入门

问:什么是域名系统 (DNS) 服务?

DNS 是一项遍布全球的服务,可将人类可读的名称(如 www.example.com)转换为计算机用于互相连接的数字 IP 地址(如 192.0.2.1)。互联网的 DNS 系统的工作原理很像电话簿,都是管理名称和数字之间的映射。对于 DNS 来说,名称就是域名 (www.example.com),便于人们记忆;数字就是 IP 地址 (192.0.2.1),指定计算机在互联网上的位置。DNS 服务器可将对名称的请求转换为 IP 地址,从而控制最终用户在 Web 浏览器中键入域名时访问的服务器。这些请求叫做“查询”。

问:什么是 Amazon Route 53?

Amazon Route 53 提供高度可用和可扩展的域名系统 (DNS) 以及运行状况检查 Web 服务。它可以将名称(如 example.com)转换为计算机用于互相连接的数字 IP 地址(如 192.0.2.1),为开发人员和企业提供一种极其可靠和经济高效的方式来将最终用户路由到互联网应用程序。您可以将您的 DNS 与运行状况检查服务结合使用,便于将流量路由到运行正常的终端节点,或者独立监控终端节点和/或对终端节点发出警报。Route 53 可高效地将用户请求连接到在亚马逊云科技中运行的基础设施,例如 Amazon EC2 实例、Elastic Load Balancing 负载均衡器或 Amazon S3 存储桶,也可用于将用户路由到亚马逊云科技以外的基础设施。

问:Amazon Route 53 可以用来做什么?

借助 Amazon Route 53,您可以创建和管理您的公共 DNS 记录。就像电话簿一样,Route 53 让您能够管理在互联网的 DNS 电话簿上为域名列出的 IP 地址。Route 53 还会对请求做出响应,将指定域名(如 example.com)转换为相应的 IP 地址(如 192.0.2.1)。您可以使用 Route 53 为新域(通过您的注册商注册的)创建 DNS 记录或为现有域转移 DNS 记录。Route 53 提供简单、基于标准的 REST API,让您可以轻松创建、更新和管理 DNS 记录。Route 53 还提供运行状况检查,用于监控您的应用程序、Web 服务器和其他资源的运行状况和性能。

问:如何开始使用 Amazon Route 53?

Amazon Route 53 提供的 Web 服务接口非常简单,可以让您在几分钟内开始使用。您的 DNS 记录会被整理到您使用 Amazon 管理控制台或 Route 53 的 API 配置的“托管区域”。要使用 Route 53,您只需:

• 单击服务页面上的注册按钮即可订阅该服务。
• 使用 Amazon 管理控制台或 CreateHostedZone API 创建一个可存储域的 DNS 记录的托管区域。创建托管区域后,您将收到跨四个不同顶级域 (TLD) 的四个 Route 53 名称服务器,以帮助确保高可用性。
• 您的托管区域最初将填充一组基本的 DNS 记录,包括四个虚拟名称服务器,这些服务器将回答您的域的查询。您可以通过使用 Amazon 管理控制台或调用 ChangeResourceRecordSet API 来添加、删除或更改这组记录。可在此页面上查看支持的 DNS 记录列表。
• 由于您的域名不受 Route 53 管理,您需要通知为您注册域名的注册商将域的名称服务器更新为与您的托管区域关联的名称服务器。

问:Amazon Route 53 如何提供高可用性和低延迟?

Route 53 使用亚马逊云科技高度可用且可靠的基础设施构建而成。我们的 DNS 服务器具有分布式特性,这有助于避免任何与互联网或网络相关的问题,确保以一致的方式将您的最终用户路由到您的应用程序。Route 53 旨在提供重要的应用程序所需的可靠性。借助 DNS 服务器网络,Route 53 可以根据网络状况自动对最佳站点的查询做出响应。因此,该服务能为最终用户的查询实现低延迟。

问:Amazon Route 53 服务的 DNS 服务器名称是什么?

为了提供一个高度可用的服务,每个 Amazon Route 53 托管区域都由自己的一组虚拟 DNS 服务器提供服务。因此,每个托管区域的 DNS 服务器名称都在该托管区域创建时由系统分配。

问:域和托管区域的区别是什么?

域是一个通用的 DNS 概念。域名是让使用数字地址的互联网资源更易于识别的名称。例如,amazon.com 是一个域。托管区域是一个 Amazon Route 53 概念。托管区域与传统的 DNS 区域文件类似;它代表可以一起管理的一系列记录,属于单个父域名。一个托管区域内的所有资源记录集都必须将该托管区域的域名作为后缀。例如,amazon.com 托管区域可能包含名为 www.amazon.com 和 www.aws.amazon.com 的记录,但不包含名为 www.amazon.cn 的记录。您可以使用 Route 53 管理控制台或 API 创建、检查、修改和删除托管区域。

问:Amazon Route 53 的价格如何?

Amazon Route 53 基于托管区域、查询和运行状况检查服务的实际使用情况收费。有关全部详细信息,请参阅 Amazon Route 53 定价页面
您只需按实际使用量付费。没有最低费用,没有最低使用承诺,也没有超额费用。

问:我可以为 Amazon Route 53 上的域管理设置哪些类型的访问控制?

