使用私有託管區域的考量

使用私有託管區域時，請注意下列注意事項：

Amazon VPC settings
Route 53 health checks
Supported routing policies for records in a private hosted zone
Split-view DNS
Public and private hosted zones that have overlapping namespaces
Private hosted zones that have overlapping namespaces
Private hosted zones and Route 53 VPC Resolver rules
Delegating responsibility for a subdomain
Custom DNS servers
Required IAM permissions

Amazon VPC 設定

若要使用私有託管區域，您必須將下列 Amazon VPC 設定設為 true：

enableDnsHostnames
enableDnsSupport

如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的檢視和更新 VPC 的 DNS 屬性。

Route 53 運作狀態檢查

在私有託管區域中，您只能將 Route 53 運作狀態檢查與容錯移轉、多值回答、加權、延遲、地理位置和地理位置鄰近性記錄建立關聯。如需將運作狀態檢查與容錯移轉記錄關聯的資訊，請參閱在私有託管區域中設定容錯移轉。

支援的私有託管區域中記錄的路由政策

在私有託管區域中建立記錄時，可以使用以下路由政策：

不支援使用其他路由政策在私有託管區域中建立記錄。

分割檢視 DNS

可以使用 Route 53 設定分割檢視 DNS，也稱為水平分割 DNS。在分割檢視 DNS 中，您會針對內部用途 (accounting.example.com) 和外部用途 (例如，您的公有網站 (www.example.com)) 使用相同的網域名稱 (example.com)。您可能還需要在內部和外部使用相同的子網域名稱，但提供不同的內容，或需要對內部和外部使用者進行不同的身分驗證。

若要設定分割檢視 DNS，請執行下列步驟：

建立具有相同名稱的公有和私有託管區域。(如果您針對公有託管區域使用其他 DNS 服務，則分割檢視 DNS 仍可運作。)
將一或多個 Amazon VPC 與私有託管區域建立關聯。Route 53 VPC Resolver 使用私有託管區域來路由指定 VPCs 中的 DNS 查詢。
在每個託管區域中建立記錄。公有託管區域中的記錄會控制網際網路流量的路由方式，私有託管區域中的記錄會控制流量在 Amazon VPC 中路由的方式。

如果您需要同時執行 VPC 和內部部署工作負載的名稱解析，您可以使用 Route 53 VPC Resolver。如需詳細資訊，請參閱什麼是 Route 53 VPC Resolver？。

具有重疊命名空間的公有和私有託管區域

如果您有具有重疊命名空間的私有和公有託管區域，例如 example.com 和 accounting.example.com，VPC Resolver 會根據最具體的相符項目來路由流量。當使用者登入與私有託管區域相關聯的 Amazon VPC 中的 EC2 執行個體時，以下是 Route 53 VPC Resolver 處理 DNS 查詢的方式：

VPC Resolver 會評估私有託管區域的名稱是否符合請求中的網域名稱，例如 accounting.example.com。符合定義為下列任一項：
- 完全符合
- 私有託管區域的名稱是請求中網域名稱的父系。例如，假設請求中的網域名稱如下：
  
  seattle.accounting.example.com
  
  以下託管區域相符，因為它們是 seattle.accounting.example.com 的父系：
  - accounting.example.com
  - example.com
如果沒有相符的私有託管區域，則 VPC Resolver 會將請求轉送至公有 DNS 解析程式，並將您的請求解析為一般 DNS 查詢。
如果有與請求中的網域名稱相符的私有託管區域名稱，則會在該託管區域中搜尋與請求中的網域名稱和 DNS 類型相符的記錄，如 accounting.example.com 的 A 記錄。

注意
如果有相符的私有託管區域，但沒有符合請求中網域名稱和類型的記錄，VPC Resolver 不會將請求轉送至公有 DNS 解析程式。而是將 NXDOMAIN (不存在的網域) 傳回給用戶端。

具有重疊命名空間的私有託管區域

如果您有兩個或多個具有重疊命名空間的私有託管區域，例如 example.com 和 accounting.example.com，VPC Resolver 會根據最具體的相符項目來路由流量。

注意

如果您有私有託管區域 (example.com：//) 和 Route 53 VPC Resolver 規則，將相同網域名稱的流量路由到您的網路，則 VPC Resolver 規則優先。請參閱 Private hosted zones and Route 53 VPC Resolver rules。

當使用者登入與所有私有託管區域相關聯的 Amazon VPC 中的 EC2 執行個體時，以下是 VPC Resolver 處理 DNS 查詢的方式：

VPC Resolver 會評估請求中的網域名稱，例如 accounting.example.com，是否符合其中一個私有託管區域的名稱。
如果沒有完全符合請求中網域名稱的託管區域，VPC Resolver 會檢查名稱為請求中網域名稱父系的託管區域。例如，假設請求中的網域名稱如下：

seattle.accounting.example.com

下列託管區域相符，因為它們是 seattle.accounting.example.com 的父系：
- accounting.example.com
- example.com
VPC Resolver 選擇，accounting.example.com因為它比更具體example.com。
VPC Resolver 會搜尋accounting.example.com託管區域，尋找符合請求中網域名稱和 DNS 類型的記錄，例如的 A 記錄seattle.accounting.example.com。

如果沒有記錄符合請求中的網域名稱和類型，VPC Resolver 會將 NXDOMAIN （不存在的網域）傳回給用戶端。

私有託管區域和 Route 53 VPC Resolver 規則

如果您有私有託管區域 (example.com：//) 和 VPC Resolver 規則，將相同網域名稱的流量路由到您的網路，則 VPC Resolver 規則優先。

舉例而言，假設您的組態如下：

您有一個名為 example.com 的私有託管區域，並與 VPC 建立關聯。
您可以建立 Route 53 VPC Resolver 規則，將 example.com 的流量轉送至您的網路，並將規則與相同的 VPC 建立關聯。

在此組態中，VPC Resolver 規則優先於私有託管區域。DNS 查詢會轉送到您的網路，而不是根據私有託管區域中的記錄解析。

委派子網域的責任

您現在可以在私有託管區域中建立 NS 記錄，以委派子網域的責任。如需詳細資訊，請參閱Resolver 委派規則教學課程。

自訂 DNS 伺服器

如果您已在 VPC 中的 Amazon EC2 執行個體上設定自訂 DNS 伺服器，則必須設定這些 DNS 伺服器，將私有 DNS 查詢路由到 Amazon 為您的 VPC 提供的 DNS 伺服器的 IP 地址。此 IP 地址是 VPC 網路範圍基礎上的 IP 地址「加 2」。例如，如果您的 VPC 的 CIDR 範圍是 10.0.0.0/16，DNS 伺服器的 IP 地址就是 10.0.0.2。

如果您想要在 VPCs與網路之間路由 DNS 查詢，您可以使用 VPC Resolver。如需詳細資訊，請參閱什麼是 Route 53 VPC Resolver？。

所需的 IAM 許可

若要建立私有託管區域，除了 Route 53 動作許可之外，您還需要授予 Amazon EC2 動作的 IAM 許可。如需詳細資訊，請參閱《服務授權參考》中的 Route 53 的動作、資源和條件索引鍵。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用私有託管區域

建立私有託管區域