Grundlagen von Amazon DNS - Amazon Virtual Private Cloud
Amazon DNS-ServerRegeln und ÜberlegungenDNS-Hostnamen für Instances EC2 DNS-Attribute für Ihre VPCDNS-KontingentePrivate gehostete Zonen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlagen von Amazon DNS

Als AWS Architekt oder Administrator ist der Amazon DNS-Server, auch bekannt als Route 53 Resolver, eine der grundlegenden Netzwerkkomponenten, auf die Sie stoßen werden. Dieser DNS-Resolver-Service ist nativ in jede Availability Zone in Ihrer AWS Region integriert und bietet eine zuverlässige und skalierbare Lösung für die Auflösung von Domainnamen in Ihrer Virtual Private Cloud (VPC). In diesem Abschnitt erfahren Sie mehr über die IP-Adressen des Amazon DNS-Servers, die privaten DNS-Hostnamen, die er auflösen kann, und die Regeln für seine Verwendung.

Amazon DNS-Server

Der Route 53 Resolver (auch „Amazon DNS-Server“ oder „AmazonProvidedDNS“ genannt) ist ein DNS-Resolver-Service, der in jede Availability Zone in einer AWS Region integriert ist. Der Route 53 53-Resolver befindet sich in 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) und im primären privaten IPV4 CIDR-Bereich, der für Ihre VPC plus zwei bereitgestellt wurde. Wenn Sie beispielsweise eine VPC mit einem IPv4 CIDR von 10.0.0.0/16 und einem IPv6 CIDR von haben2001:db8::/32, können Sie den Route 53 Resolver unter 169.254.169.253 (IPv4), () oder fd00:ec2::253 (IPv6) erreichen. 10.0.0.2 IPv4 Ressourcen innerhalb einer VPC verwenden eine verbindungslokale Adresse für DNS-Abfragen. Diese Abfragen werden privat an den Route 53 Resolver übertragen und sind im Netzwerk nicht sichtbar. In einem Subnetz, das IPv6 nur aus dem Netzwerk besteht, ist die IPv4 Link-Local-Adresse (169.254.169.253) immer noch erreichbar, solange „DNS“ der Nameserver im DHCP-Optionssatz ist. AmazonProvided

Wenn Sie eine Instance in eine VPC starten, stellen wir der Instance einen privaten DNS-Hostnamen bereit. Wir stellen auch einen öffentlichen DNS-Hostnamen bereit, wenn die Instance mit einer öffentlichen IPv4 Adresse konfiguriert ist und die VPC-DNS-Attribute aktiviert sind.

Das Format des privaten DNS-Hostnamens hängt davon ab, wie Sie die EC2 Instance konfigurieren, wenn Sie sie starten. Weitere Informationen zu den Typen von privaten DNS-Hostnamen finden Sie unter Hostnamentypen für EC2 Amazon-Instances im EC2 Amazon-Benutzerhandbuch.

Der Amazon DNS-Server in Ihrer VPC wird dazu verwendet, die DNS-Domain-Namen, die Sie in einer privaten gehosteten Zone in Route 53 angeben, aufzulösen. Weitere Informationen über private gehostete Zonen finden Sie unter Arbeiten mit privat gehosteten Zonen im Amazon-Route-53-Entwicklerhandbuch.

Regeln und Überlegungen

Bei der Verwendung des Amazon DNS-Servers gelten folgende Regeln und Überlegungen.

  • Sie können den Verkehr zum oder vom Amazon DNS-Server nicht mithilfe von Netzwerk ACLs - oder Sicherheitsgruppen filtern.

  • Services, die das Hadoop-Framework verwenden, wie beispielsweise Amazon EMR, machen es erforderlich, dass Instances ihre eigenen vollständig qualifizierten Domain-Namen (FQDNs) auflösen. In diesen Fällen kann die DNS-Auflösung fehlschlagen, wenn für die domain-name-servers-Option ein benutzerdefinierter Wert angegeben wird. Um eine ordnungsgemäße DNS-Auflösung sicherzustellen, sollten Sie das Hinzufügen einer bedingten Weiterleitung auf Ihrem DNS-Server erwägen. Auf diese Weise können Abfragen für die Domain region-name.compute.internal an den Amazon DNS-Server weitergeleitet werden. Weitere Informationen finden Sie unter Einrichten einer VPC zum Hosten von Clustern im Amazon EMR-Managementhandbuch.

  • Der Amazon Route 53 Resolver unterstützt nur rekursive DNS-Abfragen.

DNS-Hostnamen für Instances EC2

Wenn Sie eine Instance starten, erhält sie immer eine private IPv4 Adresse und einen privaten DNS-Hostnamen, der ihrer privaten IPv4 Adresse entspricht. Wenn Ihre Instance eine öffentliche IPv4 Adresse hat, bestimmen die DNS-Attribute für ihre VPC, ob sie einen öffentlichen DNS-Hostnamen erhält, der der öffentlichen IPv4 Adresse entspricht. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC.