您可以使用 Amazon Identity and Access Management (IAM) 服务来控制对 Amazon Route 53 托管区域的管理访问。通过 Amazon IAM,您可以创建多个用户并管理亚马逊云科技账户中每个用户的权限,从而控制组织中谁可以更改 DNS 记录。在此了解有关 Amazon IAM 的更多信息。

问:我已经订阅了 Amazon Route 53,但是当我尝试使用该服务时,系统显示“亚马逊云科技访问密钥 ID 需要订阅该服务。

当您注册新的亚马逊云科技服务时,在某些情况下最多可能需要 24 小时才能完成激活,在此期间您无法再次注册该服务。如果您在等待 24 小时之后仍未收到确认激活的电子邮件,这可能表明您的账户或付款明细授权有问题。请联系亚马逊云科技客户支持寻求帮助

问:何时对我的托管区域收费?

托管区域在创建时收费一次,然后在每个月的第一天收费一次。

问:为什么同一个托管区域在同一个月内会收费两次?

托管区域的宽限期为 12 小时。如果您在创建托管区域后的 12 小时内将其删除,我们将不向您收取该托管区域的费用。宽限期结束后,我们会立即对托管区域收取标准月费。如果您在当月的最后一天(例如 1 月 31 日)创建托管区域,那么 1 月份的费用可能会和 2 月份的费用一起显示在 2 月的发票中。

域名系统 (DNS)

问:我可以使用 Amazon Route 53 管理的托管区域数量有限制吗?

每个 Amazon Route 53 账户最多能管理 500 个托管区域,每个托管区域最多包含 10000 个资源记录集。填写我们的提高限额申请表,我们将在三个工作日内答复您。

问:我可以为同一个域名创建多个托管区域吗?

是。创建多个托管区域使您可以在“测试”环境中验证 DNS 设置,然后将这些设置复制到“生产”托管区域中。例如,托管区域 Z1234 可能是 example.com 的测试版本,托管在名称服务器 ns-1、ns-2、ns-3、ns-4、ns-5、ns-6 上。同样,托管区域 Z5678 可能是 example.com 的生产版本,托管在 ns-7、ns-8、ns-9、ns-10、ns-11 和 ns-12 上。由于每个托管区域都有一组与该区域关联的虚拟名称服务器,因此 Route 53 将根据您向哪个名称服务器发送 DNS 查询来响应 example.com 的 DNS 查询。

问:Amazon Route 53 支持哪些 DNS 记录类型?

Amazon Route 53 目前支持以下 DNS 记录类型:

• A(地址记录)
• AAAA(IPv6 地址记录)
• CNAME(别名记录)
• CAA(证书颁发机构授权)
• MX(邮件交换记录)
• NAPTR(名称权威指针记录)
• NS(名称服务器记录)
• PTR(指针记录)
• SOA(起始授权机构记录)
• SPF(发送方策略框架)
• SRV(服务定位器)
• TXT(文本记录)
• Amazon Route 53 还提供别名记录,这是 Amazon Route 53 特定于 DNS 的扩展名。您可以创建别名记录,将流量路由到选定的亚马逊云科技资源,包括 Amazon Elastic Load Balancing 负载均衡器、Amazon CloudFront 分配、VPC 接口终端节点。别名记录通常具有 A 或 AAAA 类型,但它们的工作方式类似于 CNAME 记录。使用别名记录,您可以将您的记录名称 (example.com) 映射到亚马逊云科技资源的 DNS 名称。解析程序会看到 A 或 AAAA 记录以及亚马逊云科技资源的 IP 地址。

我们预计将来会添加其他记录类型。

问:Amazon Route 53 是否支持通配符条目? 如果支持,哪些记录类型支持它们?

是。为了让您更容易地为您的域配置 DNS 设置,Amazon Route 53 支持除 NS 记录之外的所有记录类型的通配符条目。通配符条目是 DNS 区域中的一条记录,它将根据您设置的配置匹配对任何域名的请求。例如,通配符 DNS 记录(如 *.example.com)将匹配对 www.example.com 和 subdomain.example.com 的查询。

问:各种记录类型的默认 TTL 是多少,我可以更改这些值吗?

DNS 解析程序缓存响应的时间由与每个记录相关联的生存时间 (TTL) 的值设置。Amazon Route 53 不会为任何记录类型提供默认 TTL。您必须始终为每个记录指定一个 TTL,以便缓存 DNS 解析程序可以按照您通过 TTL 指定的时间长度缓存 DNS 记录。

问:我可以在子域中使用“别名”记录吗?

是。您还可以使用别名记录将子域(www.example.com、pictures.example.com 等)映射到 ELB 负载均衡器、CloudFront 分配

问:对资源记录集的更改是事务性的吗?

是。事务性更改有助于确保更改是一致的、可靠的,并且独立于其他更改。Amazon Route 53 经过设计,完全可以在任何单独的 DNS 服务器上完成更改,或者根本不更改。这有助于确保您的 DNS 查询始终得到一致的响应,这在进行更改(如在目标服务器之间切换)时非常重要。使用 API 时,每次对 ChangeResourceRecordSets 的调用都会返回一个标识符,该标识符可用于跟踪更改的状态。一旦系统报告状态为 INSYNC,便在所有 Route 53 DNS 服务器上执行您所做的更改。

问:我可以将多个 IP 地址与一条记录关联吗?

是。将多个 IP 地址与一条记录相关联,通常是为了平衡地理位置分散的 Web 服务器的负载。Amazon Route 53 允许您列出 A 记录的多个 IP 地址,并使用所有已配置 IP 地址的列表来响应 DNS 请求。

问:我在 Amazon Route 53 上对 DNS 设置所做的更改多快可以传播出去?

