- 網路和內容交付›
- Amazon Route 53›
- 常見問答集
Amazon Route 53 常見問答集
入門
什麼是網域名稱系統 (DNS) 服務?
DNS 是一種分佈全球的服務,可將 www.example.com 這種人們可讀取的名稱轉換為諸如 192.0.2.1 這樣的數字 IP 位址,供電腦用於互相連接。網際網路 DNS 系統的工作原理和電話簿類似,管理名稱和數字之間的映射關係。對於 DNS 而言,名稱是方便人們記憶的網域名稱 (www.example.com),數字則是指定電腦在網際網路上位置的 IP 地址 (192.0.2.1)。DNS 伺服器將名稱請求轉換為 IP 地址,以控制最終使用者在 Web 瀏覽器中輸入網域名稱時要連接的伺服器。這些請求稱為「查詢」。
什麼是 Amazon Route 53?
Amazon Route 53 提供高度可用且可擴展的網域名稱系統 (DNS)、網域名稱註冊和運作狀態檢查 Web 服務。該服務旨在為開發人員和企業提供一種非常可靠且經濟實惠的方式,將名稱 (如 example.com) 轉換為電腦用於互相連接的數字 IP 地址 (如 192.0.2.1),將最終使用者路由到網際網路應用程式。您可以將 DNS 與運作狀態檢查服務結合在一起,將流量路由到正常運作的端點,或者獨立監控端點和/或對其提供警示。您還可以購買和管理網域名稱 (例如 example.com),並自動為您的網域配置 DNS 設定。Route 53 高效地將使用者請求連接到 AWS 中執行的基礎設施,例如 Amazon EC2 執行個體、Elastic Load Balancing 負載平衡器或 Amazon S3 儲存貯體,還可以將使用者路由到 AWS 外部的基礎設施。
Amazon Route 53 可以執行哪些操作?
您可以使用 Amazon Route 53 建立和管理公有 DNS 記錄。與電話簿類似,Route 53 可讓您管理網際網路 DNS 電話簿針對您的網域名稱所列的 IP 地址。Route 53 也可回應請求,將特定網域名稱轉換為對應的 IP 地址 (如 192.0.2.1)。您可以使用 Route 53 建立新網域的 DNS 記錄,或傳輸現有網域的 DNS 記錄。Route 53 具有簡單的標準型 REST API,可讓您輕鬆建立、更新和管理 DNS 記錄。Route 53 還提供額外的運作狀態檢查,以監控應用程式的運作狀態和效能,以及監控 Web 伺服器和其他資源。您還可以註冊新的網域名稱或者將現有網域名稱轉移到 Route 53 中進行管理。
如何開始使用 Amazon Route 53?
Amazon Route 53 有簡單易用的 web 服務界面,短短幾分鐘便可開始使用。您的 DNS 記錄會組織成「託管區域」,可透過 AWS 管理主控台或 Route 53 的 API 進行設定。要使用 Route 53,您只需:
- 按一下服務頁面上的註冊按鈕,即可訂閱服務。
- 如果您已經擁有網域名稱:
- 使用 AWS 管理主控台或 CreateHostedZone API 建立託管區域,以存放網域的 DNS 記錄。建立託管區域時,您將收到四個頂層網域 (TLD) 的四個 Route 53 名稱伺服器,這有助於確保高可用性。
- 此外,您還可以透過 AWS 管理主控台或 API,將網域名稱轉移到 Route 53 中進行管理。
- 如果您還沒有網域名稱:
- 使用 AWS 管理主控台或 API 註冊新的網域名稱。
- Route 53 會自動建立託管區域,以存放您網域的 DNS 記錄。您還會收到四個頂層網域 (TLD) 的四個 Route 53 名稱伺服器,這有助於確保高可用性。
- 最初將使用一組基本的 DNS 記錄填入您的託管區域,其中包括可回應網域查詢的四個虛擬名稱伺服器。您可以使用 AWS 管理主控台或呼叫 ChangeResourceRecordSet API,在這組記錄中新增、刪除或變更記錄。您可在這裡找到支援的 DNS 記錄清單。
- 如果您的網域名稱不是由 Route 53 管理,必須通知為您提供網域名稱註冊服務的註冊機構,將您網域的名稱伺服器更新為與託管區域關聯的名稱伺服器。如果您的網域名稱是由 Route 53 管理,則網域名稱將自動與託管區域的名稱伺服器建立關聯。
Amazon Route 53 如何提供高可用性和低延遲性?
Route 53 使用 AWS 的高度可用且可靠的基礎設施進行建置。我們的 DNS 伺服器具有全球分佈的特點,可讓您避開任何網際網路或網路相關問題,確保始終如一地將最終使用者路由到您的應用程式。Route 53 旨在提供重要應用程式所需的可靠等級。Route 53 設計可透過分佈於世界各地的 DNS 伺服器任一傳播網路,根據網路條件自動從最佳的位置回答查詢。因此,該服務可為您的最終使用者提供低查詢延遲性。
Amazon Route 53 服務的 DNS 伺服器名稱為何?
為了提供高度可用的服務,每個 Amazon Route 53 託管區域都使用自己的一組虛擬 DNS 伺服器提供服務。因此,在建立託管區域時,系統會指派各個託管區域的 DNS 伺服器名稱。
網域和託管區域有什麼區別?
網域是一般的 DNS 概念。網域名稱是用於數字地址網際網路資源的易於識別名稱。例如,amazon.com 是網域。託管區域是一種 Amazon Route 53 概念。託管區域和傳統的 DNS 區域檔類似;它代表一組可以一起管理的記錄,屬於單一父系網域名稱。託管區域中的所有資源紀錄集必須使用託管區域的網域名稱做為尾碼。例如,amazon.com 託管區域可能包含名為 www.amazon.com 和 www.aws.amazon.com 的記錄,但不會包含名為 www.amazon.ca 的記錄。您可以使用 Route 53 管理主控台或 API 來建立、檢查、修改和刪除託管區域。您還可以使用管理主控台或 API 註冊新的網域名稱,並將現有網域名稱傳入 Route 53 進行管理。
Amazon Route 53 的價格為何?
可以針對 Amazon Route 53 上的網域管理設定哪些類型的存取控制?
您可以使用 AWS Identity and Access Management (IAM) 服務,控制對 Amazon Route 53 託管區域和個別資源記錄集的管理存取。AWS IAM 可讓您在 AWS 帳戶內建立多個使用者並管理這些使用者的許可,以控制組織中有哪些人可以變更您的 DNS 記錄。 您可在這裡進一步了解 AWS IAM。
我已訂閱 Amazon Route 53,但在嘗試使用該服務時,它顯示「AWS 存取金鑰 ID 需要訂閱服務」。
在您註冊新的 AWS 服務時,有時最長可能需要 24 小時才能完成啟用,這段期間內您無法再次註冊該服務。如果等待超過 24 小時仍未收到確認啟用的電子郵件,這可能表示您的帳戶或者付款詳細資訊授權有問題。如需協助,請聯絡 AWS 客戶服務。
我的託管區域何時需要付費?
託管區域會在建立時收費一次,然後在每個月的第一天收費。
為什麼同一託管區域在同一月份看到兩筆費用?
託管區域有 12 個小時的寬限期,如果您在建立託管區域之後的 12 個小時內刪除它,便不會向您收取此託管區域的費用。在寬限期結束後,我們會立即收取託管區域的標準月費。如果您在當月的最後一天建立託管區域,例如 1 月 31 日,一月的費用可能會和二月費用一起出現在二月的發票上。
Amazon Route 53 是否提供查詢日誌功能?
