使用規則來控制哪些查詢轉送到您的網路 - Amazon Route 53

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用規則來控制哪些查詢轉送到您的網路

規則控制哪些 DNS 查詢解析程式端點轉送到您網路上的 DNS 解析程式,以及哪些查詢 VPC 解析程式自行回應。

有幾種方式可以分類規則。一種方法是以規則建立者為分類依據:

  • 自動定義規則 – VPC Resolver 會自動建立自動定義規則,並將規則與您的 VPCs建立關聯。這些規則大多適用於 VPC Resolver 回答查詢 AWS的特定網域名稱。如需詳細資訊,請參閱VPC Resolver 為 建立自動定義系統規則的網域名稱

  • 自訂規則 – 您建立自訂規則,並建立這些規則與 VPC 的關聯。目前,您可以建立兩種類型的自訂規則:條件式轉送規則,也稱為轉送規則和委派規則轉送規則會導致 VPC Resolver 將 DNS 查詢從 VPCs 轉送到網路上 DNS 解析程式的 IP 地址。

    如果您為與自動定義規則相同的網域建立轉送規則,VPC Resolver 會根據轉送規則中的設定,將該網域名稱的查詢轉送至您網路上的 DNS 解析程式。

    委派規則會使用委派規則中符合 NS 記錄的委派記錄轉送 DNS 查詢,以回應您網路上的解析程式。

另一個方法是依據操作內容分類規則:

  • 條件式轉送規則 – 當您想要將指定網域名稱的 DNS 查詢轉送到您網路的 DNS 解析程式時,建立條件式轉送規則 (也稱為轉送規則)。

  • 系統規則 – 系統規則會導致 VPC Resolver 選擇性地覆寫轉送規則中定義的行為。當您建立系統規則時,VPC Resolver 會解析指定子網域的 DNS 查詢,否則將由網路上的 DNS 解析程式解析。

    根據預設,轉送規則適用於網域名稱及其所有子網域。如果您想要將網域查詢轉送到網路的解析程式,但不想轉送某些子網域的查詢,您可以建立針對子網域的系統規則。例如,如果您為 example.com 建立了轉送規則,但不想轉送 acme.example.com 的查詢,您可以建立一項系統規則,並指定 acme.example.com 為網域名稱。

  • 遞迴規則 – VPC Resolver 會自動建立名為 Internet Resolver 的遞迴規則。此規則會導致 Route 53 VPC Resolver 充當您未建立自訂規則且 VPC Resolver 未建立自動定義規則之任何網域名稱的遞迴解析程式。如需如何覆寫這種行為的資訊,請參閱本主題稍後的「將所有查詢轉送到您的網路」。

您可以建立套用到特定網域名稱 (您的或大多數 AWS 網域名稱)、公有 AWS 網域名稱或所有網域名稱的自訂規則。

將特定網域名稱的查詢轉送到您的網路

若要將 example.com 等特定網域名稱的查詢轉送到您的網路,您可以建立一項規則,指定該網域名稱。針對轉送規則,您也可以在網路上指定要轉送查詢的 DNS 解析程式 IP 地址,或針對委派規則建立委派記錄,以便將授權委派給現場部署解析程式。然後,建立每項規則與將 DNS 查詢轉送至網路之 VPC 的關聯。例如,您可以分別為 example.com、example.org 和 example.net 建立規則。然後,您可以使用任何組合將規則與 AWS 區域中VPCs 建立關聯。

將 amazonaws.com 的查詢轉送至您的網路

網域名稱 amazonaws.com 是 EC2 執行個體和 S3 儲存貯體等 AWS 資源的公有網域名稱。如果您想要將 amazonaws.com 的查詢轉送至您的網路,請建立規則、為網域名稱指定 amazonaws.com,並根據您想要使用的方法為規則類型指定轉送委派

注意

即使您為 amazonaws.com 建立轉送規則,VPC Resolver 也不會自動轉送某些 amazonaws.com 子網域的 DNS 查詢。如需詳細資訊,請參閱VPC Resolver 為 建立自動定義系統規則的網域名稱。如需如何覆寫這種行為的資訊,請參閱接下來的「將所有查詢轉送到您的網路」。

將所有查詢轉送到您的網路

如果您想要將所有查詢轉送至您的網路,您可以建立一項規則,指定「.」(點) 為網域名稱,並建立規則與將所有 DNS 查詢轉送至網路之 VPC 的關聯。VPC Resolver 仍然不會將所有 DNS 查詢轉送到您的網路,因為在 外部使用 DNS 解析程式 AWS 會中斷某些功能。例如,某些內部 AWS 網域名稱具有無法從 外部存取的內部 IP 地址範圍 AWS。如需建立「.」規則後無法將查詢轉送到您網路的網域名稱清單,請參閱 VPC Resolver 為 建立自動定義系統規則的網域名稱

不過,您可以停用反向 DNS 的自動定義系統規則,讓「.」規則將所有反向 DNS 查詢轉送至您的網路。如需如何關閉自動定義之規則的詳細資訊,請參閱 在 VPC Resolver 中轉送反向 DNS 查詢的規則

如果您想要嘗試將所有網域名稱的 DNS 查詢轉送至您的網路,包括預設排除轉送的網域名稱,您可以建立「.」規則,然後執行下列一項操作:

重要

如果您將所有網域名稱轉送到您的網路,包括 VPC Resolver 在您建立 "." 規則時排除的網域名稱,某些功能可能會停止運作。