在正常情况下,Amazon Route 53 可以在 60 秒内将您对 DNS 记录所做的更新传播到其授权 DNS 服务器的网络。当 API 调用返回 INSYNC 状态列表时,更改将成功传播到整个亚马逊云科技中国区域。

请注意,缓存 DNS 解析程序不在 Amazon Route 53 服务的控制范围内,并将根据它们的生存时间 (TTL) 缓存您的资源记录集。更改的 INSYNC 或 PENDING 状态仅指 Route 53 的授权 DNS 服务器的状态。

问:Amazon Route 53 是否支持 DNSSEC?

Amazon Route 53 当前不支持 DNS 的 DNSSEC。

问:Amazon Route 53 是否支持 IPv6?

是。Amazon Route 53 支持正向 (AAAA) 和反向 (PTR) IPv6 记录。Amazon Route 53 运行状况检查还支持使用 IPv6 协议监控终端节点。

问:我可以将我的机构根网域(example.com 与 www.example.com)指向我的 Elastic Load Balancer 吗?

是。Amazon Route 53 提供了一种称为“别名”记录的特殊类型的记录,使您可以将机构根网域 (example.com) DNS 名称映射到 ELB 负载均衡器的 DNS 名称(例如 my-loadbalancer-1234567890.cn-northwest-1.elb.amazonaws.com)。与负载均衡器关联的 IP 地址可能会由于扩展、收缩或软件更新而随时更改。Route 53 使用负载均衡器的一个或多个 IP 地址响应对“别名”记录的每个请求。Route 53 支持三种类型的负载均衡器的别名记录:Application Load Balancer、网络负载均衡器和 Classic Load Balancer。查询映射到 Amazon ELB 负载均衡器的“别名”记录无需额外付费。这些查询在 Amazon Route 53 使用情况报告中列为“Intra-Amazon Web Services-DNS-Queries”。

问:我可以将我的机构根网域(example.com 与 www.example.com)指向我的 Amazon CloudFront 分配吗?

是。Amazon Route 53 提供了一种称为“别名”记录的特殊类型的记录,使您可以将机构根网域 (example.com) DNS 名称映射到 Amazon CloudFront 分配(例如 d123.cloudfront.net)。与 Amazon CloudFront 终端节点关联的 IP 地址会根据您最终用户的位置而有所不同(以便将最终用户引导至最近的 CloudFront 边缘站点),并且由于扩展、收缩或软件更新而随时可能更改。Route 53 使用该分配的 IP 地址响应对“别名”记录的每个请求。Route 53 不对查询映射到 CloudFront 分配的“别名”记录收费。

问:我可以将我的机构根网域(example.com 与 www.example.com)指向我的 Amazon VPC 终端节点吗?

是。Amazon Route 53 提供了一种称为“别名”记录的特殊类型的记录,使您可以将机构根网域 (example.com) DNS 名称映射到 Amazon VPC 终端节点 DNS 名称(例如 vpce-svc-03d5ebb7d9579a2b3.cn-northwest-1.vpce.amazonaws.com)。与 Amazon VPC 终端节点关联的 IP 地址可能会由于扩展、收缩或软件更新而随时更改。Route 53 使用 VPC 终端节点的一个或多个 IP 地址响应对“别名”记录的每个请求。查询映射到 Amazon VPC 终端节点的“别名”记录无需额外付费。这些查询在 Amazon Route 53 使用情况报告中列为“Intra-Amazon Web Services-DNS-Queries”。

DNS 路由策略

问:Amazon Route 53 是否支持加权轮询 (WRR)?

是。加权循环调度允许您为资源记录集分配权重,以便指定提供不同响应的频率。您可能希望使用此功能进行 A/B 测试,将一小部分流量发送到已进行软件更改的服务器。例如,假设您有两个与一个 DNS 名称相关联的记录集:一个权重为 3,一个权重为 1。在这种情况下,75% 的时间供 Route 53 返回权重为 3 的记录集,25% 的时间供 Route 53 返回权重为 1 的记录集。权重可以是 0 到 255 之间的任何数字。

问:Amazon Route 53 基于延迟的路由 (LBR) 功能是什么?

LBR(基于延迟的路由)是 Amazon Route 53 的一项功能,可帮助您提高应用程序的性能。您可以在多个亚马逊云科技中国区域中运行应用程序,Amazon Route 53 会将最终用户路由到提供最低延迟的亚马逊云科技中国区域。

问:如何开始使用 Amazon Route 53 基于延迟的路由 (LBR) 功能?

通过使用 Amazon 管理控制台或简单的 API,您可以快速轻松地开始使用 Amazon Route 53 的新 LBR 功能。您只需创建一个包含各种亚马逊云科技终端节点的 IP 地址或 ELB 名称的记录集,并将该记录集标记为启用了 LBR 的记录集,就像将记录集标记为“加权记录集”一样。Amazon Route 53 负责其余工作,例如确定每个请求的最佳终端节点并相应地路由最终用户,和 Amazon 的全球内容分发服务 Amazon CloudFront 非常相似。您可以在 Amazon Route 53 开发人员指南中了解有关如何使用基于延迟的路由的更多信息。

问:Amazon Route 53 基于延迟的路由 (LBR) 功能的价格如何?

与所有亚马逊云科技服务一样,使用 Amazon Route 53 和 LBR 没有任何预付费用或长期承诺。客户只需为他们实际使用的托管区域和查询付费。请访问 Amazon Route 53 定价页面,了解有关基于延迟的路由查询的定价的详细信息。

问:Amazon Route 53 的 Geo DNS(也称为地理位置)功能是什么?