您可以將 Amazon Route 53 設為記錄 Amazon Route 53 收到的查詢相關資訊,包括日期時間戳記、網域名稱、查詢類型、位置等。 設定查詢日誌之後,Amazon Route 53 便會開始傳送日誌到 CloudWatch Logs。您使用 CloudWatch Logs 工具存取查詢日誌。如需詳細資訊,請參閱我們的文件。
Amazon Route 53 是否提供服務水準協議 (SLA)?
是。如果客戶的每月正常執行時間百分比在任何帳單週期低於我們的服務承諾,Amazon Route 53 權威服務和 Amazon Route 53 Resolver 端點服務會提供服務抵用金。如需詳細資訊,請參閱 Amazon Route 53 服務水準協議和 Amazon Route 53 Resolver 端點服務水準協議。
網域名稱系統 (DNS)
Amazon Route 53 是否使用任播網路?
是。任一傳播是一種聯網和路由技術,可協助最終使用者根據網路的條件從最佳的 Route 53 位置獲得 DNS 查詢的回答。如此一來,您的使用者可透過 Route 53 獲得高可用性和提升的效能。
使用 Amazon Route 53 管理的託管區域是否有數量限制?
每個 Amazon Route 53 帳戶最多可有 500 個託管區域,而且每個託管區域最多可有 10,000 個資源紀錄集。請填寫提高上限申請,我們將在兩個工作天之內答覆您的請求。
如何將區域匯入 Route 53 中?
Route 53 支援匯入標準 DNS 區域檔,許多 DNS 供應商都能匯出此檔案,也可以從 BIND 等標準 DNS 伺服器軟體中匯出。對於新建立的託管區域,以及除預設 NS 和 SOA 記錄之外皆為空的現有託管區域,可以將您的區域檔直接貼到 Route 53 主控台,Route 53 會自動在您的託管區域中建立記錄。要開始使用區域檔匯入功能,請閱讀我們的 Amazon Route 53 開發人員指南中的逐步說明。
是否可以為同一個網域名稱建立多個託管區域?
是。您可以透過建立多個託管區域,在「測試」環境中驗證您的 DNS 設定,然後在「生產」託管區域中複製這些設定。例如,託管區域 Z1234 可以是 example.com 的測試版本,託管在名稱伺服器 ns-1、ns-2、ns-3 和 ns-4 上。同樣地,託管區域 Z5678 可以是您的 example.com 的生產版本,託管在名稱伺服器 ns-5、ns-6、ns-7 和 ns-8 上。由於每個託管區域都有一組虛擬的名稱伺服器與該區域關聯,Route 53 將根據您傳送 DNS 查詢的名稱伺服器為 example.com 的 DNS 查詢提供不同的回答。
Amazon Route 53 是否也提供網站託管?
否。Amazon Route 53 屬於授權 DNS 服務,不提供網站託管。不過,您可以使用 Amazon Simple Storage Service (Amazon S3) 來託管靜態網站。要託管動態網站或其他 Web 應用程式,您可以使用 Amazon Elastic Compute Cloud (Amazon EC2);與傳統 Web 託管解決方案相比,它不僅能提供靈活性和控制,還可大幅節省開支。您可在這裡進一步了解 Amazon EC2。對於靜態和動態網站,您可以使用 Amazon CloudFront 為您的全球最終使用者提供低延遲的傳輸。您可在這裡進一步了解 Amazon CloudFront。
Amazon Route 53 支援哪些 DNS 記錄類型?
Amazon Route 53 目前支援下列 DNS 記錄類型:
- A (地址記錄)
- AAAA (IPv6 地址記錄)
- CNAME (正式名稱記錄)
- CAA (認證機構授權)
- MX (郵件交換記錄)
- NAPTR (名稱授權指標記錄)
- NS (名稱伺服器記錄)
- PTR (指標記錄)
- SOA (起始授權記錄)
- SPF (寄件者政策架構)
- SRV (服務定位器)
- TXT (文字記錄)
- Amazon Route 53 也提供別名記錄,這是 Amazon Route 53 特定的 DNS 延伸。您可以建立別名記錄將流量路由到選定的 AWS 資源,包括 Amazon Elastic Load Balancing 負載平衡器、Amazon CloudFront 分發、AWS Elastic Beanstalk 環境、API Gateway、VPC 界面端點,以及設定為網站的 Amazon S3 儲存貯體。別名記錄通常類型為 A 或 AAAA,但運作方式如同 CNAME 記錄。使用別名記錄,您可以將記錄名稱 (example.com) 對應到 AWS 資源 (elb1234.elb.amazonaws.com) 的 DNS 名稱。解析器會看到 A 或 AAAA 記錄和 AWS 資源的 IP 地址。
我們預計在未來增加其他的記錄類型。
Amazon Route 53 是否支援萬用字元項目? 如果支援,哪些記錄類型支援它們?
是。為了讓您更加方便地為網域配置 DNS 設定,Amazon Route 53 支援除 NS 記錄之外所有記錄類型的萬用字元項目。萬用字元項目是 DNS 區域中的記錄,可以根據您設定的配置配對任何網域名稱的請求。例如,*.example.com 之類的萬用字元 DNS 記錄將配對 www.example.com 和 subdomain.example.com 的查詢。
各種記錄類型的預設 TTL 是多少?是否可以變更這些值?
DNS 解析器用於快取回應的時間是透過與各個記錄關聯的存留時間 (TTL) 值設定。Amazon Route 53 沒有為任何記錄類型設定預設 TTL。您必須為每個記錄指定 TTL,讓快取 DNS 解析器能夠在 TTL 指定的時間長度內快取您的 DNS 記錄。
是否可以將「別名」記錄用於我的子網域?
是。您也可以使用別名記錄,將子網域 (www.example.com, pictures.example.com 等) 對應到 ELB 負載平衡器、CloudFront 分發或 S3 網站儲存貯體。
對資源紀錄集的變更是否是交易式的?
是。交易式變更有助於確保變更的一致、可靠,且不受其他變更影響。Amazon Route 53 經過精心設計,可以在任何個別 DNS 伺服器上徹底完成變更,或者完全不變更。這有助於確保 DNS 查詢始終都能獲得一致的回答,這在進行目標伺服器切換等變更時非常重要。使用 API 時,每次呼叫 ChangeResourceRecordSets 都會傳回一個識別符,可用來追蹤變更的狀態。狀態報告為 INSYNC 時,表示您的變更已在所有 Route 53 DNS 伺服器上執行完畢。
是否可以將多個 IP 位址與單一記錄關聯?
是。將多個 IP 地址與單一記錄關聯,通常用於平衡地理位置上分散的 Web 伺服器負載。Amazon Route 53 允許您為一個 A 記錄列出多個 IP 地址,並使用所有已設定 IP 地址清單回應 DNS 請求。
對 Amazon Route 53 上 DNS 設定的變更多快才能傳播到全球?
正常情況下,Amazon Route 53 的設計可以在 60 秒內將您對 DNS 記錄的更新傳播到其授權 DNS 伺服器的全球網路中。API 呼叫傳回 INSYNC 狀態清單時,即表示變更已成功傳播到全球。
請注意,快取 DNS 解析器不在 Amazon Route 53 服務的控制範圍內,它們將根據其存留時間 (TTL) 快取您的資源紀錄集。變更的 INSYNC 或 PENDING 狀態僅指出 Route 53 的授權 DNS 伺服器狀態。
是否能查看我在 Route 53 資源所做的變更及其他操作的歷史記錄?
可以,透過 AWS CloudTrail,您可以記錄 Route 53 的 API 呼叫歷史記錄並寫入日誌。請參考 CloudTrail 產品頁面開始使用。
是否能使用 AWS CloudTrail 日誌復原對我的託管區域所做的變更?
