本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用私有託管區域的考量 使用私有託管區域時,請注意下列注意事項: + [Amazon VPC settings](#hosted-zone-private-considerations-vpc-settings) + [Route 53 health checks](#hosted-zone-private-considerations-health-checks) + [Supported routing policies for records in a private hosted zone](#hosted-zone-private-considerations-routing-policies) + [Split-view DNS](#hosted-zone-private-considerations-split-view-dns) + [Public and private hosted zones that have overlapping namespaces](#hosted-zone-private-considerations-public-private-overlapping) + [Private hosted zones that have overlapping namespaces](#hosted-zone-private-considerations-private-overlapping) + [Private hosted zones and Route 53 VPC Resolver rules](#hosted-zone-private-considerations-resolver-rules) + [Delegating responsibility for a subdomain](#hosted-zone-private-considerations-delegating-subdomain) + [Custom DNS servers](#hosted-zone-private-considerations-custom-dns) + [Required IAM permissions](#hosted-zone-private-considerations-required-permissions) **Amazon VPC 設定** 若要使用私有託管區域,您必須將下列 Amazon VPC 設定設為 `true`: + `enableDnsHostnames` + `enableDnsSupport` 如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的檢視和更新 VPC 的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns-updating.html)。 **Route 53 運作狀態檢查** 在私有託管區域中,您只能將 Route 53 運作狀態檢查與容錯移轉、多值回答、加權、延遲、地理位置和地理位置鄰近性記錄建立關聯。如需將運作狀態檢查與容錯移轉記錄關聯的資訊,請參閱 [在私有託管區域中設定容錯移轉](dns-failover-private-hosted-zones.md)。 **支援的私有託管區域中記錄的路由政策** 在私有託管區域中建立記錄時,可以使用以下路由政策: + [簡便路由](routing-policy-simple.md) + [容錯移轉路由](routing-policy-failover.md) + [多值答案路由](routing-policy-multivalue.md) + [加權路由](routing-policy-weighted.md) + [以延遲為基礎的路由](routing-policy-latency.md) + [地理位置路由](routing-policy-geo.md) + [地緣臨近度路由](routing-policy-geoproximity.md) 不支援使用其他路由政策在私有託管區域中建立記錄。 **分割檢視 DNS** 可以使用 Route 53 設定分割檢視 DNS,也稱為水平分割 DNS。在分割檢視 DNS 中,您會針對內部用途 (accounting.example.com) 和外部用途 (例如,您的公有網站 (www.example.com)) 使用相同的網域名稱 (example.com)。您可能還需要在內部和外部使用相同的子網域名稱,但提供不同的內容,或需要對內部和外部使用者進行不同的身分驗證。 若要設定分割檢視 DNS,請執行下列步驟: 1. 建立具有相同名稱的公有和私有託管區域。(如果您針對公有託管區域使用其他 DNS 服務,則分割檢視 DNS 仍可運作。) 1. 將一或多個 Amazon VPC 與私有託管區域建立關聯。Route 53 VPC Resolver 使用私有託管區域來路由指定 VPCs 中的 DNS 查詢。 1. 在每個託管區域中建立記錄。公有託管區域中的記錄會控制網際網路流量的路由方式,私有託管區域中的記錄會控制流量在 Amazon VPC 中路由的方式。 如果您需要同時執行 VPC 和內部部署工作負載的名稱解析,您可以使用 Route 53 VPC Resolver。如需詳細資訊,請參閱[什麼是 Route 53 VPC Resolver?](resolver.md)。 **具有重疊命名空間的公有和私有託管區域** 如果您有具有重疊命名空間的私有和公有託管區域,例如 example.com 和 accounting.example.com,VPC Resolver 會根據最具體的相符項目來路由流量。