Route 53 Geo DNS 使您可以根据请求源自的地理位置将请求定向到特定的终端节点来平衡负载。Geo DNS 可以自定义本地化的内容,例如以正确的语言显示详细信息页面或将内容的分配仅限于您许可的市场。Geo DNS 还使您能够以可预测、易于管理的方式来平衡终端节点之间的负载,从而确保将每个最终用户位置始终路由到同一终端节点。您可以将 Geo DNS 与其他路由类型(例如基于延迟的路由和 DNS 故障转移)结合使用,以启用各种低延迟和容错架构。有关如何配置各种路由类型的信息,请参阅 Amazon Route 53 文档

问:如何开始使用 Amazon Route 53 的 Geo DNS 功能?

通过使用 Amazon 管理控制台或 Route 53 API,您可以快速轻松地开始使用 Amazon Route 53 的 Geo DNS 功能。您只需创建一个记录集并为该类型的记录集指定适用的值,将该记录集标记为启用了 Geo DNS 的记录集,然后选择您想要应用记录的地理区域(全球、大洲、国家/地区或州/省/市/自治区)。您可以在 Amazon Route 53 开发人员指南中了解有关如何使用 Geo DNS 的更多信息。

问:使用 Geo DNS 时,我是否需要“全球”记录? Route 53 何时返回这种记录?

需要,我们强烈建议您配置全球记录,以确保 Route 53 可以对来自所有可能位置的 DNS 查询提供响应,即使您已为预期最终用户所在的每个大洲、国家/地区或州/省/市/自治区创建了特定记录。在以下情况下,Route 53 将返回全球记录中包含的值:

DNS 查询来自 Route 53 的 Geo IP 数据库无法识别的 IP 地址。
DNS 查询来自您创建的任何特定 Geo DNS 记录中都不包含的位置。

问:我可以拥有一个大洲的 Geo DNS 记录,并可以为该大洲内的国家/地区设置不同的 Geo DNS 记录吗? 或者,我可以拥有某个国家/地区的 Geo DNS 记录,并可以为该国家/地区内的各州/省/市/自治区设置 Geo DNS 记录吗?

是的,您可以拥有重叠的地理区域(例如,一个大洲和该大洲内的国家/地区,或者某个国家/地区和该国家/地区内的州/省/市/自治区)的 Geo DNS 记录。对于每个最终用户的位置,Route 53 将返回包含该位置的最具体的 Geo DNS 记录。换句话说,对于给定的最终用户位置,Route 53 将首先返回州/省/市/自治区记录;如果未找到任何州/省/市/自治区记录,则 Route 53 将返回国家/地区记录;如果未找到任何国家/地区记录,则 Route 53 将返回大洲记录;最后,如果未找到任何大洲记录,则 Route 53 将返回全球记录。

问:Route 53 的 Geo DNS 功能的价格如何?

与所有亚马逊云科技服务一样,使用 Amazon Route 53 和 Geo DNS 没有任何预付费用或长期承诺。客户只需为他们实际使用的托管区域和查询付费。请访问 Amazon Route 53 定价页面,以了解有关 Geo DNS 查询的定价的详细信息。

问:基于延迟的路由和 Geo DNS 之间有什么区别?

Geo DNS 根据请求的地理位置决定路由选择。在某些情况下,地理位置是延迟的良好指标;但某些情况下并非如此。基于延迟的路由利用查看器网络与亚马逊云科技数据中心之间的延迟评估。这些评估用于确定将用户定向到哪个终端节点。

如果您的目标是最大程度地减少最终用户的延迟,我们建议您使用基于延迟的路由。如果您有合规性、本地化要求或其他使用案例,需要从特定地理位置到特定终端节点的稳定路由,我们建议使用 Geo DNS。

问:Amazon Route 53 是否支持以多个值响应 DNS 查询?

Route 53 现在支持以多值答案响应 DNS 查询。虽然不能替代负载均衡器,但能够返回多个可进行运行状况检查的 IP 地址以响应 DNS 查询,是一种使用 DNS 来提高可用性和负载均衡的途径。如果您想将流量随机路由到多个资源(例如 Web 服务器),则可以为每个资源创建一个多值答案记录,还可以选择将 Amazon Route 53 运行状况检查与每个记录相关联。Amazon Route 53 最多支持八个运行正常的记录,以响应每个 DNS 查询。

私有 DNS

问:什么是私有 DNS?

私有 DNS 是 Route 53 的一项功能,可让您在 VPC 内拥有授权 DNS,而无需向互联网公开 DNS 记录(包括资源名称及其 IP 地址)。

问:我可以使用 Amazon Route 53 来管理组织的私有 IP 地址吗?

是的,您可以使用 Amazon Route 53 的私有 DNS 功能在 Virtual Private Cloud (VPC) 中管理 IP 地址。使用私有 DNS,您可以创建一个私有托管区域,并且 Route 53 仅在从与私有托管区域关联的 VPC 中查询时返回这些记录。有关更多详细信息,请参阅 Amazon Route 53 文档

问:如何设置私有 DNS?

要设置私有 DNS,您可以在 Route 53 中创建托管区域,选择将托管区域设置为“私有”的选项,然后将托管区域与您的一个 VPC 关联。创建托管区域后,您可以将其与其他 VPC 关联。

问:我是否需要连接到外部互联网才能使用私有 DNS?

您可以从 VPC 中没有互联网连接的资源中解析内部 DNS 名称。但是,要更新私有 DNS 托管区域的配置,您需要连接互联网来访问 VPC 外部的 Route 53 API 终端节点。

问:如果我不使用 VPC,我还可以使用私有 DNS 吗?