Wenn der von Amazon bereitgestellte DNS-Server aktiviert ist, werden DNS-Hostnamen wie folgt aufgelöst.

Privater IPv4 DNS-Name

Der private IPv4 DNS-Hostname einer Instanz wird in ihre private IPv4 Adresse aufgelöst. Sie können den privaten IPv4 DNS-Hostnamen für die Kommunikation zwischen Instances in derselben VPC oder in verbundenen Instanzen verwenden. VPCs Weitere Informationen finden Sie unter IPv4 Privatadressen im EC2 Amazon-Benutzerhandbuch.

Öffentlicher IPv4 DNS-Name

Der öffentliche IPv4 DNS-Hostname einer Instance wird in ihre öffentliche IPv4 Adresse (außerhalb des Netzwerks der Instance) oder ihre private IPv4 Adresse (innerhalb des Netzwerks der Instance) aufgelöst. Weitere Informationen finden Sie unter Öffentliche IPv4 Adressen im EC2 Amazon-Benutzerhandbuch.

Um öffentliche IPv4 DNS-Namen über eine VPC-Peering-Verbindung in private IPv4 Adressen aufzulösen, müssen Sie die DNS-Auflösung für die Peering-Verbindung aktivieren. Weitere Informationen finden Sie unter Aktivieren einer DNS-Auflösung für eine VPC-Peering-Verbindung.

DNS-Name für private Ressourcen

Der RBN-basierte DNS-Name, der in die für diese Instance ausgewählten A- und AAAA-DNS-Datensätze aufgelöst werden kann. Dieser DNS-Hostname ist in den Instanzdetails für Instances in Dual-Stack-Subnetzen und reinen Subnetzen sichtbar. IPv6 Weitere Informationen zu RBN finden Sie unter EC2 Instance-Hostnamentypen im EC2 Amazon-Benutzerhandbuch.

DNS-Attribute für Ihre VPC

Die folgenden VPC-Attribute bestimmen die DNS-Unterstützung für Ihre VPC. Wenn beide Attribute aktiviert sind, erhält eine in der VPC gestartete Instance einen öffentlichen DNS-Hostnamen, wenn ihr bei der Erstellung eine öffentliche IPv4 Adresse oder eine Elastic IP-Adresse zugewiesen wurde. Wenn Sie beide Attribute für eine VPC aktivieren, für die sie zuvor nicht aktiviert waren, erhalten Instances, die bereits in dieser VPC gestartet wurden, öffentliche DNS-Hostnamen, wenn sie eine öffentliche IPv4 Adresse oder eine Elastic IP-Adresse haben.

Um zu überprüfen, ob diese Attribute für Ihre VPC aktiviert sind, siehe Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC.

Attribut Beschreibung
enableDnsHostnames

Bestimmt, ob die VPC das Zuweisen öffentlicher DNS-Hostnamen zu Instances mit öffentlichen IP-Adressen unterstützt.

Der Standardwert für dieses Attribut ist false, es sei denn, die VPC ist eine Standard-VPC. Beachten Sie die Regeln und Überlegungen unten für dieses Attribut.
enableDnsSupport

Bestimmt, ob die VPC die DNS-Auflösung über den von Amazon bereitgestellten DNS-Server unterstützt.

Wenn dieses Attribut true ist, sind Abfragen an den von Amazon bereitgestellten DNS-Server erfolgreich. Weitere Informationen finden Sie unter Amazon DNS-Server.

Der Standardwert für dieses Attribut ist true. Beachten Sie die Regeln und Überlegungen unten für dieses Attribut.
Regeln und Überlegungen

  • Wenn beide Attribute true sind, geschieht Folgendes:

    • Instances mit öffentlichen IP-Adressen erhalten entsprechende öffentliche DNS-Hostnamen.

    • Der Amazon Route 53 Resolver Server kann von Amazon bereitgestellte private DNS-Hostnamen auflösen.

  • Wenn mindestens eines der Attribute auf false festgelegt ist, geschieht Folgendes:

    • Instances mit öffentlichen IP-Adressen erhalten keine entsprechenden öffentlichen DNS-Hostnamen.

    • Die von Amazon bereitgestellten privaten DNS-Hostnamen Amazon Route 53 Resolver können nicht aufgelöst werden.

    • Instances erhalten benutzerdefinierte private DNS-Hostnamen, wenn die DHCP-Optionsliste einen benutzerdefinierten Domain-Namen enthält. Wenn Sie den Amazon Route 53 Resolver -Server nicht verwenden, müssen Ihre benutzerdefinierten Domain-Namenserver den Hostnamen entsprechend auflösen.

  • Bei Verwendung von DNS-Domain-Namen, die in einer privat gehosteten Zone in Amazon Route 53 definiert wurden, oder bei Verwendung des privaten DNS mit Schnittstellen-VPC-Endpunkten (AWS PrivateLink) müssen die Attribute enableDnsHostnames und enableDnsSupport true sein.