否。我們建議您不要使用 CloudTrail 日誌來復原對託管區域的變更,因為使用 CloudTrail 日誌重建您的區域變更歷史記錄可能不完整。
您的 AWS CloudTrail 日誌適用於安全分析、資源變更追蹤以及合規稽核等目的。
Amazon Route 53 是否支援 DNSSEC?
是。您可以為現有和新的公共託管區域啟用 DNSSEC 簽署,以及為 Amazon Route 53 Resolver 啟用 DNSSEC 驗證。此外,Amazon Route 53 在註冊網域時允許 DNSSEC。
Amazon Route 53 是否支援 IPv6?
是。Amazon Route 53 支援正向 (AAAA) 和反向 (PTR) IPv6 記錄。Amazon Route 53 服務本身也可在 IPv6 使用。IPv6 網路上的遞迴 DNS 解析程式可使用 IPv4 或 IPv6 傳輸,將 DNS 查詢提交給 Amazon Route 53。Amazon Route 53 運作狀態檢查也支援使用 IPv6 協定監控端點。
是否可以將我的 Zone Apex (example.com 與 www.example.com 比較) 指向 Elastic Load Balancer?
是。Amazon Route 53 提供一種稱為「別名」記錄的特殊記錄類型,可讓您將 Zone Apex (example.com) DNS 名稱對應到 ELB 負載平衡器 (如 my-loadbalancer-1234567890.us-west-2.elb.amazonaws.com) 的 DNS 名稱。與負載平衡器關聯的 IP 地址可隨著擴展規模、縮減規模或軟體更新而改變。Route 53 使用負載平衡器的一或多個 IP 地址回應別名記錄的每個請求。Route 53 支援三種負載平衡器的別名記錄:Application Load Balancer、Network Load Balancer 和 Classic Load Balancer。對應到 AWS ELB 負載平衡器的「別名」記錄進行查詢不會收取額外費用。這些查詢在 Amazon Route 53 用量報告中列為 "Intra-AWS-DNS-Queries"。
是否可以將我的 Zone Apex (example.com 與 www.example.com 比較) 指向 Amazon S3 上託管的網站?
是。Amazon Route 53 提供一種稱為「別名」記錄的特殊記錄類型,可讓您將 Zone Apex (example.com) DNS 名稱對應到 Amazon S3 網站儲存貯體 (如 example.com.s3-website-us-west-2.amazonaws.com)。與 Amazon S3 網站端點關聯的 IP 地址會隨著擴展規模、縮減規模或軟體更新而改變。Route 53 使用儲存貯體的一個 IP 地址來回應別名記錄的各個請求。對應到 S3 儲存貯體且設定為網站別名記錄的查詢,Route 53 不收取費用。這些查詢在 Amazon Route 53 用量報告中列為 "Intra-AWS-DNS-Queries"。
是否可以將我的 Zone Apex (example.com 與 www.example.com 比較) 指向 Amazon CloudFront 分發?
是。Amazon Route 53 提供一種稱為「別名」記錄的特殊記錄類型,可讓您將 Zone Apex (example.com) DNS 名稱對應到您的 Amazon CloudFront 分發 (如 d123.cloudfront.net)。與 Amazon CloudFront 端點相關聯的 IP 地址會根據您的最終使用者的位置而有所不同 (目的是將最終使用者指向最近的 CloudFront 節點),會隨著擴展規模、縮減規模或軟體更新而改變。Route 53 使用配送的一或多個 IP 地址來回應別名記錄的各個請求。對應到 CloudFront 分發的別名記錄查詢,Route 53 不收取費用。這些查詢在 Amazon Route 53 用量報告中列為 "Intra-AWS-DNS-Queries"。
是否可以將我的 Zone Apex (example.com 與 www.example.com 比較) 指向 AWS Elastic Beanstalk 環境?
是。Amazon Route 53 提供一種稱為「別名」記錄的特殊記錄類型,可讓您將 Zone Apex (example.com) DNS 名稱對應到 AWS Elastic Beanstalk DNS 名稱 (如 example.elasticbeanstalk.com)。與 AWS Elastic Beanstalk 環境關聯的 IP 地址會隨著擴展規模、縮減規模或軟體更新而改變。Route 53 使用環境的一或多個 IP 地址來回應別名記錄的每個請求。可免費對映射到 AWS Elastic Beanstalk 環境的「別名」記錄進行查詢。這些查詢在 Amazon Route 53 用量報告中列為 "Intra-AWS-DNS-Queries"。
是否可以將我的 Zone Apex (example.com 與 www.example.com 比較) 指向 Amazon API Gateway?
是。Amazon Route 53 提供一種稱為「別名」記錄的特殊記錄類型,可讓您將 Zone Apex (example.com) DNS 名稱對應到 Amazon API Gateway DNS 名稱 (例如 api-id.execute-api.region.amazonaws.com/stage)。與 Amazon API Gateway 關聯的 IP 地址會隨著擴展規模、縮減規模或軟體更新而改變。Route 53 使用 API Gateway 的一或多個 IP 地址來回應別名記錄的每個請求。對應到 Amazon API Gateways 的「別名」記錄進行查詢不會收取額外費用。這些查詢在 Route 53 用量報告中列為 "Intra-AWS-DNS-Queries"。
是否可以將我的 Zone Apex (example.com 與 www.example.com 比較) 指向 Amazon VPC 端點?
是。Amazon Route 53 提供一種稱為「別名」記錄的特殊記錄類型,可讓您將 Zone Apex (example.com) DNS 名稱對應到 Amazon VPC 端點 DNS 名稱 (例如 vpce-svc-03d5ebb7d9579a2b3.us-east-1.vpce.amazonaws.com)。與 Amazon VPC 端點關聯的 IP 地址會隨著擴展規模、縮減規模或軟體更新而改變。Route 53 使用 VPC 端點的一或多個 IP 地址來回應別名記錄的每個請求。對應到 Amazon VPC 端點的「別名」記錄進行查詢不會收取額外費用。這些查詢在 Amazon Route 53 用量報告中列為 "Intra-AWS-DNS-Queries"。
如何將 Amazon Route 53 與 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudFront 搭配使用?
針對透過 Amazon CloudFront 傳輸的網站或託管於 Amazon S3 的靜態網站,您可以使用 Amazon Route 53 服務,為指向 CloudFront 分發或 S3 網站儲存貯體的網域建立別名記錄。針對未設定託管靜態網站的 S3 儲存貯體,您可以為網域和 S3 儲存貯體名稱建立 CNAME 記錄。請注意,無論在哪種情況下,您還需要為 S3 儲存貯體或 CloudFront 分發個別設定備用網域名稱項目,以便在您的網域名稱與儲存貯體或配送的 AWS 網域名稱之間建立完整的別名關係。
針對 CloudFront 分發和設定託管靜態網站的 S3 儲存貯體,建議您建立對應到 CloudFront 分發或 S3 網站儲存貯體的「別名」記錄,而非使用 CNAME。別名記錄有兩種優勢:首先,與 CNAME 不同,您可以針對 Zone Apex (如 example.com,而不是 www.example.com) 建立別名記錄,其次,對別名記錄的查詢不收取費用。
為什麼 DNS 查詢測試工具會傳回與 dig 或 nslookup 命令不同的回應?
當 Amazon Route 53 中的資源紀錄集有所變更時,服務會將您對 DNS 記錄的更新傳播到其授權 DNS 伺服器的全球網路。如果您在傳播完成前測試記錄,則當使用 dig 或 nslookup 公用程式時會看到舊的值。此外,網際網路上的 DNS 解析器不在 Amazon Route 53 服務的控制範圍內,且會依照它們的存留時間 (TTL) 快取您的資源紀錄集,這表示 dig/nslookup 命令可能會傳回快取的值。同時,您應該確認網域名稱註冊機構使用的是 Amazon Route 53 託管區域內的名稱伺服器。如果不是,Amazon Route 53 將未獲授權可查詢您的網域。
DNS 路由政策
Amazon Route 53 是否支援加權輪詢均衡 (WRR)?
