Consideraciones sobre el uso de una zona alojada privada - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones sobre el uso de una zona alojada privada

Al utilizar zonas alojadas privadas, tenga en cuenta las siguientes consideraciones.

Configuración de
Amazon VPC

Para utilizar las zonas alojadas privadas, debe definir la siguiente configuración de Amazon VPC en true:

  • enableDnsHostnames

  • enableDnsSupport

Para obtener más información, consulte Ver y actualizar los atributos de DNS de su VPC en la Guía del usuario de Amazon VPC.

Controles de estado de Route 53

En una zona alojada privada, solo puede asociar comprobaciones de estado de Route 53 con registros de conmutación por error, de respuestas con varios valores, ponderados, de latencia, de geolocalización y de geoproximidad. Para obtener información acerca de cómo asociar las comprobaciones de estado a registros de conmutación por error, consulte Configuración de la conmutación por error en una zona alojada privada.

Políticas de direccionamiento admitidas para registros de una zona alojada privada

Puede utilizar las siguientes políticas de direccionamiento al crear registros de una zona alojada privada:

No se admite la creación de registros en una zona alojada privada mediante otras políticas de direccionamiento.

DNS de vista dividida

Puede usar Route 53 para configurar split-view DNS, también conocido como split-horizon DNS. En el DNS de vista dividida, se utiliza el mismo nombre de dominio (example.com) para usos internos (accounting.example.com) y externos, tales como su sitio web público (www.example.com). Es posible que también desee utilizar el mismo nombre de subdominio de forma interna y externa, pero distribuir contenido distinto o requerir una autenticación diferente para los usuarios internos y externos.

Para configurar DNS de vista dividida, siga estos pasos:

  1. Cree zonas alojadas públicas y privadas que tengan el mismo nombre. (El DNS de vista dividida sigue funcionando si utiliza otro servicio DNS para la zona alojada pública).

  2. Asocia uno o más Amazon VPCs a la zona alojada privada. El solucionador de VPC de Route 53 usa la zona alojada privada para enrutar las consultas de DNS en la zona especificada. VPCs

  3. Cree registros en cada zona alojada. Los registros de la zona alojada pública controlan cómo se enruta el tráfico de Internet y los registros de la zona alojada privada controlan cómo se enruta el tráfico en Amazon. VPCs

Si necesita realizar la resolución de nombres de sus cargas de trabajo de VPC y locales, puede usar Route 53 VPC Resolver. Para obtener más información, consulte ¿Qué es el solucionador de VPC Route 53?.

Zonas alojadas públicas y privadas que tienen espacios de nombres que se superponen

Si tienes zonas alojadas públicas y privadas con espacios de nombres superpuestos, como example.com y accounting.example.com, VPC Resolver direcciona el tráfico en función de la coincidencia más específica. Cuando los usuarios inician sesión en una EC2 instancia de una Amazon VPC que usted ha asociado a la zona alojada privada, así es como Route 53 VPC Resolver gestiona las consultas de DNS:

  1. El solucionador de VPC evalúa si el nombre de la zona alojada privada coincide con el nombre de dominio de la solicitud, como accounting.example.com. Una coincidencia se define como cualquiera de las siguientes:

    • Una coincidencia idéntica

    • El nombre de la zona alojada privada es un elemento principal del nombre de dominio de la solicitud. Por ejemplo, suponga que el nombre de dominio de la solicitud es el siguiente:

      seattle.accounting.example.com

      Las siguientes zonas alojadas coinciden porque son elementos principales de seattle.accounting.example.com:

      • accounting.example.com

      • example.com

    Si no hay ninguna zona alojada privada que coincida, el Resolver de VPC reenvía la solicitud a un solucionador de DNS público y la solicitud se resuelve como una consulta de DNS normal.

  2. Si hay un nombre de zona alojada privada que coincida con el nombre de dominio de la solicitud, en la zona alojada se busca un registro que coincida con el nombre de dominio y tipo de DNS de la solicitud, como un registro A para accounting.example.com.

    nota

    Si hay una zona alojada privada coincidente, pero no hay ningún registro que coincida con el nombre de dominio y el tipo de la solicitud, VPC Resolver no reenvía la solicitud a un solucionador de DNS público. En su lugar, devuelve NXDOMAIN (dominio no existente) al cliente.