當使用者登入與私有託管區域相關聯的 Amazon VPC 中的 EC2 執行個體時,以下是 Route 53 VPC Resolver 處理 DNS 查詢的方式: 1. VPC Resolver 會評估私有託管區域的名稱是否符合請求中的網域名稱,例如 accounting.example.com。符合定義為下列任一項: + 完全符合 + 私有託管區域的名稱是請求中網域名稱的父系。例如,假設請求中的網域名稱如下: **seattle.accounting.example.com** 以下託管區域相符,因為它們是 seattle.accounting.example.com 的父系: + **accounting.example.com** + **example.com** 如果沒有相符的私有託管區域,則 VPC Resolver 會將請求轉送至公有 DNS 解析程式,並將您的請求解析為一般 DNS 查詢。 1. 如果有與請求中的網域名稱相符的私有託管區域名稱,則會在該託管區域中搜尋與請求中的網域名稱和 DNS 類型相符的記錄,如 accounting.example.com 的 A 記錄。 **注意** 如果有相符的私有託管區域,但沒有符合請求中網域名稱和類型的記錄,VPC Resolver 不會將請求轉送至公有 DNS 解析程式。而是將 NXDOMAIN (不存在的網域) 傳回給用戶端。 **具有重疊命名空間的私有託管區域** 如果您有兩個或多個具有重疊命名空間的私有託管區域,例如 example.com 和 accounting.example.com,VPC Resolver 會根據最具體的相符項目來路由流量。 如果您有私有託管區域 (example.com://) 和 Route 53 VPC Resolver 規則,將相同網域名稱的流量路由到您的網路,則 VPC Resolver 規則優先。請參閱 [Private hosted zones and Route 53 VPC Resolver rules](#hosted-zone-private-considerations-resolver-rules)。 當使用者登入與所有私有託管區域相關聯的 Amazon VPC 中的 EC2 執行個體時,以下是 VPC Resolver 處理 DNS 查詢的方式: 1. VPC Resolver 會評估請求中的網域名稱,例如 accounting.example.com,是否符合其中一個私有託管區域的名稱。 1. 如果沒有完全符合請求中網域名稱的託管區域,VPC Resolver 會檢查名稱為請求中網域名稱父項的託管區域。例如,假設請求中的網域名稱如下: `seattle.accounting.example.com` 下列託管區域相符,因為它們是 `seattle.accounting.example.com` 的父系: + `accounting.example.com` + `example.com` VPC Resolver 選擇 ,`accounting.example.com`因為它比 更具體`example.com`。 1. VPC Resolver 會搜尋`accounting.example.com`託管區域,尋找符合請求中網域名稱和 DNS 類型的記錄,例如 的 A 記錄`seattle.accounting.example.com`。 如果沒有符合請求中網域名稱和類型的記錄,VPC Resolver 會將 NXDOMAIN (不存在的網域) 傳回給用戶端。 **私有託管區域和 Route 53 VPC Resolver 規則** 如果您有私有託管區域 (example.com://) 和 VPC Resolver 規則,將相同網域名稱的流量路由到您的網路,則 VPC Resolver 規則優先。 舉例而言,假設您的組態如下: + 您有一個名為 example.com 的私有託管區域,並與 VPC 建立關聯。 + 您可以建立 Route 53 VPC Resolver 規則,將 example.com 的流量轉送至您的網路,並將規則與相同的 VPC 建立關聯。 在此組態中,VPC Resolver 規則優先於私有託管區域。DNS 查詢會轉送到您的網路,而不是根據私有託管區域中的記錄解析。 **委派子網域的責任** 您現在可以在私有託管區域中建立 NS 記錄,以委派子網域的責任。如需詳細資訊,請參閱[Resolver 委派規則教學課程](outbound-delegation-tutorial.md)。 **自訂 DNS 伺服器** 如果您已在 VPC 中的 Amazon EC2 執行個體上設定自訂 DNS 伺服器,則必須設定這些 DNS 伺服器,將私有 DNS 查詢路由到 Amazon 為您的 VPC 提供的 DNS 伺服器的 IP 地址。此 IP 地址是 VPC 網路範圍基礎上的 IP 地址「加 2」。例如,如果您的 VPC 的 CIDR 範圍是 10.0.0.0/16,DNS 伺服器的 IP 地址就是 10.0.0.2。 如果您想要在 VPCs與網路之間路由 DNS 查詢,您可以使用 VPC Resolver。如需詳細資訊,請參閱[什麼是 Route 53 VPC Resolver?](resolver.md)。 **所需的 IAM 許可** 若要建立私有託管區域,除了 Route 53 動作許可之外,您還需要授予 Amazon EC2 動作的 IAM 許可。如需詳細資訊,請參閱[《服務授權參考》](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)中的 *Route 53 的動作、資源和條件索引鍵*。