Grundlagen von Amazon DNS - Amazon Virtual Private Cloud
Amazon DNS-ServerRegeln und ÜberlegungenDNS-Hostnamen für EC2-InstancesDNS-Attribute für Ihre VPCDNS-KontingentePrivate gehostete Zonen

Grundlagen von Amazon DNS

Als AWS-Architekt oder -Administrator ist der Amazon-DNS-Server, auch bekannt als Route 53 Resolver, eine der grundlegenden Netzwerkkomponenten, auf die Sie stoßen werden. Dieser DNS-Resolver-Service ist nativ in jede Availability Zone in Ihrer AWS-Region integriert und bietet eine zuverlässige und skalierbare Lösung für die Auflösung von Domain-Namen in Ihrer Virtual Private Cloud (VPC). In diesem Abschnitt erfahren Sie mehr über die IP-Adressen des Amazon DNS-Servers, die privaten DNS-Hostnamen, die er auflösen kann, und die Regeln für seine Verwendung.

Amazon DNS-Server

Der Route 53 Resolver (auch „Amazon-DNS-Server“ oder „AmazonProvidedDNS“ genannt) ist ein DNS-Resolver-Service, der in jede Availability Zone innerhalb einer AWS-Region integriert ist. Der Route 53 Resolver befindet sich unter 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) und im primären privaten IPV4-CIDR-Bereich, der Ihrer VPC plus zwei bereitgestellt wird. Wenn Sie beispielsweise über eine VPC mit einem IPv4-CIDR von 10.0.0.0/16 und einem IPv6-CIDR von 2001:db8::/32 verfügen, können Sie den Route 53 Resolver unter 169.254.169.253 (IPv4), fd00:ec2::253 (IPv6) oder 10.0.0.2 (IPv4) erreichen. Ressourcen innerhalb einer VPC verwenden eine verbindungslokale Adresse für DNS-Abfragen. Diese Abfragen werden privat an den Route 53 Resolver übertragen und sind im Netzwerk nicht sichtbar. In einem reinen IPv6-Subnetz ist die verbindungslokale IPv4-Adresse (169.254.169.253) immer noch erreichbar, solange „AmazonProvidedDNS“ der Nameserver im DHCP-Optionssatz ist.

Wenn Sie eine Instance in eine VPC starten, stellen wir der Instance einen privaten DNS-Hostnamen bereit. Wenn die Instance mit einer öffentlichen IPv4-Adresse konfiguriert ist und die VPC-DNS-Attribute aktiviert sind, stellen wir auch einen öffentlichen DNS-Hostnamen bereit.

Das Format des privaten DNS-Hostnamens hängt davon ab, wie Sie die EC2-Instance beim Start konfigurieren. Weitere Informationen zu den Typen von DNS-Hostnamen finden Sie unter Hostnamentypen für Amazon-EC2-Instances im Amazon EC-Benutzerhandbuch.

Der Amazon DNS-Server in Ihrer VPC wird dazu verwendet, die DNS-Domain-Namen, die Sie in einer privaten gehosteten Zone in Route 53 angeben, aufzulösen. Weitere Informationen über private gehostete Zonen finden Sie unter Arbeiten mit privat gehosteten Zonen im Amazon-Route-53-Entwicklerhandbuch.

Regeln und Überlegungen

Bei der Verwendung des Amazon DNS-Servers gelten folgende Regeln und Überlegungen.

  • Sie können den Datenverkehr von und zu dem Amazon DNS-Server nicht mit Netzwerk-ACLs oder Sicherheitsgruppen filtern.

  • Services, die das Hadoop-Framework verwenden, wie beispielsweise Amazon EMR, machen es erforderlich, dass Instances ihre eigenen vollständig qualifizierten Domain-Namen (FQDNs) auflösen. In diesen Fällen kann die DNS-Auflösung fehlschlagen, wenn für die domain-name-servers-Option ein benutzerdefinierter Wert angegeben wird. Um eine ordnungsgemäße DNS-Auflösung sicherzustellen, sollten Sie das Hinzufügen einer bedingten Weiterleitung auf Ihrem DNS-Server erwägen. Auf diese Weise können Abfragen für die Domain region-name.compute.internal an den Amazon DNS-Server weitergeleitet werden. Weitere Informationen finden Sie unter Einrichten einer VPC zum Hosten von Clustern im Amazon EMR-Managementhandbuch.

  • Der Amazon Route 53 Resolver unterstützt nur rekursive DNS-Abfragen.

DNS-Hostnamen für EC2-Instances

Beim Start einer Instance erhält sie immer eine private IPv4-Adresse und einen privaten DNS-Hostnamen, der ihrer privaten IPv4-Adresse entspricht. Wenn Ihre Instance über eine öffentliche IPv4-Adresse verfügt, bestimmen die DNS-Attribute für ihre VPC, ob sie einen öffentlichen DNS-Hostnamen erhält, der der öffentlichen IPv4-Adresse entspricht. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC.