Zonas alojadas privadas que tienen espacios de nombres que se superponen

Si tienes dos o más zonas alojadas privadas que tienen espacios de nombres superpuestos, como example.com y accounting.example.com, VPC Resolver direcciona el tráfico en función de la coincidencia más específica.

nota

Si tiene una zona alojada privada (example.com) y una regla de resolución de VPC de Route 53 que enruta el tráfico a su red para el mismo nombre de dominio, la regla de resolución de VPC tiene prioridad. Consulte Private hosted zones and Route 53 VPC Resolver rules.

Cuando los usuarios inician sesión en una EC2 instancia de una Amazon VPC que has asociado a todas las zonas alojadas privadas, así es como VPC Resolver gestiona las consultas de DNS:

  1. El solucionador de VPC evalúa si el nombre de dominio de la solicitud, como accounting.example.com, coincide con el nombre de una de las zonas alojadas privadas.

  2. Si no hay ninguna zona alojada que coincida exactamente con el nombre de dominio de la solicitud, el Resolver de VPC busca una zona alojada que tenga un nombre que sea el principal del nombre de dominio de la solicitud. Por ejemplo, suponga que el nombre de dominio de la solicitud es el siguiente:

    seattle.accounting.example.com

    Las siguientes zonas alojadas coinciden porque son elementos principales de seattle.accounting.example.com:

    • accounting.example.com

    • example.com

    VPC Resolver elige accounting.example.com porque es más específico que. example.com

  3. El solucionador de VPC busca en la zona accounting.example.com alojada un registro que coincida con el nombre de dominio y el tipo de DNS de la solicitud, como un registro A de. seattle.accounting.example.com

    Si no hay ningún registro que coincida con el nombre de dominio y el tipo de la solicitud, VPC Resolver devuelve NXDOMAIN (dominio inexistente) al cliente.

Zonas alojadas privadas y reglas de resolución de VPC de Route 53

Si tiene una zona alojada privada (example.com) y una regla de resolución de VPC que enruta el tráfico a su red para el mismo nombre de dominio, la regla de resolución de VPC tiene prioridad.

Supongamos que tiene la siguiente configuración:

  • Tiene una zona alojada privada llamada example.com y la asocia a una VPC.

  • Cree una regla de resolución de VPC de Route 53 que reenvíe el tráfico de example.com a su red y asocie la regla a la misma VPC.

En esta configuración, la regla de resolución de VPC tiene prioridad sobre la zona alojada privada. Las consultas DNS se reenvían a la red en lugar de resolverse en función de los registros de la zona alojada privada.

Delegación de la responsabilidad de un subdominio

Ahora puede crear registros NS en una zona alojada privada para delegar la responsabilidad sobre un subdominio. Para obtener más información, consulte Tutorial sobre las reglas de delegación de Resolver.

Servidores DNS personalizados

Si ha configurado servidores DNS personalizados en las EC2 instancias de Amazon de su VPC, debe configurar esos servidores DNS para que enruten sus consultas de DNS privadas a la dirección IP de los servidores DNS proporcionados por Amazon para su VPC. Esta dirección IP es la dirección IP en la base del rango de red de VPC “más dos”. Por ejemplo, si el rango de CIDR de la VPC es 10.0.0.0/16, la dirección IP del servidor DNS es 10.0.0.2.

Si quieres enrutar las consultas de DNS entre VPCs y tu red, puedes usar VPC Resolver. Para obtener más información, consulte ¿Qué es el solucionador de VPC Route 53?.

Permisos de IAM necesarios

Para crear zonas alojadas privadas, debes conceder permisos de IAM para EC2 las acciones de Amazon además de los permisos para las acciones de Route 53. Para obtener más información, consulte Acciones, recursos y claves de condición para Amazon Route 53 en la Referencia de autorizaciones de servicio.