是。加權輪詢均衡可讓您為資源紀錄集指派權數,以指定發出不同回應的頻率。您可能希望使用此功能來執行 A/B 測試,傳送一小部分流量到已進行軟體變更的伺服器。例如,假設一個 DNS 名稱有兩個關聯的記錄集,其中一個的權數為 3,另一個的權數為 1。在這種情況下,有 75% 的機會 Route 53 會傳回權數為 3 的記錄集,而有 25% 的機會 Route 53 傳回權數為 1 的記錄集。權數可以是 0 到 255 範圍內的任意數字。
什麼是 Amazon Route 53 的 Latency Based Routing (LBR) 功能?
LBR (Latency Based Routing) 是 Amazon Route 53 的一項新功能,有助於您為全球用戶提高應用程式的效能。您可以在多個 AWS 區域執行應用程式,Amazon Route 53 將使用遍佈全球各地的數十個節點,將最終使用者路由到可提供最低延遲性的 AWS 區域。
如何開始使用 Amazon Route 53 的 Latency Based Routing (LBR) 功能?
只需使用 AWS 管理主控台或簡單的 API,就能快速而輕鬆地使用 Amazon Route 53 的全新 LBR 功能。只需建立包含 IP 地址或各個 AWS 端點的 ELB 名稱的記錄集,再將該記錄集標記為啟用 LBR 的記錄集,這與將記錄集標記為加權記錄集非常相似。Amazon Route 53 將負責其餘的工作 – 確定每個請求的最佳端點並據此路由最終使用者,與 Amazon 全球內容交付服務 Amazon CloudFront 非常相似。您可以在 Amazon Route 53 開發人員指南進一步了解如何使用 Latency Based Routing。
Amazon Route 53 的 Latency Based Routing (LBR) 功能的價格為何?
與所有 AWS 服務一樣,使用 Amazon Route 53 和 LBR 無須預付費用或簽訂長期合約。客戶只需按照實際的用量支付託管區域和查詢的費用。有關 Latency Based Routing 查詢的定價詳細資訊,請瀏覽 Amazon Route 53 定價頁面。
什麼是 Amazon Route 53 的 Geo DNS 功能?
Route 53 Geo DNS 會根據請求發出的地理位置將其送至特定的端點,藉此調整負載平衡。Geo DNS 可以自訂當地語系化的內容,例如,以正確的語言呈現詳細資訊頁面,或將內容限制為僅配送到您已經授權的市場。Geo DNS 也可透過可預見且易於管理的方式讓您執行負載平衡,確保每一個最終使用者位置都能一致地路由到相同的端點。Geo DNS 提供三種地理細微性層級:洲、國家/地區和州,Geo DNS 還提供全球記錄,以便在最終使用者的位置與您建立的特定 Geo DNS 記錄不符時使用此記錄。您還可以將 Geo DNS 與其他路由類型 (例如 Latency Based Routing 和 DNS 備援) 結合起來,以執行多種低延遲的容錯架構。關於如何設定各種路由類型的資訊,請參閱 Amazon Route 53 文件。
如何開始使用 Amazon Route 53 的 Geo DNS 功能?
只需使用 AWS 管理主控台或 Route 53 API,就能快速而輕鬆地使用 Amazon Route 53 的 Geo DNS 功能。您只要建立記錄集並針對該記錄集的類型指定適用的值,將該記錄集標記為啟用 Geo DNS 的記錄集,然後選擇要套用記錄的地理區域 (全球、洲、國家/地區或州)。您可以在 Amazon Route 53 Developer Guide 進一步了解如何使用 Geo DNS。
使用 Geo DNS 時,是否需要一份「全球」記錄? Route 53 何時會傳回此記錄?
是的,強烈建議您設定全球記錄,以確保 Route 53 可以從所有可能的位置對 DNS 查詢提供回應,即使您為最終使用者可能在的每一個洲、國家/地區或州建立了特定的記錄也應該如此。Route 53 會在下列情況傳回全球記錄所含的值:
DNS 查詢來自 Route 53 的 Geo IP 資料庫無法識別的 IP 地址。
DNS 查詢來自您建立的所有特定 Geo DNS 記錄都不包含的位置。
是否可以有一個洲的 Geo DNS 記錄,以及該洲內各個國家/地區不同的 Geo DNS 記錄? 或者,有一個國家/地區的 Geo DNS 記錄,以及該國家/地區內各個州的 Geo DNS 記錄?
是,您可以對重疊的地理區域配置 Geo DNS 記錄 (例如,洲和這個洲中的國家/地區,或者國家/地區和這個國家/地區中的州)。對於每個最終使用者位置,Route 53 會傳回包含該地區最具體的 Geo DNS 記錄。換句話說,對於指定的最終使用者位置,Route 53 會先傳回州記錄。如果未找到任何州記錄,則 Route 53 會傳回國家記錄。如果未找到任何國家記錄,則 Route 53 會傳回洲記錄。最後,如果連洲記錄都找不到,則 Route 53 會傳回全球記錄。
Route 53 的 Geo DNS 功能的價格為何?
與所有 AWS 服務一樣,使用 Amazon Route 53 和 Geo DNS 無須預付費用或簽訂長期合約。客戶只需按照實際的用量支付託管區域和查詢的費用。有關 Geo DNS 查詢的定價詳細資訊,請瀏覽 Amazon Route 53 定價頁面。
Latency Based Routing 和 Geo DNS 有何不同?
Geo DNS 根據請求的地理位置來決定路由。在某些情況下,地理位置是延遲最好的代理,但有些情況則未必如此。LatencyBased Routing 使用檢視器網路和 AWS 資料中心之間的延遲測量。這些測量可用來判斷要將使用者導向哪個端點。
如果您的目標是將最終使用者延遲降到最低,我們建議您使用 Latency Based Routing。如果您有合規、當地語系化需求,或有其他使用案例需要在特定地理位置到特定端點之間進行穩定路由,我們建議您使用 Geo DNS。
Amazon Route 53 是否支援以多個值回應 DNS 查詢?
Route 53 現在支援回應 DNS 查詢的多值回答。雖然無法取代負載平衡器,回應 DNS 查詢時傳回多個可檢查運作狀態 IP 地址的能力可透過 DNS 提高可用性和負載平衡。如果您想要將流量隨機路由到多個資源 (像是 Web 伺服器),可以為每個資源建立一個多值回答記錄,並選擇性地建立 Amazon Route 53 運作狀態檢查與每個記錄之間的關聯。Amazon Route 53 針對每個 DNS 查詢的回應最多支援八個運作狀態記錄。
流量
什麼是 Amazon Route 53 Traffic Flow?
Amazon Route 53 Traffic Flow 是一項簡單易用且經濟實惠的全球流量管理服務。使用 Amazon Route 53 Traffic Flow 可以為最終使用者提高您應用程式的效能和可用性,其方法是執行全球的多個端點,而使用 Amazon Route 53 Traffic Flow 根據延遲、地理和端點運作狀態,讓您的使用者連線到最佳端點。Amazon Route 53 Traffic Flow 讓開發人員可以輕鬆地依據自己最在意的限制 (包括延遲、端點運作狀態、載入、地理近接性和地理) 來建立路由流量的政策。客戶可以自訂這些範本,或在 AWS 管理主控台使用簡單的視覺化政策產生器來從頭建立政策。
流量政策和政策記錄有何不同?