Wenn der von Amazon bereitgestellte DNS-Server aktiviert ist, werden DNS-Hostnamen wie folgt aufgelöst.

Privater IPv4-DNS-Name

Der private IPv4-DNS-Hostname einer Instance wird zu ihrer privaten IPv4-Adresse aufgelöst. Sie können den Hostnamen für den privaten IPv4-DNS-Namen zur Kommunikation zwischen Instances im selben VPC oder in verbundenen VPCs verwenden. Weitere Informationen finden Sie unter Private IPv4-Adressen im Amazon-EC2-Benutzerhandbuch.

Öffentlicher IPv4-DNS-Name

Der öffentliche IPv4-DNS-Hostname einer Instance wird zu ihrer öffentlichen IPv4-Adresse (außerhalb des Netzwerks der Instance) oder ihrer privaten IPv4-Adresse (innerhalb des Netzwerks der Instance) aufgelöst. Weitere Informationen finden Sie unter Öffentliche IPv4-Adressen im Amazon-EC2-Benutzerhandbuch.

Um öffentliche IPv4-DNS-Namen über eine VPC-Peering-Verbindung in private IPv4-Adressen aufzulösen, müssen Sie die DNS-Auflösung für die Peering-Verbindung aktivieren. Weitere Informationen finden Sie unter Aktivieren einer DNS-Auflösung für eine VPC-Peering-Verbindung.

DNS-Name für private Ressourcen

Der RBN-basierte DNS-Name, der in die für diese Instance ausgewählten A- und AAAA-DNS-Datensätze aufgelöst werden kann. Dieser DNS-Hostname ist in den Instancedetails für Instances in Dual-Stack- und IPv6-only Subnetzen sichtbar. Weitere Informationen über RBN finden Sie unter Hostnamentypen für Amazon-EC2-Instances im Amazon-EC2-Benutzerhandbuch.

DNS-Attribute für Ihre VPC

Die folgenden VPC-Attribute bestimmen die DNS-Unterstützung für Ihre VPC. Wenn beide Attribute aktiviert sind, erhält eine in der VPC gestartete Instance einen öffentlichen DNS-Hostnamen, wenn ihr bei der Erstellung eine öffentliche IPv4-Adresse oder eine elastische IP-Adresse zugewiesen wird. Wenn Sie beide Attribute für eine VPC aktivieren, bei der sie zuvor nicht beide aktiviert haben, erhalten Instances, die in dieser VPC ausgeführt werden, öffentliche DNS-Hostnamen, wenn sie über eine öffentliche IPv4-Adresse oder eine elastische IP-Adresse verfügen.

Um zu überprüfen, ob diese Attribute für Ihre VPC aktiviert sind, siehe Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC.

Attribut Beschreibung
enableDnsHostnames

Bestimmt, ob die VPC das Zuweisen öffentlicher DNS-Hostnamen zu Instances mit öffentlichen IP-Adressen unterstützt.

Der Standardwert für dieses Attribut ist false, es sei denn, die VPC ist eine Standard-VPC. Beachten Sie die Regeln und Überlegungen unten für dieses Attribut.
enableDnsSupport

Bestimmt, ob die VPC die DNS-Auflösung über den von Amazon bereitgestellten DNS-Server unterstützt.

Wenn dieses Attribut true ist, sind Abfragen an den von Amazon bereitgestellten DNS-Server erfolgreich. Weitere Informationen finden Sie unter Amazon DNS-Server.

Der Standardwert für dieses Attribut ist true. Beachten Sie die Regeln und Überlegungen unten für dieses Attribut.
Regeln und Überlegungen

  • Wenn beide Attribute true sind, geschieht Folgendes:

    • Instances mit öffentlichen IP-Adressen erhalten entsprechende öffentliche DNS-Hostnamen.

    • Der Route 53 Resolver-Server kann von Amazon bereitgestellte private DNS-Hostnamen auflösen.

  • Wenn mindestens eines der Attribute auf false festgelegt ist, geschieht Folgendes:

    • Instances mit öffentlichen IP-Adressen erhalten keine entsprechenden öffentlichen DNS-Hostnamen.

    • Der Route 53 Resolver kann von Amazon bereitgestellte private DNS-Hostnamen nicht auflösen.

    • Instances erhalten benutzerdefinierte private DNS-Hostnamen, wenn die DHCP-Optionsliste einen benutzerdefinierten Domain-Namen enthält. Wenn Sie den Route 53 Resolver-Server nicht verwenden, müssen Ihre benutzerdefinierten Domänennamensserver den Hostnamen entsprechend auflösen.

  • Bei Verwendung von DNS-Domain-Namen, die in einer privat gehosteten Zone in Amazon Route 53 definiert wurden, oder bei Verwendung des privaten DNS mit Schnittstellen-VPC-Endpunkten (AWS PrivateLink) müssen die Attribute enableDnsHostnames und enableDnsSupport true sein.

