使用规则控制将哪些查询转发到您的网络 - Amazon Route 53

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用规则控制将哪些查询转发到您的网络

规则控制将哪些 DNS 查询 Route 53 Resolver 端点转发到您网络上的 DNS 解析程序,以及 Resolver 自身应答哪些查询。

您可以通过多种方法分类规则。一种方法是按照规则的创建者分类:

  • 自动定义的规则 — Resolver 会自动创建自动定义的规则,并将这些规则与您的规则相关联。 VPCs这些规则大多适用于 AWS Resolver 回答查询的特定域名。有关更多信息,请参阅 Resolver 为其创建自动定义规则的域名

  • 自定义规则-您可以创建自定义规则并将这些规则与关联 VPCs。目前,您可以创建两种类型的自定义规则:条件转发规则(也称为转发规则)和委托规则转发规则会使解析器将您的 DNS 查询转发 VPCs 到您网络上的 DNS 解析器的 IP 地址。

    如果您为自动定义规则的同一个域创建转发规则,根据转发规则中的设置,Resolver 将对该域名的查询转发到您网络上的 DNS 解析程序。

    委托规则将委托规则中与 NS 记录匹配的委托记录转发 DNS 查询,以响应网络上的解析器。

另一种方法是按照规则执行的操作来分类:

  • 条件转发规则 — 希望将对指定域名的 DNS 查询转发到您网络上的 DNS 解析程序时,可创建条件转发规则(也称为转发规则)。

  • 系统规则 — 系统规则会导致 Resolver 选择性覆盖转发规则中定义的行为。创建了系统规则时,Resolver 会解析对指定子域的 DNS 查询,如果没有系统规则,就会由您网络上的 DNS 解析程序解析。

    默认情况下,转发规则会应用到一个域名及其所有子域。如果您希望将对某个域的查询转发到您网络上的解析程序,但不想为某些子域转发查询,则为这些子域创建系统规则。例如,如果您为 example.com 创建一个转发规则,但不希望转发针对 acme.example.com 的查询,则可以创建系统规则,为域名指定 acme.example.com。

  • 递归规则 — Resolver 会自动创建名为 Internet Resolver(互联网解析程序)的递归规则。此规则使 Route 53 Resolver 充当您未为其创建自定义规则以及 Resolver 未为其创建自动定义规则的任何域名的递归解析程序。有关如何覆盖此行为的更多信息,请参阅本主题下文中的“将所有查询转发到您的网络”。

您可以创建适用于特定域名(您的或大多数 AWS 域名)、公共 AWS 域名或所有域名的自定义规则。

将对特定域名的查询转发到您的网络

要将对特定域名(例如 example.com)的查询转发到您的网络,您可以创建规则并指定该域名。对于转发规则,您还可以指定网络上要将查询转发到的 DNS 解析器的 IP 地址,或者,对于托规则,请创建您要将权限委托给本地解析器的委托记录。然后,将每条规则与您要将 VPCs DNS 查询转发到您的网络的规则相关联。例如,您可以为 example.com、example.org 和 example.net 创建单独的规则。然后,您可以将规则与 AWS 区域 VPCs 中的任意组合相关联。

将对 amazonaws.com 的查询转发到您的网络

域名 amazonaws.com 是 EC2实例和 S3 存储桶等 AWS 资源的公共域名。如果您想将对 amazonaws.com 的查询转发到您的网络,请创建规则,为域名指定 amazonaws.com,并根据您要使用的方法为规则类型指定 “转发” 或 “托”。

注意

Resolver 不会自动转发对部分 amazonaws.com 子域的 DNS 查询,即使您为 amazonaws.com 创建了规则。有关更多信息,请参阅 Resolver 为其创建自动定义规则的域名。有关如何覆盖此行为的更多信息,请参阅下文中的“将所有查询转发到您的网络”。

将所有查询转发到您的网络

如果要将所有查询转发到您的网络,请创建一个规则,指定 “。” (dot)表示域名,并将该规则与您要将所有 DNS 查询转发到您的网络的规则相关联。 VPCs 解析器仍然无法将所有 DNS 查询转发到您的网络,因为在网络之外使用 DNS 解析器 AWS 会破坏某些功能。例如,某些内部 AWS 域名的内部 IP 地址范围无法从外部访问 AWS。有关当您创建“.”规则时对其查询不会转发到您网络的域名列表,请参阅Resolver 为其创建自动定义规则的域名

但是,可以禁用反向 DNS 的自动定义系统规则,从而允许“.”规则将所有反向 DNS 查询转发到您的网络。有关如何关闭自动定义规则的更多信息,请参阅 解析程序中反向 DNS 查询的转发规则

如果您要尝试将对所有域名的 DNS 查询转发到网络,包括默认情况下会从转发中排除的域名,您可以创建“.”规则并执行以下操作之一:

重要

如果将所有域名转发到您的网络,包括在您创建“.”规则时 Resolver 排除的域名,一些功能可能会停止工作。