不可以。Route 53 私有 DNS 使用 VPC 来管理可见性并为私有 DNS 托管区域提供 DNS 解析。要利用 Route 53 私有 DNS,您必须配置 VPC 并将资源迁移到其中。

问:我可以对多个 VPC 使用同一私有 Route 53 托管区域吗?

是的,您可以将多个 VPC 与一个托管区域相关联。

问:我可以将我在不同亚马逊云科技账户下创建的 VPC 和私有托管区域相关联吗?

是的,您可以将属于不同账户的 VPC 与一个托管区域相关联。您可以在此处查看更多详细信息。

问:私有 DNS 会在亚马逊云科技区域中运行吗?

是。与私有托管区域关联的每个 VPC 中都将提供 DNS 响应。请注意,您需要确保每个区域的 VPC 彼此连接,以便一个中国区域中的资源能够访问另一个中国区域中的资源。

问:我可以为私有 DNS 托管区域配置 DNS 故障转移吗?

是的,可以通过将运行状况检查与私有 DNS 托管区域中的资源记录集相关联来配置 DNS 故障转移。如果您的终端节点在 Virtual Private Cloud (VPC) 内,则可以使用多个选项来针对这些终端节点配置运行状况检查。如果终端节点具有公有 IP 地址,则可以针对每个终端节点的公有 IP 地址创建标准的运行状况检查。如果您的终端节点仅具有私有 IP 地址,则无法针对这些终端节点创建标准的运行状况检查。但是,您可以创建基于指标的运行状况检查,其运作方式类似于标准的 Amazon Route 53 运行状况检查,只是它们使用现有的 Amazon CloudWatch 指标作为终端节点运行状况信息的来源,而不是从外部站点向终端节点发出请求。

问:我可以使用私有 DNS 阻止不想从我的 VPC 内访问的域和 DNS 名称吗?

是的,您可以阻止域和特定的 DNS 名称,方法就是在一个或多个私有 DNS 托管区域中创建这些域和特定的 DNS 名称并将它们指向您自己的服务器(或您管理的其他站点)。

运行状况检查和 DNS 故障转移

问:什么是 DNS 故障转移?

DNS 故障转移包含两个组件:运行状况检查和故障转移。运行状况检查是通过互联网向应用程序发送的自动请求,用于验证应用程序是否可访问、可用和正常运行。您可以将运行状况检查配置为类似于用户发出的典型请求,例如从特定 URL 请求网页。使用 DNS 故障转移,Route 53 只返回运行正常且可从外部访问的资源的响应,这样您的最终用户就可以避开应用程序中出现故障或运行不正常的部分。

问:如何开始使用 DNS 故障转移?

有关入门的详细信息,请访问 Amazon Route 53 开发人员指南。您也可以在 Route 53 控制台中配置 DNS 故障转移。

问:将 Elastic Load Balancer (ELB) 用作终端节点时是否支持 DNS 故障转移?

是的,您可以为 Elastic Load Balancer (ELB) 配置 DNS 故障转移。要为 ELB 终端节点启用 DNS 故障转移,请创建一个指向 ELB 的别名记录,并将“评估目标运行状况”参数设置为 true。Route 53 自动为 ELB 创建和管理运行状况检查。您不需要为 ELB 创建自己的 Route 53 运行状况检查。您也不需要将 ELB 的资源记录集与您自己的运行状况检查相关联,因为 Route 53 会自动将其与 Route 53 代表您管理的运行状况检查相关联。ELB 运行状况检查还将继承该 ELB 背后的后端实例的运行状况。

问:是否可以将备份站点配置为仅在运行状况检查失败时使用?

是的,您可以使用 DNS 故障转移来维护备份站点(例如,在 Amazon S3 网站存储桶上运行的静态站点),并在主站点无法访问时故障转移到该站点。

问:我可以将哪些 DNS 记录类型与 Route 53 运行状况检查关联?

您可以关联 Route 53 支持的任何记录类型(SOA 和 NS 记录除外)。

问:如果我不知道终端节点的 IP 地址,可以对其进行运行状况检查吗?

是。您可以通过 Amazon Route 53 控制台为 Elastic Load Balancer 配置 DNS 故障转移,而无需创建自己的运行状况检查。对于这些终端节点类型,Route 53 会自动代表您创建和管理运行状况检查;当您创建指向 ELB 的别名记录并在别名记录上启用“评估目标运行状况”参数时,将使用这些检查。

对于所有其他终端节点,在为终端节点创建运行状况检查时,可以指定该终端节点的 DNS 名称(例如 www.example.com)或 IP 地址。

问:我的一个终端节点不在亚马逊云科技。我可以在此终端节点上设置 DNS 故障转移吗?

是。就像您可以创建指向亚马逊云科技外部地址的 Route 53 资源记录一样,您能为在亚马逊云科技外部运行的部分应用程序设置运行状况检查,还能将故障转移到您选择的任何终端节点,而与其位置无关。例如,您可能有一个旧应用程序在亚马逊云科技外部的数据中心中运行,而该应用程序的备份实例在亚马逊云科技中运行。您能为在亚马逊云科技外部运行的旧应用程序设置运行状况检查,如果该应用程序未通过运行状况检查,则可以自动将故障转移到亚马逊云科技的备份实例。

问:如果发生故障转移并且我还有多个运行正常的终端节点,那么在确定将发生故障的终端节点的流量发送到何处时,Route 53 是否会考虑运行正常的终端节点上的负载?

不会,Route 53 不会根据终端节点的负载或可用流量做出路由决策。您将需要确保其他终端节点上有可用的容量,或者能够在这些终端节点上进行扩展,以便处理流向发生故障的终端节点的流量。

问:终端节点连续多少次运行状况检查失败才能被视为“故障”?

