adresse der von Amazon bereitgestellten DNS-Server für Ihre VPC weitergeleitet werden. Diese IP-Adresse ist die IP-Adresse an der Basis der VPC-Netzwerkbereichs "plus zwei". Wenn beispielsweise den CIDR-Bereich für Ihre VPC 10.0.0.0/16 lautet, ist die IP-Adresse des DNS-Servers 10.0.0.2.

Wenn Sie DNS-Abfragen zwischen VPCs und Ihrem Netzwerk weiterleiten möchten, können Sie VPC Resolver verwenden. Weitere Informationen finden Sie unter Was ist Route 53 VPC Resolver?.

Erforderliche IAM-Berechtigungen

Um privat gehostete Zonen zu erstellen, müssen Sie zusätzlich zu den Berechtigungen für Route EC2 53-Aktionen auch IAM-Berechtigungen für Amazon-Aktionen gewähren. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Route 53 in der Service-Autorisierungs-Referenz.