  • Amazon Route 53 Resolver Sie können private DNS-Hostnamen in private IPv4 Adressen für alle Adressräume auflösen, auch dann, wenn der IPv4 Adressbereich Ihrer VPC außerhalb der in RFC 1918 angegebenen privaten IPv4 Adressbereiche liegt. Wenn Sie Ihre VPC jedoch vor Oktober 2016 erstellt haben, werden private DNS-Hostnamen Amazon Route 53 Resolver nicht aufgelöst, wenn der IPv4 Adressbereich Ihrer VPC außerhalb dieser Bereiche liegt. Wenn Sie Unterstützung dafür aktivieren möchten, wenden Sie sich an Support.

DNS-Kontingente

Für Services, die verbindungslokale Adressen verwenden, gilt eine Obergrenze von 1 024 Paketen pro Sekunde (PPS). Dieses Limit umfasst die Summe von Route 53 Resolver-DNS-Abfragen, Instance Metadata Service (IMDS)-Anfragen, Amazon Time Service Network Time Protocol (NTP)-Anfragen und Windows Licensing Service-Anfragen (für Microsoft Windows-basierte Instances). Dieses Kontingent kann nicht erhöht werden.

Die Zahl der DNS-Abfragen, die pro Sekunde vom Route 53 Resolver unterstützt werden, ist vom Typ der Abfrage, von der Größe der Antwort und dem verwendeten Protokoll abhängig. Weitere Informationen und Empfehlungen für eine skalierbare DNS-Architektur finden Sie im technischen Handbuch AWS -Hybrid-DNS mit Active Directory.

Wenn Sie das Kontingent erreichen, lehnt der Route 53 Resolver den Datenverkehr ab. Einige der Ursachen für das Erreichen des Kontingents können ein DNS-Drosselungsproblem oder Abfragen von Instance-Metadaten sein, die die Netzwerkschnittstelle von Route 53 Resolver verwenden. Informationen zur Lösung von Problemen bei der Drosselung von VPC DNS finden Sie unter Wie kann ich herausfinden, ob meine DNS-Anfragen an den von Amazon bereitgestellten DNS-Server aufgrund VPC DNS-Einschränkung fehlschlagen. Informationen zum Abrufen von Instance-Metadaten finden Sie unter Instance-Metadaten abrufen im EC2 Amazon-Benutzerhandbuch.

Private gehostete Zonen

Um mithilfe benutzerdefinierter DNS-Domainnamen auf die Ressourcen in Ihrer VPC zuzugreifen, z. B. example.com anstatt private IPv4 Adressen oder AWS bereitgestellte private DNS-Hostnamen zu verwenden, können Sie eine private gehostete Zone in Route 53 erstellen. Eine private gehostete Zone ist ein Container, der Informationen darüber enthält, wie Sie den Verkehr für eine Domain und ihre Subdomains innerhalb einer oder mehrerer Domains weiterleiten möchten, VPCs ohne Ihre Ressourcen dem Internet auszusetzen. Erstellen Sie dann Route 53-Ressourcendatensätze, um festzulegen, wie Route 53 auf Abfragen Ihrer Domain und Ihrer Subdomains reagiert. Wenn Sie beispielsweise möchten, dass Browseranfragen für beispiel.de an einen Webserver innerhalb Ihrer VPC weitergeleitet werden, erstellen Sie einen Datensatz A in Ihrer privat gehosteten Zone und geben die IP-Adresse dieses Webservers an. Weitere Informationen zum Erstellen einer privaten gehosteten Zone finden Sie unter Arbeiten mit privat gehosteten Zonen im Amazon-Route-53-Entwicklerhandbuch.

Um über benutzerdefinierte DNS-Domainnamen auf Ressourcen zuzugreifen, müssen Sie auf einer Instance innerhalb der VPC angemeldet sein. Sie können mit dem Befehl ping, z. B. ping mywebserver.example.com, auf der Instance testen, ob die Ressource in der privat gehosteten Zone über den benutzerdefinierten DNS-Namen zugreifbar ist. Damit der Befehl ping funktioniert, müssen die Sicherheitsgruppenregeln der Instance eingehenden ICMP-Datenverkehr zulassen.

Andere transitive Beziehungen außerhalb der VPC werden von privat gehosteten Zonen jedoch nicht unterstützt. Sie können zum Beispiel nicht über benutzerdefinierte private DNS-Namen über eine VPN-Verbindung von der anderen Seite auf Ihre Ressourcen zugreifen.

Wichtig

Wenn Sie benutzerdefinierte DNS-Domain-Namen verwenden, die in einer privaten gehosteten Zone in Amazon Route 53 definiert sind, müssen Sie die Attribute enableDnsHostnames und enableDnsSupport auf true setzen.