默认阈值为三次运行状况检查:当终端节点连续三次运行状况检查均未通过时,Route 53 会将其判定为“故障”。然而,Route 53 将继续对该终端节点执行运行状况检查,并在其通过三次连续检测后恢复向其发送流量。您可以将此阈值更改为 1 到 10 次检测之间的任何值。

问:发生故障的终端节点重新恢复正常运行时,如何恢复 DNS 故障转移?

发生故障的终端节点通过您在创建运行状况检查时指定的连续次数的运行状况检查(默认阈值是三次)后,Route 53 将自动恢复其 DNS 记录,并且恢复向其发送流量,而不需要您执行任何操作。

问:运行状况检查之间的间隔是多少?

默认情况下,运行状况检查间隔为 30 秒。您也可以选择更短间隔,即两次检测相隔 10 秒。

通过将检查次数增加三倍,更短间隔的运行状况检查使 Route 53 能够更快地确认发生故障的终端节点,从而缩短 DNS 故障转移所需的时间,重定向流量以应对终端节点的故障。

更短间隔的运行状况检查还会向您的终端节点生成三倍数量的请求,如果终端节点用于 Web 流量的容量有限,那么可能需要考虑此问题。请访问 Route 53 定价页面,了解有关更短间隔的运行状况检查以及其他可选运行状况检查功能的定价的详细信息。

问:预计运行状况检查在我的终端节点(例如,Web 服务器)上生成多少负载?

每次运行状况检查均在中国的两个站点进行。每个站点都会以您选择的间隔独立检查终端节点:默认间隔为 30 秒,您也可以选择更短间隔 10 秒。基于当前默认的运行状况检查站点数,对于标准间隔的运行状况检查,预计终端节点平均每 2-3 秒接收一个请求;对于更短间隔的运行状况检查,预计终端节点每秒接收一个或多个请求。

问:Route 53 运行状况检查是否遵循 HTTP 重定向?

不,Route 53 运行状况检查认为 HTTP 3xx 代码是成功的响应,因此它们不遵循重定向。这可能会导致字符串匹配运行状况检查出现意外结果。运行状况检查在重定向的正文中搜索指定的字符串。由于运行状况检查不会遵循重定向,因此它永远不会向重定向指向的站点发送请求,也永远不会从该站点获得响应。对于字符串匹配的运行状况检查,我们建议您避免将运行状况检查指向返回 HTTP 重定向的站点。

问:故障转移发生时的事件顺序是什么?

简而言之,如果运行状况检查失败并发生故障转移,则会发生以下事件:
Route 53 对您的应用程序进行运行状况检查。在此示例中,您的应用程序连续三次未通过运行状况检查,从而触发了以下事件。

Route 53 禁用发生故障的终端节点的资源记录,并且不再提供这些记录。这是故障转移步骤,它导致流量开始路由到运行正常的终端节点,而不是发生故障的终端节点。

问:我是否需要调整记录的 TTL 才能使用 DNS 故障转移?

DNS 解析程序缓存响应的时间由与每个记录相关联的生存时间 (TTL) 的值设置。我们建议在使用 DNS 故障转移时将 TTL 设置为 60 秒或更短,以尽量减少不再将流量路由到发生故障的终端节点所需的时间。要为 ELB 配置 DNS 故障转移,需要使用固定 TTL 为 60 秒的别名记录;对于这些终端节点类型,无需调整 TTL 即可使用 DNS 故障转移。

问:如果我所有的终端节点都运行不正常怎么办?

Route 53 只能故障转移到运行正常的终端节点。如果资源记录集内没有其他运行正常的终端节点,则 Route 53 将继续运行,就好像所有运行状况检查都已通过一样。

问:是否可以在不使用基于延迟的路由 (LBR) 的情况下使用 DNS 故障转移?

是。您可以在不使用 LBR 的情况下配置 DNS 故障转移。特别是,您可以使用 DNS 故障转移配置简单的故障转移方案,其中由 Route 53 监控您的主要网站,并在您的主要站点不可用时故障转移到备份站点。

问:是否可以在只能通过 HTTPS 访问的站点上配置运行状况检查?

是。Route 53 支持通过 HTTPS、HTTP 或 TCP 进行运行状况检查。

问:HTTPS 运行状况检查是否可以验证终端节点的 SSL 证书?

不可以,HTTPS 运行状况检查会测试是否可以通过 SSL 与终端节点连接,以及终端节点是否返回有效的 HTTP 响应代码。但是,它们不会验证终端节点返回的 SSL 证书

问:HTTPS 运行状况检查是否支持服务器名称指示 (SNI)?

是的,HTTPS 运行状况检查支持 SNI。

问:如何使用运行状况检查来验证我的 Web 服务器是否返回了正确的内容?

您可以通过选择“启用字符串匹配”选项,使用 Route 53 运行状况检查来检查服务器响应中是否存在指定的字符串。此选项可用于检查 Web 服务器,以验证它提供的 HTML 是否包含所需的字符串。您也可以创建一个专用的状态页面,使用它从内部或操作角度检查服务器的运行状况。

问:我如何查看自己创建的运行状况检查的状态?