流量政策是您定義將最終使用者請求路由到其中一個應用程式端點的一組規則。您可以使用 Amazon Route 53 主控台的 Amazon Route 53 Traffic Flow 部分中的視覺化政策產生器來建立流量政策。您也可以將流量政策建立為 JSON 格式的文字檔案,然後使用 Route 53 API、AWS CLI 或各種 AWS 開發套件來上傳這些政策。
流量政策本身並不會影響將最終使用者路由傳送到您應用程式的方式,因為它尚未與您應用程式的 DNS 名稱 (如 www.example.com) 相關聯。若要開始使用 Amazon Route 53 Traffic Flow 將流量透過您建立的流量政策傳送到應用程式,則您須建立一個政策記錄,這個記錄會將流量政策與您擁有的 Amazon Route 53 託管區域內適當的 DNS 名稱建立關聯。例如,如果想要使用命名為 my-first-traffic-policy 的流量政策來管理應用程式在 www.example.com 上的流量,您要在託管區域 example.com 內建立 www.example.com 的政策記錄,然後選擇 my-first-traffic-policy 做為流量政策。
在 Amazon Route 53 主控台的 Amazon Route 53 Traffic Flow 和 Amazon Route 53 託管區域這兩個部分都可以看到政策記錄。
是否可以相同的政策管理一個以上的 DNS 名稱路由?
是。您可以用兩種方式的其中一種,重複使用政策來管理一個以上的 DNS 名稱。第一個方法是可以使用政策來建立其他的政策記錄。請注意,使用這個方法需額外付費,因為費用是按您建立的每個政策記錄來計算。
第二個方法是使用政策建立一個政策記錄,然後對於使用政策來管理的每個其他 DNS 名稱,建立標準 CNAME 記錄,指向所建立政策記錄的 DNS 名稱。例如,如果您為 example.com 建立政策記錄,接著可以為 www.example.com、blog.example.com 和 www.example.net 建立 DNS 記錄,並為每個記錄使用 example.com 的 CNAME 值。請注意,這個方法完全不適用於 Zone Apex 內的記錄,如 example.net、example.org 或 example.co.uk (網域名稱的前面不包含 www 或其他子網域)。對於 Zone Apex 內的記錄,您必須使用流量政策來建立政策記錄。
我可以建立別名記錄指向由流量政策管理的 DNS 名稱嗎?
是,可建立別名記錄指向由流量政策管理的 DNS 名稱。
沒有政策記錄的流量政策是否需要付費?
否。我們只收取政策記錄的費用;建立流量政策本身不用付費。
使用 Amazon Route 53 Traffic Flow 如何收費?
我們會依照每個政策記錄向您收費。政策記錄代表流量政策套用到特定 DNS 名稱 (如 www.example.com),以便使用流量政策來管理回答該 DNS 名稱請求的方式。收費是按月計算,不滿一個月則依比例分配。未透過政策記錄與 DNS 名稱關聯的流量政策無須付費。有關定價的詳細資訊,請參閱 Amazon Route 53 定價頁面。
Amazon Route 53 Traffic Flow 支援的進階查詢類型有哪些?
Traffic Flow 支援所有 Amazon Route 53 DNS Routing 政策,包括延遲、端點運作狀態、多值回答、加權輪詢均衡和地理。除此之外,Traffic Flow 還支援以地理近接性為基礎的路由及流量偏移。
流量政策如何使用地理近接性規則來路由 DNS 流量?
當您建立流量政策時,可以指定 AWS 區域 (若您使用 AWS 資源) 或每個端點的經緯度。例如,假設您在 AWS 美國東部 (俄亥俄) 區域和美國西部 (奧勒岡) 區域都有 EC2 執行個體。當位於西雅圖的使用者瀏覽您的網站時,地理近接性路由會將 DNS 查詢路由至美國西部 (奧勒岡) 區域的 EC2 執行個體,因為它的地理位置較近。如需詳細資訊,請參閱地理近接性路由文件。
端點的地理近接性偏移值如何影響路由到其他端點的 DNS 流量?
變更端點的地理近接性偏移值會擴大或縮小 Route 53 從中將流量路由到資源的區域大小。然而,地理近接性偏移無法準確預期負載因素,因為地理區域大小的細微偏差就可能包含或排除產生大量查詢的主要都會區。如需詳細資訊,請參閱我們的文件。
是否可以將偏移用於其他 Traffic Flow 規則的偏移?
截至目前為止,偏移只能套用到地理近接性規則。
私有 DNS
什麼是私有 DNS?
私有 DNS 是 Route 53 的一項功能,可以讓您在 VPC 中擁有授權 DNS,而不會將您的 DNS 記錄 (包括資源名稱及其 IP 地址) 公開給網際網路。
是否可以使用 Amazon Route 53 來管理組織的私有 IP 位址?
是,您可以使用 Amazon Route 53 的私有 DNS 功能,在 Virtual Private Clouds (VPC) 內管理私有 IP 地址。您可以透過私有 DNS 建立私有的託管區域,當查詢來自您與私有託管區域關聯的 VPC 內部時,Route 53 就只會傳回這些記錄。有關更多詳細資訊,請參閱 Amazon Route 53 文件。
如何設定私有 DNS?
要設定私有 DNS,您可以在 Route 53 中建立託管區域,選擇讓託管區域變成「私有」的選項,再將託管區域與您的其中一個 VPC 建立關聯。建立託管區域後,您可以將其與其他 VPC 建立關聯。請參閱 Amazon Route 53 文件,了解如何設定私有 DNS 的完整詳細資訊。
使用私有 DNS 是否需要連接到外部網際網路?
您可以使用不連接網際網路的 VPC 中的資源來解析內部 DNS 名稱。但是,如果要更新私有 DNS 託管區域的設定,您需要網際網路連線來存取 Route 53 API 端點,這個端點在 VPC 的外部。
如果不使用 VPC,是否仍可使用私有 DNS?
否。Route 53 私有 DNS 使用 VPC 來管理可見性,並為私有 DNS 託管區域提供 DNS 解析。為了利用 Route 53 私有 DNS,您必須設定一個 VPC 並將資源遷移到其中。
是否能在多個 VPC 使用同一個私有 Route 53 託管區域?
是,您可以將多個 VPC 關聯到單一託管區域。
是否可以為不同 AWS 帳戶建立的 VPC 和私有託管區域建立關聯?
是,您可以將屬於不同帳戶的 VPC 關聯到單一託管區域。您可以在這裡查看更多詳細資訊。
私有 DNS 是否能跨 AWS 區域使用?
是。DNS 回答可以在與私有託管區域關聯的每個 VPC 中使用。請注意,您需要確保每個區域中的所有 VPC 彼此相連,以便讓一個區域中的資源可以連接另一個區域中的資源。目前,美國東部 (維吉尼亞北部)、美國西部 (加利佛尼亞北部)、美國西部 (奧勒岡)、亞太區域 (孟買)、亞太區域 (首爾)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (東京)、歐洲 (法蘭克福)、歐洲 (愛爾蘭) 和南美洲 (聖保羅) 等區域支援 Route 53 私有 DNS。
是否能為私有 DNS 託管區域設定 DNS 備援?
是,在私有 DNS 託管區域內建立運作狀態檢查與資源紀錄集的關聯,即可設定 DNS 備援。如果您的端點位於 Virtual Private Cloud (VPC) 內,則有幾個選項可以對這些端點設定運作狀態檢查。如果端點有公有 IP 地址,您可以對每個端點的公有 IP 地址建立標準運作狀態檢查。如果端點只有私有 IP 地址,則不能對這些端點建立標準運作狀態檢查。不過,您可以建立以指標為基礎的運作狀態檢查,它的功能與標準 Amazon Route 53 運作狀態檢查類似,差別在於它們使用現有的 Amazon CloudWatch 指標做為端點運作狀態資訊的來源,而不是從外部位置對端點提出請求。
是否能使用私有 DNS 在我的 VPC 中封鎖不想被存取的網域和 DNS 名稱?
