本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用私有托管区域的注意事项 使用私有托管区域时请注意以下事项: + [Amazon VPC settings](#hosted-zone-private-considerations-vpc-settings) + [Route 53 health checks](#hosted-zone-private-considerations-health-checks) + [Supported routing policies for records in a private hosted zone](#hosted-zone-private-considerations-routing-policies) + [Split-view DNS](#hosted-zone-private-considerations-split-view-dns) + [Public and private hosted zones that have overlapping namespaces](#hosted-zone-private-considerations-public-private-overlapping) + [Private hosted zones that have overlapping namespaces](#hosted-zone-private-considerations-private-overlapping) + [Private hosted zones and Route 53 VPC Resolver rules](#hosted-zone-private-considerations-resolver-rules) + [Delegating responsibility for a subdomain](#hosted-zone-private-considerations-delegating-subdomain) + [Custom DNS servers](#hosted-zone-private-considerations-custom-dns) + [Required IAM permissions](#hosted-zone-private-considerations-required-permissions) **Amazon VPC 设置** 要使用私有托管区域,您必须将以下 Amazon VPC 设置设为 `true`: + `enableDnsHostnames` + `enableDnsSupport` 有关更多信息,请参阅 *Amazon VPC 用户指南*中的[查看和更新 VPC 的 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns-updating.html)。 **Route 53 运行状况检查** 在私有托管区中,只能将 Route 53 运行状况检查与失效转移、多值应答、加权、延迟、地理位置和地理位置临近度记录相关联。有关将运行状况检查与故障转移记录关联的信息,请参阅[在私有托管区域中配置故障转移](dns-failover-private-hosted-zones.md)。 **私有托管区域中的记录支持的路由策略** 在私有托管区域中创建记录时,可以使用以下路由策略: + [路由简单](routing-policy-simple.md) + [故障转移路由](routing-policy-failover.md) + [多值应答路由](routing-policy-multivalue.md) + [加权路由](routing-policy-weighted.md) + [基于延迟的路由](routing-policy-latency.md) + [地理位置路由](routing-policy-geo.md) + [地理位置临近度路由](routing-policy-geoproximity.md) 不支持使用其他路由策略在私有托管区域中创建记录。 **拆分视图 DNS** 可以使用 Route 53 来配置分割视图 DNS,又称作水平分割 DNS。在拆分视图 DNS 中,内部使用的域名 (accounting.example.com) 和外部使用的域名(例如,公共网站 (www.example.com))相同 (example.com)。您可能还希望在内部和外部使用相同的子域名,但是为内部和外部用户提供不同的内容或要求不同的身份验证。 要配置拆分视图 DNS,请执行以下步骤: 1. 创建具有相同名称的公共和私有托管区域。(如果您在公共托管区域中使用其他 DNS 服务,则拆分视图 DNS 仍然可以使用。) 1. 将一个或多个 Amazon VPCs 与私有托管区域关联。Route 53 VPC 解析器使用私有托管区域在指定 VPCs区域中路由 DNS 查询。 1. 在每个托管区域中创建记录。公共托管区域中的记录控制互联网流量的路由方式,私有托管区域中的记录控制流量在您的 Amazon 中的路由方式。 VPCs 如果您需要对 VPC 和本地工作负载执行名称解析,则可以使用 Route 53 VPC 解析器。有关更多信息,请参阅 [什么是 Route 53 VPC 解析器?](resolver.md)。 **具有重叠命名空间的公有和私有托管区域** 如果您的私有和公有托管区域具有重叠的命名空间,例如 example.com 和 accounting.example.com,VPC Resolver 会根据最具体的匹配项来路由流量。