Remarques sur l'utilisation des zones hébergées privées

Lorsque vous utilisez des zones hébergées privées, notez les informations suivantes.

Amazon VPC settings
Route 53 health checks
Supported routing policies for records in a private hosted zone
Split-view DNS
Public and private hosted zones that have overlapping namespaces
Private hosted zones that have overlapping namespaces
Private hosted zones and Route 53 VPC Resolver rules
Delegating responsibility for a subdomain
Custom DNS servers
Required IAM permissions

Paramètres Amazon VPC

Pour utiliser les zones hébergées privées, vous devez définir les paramètres Amazon VPC suivants sur true :

enableDnsHostnames
enableDnsSupport

Pour plus d'informations, consultez Afficher et mettre à jour les attributs DNS de votre VPC dans le guide de l'utilisateur Amazon VPC.

Surveillances d'états Route 53

Dans une zone hébergée privée, vous pouvez associer les vérifications de santé de Route 53 uniquement aux enregistrements relatifs au basculement, aux réponses à valeurs multiples, à la pondération, à la latence, à la géolocalisation et aux enregistrements de géoproximité. Pour plus d'informations sur l'association de vérifications de l'état à des enregistrements de basculement, consultez Configuration du basculement dans une zone hébergée privée.

Politiques de routage des registres dans une zone hébergée privée prises en charge

Vous pouvez utiliser les stratégies de routage suivantes lors de la création d'enregistrements dans une zone hébergée privée :

La création d'enregistrements dans une zone hébergée privée à l'aide d'autres stratégies de routage de géolocalisation ou de latence n'est pas prise en charge.

DNS vue divisée

Vous pouvez utiliser Route 53 pour configurer un DNS en mode d'affichage fractionné, également connu sous le nom « DNS à horizon fractionné ». Dans le DNS en vue divisée, vous utilisez le même nom de domaine (example.com) pour des utilisations internes (accounting.example.com) et externes, notamment votre site web public (www.example.com). Vous pouvez également vouloir utiliser le même nom de sous-domaine en interne et en externe, mais proposer un contenu différent ou exiger une authentification différente pour les utilisateurs internes et externes.

Pour configurer le DNS en vue divisée, effectuez les opérations suivantes :

Créez des zones hébergées publiques et privées ayant le même nom (Le DNS en vue divisée continue à fonctionner si vous utilisez un autre service DNS pour la zone hébergée publique.)
Associez un ou plusieurs Amazon VPCs à la zone hébergée privée. Route 53 VPC Resolver utilise la zone hébergée privée pour acheminer les requêtes DNS dans la zone spécifiée. VPCs
Créez des enregistrements dans chaque zone hébergée. Les enregistrements de la zone hébergée publique contrôlent la manière dont le trafic Internet est acheminé, tandis que les enregistrements de la zone hébergée privée contrôlent la manière dont le trafic est acheminé sur votre Amazon. VPCs

Si vous devez résoudre les noms de votre VPC et de vos charges de travail sur site, vous pouvez utiliser Route 53 VPC Resolver. Pour de plus amples informations, veuillez consulter Qu'est-ce que Route 53 VPC Resolver ?.

Zones hébergées publiques et privées dont les espaces de noms se chevauchent

Si vous avez des zones hébergées privées et publiques dont les espaces de noms se chevauchent, tels que example.com et accounting.example.com, VPC Resolver achemine le trafic en fonction de la correspondance la plus spécifique. Lorsque les utilisateurs sont connectés à une EC2 instance d'un Amazon VPC que vous avez associée à la zone hébergée privée, voici comment Route 53 VPC Resolver gère les requêtes DNS :

VPC Resolver évalue si le nom de la zone hébergée privée correspond au nom de domaine indiqué dans la demande, par exemple accounting.example.com. Une correspondance se définit de l'une des façons suivantes :
- Une correspondance identique
- Le nom de la zone hébergée privée est un parent du nom de domaine de la demande. Supposons par exemple que le nom de domaine de la demande soit :
  
  seattle.accounting.example.com
  
  Les zones hébergées suivantes correspondent, car elles sont parents de seattle.accounting.example.com :
  - accounting.example.com
  - example.com
S'il n'existe aucune zone hébergée privée correspondante, VPC Resolver transmet la demande à un résolveur DNS public, et votre demande est résolue en tant que requête DNS normale.
Si le nom d'une zone hébergée privée correspond au nom de domaine de la demande, une recherche est lancée dans la zone hébergée afin de trouver un enregistrement correspondant au nom de domaine et au type DNS de la demande, par exemple un enregistrement A pour accounting.example.com.