是,要封鎖網域和特定的 DNS 名稱,在一或多個私有 DNS 託管區域中建立這些名稱,然後將這些名稱指派到您自己的伺服器 (或您管理的其他位置)。
運作狀態檢查與 DNS 備援
什麼是 DNS 備援?
DNS 備援包含兩個部分,即運作狀態檢查和容錯移轉。運作狀態檢查是透過網際網路傳送到您應用程式的自動請求,目的是驗證您的應用程式是否可連線、可用且功能正常。您可以設定與使用者提交的一般請求相似的運作狀態檢查,例如從特定 URL 請求網頁。使用 DNS 備援時,Route 53 僅傳回正常運作且可從外部存取之資源的回應,因此您的最終使用者可以繞過出現故障或運作狀態不佳的應用程式部分。
如何開始使用 DNS 備援?
請參閱 Amazon Route 53 開發人員指南以了解有關入門的詳細資訊。您還可以從 Route 53 主控台內設定 DNS 備援。
DNS 備援是否支援將 Elastic Load Balancer (ELB) 做為端點?
是,您可以為 Elastic Load Balancers (ELB) 設定 DNS 備援。要啟用 ELB 端點的 DNS 備援,請建立一個指向 ELB 的別名記錄,並將 "Evaluate Target Health" 參數設為 True。Route 53 會自動建立和管理 ELB 的運作狀態檢查。您無須建立自己的 ELB Route 53 運作狀態檢查。您也不需要將針對 ELB 設定的資源紀錄與自己的運作狀態檢查建立關聯,因為 Route 53 會代您將它與 Route 53 管理的運作狀態檢查關聯在一起。ELB 運作狀態檢查還會繼承該 ELB 後端執行個體的運作狀態檢查。如需了解有關使用 ELB 端點進行 DNS 備援的詳細資訊,請參閱 Route 53 開發人員指南。
是否能設定一個備份網站,僅供運作狀態檢查失敗時使用?
是,您可以使用 DNS 備援來維護備份網站 (例如,Amazon S3 網站儲存貯體上執行的靜態網站),並在您的主要網站無法存取時轉移到該網站。
哪些 DNS 記錄類型可與 Route 53 運作狀態檢查建立關聯?
您可以關聯任何受 Route 53 支援的記錄類型,除了 SOA 和 DNS 記錄以外。
如果不知道端點的 IP 位址,是否能進行運作狀態檢查?
是。您可以透過 Amazon Route 53 主控台設定 Elastic Load Balancer 和 Amazon S3 網站儲存貯體的 DNS 備援,這種方法無須建立您自己的運作狀態檢查。對於這些端點類型,Route 53 會代表您自動建立和管理運作狀態檢查,而這些運作狀態檢查會在您建立指向 ELB 或 S3 網站儲存貯體的別名記錄和在該別名記錄上啟用 "Evaluate Target Health" 參數時使用。
對於所有其他端點,當您為該端點建立運作狀態檢查時,可以指定 DNS 名稱 (例如 www.example.com) 或該端點的 IP 地址。
我的其中一個端點在 AWS 外部。是否能在此端點上設定 DNS 備援?
是。就像可以建立指向 AWS 外部地址的 Route 53 資源紀錄一樣,您可以針對在 AWS 外部執行的應用程式部分設定運作狀態檢查,並且可以容錯移轉到您選擇的任何端點,無論位置為何。例如,您可以有一個在 AWS 外部資料中心執行的舊版應用程式,並在 AWS 內部執行該應用程式的備份執行個體。您可以為在 AWS 外部執行的舊版應用程式設定運作狀態檢查,如果該應用程式未能通過運作狀態檢查,您就可以自動容錯移轉到 AWS 中的備份執行個體。
如果發生容錯移轉而且我還擁有多個正常運作的端點,Route 53 在決定將故障端點流量傳送到何處時,是否會考慮這些正常運作端點的負載情況?
不會,Route 53 不會根據端點的負載或可用流量的容量來決定路由目標。您將需要確保其他端點有可用的容量,或這些端點具有擴展能力,以處理流向故障端點的流量。
端點要連續幾次無法通過運作狀態檢查觀察才會被視為「失敗」?
預設閾值為三次運作狀態檢查觀察:當端點連續三次運作狀態檢查觀察失敗,Route 53 將其視為失敗。但是,Route 53 會繼續對此端點執行運作狀態檢查觀察,並在它通過三次連續的運作狀態檢查觀察後重新向其傳送流量。您可以將此閾值變更為 1 到 10 次觀察之間的任何值。有關更多詳細資訊,請參閱 Amazon Route 53 開發人員指南。
當我的故障端點再次正常運作,DNS 備援會如何反轉?
失敗的端點通過您在建立運作狀態檢查時指定的連續運作狀態檢查觀察次數後 (預設閾值為三次觀察),Route 53 將自動恢復其 DNS 記錄,並且繼續傳送流量到該端點,您無須進行任何動作。
運作狀態檢查觀察之間的間隔時間多長?
在預設情況下,運作狀態檢查觀察每隔 30 秒執行一次。您可以選擇快速觀察間隔時間 10 秒。
透過以高出三倍的頻率執行檢查,快速間隔運作狀態檢查讓 Route 53 能夠更快地確認有端點發生故障,縮短 DNS 備援重新導向流量以回應端點故障所需的時間。
快速間隔運作狀態檢查還會針對您的端點產生三倍的請求數量,如果您的端點在提供 Web 流量服務有容量上的限制,可能需要將此因素納入考量。請瀏覽 Route 53 定價頁面,以取得關於快速間隔運作狀態檢查和其他可選運作狀態檢查功能的定價詳細資訊。有關更多詳細資訊,請參閱 Amazon Route 53 開發人員指南。
我應該預期運作狀態檢查會在端點 (例如,Web 伺服器) 上產生多少負載?
每個運作狀態檢查都從全球多個位置執行。位置的數量和組合是可設定的;您可以使用 Amazon Route 53 主控台或 API 來修改要進行每個運作狀態檢查的位置數量。每個位置都以您所選的間隔單獨檢查端點:預設的間隔為 30 秒,可選的快速間隔為 10 秒。根據目前運作狀態檢查位置的預設數量而定,如果是標準間隔運作狀態檢查,應該平均每隔 2 至 3 秒,端點就會收到一個請求;而快速間隔運作狀態檢查,則每秒收到一或多個請求。
Route 53 運作狀態檢查是否遵循 HTTP 重新導向?
否。Route 53 運作狀態檢查將 HTTP 3xx 代碼視為成功的回應,因此這些檢查不會遵循重新導向。這可能會導致字串比對運作狀態檢查出現異常結果。運作狀態檢查將在重新導向的主體中搜尋指定的字串。由於運作狀態檢查不遵循重新導向,它永遠不會將請求傳送到重新導向所指向的位置,因此也永遠不會從該位置獲得回應。對於字串比對運作狀態檢查,我們建議您避免將運作狀態檢查指向傳回 HTTP 重新導向的位置。
發生容錯移轉時的一系列事件為何?
簡單來說,如果運作狀態檢查失敗並發生容錯移轉,將會發生下列事件:
Route 53 執行應用程式的運作狀態檢查。在這個範例中,您的應用程式連續三次未能通過運作狀態檢查,因此觸發以下事件。
Route 53 停用故障端點的資源紀錄,且不再為這些記錄提供服務。這是容錯移轉步驟,可讓流量開始路由到正常運作的端點,而不是故障的端點。
我是否需要調整記錄的 TTL 才能使用 DNS 備援?