  • Der Route 53 Resolver kann private DNS-Hostnamen für alle Adressräume zu privaten IPv4-Adressen auflösen. Dies gilt auch für IPv4-Adressbereiche einer VPC, die außerhalb des durch RFC 1918 festgelegten privaten IPv4-Adressbereichs liegen. Falls Sie Ihre VPC jedoch vor Oktober 2016 erstellt haben, löst der Route 53 Resolver private DNS-Hostnamen nicht auf, wenn der IPv4-Adressbereich Ihrer VPC außerhalb dieser Bereiche liegt. Wenn Sie Unterstützung dafür aktivieren möchten, wenden Sie sich an Support.

DNS-Kontingente

Für Services, die verbindungslokale Adressen verwenden, gilt eine Obergrenze von 1 024 Paketen pro Sekunde (PPS). Dieses Limit umfasst die Summe von Route 53 Resolver-DNS-Abfragen, Instance Metadata Service (IMDS)-Anfragen, Amazon Time Service Network Time Protocol (NTP)-Anfragen und Windows Licensing Service-Anfragen (für Microsoft Windows-basierte Instances). Dieses Kontingent kann nicht erhöht werden.

Die Zahl der DNS-Abfragen, die pro Sekunde vom Route 53 Resolver unterstützt werden, ist vom Typ der Abfrage, von der Größe der Antwort und dem verwendeten Protokoll abhängig. Weitere Informationen und Empfehlungen für eine skalierbare DNS-Architektur finden Sie im technischen Handbuch AWS-Hybrid-DNS mit Active Directory.

Wenn Sie das Kontingent erreichen, lehnt der Route 53 Resolver den Datenverkehr ab. Einige der Ursachen für das Erreichen des Kontingents können ein DNS-Drosselungsproblem oder Abfragen von Instance-Metadaten sein, die die Netzwerkschnittstelle von Route 53 Resolver verwenden. Informationen zur Lösung von Problemen bei der Drosselung von VPC DNS finden Sie unter Wie kann ich herausfinden, ob meine DNS-Anfragen an den von Amazon bereitgestellten DNS-Server aufgrund VPC DNS-Einschränkung fehlschlagen. Anweisungen zum Abrufen von Instance-Metadaten finden Sie unter Instance-Metadaten abrufen im Amazon EC2-Benutzerhandbuch.

Private gehostete Zonen

Wenn Sie anstelle der privaten IPv4-Adressen oder der von AWS bereitgestellten privaten DNS-Domain-Namen über benutzerdefinierte DNS-Domainnamen wie example.com auf die Ressourcen in Ihrer VPC zugreifen möchten, können Sie eine privat gehostete Zone in Route 53 erstellen. Eine privat gehostete Zone ist ein Container mit Informationen darüber, wie Sie Datenverkehr zu einer Domain und ihren Subdomains innerhalb einer oder mehrerer VPCs weiterleiten möchten, ohne die Ressource über das Internet zugreifbar zu machen. Erstellen Sie dann Route 53-Ressourcendatensätze, um festzulegen, wie Route 53 auf Abfragen Ihrer Domain und Ihrer Subdomains reagiert. Wenn Sie beispielsweise möchten, dass Browseranfragen für beispiel.de an einen Webserver innerhalb Ihrer VPC weitergeleitet werden, erstellen Sie einen Datensatz A in Ihrer privat gehosteten Zone und geben die IP-Adresse dieses Webservers an. Weitere Informationen zum Erstellen einer privaten gehosteten Zone finden Sie unter Arbeiten mit privat gehosteten Zonen im Amazon-Route-53-Entwicklerhandbuch.

Um über benutzerdefinierte DNS-Domainnamen auf Ressourcen zuzugreifen, müssen Sie auf einer Instance innerhalb der VPC angemeldet sein. Sie können mit dem Befehl ping, z. B. ping mywebserver.example.com, auf der Instance testen, ob die Ressource in der privat gehosteten Zone über den benutzerdefinierten DNS-Namen zugreifbar ist. Damit der Befehl ping funktioniert, müssen die Sicherheitsgruppenregeln der Instance eingehenden ICMP-Datenverkehr zulassen.

Andere transitive Beziehungen außerhalb der VPC werden von privat gehosteten Zonen jedoch nicht unterstützt. Sie können zum Beispiel nicht über benutzerdefinierte private DNS-Namen über eine VPN-Verbindung von der anderen Seite auf Ihre Ressourcen zugreifen.

Wichtig

Wenn Sie benutzerdefinierte DNS-Domain-Namen verwenden, die in einer privaten gehosteten Zone in Amazon Route 53 definiert sind, müssen Sie die Attribute enableDnsHostnames und enableDnsSupport auf true setzen.