您可以通过 Amazon Route 53 控制台和 Route 53 API 查看运行状况检查的当前状态以及有关失败原因的详细信息。

此外,每个运行状况检查的结果都将作为 Amazon CloudWatch 指标发布,其中显示终端节点的运行状况,以及(可选)终端节点响应的延迟。您可以在 Amazon Route 53 控制台的“运行状况检查”选项卡中查看 Amazon CloudWatch 指标示意图,以便了解运行状况检查的当前和历史状态。您还可以在指标中创建 Amazon CloudWatch 警报,以便在运行状况检查的状态更改时发送通知。

您的所有 Amazon Route 53 运行状况检查的 Amazon CloudWatch 指标也会显示在 Amazon CloudWatch 控制台中。每个 Amazon CloudWatch 指标都包含运行状况检查 ID(例如 01beb6a3-e1c2-4a2b-a0b7-7031e9060a6a),您可以使用该 ID 来确定指标正在跟踪的运行状况检查。

问:如何使用 Amazon Route 53 评估应用程序终端节点的性能?

Amazon Route 53 运行状况检查包括可选的延迟评估功能,该功能提供有关终端节点响应请求所花时间的数据。启用延迟评估功能后,Amazon Route 53 运行状况检查将生成其他 Amazon CloudWatch 指标,其中显示 Amazon Route 53 的运行状况检查器建立连接并开始接收数据所需的时间。Amazon Route 53 为执行 Amazon Route 53 运行状况检查的每个亚马逊云科技区域单独提供了一组延迟指标。

问:我如何获知我的一个终端节点开始无法通过其运行状况检查?

由于每个 Route 53 运行状况检查都将其结果发布为 CloudWatch 指标,因此您可以配置所有的 CloudWatch 通知和自动操作。如果运行状况检查值更改后不是您指定的阈值,则可以触发这些通知和自动操作。首先,在 Route 53 或 CloudWatch 控制台中,在运行状况检查指标中配置 CloudWatch 警报。然后添加通知操作,并指定要将通知发布到的电子邮件或 SNS 主题。

问:我为运行状况检查创建了警报,但是我需要为警报的 SNS 主题重新发送确认电子邮件。如何重新发送该电子邮件?

可以从 SNS 控制台重新发送确认电子邮件。要查找与警报相关的 SNS 主题的名称,请在 Route 53 控制台中单击警报名称,然后在标有“发送通知至”的框中会看到主题名称。

在 SNS 控制台中,展开主题列表,然后从您的警报中选择主题。打开“创建订阅”框,选择与协议对应的电子邮件,然后输入所需的电子邮件地址。单击“订阅”将重新发送确认电子邮件。

问:我正在通过将 Elastic Load Balancers (ELB) 用作终端节点进行 DNS 故障转移。如何查看这些终端节点的状态?

要使用 ELB 终端节点设置 DNS 故障转移,建议将别名记录与“评估目标运行状况”选项一起使用。由于使用此选项时不会为 ELB 终端节点创建自己的运行状况检查,因此 Route 53 不会为这些终端节点生成特定的 CloudWatch 指标。

您可以通过两种方式获取有关负载均衡器运行状况的指标。首先,Elastic Load Balancing 发布指标,这些指标指示负载均衡器的运行状况及其背后运行正常的实例数。有关 CloudWatch 指标或为 ELB 指标设置 Cloudwatch 警报的详细信息,请参阅 ELB 开发人员指南。其次,您可以针对 ELB 提供的 CNAME 创建自己的运行状况检查。您将不会对 DNS 故障转移本身使用此运行状况检查(因为“评估目标运行状况”选项为您提供了 DNS 故障转移),但是您可以查看此运行状况检查的 CloudWatch 指标,并创建警报以在运行状况检查失败时得到通知。

问:将 CloudWatch 指标用于 Route 53 运行状况检查所需的成本是多少?

可免费获得 Route 53 运行状况检查的 CloudWatch 指标。

问:是否可以基于内部运行状况指标(例如 CPU 负载、网络或内存)配置 DNS 故障转移?

是。通过 Amazon Route 53 基于指标的运行状况检查,您可以基于 Amazon CloudWatch 中提供的任何指标(包括亚马逊云科技提供的指标和您自己的应用程序中的自定义指标)执行 DNS 故障转移。在 Amazon Route 53 中创建基于指标的运行状况检查时,只要其关联的 Amazon CloudWatch 指标进入警报状态,运行状况检查就会运行不正常。

要为标准 Amazon Route 53 运行状况检查无法访问的终端节点(例如仅具有私有 IP 地址的 Virtual Private Cloud (VPC) 中的实例)启用 DNS 故障转移,基于指标的运行状况检查很有用。使用 Amazon Route 53 经过计算的运行状况检查功能,您还可以将基于指标的运行状况检查的结果与标准的 Amazon Route 53 运行状况检查的结果相结合,以此完成更复杂的故障转移方案。标准的 Amazon Route 53 运行状况检查可以向来自中国区域的检查器网络的终端节点发出请求。例如,如果无法访问面向公众的网页,或者内部指标(例如 CPU 负载、网络输入/输出或磁盘读取)表明服务器本身运行不正常,则可以创建从终端节点故障转移的配置。

问:如果我将域名指定为我的运行状况检查目标,那么 Amazon Route 53 是否会通过 IPv4 或 IPv6 进行检查?

如果您将域名指定为 Amazon Route 53 运行状况检查的终端节点,则 Amazon Route 53 将查找该域名的 IPv4 地址,并连接到使用 IPv4 的终端节点。Amazon Route 53 不会尝试查找由域名指定的终端节点的 IPv6 地址。如果要通过 IPv6 而不是 IPv4 执行运行状况检查,请选择“IP 地址”而不是“域名”作为终端节点类型,然后在“IP 地址”字段中输入 IPv6 地址。

Route 53 Resolver

问:什么是 Amazon Route 53 Resolver?

