Considerazioni sull'utilizzo di una zona ospitata privata - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni sull'utilizzo di una zona ospitata privata

Quando usi le zone ospitate private, tieni in considerazione quanto segue:

Impostazioni di Amazon VPC

Per usare zone ospitate private, devi impostare le seguenti impostazioni di Amazon VPC su true:

  • enableDnsHostnames

  • enableDnsSupport

Per ulteriori informazioni, consulta Visualizza e aggiorna gli attributi DNS per il tuo VPC nella Amazon VPC User Guide.

Controllo dell'integrità di Route 53

In una zona ospitata privata, puoi associare i controlli di integrità di Route 53 solo ai record di failover, risposta multivalore, ponderata, latenza, geolocalizzazione e geoprossimità. Per ulteriori informazioni sull'associazione di controlli dell'integrità con record di failover, consulta Configurazione del failover in una zona ospitata privata.

Policy di routing supportate per i record in una zona ospitata privata

Puoi utilizzare le seguenti policy di routing al momento della creazione di un record in una zona ospitata privata:

La creazione di record in una zona ospitata privata utilizzando altre policy di routing non è supportata.

Visualizzazione doppia di DNS

Puoi utilizzare Route 53 per configurare DNS con visualizzazione separata, noto anche come DNS split-horizon. Nella visualizzazione doppia di DNS, utilizzi lo stesso nome di dominio (esempio.com) per usi interni (accounting.esempio.com) ed esterni, ad esempio il tuo sito Web pubblico (www.esempio.com). Potrebbe anche essere necessario utilizzare lo stesso nome di sottodominio internamente ed esternamente, ma servire contenuti diversi o richiedere un'autenticazione diversa per gli utenti interni ed esterni.

Per configurare la visualizzazione doppia di DNS, esegui la procedura seguente:

  1. Crea zone ospitate pubbliche e private con lo stesso nome. (La visualizzazione doppia di DNS funziona ancora se utilizzi un altro servizio DNS per la zona ospitata pubblica.)

  2. Associa uno o più Amazon VPCs alla zona ospitata privata. Route 53 Resolver utilizza la zona ospitata privata per instradare le query DNS nella zona specificata. VPCs

  3. Crea record in ogni zona ospitata. I record nella zona ospitata pubblica controllano il modo in cui viene instradato il traffico Internet e i record nella zona ospitata privata controllano il modo in cui viene instradato il traffico su Amazon. VPCs

Se è necessario eseguire la risoluzione dei nomi dei carichi di lavoro VPC e on-premise, puoi utilizzare Route 53 Resolver. Per ulteriori informazioni, consulta Che cos'è Amazon Route 53 Resolver?.

Zone ospitate pubbliche e private con spazi dei nomi sovrapposti

Se si dispone di zone ospitate pubbliche e private con spazi dei nomi sovrapposti, ad esempio example.com e accounting.example.com, Resolver instrada il traffico in base alla corrispondenza più specifica. Quando gli utenti accedono a un' EC2 istanza in un Amazon VPC che hai associato alla zona ospitata privata, ecco come Route 53 Resolver gestisce le query DNS:

  1. Resolver valuta se il nome della zona ospitata privata corrisponde al nome di dominio nella richiesta, ad esempio accounting.esempio.com. Una corrispondenza è definita come segue:

    • Una corrispondenza identica

    • Il nome della zona ospitata privata è un elemento padre del nome di dominio nella richiesta. Ad esempio, supponiamo che il nome di dominio della richiesta sia il seguente:

      seattle.accounting.esempio.com

      Le seguenti zone ospitate corrispondono perché sono elementi padre di seattle.accounting.esempio.com:

      • accounting.esempio.com

      • esempio.com

    Se non esiste alcuna zona ospitata privata corrispondente, allora il Resolver inoltra la richiesta a un resolver DNS pubblico e la richiesta viene risolta come una normale query DNS.