当用户登录到与私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 Route 53 VPC 解析器处理 DNS 查询的方式: 1. VPC 解析器评估私有托管区域的名称是否与请求中的域名匹配,例如 accounting.example.com。以下任一形式均可定义为匹配: + 相同匹配 + 私有托管区域的名称是请求中域名的父级。例如,假设请求中的域名如下: **seattle.accounting.example.com** 以下托管区域匹配,因为它们是 seattle.accounting.example.com 的父级: + **accounting.example.com** + **example.com** 如果没有匹配的私有托管区域,VPC Resolver 会将请求转发给公有 DNS 解析器,您的请求将作为常规 DNS 查询进行解析。 1. 如果存在与请求中的域名匹配的私有托管区域名称,则会在该托管区域中搜索与请求中的域名和 DNS 类型匹配的记录,如 accounting.example.com 的 A 记录。 **注意** 如果有匹配的私有托管区域,但没有与请求中的域名和类型相匹配的记录,则 VPC 解析器不会将请求转发给公有 DNS 解析器。而是将 NXDOMAIN (不存在的域) 返回给客户端。 **具有重叠命名空间的私有托管区域** 如果您有两个或更多具有重叠命名空间的私有托管区域,例如 example.com 和 accounting.example.com,VPC Resolver 会根据最具体的匹配项来路由流量。 如果您有一个私有托管区域 (example.com) 和 Route 53 VPC 解析器规则,用于将流量路由到您的网络,则优先使用 VPC 解析器规则。请参阅[Private hosted zones and Route 53 VPC Resolver rules](#hosted-zone-private-considerations-resolver-rules)。 当用户登录到您已与所有私有托管区域关联的 Amazon VPC 中的 EC2 实例时,以下是 VPC 解析器处理 DNS 查询的方式: 1. VPC 解析器会评估请求中的域名(例如 accounting.example.com)是否与其中一个私有托管区域的名称匹配。 1. 如果没有与请求中的域名完全匹配的托管区域,VPC Resolver 会检查是否存在名称为请求中域名的父域名的托管区域。例如,假设请求中的域名如下: `seattle.accounting.example.com` 以下托管区域匹配,因为它们是 `seattle.accounting.example.com` 的父项: + `accounting.example.com` + `example.com` VPC 解析器`accounting.example.com`之所以选择,是因为它比`example.com`它更具体。 1. VPC Resolver 在`accounting.example.com`托管区域中搜索与请求中的域名和 DNS 类型相匹配的记录,例如 A 记录。`seattle.accounting.example.com` 如果没有与请求中的域名和类型相匹配的记录,VPC 解析器会将 NXDOMAIN(不存在的域)返回给客户端。 **私有托管区域和 Route 53 VPC 解析器规则** 如果您有一个私有托管区域 (example.com) 和一个 VPC 解析器规则,用于将流量路由到您的网络,则优先使用 VPC 解析器规则。 例如,假设您有以下配置: + 您有一个名为 example.com 的私有托管区域,并将其与 VPC 关联。 + 您创建了一条 Route 53 VPC 解析器规则,该规则将 example.com 的流量转发到您的网络,然后将该规则与同一 VPC 相关联。 在此配置中,VPC 解析器规则优先于私有托管区域。DNS 查询将转发到您的网络,而不是根据私有托管区域中的记录进行解析。 **委派子域的责任** 您现在可在私有托管区中创建 NS 记录来委托子域的责任。有关更多信息,请参阅 [解析程序委托规则教程](outbound-delegation-tutorial.md)。 **自定义 DNS 服务器** 如果您已在 VPC 中的 Amazon EC2 实例上配置自定义 DNS 服务器,则必须对这些 DNS 服务器进行配置,将您的私有 DNS 查询路由到 Amazon 为您的 VPC 提供的 DNS 服务器的 IP 地址。此 IP 地址是 VPC 网络范围的基础上“\$12”。例如,如果您的 VPC 的 CIDR 范围为 10.0.0.0/16,则 DNS 服务器的 IP 地址为 10.0.0.2。 如果您想在 VPCs 和您的网络之间路由 DNS 查询,可以使用 VPC 解析器。有关更多信息,请参阅 [什么是 Route 53 VPC 解析器?](resolver.md)。 **所需的 IAM 权限** 要创建私有托管区域,您除了需要授予 Route 53 操作权限外,还需要授予 Amazon EC2 操作的 IAM 权限。有关更多信息,请参阅《服务授权参考》中的 [Route 53 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)。