Route 53 Resolver 是一项区域 DNS 服务,它可以针对 EC2 中托管的名称以及 Internet 上的公共名称提供递归 DNS 查找功能。默认情况下,每个 Amazon Virtual Private Cloud (VPC) 中都会提供此功能。

问:什么是递归 DNS?

Amazon Route 53 既是授权 DNS 服务又是递归 DNS 服务。授权 DNS 包含 DNS 查询的最终答案,通常是 IP 地址。除了在极少数情况下,客户端(例如移动设备、云中运行的应用程序或数据中心中的服务器)实际上并不直接与授权 DNS 服务通信。客户端而是与递归 DNS 服务(也称为 DNS 解析器)进行通信,递归 DNS 服务可以为任何 DNS 查询找到正确的授权答案。Route 53 Resolver 可用作递归 DNS 服务。
收到查询时,可以将递归 DNS 服务配置为自动将查询直接转发到特定的递归 DNS 服务器,也可以从域的根目录开始递归搜索,直到找到最终答案为止。无论上述哪种情况,一旦找到答案,递归 DNS 服务器都可以将答案缓存一段时间,以便将来可以更快地回应对相同名称的后续查询。

问:什么是条件转发规则?

条件转发规则允许解析程序将指定域的查询转发到您选择的目标 IP 地址,通常是本地 DNS 解析程序。规则在 VPC 级别应用,可以从一个账户进行管理,并在多个账户之间共享。

问:什么是 DNS 终端节点?

DNS 终端节点包括附加到您的 Amazon Virtual Private Cloud (VPC) 的一个或多个弹性网络接口 (ENI)。每个 ENI 都会从其所在的 VPC 的子网空间中分配一个 IP 地址。然后,此 IP 地址可以作为本地 DNS 服务器的转发目标,以转发查询。对于从 VPC 转发到网络以及通过 Amazon Direct Connect 从网络转发到 VPC 的 DNS 查询流量,都需要终端节点。

问:如何跨账户共享规则?

Route 53 Resolver 与 Amazon Resource Access Manager (RAM) 集成,后者为客户提供了一个在亚马逊云科技账户间或亚马逊云科技组织内共享其资源的简单方法。规则可以在一个主账户中创建,然后使用 RAM 在多个账户之间共享。共享后,这些规则仍需要应用于这些账户中的 VPC,然后才能生效。有关更多信息,请参阅亚马逊云科技 RAM 文档

问:如果我决定停止与其他账户共享规则会怎么样?

您先前与之共享规则的账户不再可以使用这些规则。这意味着,如果这些规则与这些账户中的 VPC 关联,它们将与这些 VPC 取消关联。

Route 53 Resolver DNS 防火墙

问: 什么是 Amazon Route 53 Resolver DNS 防火墙?

Amazon Route 53 Resolver DNS 防火墙是一项功能,允许您在所有亚马逊虚拟私有云(VPC)上快速部署 DNS 保护。Route 53 Resolver DNS 防火墙允许您在使用 Route 53 Resolver 进行递归 DNS 解析时阻止对已知恶意域的查询(即创建“拒绝列表”),并允许对受信任域进行查询(创建“允许列表”)。您还可以使用亚马逊云科技托管域名列表快速开始防范常见 DNS 威胁。Amazon Route 53 Resolver DNS 防火墙与 Amazon Firewall Manager 配合使用,因此您可以基于 DNS 防火墙规则构建策略,然后在 VPC 和账户中集中应用这些策略。

问: 我应该何时使用 Route 53 Resolver DNS 防火墙?

如果您希望能够筛选可以从 VPC 中通过 DNS 查询的域名,那么 DNS 防火墙就是您的理想之选。它使您可以通过两种方式灵活地选择最适合组织安全状况的配置:(1)如果您有严格的 DNS 泄露要求,并且想要拒绝对不在批准域列表中的域的所有出站 DNS 查询,您可以创建这样的规则,以“围墙花园”的方法实现 DNS 安全。(2)如果您的组织倾向于默认允许在您的账户内进行所有出站 DNS 查找,并且只需要能够阻止已知恶意域的 DNS 请求,则可以使用 DNS 防火墙创建拒绝列表,其中包括您的组织知道的所有恶意域名。DNS 防火墙还附带亚马逊云科技托管域名列表,可帮助您防范可疑域和命令与控制(C&C)机器人。

问: Amazon Route 53 Resolver DNS 防火墙与亚马逊云科技和亚马逊云科技市场上的其他防火墙产品有何不同?

Route 53 Resolver DNS 防火墙通过提供对整个 VPC 的 Route 53 Resolver DNS 流量(例如 AmazonProvidedDNS)的控制和可见性,来补充亚马逊云科技现有的网络和应用程序安全服务。根据您的使用案例,您可以选择与现有安全控制措施一起实施 DNS 防火墙,例如 Amazon VPC 安全组、Amazon Web 应用程序防火墙规则或亚马逊云科技市场设备。

问: Amazon Route 53 Resolver DNS 防火墙的费用是多少?

定价基于防火墙中存储的域名数量和检查的 DNS 查询的数量。请访问 Amazon Route 53 定价了解更多信息。

问: 我可以使用哪些亚马逊云科技工具来记录和监控我的 Amazon Route 53 Resolver DNS 防火墙活动?

您可以将您的 DNS 防火墙活动记录到 Amazon S3 存储桶或 Amazon CloudWatch 日志组中,以便进一步分析和调查。您还可以使用 Amazon Kinesis Firehose 将日志发送给第三方提供商。

关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域