DNS 解析器用於快取回應的時間是透過與各個記錄關聯的存留時間 (TTL) 值設定。我們建議在使用 DNS 備援時將 TTL 設為 60 秒或更少,盡量縮短停止將流量路由到故障端點所需的時間。為了設定 ELB 和 S3 網站端點的 DNS 備援,您需要使用 TTL 固定為 60 秒的別名記錄;對於這些端點類型,您不需要調整 TTL 來使用 DNS 備援。
如果所有端點都無法正常運作,會發生什麼情況?
Route 53 只能容錯移轉到正常運作的端點。如果資源紀錄集中沒有正常運作的端點,Route 53 會將端點當作已通過所有運作狀態檢查。
我是否能在不使用 Latency Based Routing (LBR) 的情況下使用 DNS 備援?
是。您可以在不使用 LBR 的情況下設定 DNS 備援。尤其是,您可以使用 DNS 備援來設定簡單的容錯移轉案例,其中 Route 53 會監控您的主要網站,並在主網站不可用時容錯移轉到備份網站。
是否能針對僅能透過 HTTPS 存取的網站設定運作狀態檢查?
是。Route 53 支援透過 HTTPS、HTTP 或 TCP 進行運作狀態檢查。
HTTPS 運作狀態檢查是否會驗證端點的 SSL 憑證?
不會,HTTPS 運作狀態檢查會測試是否能夠透過 SSL 連接端點,以及端點是否會傳回有效的 HTTP 回應代碼。但是,它們不會驗證端點傳回的 SSL 憑證。
HTTPS 運作狀態檢查是否支援伺服器名稱指示 (SNI)?
是,HTTPS 運作狀態檢查支援 SNI。
如何使用運作狀態檢查確認我的 Web 伺服器傳回的是正確的內容?
您可以透過選擇 "Enable String Matching" 的選項來使用 Route 53 運作狀態檢查,查看指定字串是否存在於伺服器回應中。這個選項可用於檢查 Web 伺服器,驗證它所服務的 HTML 包含預期字串。或者,您可以建立一個專用狀態頁面,用它從內部或操作角度來檢查伺服器的運作狀態。有關更多詳細資訊,請參閱 Amazon Route 53 開發人員指南。
如何查看我已建立的運作狀態檢查的狀態?
您可以在 Amazon Route 53 主控台或透過 Route 53 API,查看運作狀態檢查的最新狀態及失敗的詳細原因。
此外,每個運作狀態檢查的結果都會以 Amazon CloudWatch 指標的形式發佈,以顯示端點的運作狀態以及選擇性地顯示端點的回應延遲。您可以在 Amazon Route 53 主控台的運作狀態檢查標籤中查看 Amazon CloudWatch 指標的圖表,以了解運作狀態檢查的目前狀態及歷史狀態。您也可以在該指標上建立 Amazon CloudWatch 警示,以便在運作狀態檢查的狀態發生變化時傳送通知。
所有 Amazon Route 53 運作狀態檢查的 Amazon CloudWatch 指標也可以在 Amazon CloudWatch 主控台中查看。每個 Amazon CloudWatch 指標都包含運作狀態檢查 ID (如 01beb6a3-e1c2-4a2b-a0b7-7031e9060a6a),您可使用它來識別該指標追蹤的運作狀態檢查。
如何使用 Amazon Route 53 測量應用程式端點的效能?
Amazon Route 53 運作狀態檢查包含選用的延遲測量功能,可提供端點花了多少時間來回應請求的相關資料。啟用延遲測量功能後,Amazon Route 53 運作狀態檢查會產生額外的 Amazon CloudWatch 指標,顯示 Amazon Route 53 運作狀態檢查器建立連線然後開始接收資料所需的時間。Amazon Route 53 為每個執行 Amazon Route 53 運作狀態檢查的 AWS 區域提供一組獨立的延遲指標。
如何在其中一個端點運作狀態檢查開始失敗時收到通知?
因為每個 Route 53 運作狀態檢查的結果都做為 CloudWatch 指標來發佈,所以您可以設定全範圍的 CloudWatch 通知,也可以設定當運作狀態檢查值變更為指定閾值以外的值時觸發的自動化動作。首先,在 Route 53 或 CloudWatch 主控台中,為運作狀態檢查指標設定一個 CloudWatch 警示。然後新增一個通知動作,指定您想要發佈通知的電子郵件或 SNS 主題。請參閱 Route 53 開發人員指南,了解完整的詳細資訊。
我已經為運作狀態檢查建立了警示,但需要重新傳送該警示 SNS 主題的確認電子郵件。如何重新傳送此電子郵件?
您可以從 SNS 主控台重新傳送確認電子郵件。要找到與該警示相關的 SNS 主題名稱,按一下 Route 53 主控台內的警示名稱,然後在 "Send notification to" 方塊中查看。
在 SNS 主控台中,展開主題清單,然後從警示中選擇主題。開啟 "Create Subscription" 方塊並為通訊協定選擇電子郵件,然後輸入所需的電子郵件地址。按一下 "Subscribe" 將重新傳送確認電子郵件。
我使用 DNS 備援,同時將 Elastic Load Balancers (ELB) 當做端點。如何查看這些端點的狀態?
要設定含 ELB 端點的 DNS 備援,建議的方法是使用具有 "Evaluate Target Health" 選項的別名記錄。因為使用此選項時不用自己建立 ELB 端點的運作狀態檢查,因此 Route 53 不會為這些端點產生特定的 CloudWatch 指標。
有兩種方式可以取得負載平衡器的運作狀態檢查指標。第一種方式是,Elastic Load Balancing 會發佈指標指出負載平衡器的運作狀態,以及負載平衡器上正常運作的執行個體數量。有關針對 ELB 設定 CloudWatch 指標的詳細資訊,請參閱 ELB 開發人員指南。第二種方式是,您可以對照 ELB 提供的 CNAME (例如 elb-example-123456678.us-west-2.elb.amazonaws.com) 建立自己的運作狀態檢查。您不會將此運作狀態檢查用於 DNS 備援本身 (因為 "Evaluate Target Health" 選項會為您提供 DNS 備援),但是您可以查看此運作狀態檢查的 CloudWatch 指標,並建立警示以在運作狀態檢查失敗時通知您。
有關使用 DNS 備援搭配 ELB 端點的完整詳細資訊,請參閱 Route 53 開發人員指南。
對於指向 Amazon S3 網站儲存貯體的別名記錄,當我將 Evaluate Target Health 設為 "true" 時,會進行那些運作狀態檢查?
Amazon Route 53 會在每個 AWS 區域執行 Amazon S3 服務本身的運作狀態檢查。在指向 Amazon S3 網站儲存貯體的別名記錄上啟用 Evaluate Target Health 後,Amazon Route 53 會將您的儲存貯體所在的 AWS 區域中的 Amazon S3 服務的運作狀態列入考慮。Amazon Route 53 不會檢查是否有某個特定儲存貯體或是否包含有效的網站內容;只有在您的儲存貯體所在的 AWS 區域中的 Amazon S3 服務本身無法使用時,Amazon Route 53 才會容錯移轉到其他位置
使用 CloudWatch 指標進行 Route 53 運作狀態檢查的費用是多少?
Route 53 運作狀態檢查的 CloudWatch 指標可供免費使用。
我可以根據內部運作狀態指標 (如 CPU 負載、網路或記憶體) 來設定 DNS 備援嗎?
