Tutorial zu Regeln für die Delegierung von Resolvern - Amazon Route 53
Schritte für die ausgehende DelegierungArten der Delegierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial zu Regeln für die Delegierung von Resolvern

Die Delegierungsregel ermöglicht es dem VPC-Resolver, die Nameserver, die die delegierte Zone hosten, über den angegebenen ausgehenden Endpunkt zu erreichen. Während die Weiterleitungsregel den VPC-Resolver darüber informiert, die DNS-Anfragen über den ausgehenden Endpunkt an die Nameserver weiterzuleiten, die der angegebenen Domain entsprechen, informiert die Delegierungsregel den VPC Resolver, die delegierten Nameserver über den ausgehenden Endpunkt zu erreichen, der bei der Rückgabe der delegierten NS-Einträge angegeben wurde. VPC Resolver sendet eine Anfrage an die delegierten Nameserver, wenn die NS-Einträge in der DNS-Antwort mit dem im Delegierungseintrag angegebenen Domainnamen übereinstimmen.

Schritte zur Verwendung der ausgehenden Delegierung des Resolver-Endpunkts

  1. Erstellen Sie einen ausgehenden Resolver-Endpunkt in der VPC, von dem aus DNS-Abfragen an die Resolver in Ihrem Netzwerk gesendet werden sollen.

    Sie können entweder die folgende API oder den CLI-Befehl verwenden:

  2. Erstellen Sie eine oder mehrere Delegierungsregeln, die die Domainnamen angeben, für die die Abfragen über den angegebenen ausgehenden Endpunkt an Ihr Netzwerk delegiert werden sollen.

    Beispiel für die Erstellung einer Delegierungsregel mit CLI:

    aws route53resolver create-resolver-rule \
--region REGION \
--creator-request-id delegateruletest \
--delegation-record example.com \
--name delegateruletest \
--rule-type DELEGATE \
--resolver-endpoint-id outbound endpoint ID

  3. Ordnen Sie die Delegierungsregel der Regel zu, VPCs für die Sie die Abfragen delegieren möchten.

    Sie können entweder die folgende API oder den CLI-Befehl verwenden:

Arten der Delegierung, die vom ausgehenden Resolver-Endpunkt unterstützt werden

VPC Resolver unterstützt zwei Arten der ausgehenden Delegierung:

  • Leiten Sie die private gehostete Zone 53 an die ausgehende VPC Resolver-Delegierung weiter:

    Delegiert mithilfe der ausgehenden Delegierung eine Subdomain von einer privaten Hosting-Zone entweder an einen lokalen DNS-Server oder eine öffentliche gehostete Zone im Internet. Diese ausgehende Delegierung ermöglicht es Ihnen, die Verwaltung Ihrer DNS-Einträge zwischen der privaten Hosting-Zone und der delegierten Zone aufzuteilen. Die Delegierung kann mit oder ohne Glue-Record in einer privaten Hosting-Zone erfolgen, je nach Ihrem DNS-Setup. Weitere Informationen finden Sie unter. Private gehostete Zone für ausgehenden Datenverkehr

  • Delegierung von ausgehendem VPC Resolver zu ausgehendem Datenverkehr:

    Delegiert eine Subdomain von Ihrem lokalen DNS-Server an einen anderen lokalen Server an demselben oder einem anderen Standort mithilfe der Delegierung von ausgehendem zu ausgehendem Datenverkehr. Dies ist vergleichbar mit der Delegierung von einer privaten gehosteten Zone an einen ausgehenden Endpunkt, wo Sie an eine Zone delegieren können, die auf Ihrem lokalen Nameserver gehostet wird. Weitere Informationen finden Sie unter Von ausgehend nach ausgehend.

Beispiel für eine Konfiguration für die ausgehende Delegierung von Route 53 an die private gehostete Zone von VPC Resolver

Gehen wir von einem DNS-Setup aus, bei dem die übergeordnete gehostete Zone in einer privaten Hosting-Zone auf Route 53 in einer Amazon-VPC gehostet wird und Subdomains an Nameserver delegiert werden, die in Europa, Asien und Nordamerika gehostet werden. Alle DNS-Abfragen werden über den VPC Resolver weitergeleitet.

Folgen Sie den Beispielschritten, um Ihre private gehostete Zone und Ihren VPC-Resolver zu konfigurieren.

Konfigurieren Sie die private gehostete Zone für die ausgehende Delegierung

  1. Für die Einrichtung der privaten gehosteten Zone:

    Übergeordnete gehostete Zone: hr.example.com

    $TTL    86400 ; 24 hours
$ORIGIN hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation

ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record

  2. Für den lokalen Nameserver in der lokalen Region Europa:

    • Gehostete Zone: eu.hr.example.com NS IP: 10.0.0.30

    $TTL    86400 ; 24 hours
$ORIGIN eu.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.eu.hr.example.com IN A 1.2.3.4

  3. Für den lokalen Nameserver in der lokalen Region Asien:

    Gehostete Zone:, apac.hr.example.com 10.0.0.40

    Der APAC-Nameserver kann die Subdomain an andere Nameserver delegieren.