  2. Se esiste un nome di zona ospitata privata che corrisponde al nome di dominio nella richiesta, nella zona ospitata viene ricercato un record che corrisponde al nome di dominio DNS e al tipo della richiesta, ad esempio un record per accounting.esempio.com.

    Nota

    Se è presente una zona ospitata privata corrispondente ma non esiste un record corrispondente al nome e al tipo di dominio della richiesta, Resolver non inoltra la richiesta a un resolver DNS pubblico. Al contrario, restituisce NXDOMAIN (dominio inesistente) al client.

Zone ospitate pubbliche e private con spazi dei nomi sovrapposti

Se si dispone di due o più zone ospitate private con spazi dei nomi sovrapposti, ad esempio esempio.com e accounting.esempio.com, Resolver instrada il traffico in base alla corrispondenza più specifica.

Nota

Se si dispone di una zona privata ospitata (esempio.com) e di una regola di Route 53 Resolver che instrada il traffico alla rete per lo stesso nome di dominio, la regola del Resolver ha la precedenza. Per informazioni, consulta Private hosted zones and Route 53 Resolver rules.

Quando gli utenti accedono a un' EC2 istanza in un Amazon VPC che hai associato a tutte le zone ospitate private, ecco come Resolver gestisce le query DNS:

  1. Resolver valuta se il nome dominio nella richiesta, ad esempio accounting.esempio.com, corrisponde al nome di una delle zone ospitate private.

  2. In assenza di una zona ospitata che corrisponde esattamente al nome di dominio nella richiesta, Resolver verifica la presenza di una zona ospitata con un nome che è un elemento padre del nome di dominio nella richiesta. Ad esempio, supponiamo che il nome di dominio della richiesta sia il seguente:

    seattle.accounting.example.com

    Le seguenti zone ospitate corrispondono perché sono elementi padre di seattle.accounting.example.com:

    • accounting.example.com

    • example.com

    Resolver sceglie accounting.example.com perché è più specifico di example.com.

  3. Resolver ricerca nella zona ospitata accounting.example.com un record che corrisponda al nome di dominio e al tipo DNS nella richiesta, ad esempio un record A per seattle.accounting.example.com.

    Se non è presente un record che corrisponde al nome e al tipo di dominio nella richiesta, Resolver restituisce NXDOMAIN (dominio inesistente) al client.

Regole di zone ospitate private e Route 53 Resolver

Se disponi di una zona ospitata privata (esempio.com) e di una regola di Route 53 Resolver che instrada il traffico alla rete per lo stesso nome di dominio, la regola del Resolver ha la precedenza.

Si prenda come esempio la seguente configurazione:

  • Hai una zona ospitata privata denominata example.com che associ a un VPC.

  • Crea una regola Route 53 Resolver che inoltri il traffico di esempio.com alla rete e associ la regola allo stesso VPC.

In questa configurazione, la regola del Resolver ha la priorità rispetto alla zona ospitata privata. Le query DNS vengono inoltrate alla rete anziché risolte in base ai record nella zona ospitata privata.

Delegare responsabilità per un sottodominio

Non puoi creare record NS in una zona ospitata privata per delegare responsabilità per un sottodominio.

Server DNS personalizzati

Se hai configurato server DNS personalizzati su EC2 istanze Amazon nel tuo VPC, devi configurare tali server DNS per instradare le tue query DNS private all'indirizzo IP dei server DNS forniti da Amazon per il tuo VPC. Questo indirizzo IP è l'indirizzo IP alla base dell'intervallo di rete VPC "più due". Ad esempio, se l'intervallo di CIDR per il tuo VPC è 10.0.0.0/16, l'indirizzo IP del server DNS è 10.0.0.2.

Se desideri instradare le query DNS tra e la tua rete, puoi utilizzare Resolver. VPCs Per ulteriori informazioni, consulta Che cos'è Amazon Route 53 Resolver?.

Autorizzazioni IAM richieste

Per creare zone private ospitate, devi concedere le autorizzazioni IAM per EC2 le azioni Amazon oltre alle autorizzazioni per le azioni Route 53. Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Route 53 in Service Authorization Reference.