Note
S'il existe une zone hébergée privée correspondante mais qu'aucun enregistrement ne correspond au nom de domaine et au type de demande, VPC Resolver ne transmet pas la demande à un résolveur DNS public. Au lieu de cela, elle renvoie une réponse NXDOMAIN (domaine non existant) au client.

Zones hébergées privées dont les espaces de noms se chevauchent

Si vous avez au moins deux zones hébergées privées dont les espaces de noms se chevauchent, tels que example.com et accounting.example.com, VPC Resolver achemine le trafic en fonction de la correspondance la plus spécifique.

Note

Si vous disposez d'une zone hébergée privée (exemple.com) et d'une règle de résolution VPC Route 53 qui achemine le trafic vers votre réseau pour le même nom de domaine, la règle de résolution VPC a priorité. Consultez Private hosted zones and Route 53 VPC Resolver rules.

Lorsque les utilisateurs sont connectés à une EC2 instance d'un Amazon VPC que vous avez associée à toutes les zones hébergées privées, voici comment VPC Resolver gère les requêtes DNS :

VPC Resolver évalue si le nom de domaine indiqué dans la demande, tel que accounting.example.com, correspond au nom de l'une des zones hébergées privées.
Si aucune zone hébergée ne correspond exactement au nom de domaine indiqué dans la demande, VPC Resolver recherche une zone hébergée dont le nom est le parent du nom de domaine indiqué dans la demande. Supposons par exemple que le nom de domaine de la demande soit :

seattle.accounting.example.com

Les zones hébergées suivantes correspondent, car elles sont parents de seattle.accounting.example.com :
- accounting.example.com
- example.com
VPC Resolver choisit accounting.example.com parce qu'il est plus spécifique que. example.com
VPC Resolver recherche dans la zone accounting.example.com hébergée un enregistrement correspondant au nom de domaine et au type DNS de la demande, tel qu'un enregistrement A pour. seattle.accounting.example.com

Si aucun enregistrement ne correspond au nom de domaine et au type de demande, VPC Resolver renvoie NXDOMAIN (domaine inexistant) au client.

Zones hébergées privées et règles du résolveur VPC Route 53

Si vous disposez d'une zone hébergée privée (exemple.com) et d'une règle de résolution VPC qui achemine le trafic vers votre réseau pour le même nom de domaine, la règle de résolution VPC a priorité.

Par exemple, supposons que vous ayez la configuration suivante :

Vous disposez d'une zone hébergée privée appelée example.com et vous l'associez à un VPC.
Vous créez une règle de résolution VPC Route 53 qui transfère le trafic de example.com vers votre réseau, et vous associez la règle au même VPC.

Dans cette configuration, la règle VPC Resolver a priorité sur la zone hébergée privée. Les requêtes DNS sont transférées à votre réseau au lieu d'être résolues en fonction des enregistrements de la zone hébergée privée.

Délégation de responsabilité pour un sous-domaine

Vous pouvez désormais créer des enregistrements NS dans une zone hébergée privée pour déléguer la responsabilité d'un sous-domaine. Pour de plus amples informations, veuillez consulter Tutoriel sur les règles de délégation Resolver.

Serveurs DNS personnalisés

Si vous avez configuré des serveurs DNS personnalisés sur des EC2 instances Amazon de votre VPC, vous devez configurer ces serveurs DNS pour acheminer vos requêtes DNS privées vers l'adresse IP des serveurs DNS fournis par Amazon pour votre VPC. Cette adresse IP est l'adresse IP à la base de votre plage réseau VPC, plus le chiffre deux. Par exemple, si la plage d'adresses CIDR pour votre VPC est 10.0.0.0/16, l'adresse IP du serveur DNS est 10.0.0.2.

Si vous souhaitez acheminer des requêtes DNS entre VPCs et votre réseau, vous pouvez utiliser VPC Resolver. Pour de plus amples informations, veuillez consulter Qu'est-ce que Route 53 VPC Resolver ?.

Autorisations IAM requises

Pour créer des zones hébergées privées, vous devez accorder des autorisations IAM pour les EC2 actions Amazon en plus des autorisations pour les actions Route 53. Pour plus d'informations, consultez la rubrique Actions, ressources et clés de condition pour Route 53 dans la section Référence de l'autorisation de service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation des zones hébergées privées

Création d'une zone hébergée privée