    $TTL    86400 ; 24 hours
$ORIGIN apac.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90

    Gehostete Zone:, engineering.apac.hr.example.com 10.0.0.80

    $TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1

  4. Für den lokalen Nameserver in der lokalen Region Nordamerika:

    Gehostete Zone: na.hr.example.net NS IP: 10.0.0.50

    $TTL    86400 ; 24 hours
$ORIGIN na.hr.example.net
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com  IN A 9.10.11.12
Einrichtung des VPC-Resolvers

  • Für den VPC Resolver müssen Sie eine Weiterleitungsregel und zwei Delegierungsregeln einrichten:

    Weiterleitungsregel

    1. Für die Weiterleitung des out-of-zone Delegierungsdatensatzes, sodass der Route 53 VPC Resolver die IP des delegierten NS kennt, um die erste Anfrage weiterzuleiten.

      Domänenname: Ziel-IPs: hr.example.net 10.0.0.50

    Regeln für die Delegierung

    1. Delegierungsregel für die Delegierung innerhalb der Zone:

      Delegationsdatensatz: hr.example.com

    2. Delegierungsregel für die Delegierung außerhalb der Zone:

      Delegationsdatensatz: hr.example.net

Beispielkonfiguration für die Delegierung von ausgehendem zu ausgehendem Datenverkehr

Anstatt die übergeordnete gehostete Zone in einer Amazon-VPC zu haben, gehen wir von einem DNS-Setup aus, bei dem sich die übergeordnete gehostete Zone am zentralen lokalen Standort befindet und Subdomains an Nameserver delegiert werden, die in Europa, Asien und Nordamerika gehostet werden. Alle DNS-Abfragen werden über den VPC Resolver weitergeleitet.

Folgen Sie den Beispielschritten, um Ihr lokales DNS und den VPC-Resolver zu konfigurieren.

Konfigurieren Sie lokales DNS

  1. Für den lokalen Nameserver in der zentralen lokalen Region:

    • Übergeordnete gehostete Zone: hr.example.com

      Gehostete Zonehr.example.com, NS-IP: 10.0.0.20

    $TTL    86400 ; 24 hours
$ORIGIN hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation

ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record

  2. Für den lokalen Nameserver in der lokalen Region Europa (die Konfiguration für die Nameserver Europa, Asien und Nordamerika ist dieselbe wie für die private gehostete Zone zur ausgehenden Delegierung):

    • Gehostete Zone: NS IP: eu.hr.example.com 10.0.0.30

    $TTL    86400 ; 24 hours
$ORIGIN eu.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.eu.hr.example.com IN A 1.2.3.4

  3. Für den lokalen Nameserver in der lokalen Region Asien:

    Gehostete Zone:, apac.hr.example.com 10.0.0.40

    Der APAC-Nameserver kann die Subdomain an andere Nameserver delegieren.

    $TTL    86400 ; 24 hours
$ORIGIN apac.hr.example.com
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @

test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90

    Gehostete Zone:, engineering.apac.hr.example.com 10.0.0.80

    $TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1

  4. Für den lokalen Nameserver in der lokalen Region Nordamerika:

    Gehostete Zone: na.hr.example.net NS IP: 10.0.0.50

    $TTL    86400 ; 24 hours
$ORIGIN na.hr.example.net
@  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
@  1D  IN  NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com  IN A 9.10.11.12
Einrichtung des VPC-Resolvers

  • Für den VPC Resolver müssen Sie Weiterleitungsregeln und Delegierungsregeln einrichten:

    Regeln weiterleiten

    1. Gehen Sie wie folgt vor, um die ursprüngliche Anfrage weiterzuleiten, sodass die Anfragen an die übergeordnete gehostete Zone hr.example.com am zentralen Standort weitergeleitet werden:

      Domänenname: Ziel-IPs: hr.example.com 10.0.0.20

    2. Für die Weiterleitung des out-of-zone Delegierungsdatensatzes, sodass der VPC Resolver die IP-Adresse des delegierten Nameservers kennt, um die erste Anfrage weiterzuleiten:

      Domänenname: Ziel-IPs: hr.example.net 10.0.0.50

    Regeln für die Delegierung

    1. Delegierungsregel für die Delegierung innerhalb der Zone:

      Delegierungsdatensatz: hr.example.com

    2. Delegierungsregel für die Delegierung außerhalb der Zone:

      Delegationsdatensatz: hr.example.net