是。Amazon Route 53 以指標為基礎的運作狀態檢查可讓您根據 Amazon CloudWatch 內提供的任何指標來執行 DNS 備援,這些指標包括 AWS 提供的指標和您自己應用程式提供的自訂指標。當您在 Amazon Route 53 內建立以指標為基礎的運作狀態檢查時,只要關聯的 Amazon CloudWatch 指標進入警示狀態,運作狀態檢查就會無法正常運作。
以指標為基礎的運作狀態檢查能夠為標準 Amazon Route 53 運作狀態檢查無法存取的端點啟用 DNS 備援,例如,僅有私有 IP 地址的 Virtual Private Cloud (VPC) 內的執行個體。使用 Amazon Route 53 計算的運作狀態檢查功能,透過結合以指標為基礎的運作狀態檢查與標準 Amazon Route 53 運作狀態檢查的結果,從全球的檢查器網路向端點提出請求,也可以完成更為複雜的容錯移轉案例。例如,您可以建立一個組態,如果端點面向公眾的網頁無法使用,或如果內部指標 (例如 CPU 負載、網路連入/連出或磁碟讀取) 顯示伺服器本身運作狀態不佳,即繞過該端點。
我的 Web 伺服器從 Route 53 運作狀態檢查收到了我沒有建立的請求。我如何停止這些請求?
有時 Amazon Route 53 客戶會建立運作狀態檢查,其中指定了不屬於他們的 IP 地址或網域名稱。如果您的 Web 伺服器收到了不需要的 HTTP 請求,而且您追蹤到 Amazon Route 53 運作狀態檢查,請使用此表單來提供不需要之運作狀態檢查的相關資訊,然後我們將與客戶合作來修正此問題。
如果指定網域名稱做為運作狀態檢查的目標,Amazon Route 53 會檢查 IPv4 或 IPv6 嗎?
如果指定網域名稱做為 Amazon Route 53 運作狀態檢查的端點,Amazon Route 53 會查詢該網域名稱的 IPv4 地址,並使用 IPv4 連線到端點。Amazon Route 53 將不會嘗試查詢網域名稱指定之端點的 IPv6 地址。如果要對 IPv6 而非 IPv4 執行運作狀態檢查,選取 "IP address" 而不是 "domain name" 做為端點類型,並在 "IP address" 欄位中輸入 IPv6 地址。
我可以在哪裡找到 Amazon Route 53 DNS 伺服器和運作狀態檢查器的 IPv6 地址範圍?
AWS 現在使用 JSON 格式發佈自己目前的 IP 地址範圍。若要查看目前的範圍,請使用下列連結下載 .json 檔案。如果以程式設計方式存取這個檔案,請確定應用程式只在成功驗證 AWS 伺服器傳回的 TLS 憑證之後才下載檔案。
若要找出 Route 53 伺服器的 IP 範圍,請在 "service" 欄位中搜尋下列值:
Route 53 DNS 伺服器:搜尋 "ROUTE53"
Route 53 運作狀態檢查器:搜尋 "ROUTE53_HEALTHCHECKS"
如需詳細資訊,請參閱 Amazon Web Services 一般參考中的 AWS IP 地址範圍。
請注意,這個檔案中可能還沒有 IPv6 範圍。做為參考之用,Amazon Route 53 運行狀態檢查器的 IPv6 範圍如下:
2600:1f1c:7ff:f800::/53
2a05:d018:fff:f800::/53
2600:1f1e:7ff:f800::/53
2600:1f1c:fff:f800::/53
2600:1f18:3fff:f800::/53
2600:1f14:7ff:f800::/53
2600:1f14:fff:f800::/53
2406:da14:7ff:f800::/53
2406:da14:fff:f800::/53
2406:da18:7ff:f800::/53
2406:da1c:7ff:f800::/53
2406:da1c:fff:f800::/53
2406:da18:fff:f800::/53
2600:1f18:7fff:f800::/53
2a05:d018:7ff:f800::/53
2600:1f1e:fff:f800::/53
2620:107:300f::36b7:ff80/122
2a01:578:3::36e4:1000/122
2804:800:ff00::36e8:2840/122
2620:107:300f::36f1:2040/122
2406:da00:ff00::36f3:1fc0/122
2620:108:700f::36f4:34c0/122
2620:108:700f::36f5:a800/122
2400:6700:ff00::36f8:dc00/122
2400:6700:ff00::36fa:fdc0/122
2400:6500:ff00::36fb:1f80/122
2403:b300:ff00::36fc:4f80/122
2403:b300:ff00::36fc:fec0/122
2400:6500:ff00::36ff:fec0/122
2406:da00:ff00::6b17:ff00/122
2a01:578:3::b022:9fc0/122
2804:800:ff00::b147:cf80/122
網域名稱註冊
是否可以在 Amazon Route 53 註冊網域名稱?
是。您可以使用 AWS 管理主控台或 API 透過 Route 53 註冊新網域名稱。您還可以請求將現有網域名稱從其他註冊機構轉移到 Route 53 中進行管理。我們提供的網域名稱註冊服務遵循我們的網域名稱註冊合約。
提供哪些頂層網域 ("TLD") 服務?
Route 53 針對一般頂層網域 ("gTLD":例如 .com 和 .net) 和國碼頂層網域 ("ccTLD":例如 .de 和 .fr) 提供廣泛的選擇。如需完整清單,請參閱 Route 53 Domain Registration Price List。
如何透過 Route 53 註冊網域名稱?
要開始使用,登入您的帳戶並按一下 "Domains"。然後,按一下藍色的 "Register Domain" 大型按鈕,完成註冊流程。
註冊網域名稱要花多少時間?
根據您所選擇的 TLD 而有不同,註冊可能需要幾分鐘到幾小時不等。成功註冊網域後,網域會顯示在您的帳戶中。
網域名稱註冊的有效時間多長?
雖然部分頂層網域 (TLD) 的註冊期間較長,不過初次註冊期間通常是一年。使用 Amazon Route 53 註冊網域或將網域註冊移轉到 Amazon Route 53 時,我們會設定自動續約網域。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的續約網域的註冊。
註冊網域名稱需要提供哪些資訊?
要註冊網域名稱,您需要提供網域註冊申請人的聯絡資訊,包括姓名、地址、電話號碼和電子郵件地址。如果管理員和技術聯絡人不是同一個人,您還需要提供他們的聯絡資訊。
註冊網域時為什麼需要提供個人資訊?
ICANN 是網域註冊的管理主體,要求註冊機構為每一個網域名稱註冊提供聯絡資訊,包括姓名、地址和電話號碼,且該註冊機構要透過 Whois 資料庫公開此資訊。對於以個人 (即非公司或組織) 名義註冊的網域名稱,Route 53 提供免費的隱私保護,將您的個人電話號碼、電子郵件地址和實際地址隱藏起來。而 Whois 包含註冊機構的名稱和收信地址,以及註冊機構產生的轉寄電子郵件地址,第三方可以視需要使用該地址與您聯繫。
Route 53 是否會對我註冊的網域名稱提供隱私保護?
是,Route 53 提供隱私保護,無須另外付費。隱私保護會隱藏您的電話號碼、電子郵件地址以及實體位址。如果 TLD 登錄和註冊機構允許,會隱藏您的姓氏和名字。當您啟用隱私保護時,針對網域的 Whois 查詢將包含註冊機構的郵寄地址與名稱,而非您的實體位址和姓名 (如果允許的話)。您的電子郵件地址將是註冊機構產生的轉寄電子郵件地址,而第三方想要聯絡您時可能會使用此地址。如果 TLD 登錄且註冊機構允許,以公司或組織名義註冊的網域名稱可以使用隱私保護功能。
哪裡可以找到特定 TLD 的要求?
如需 TLD 清單,請參閱價目表。如需每個項目的特定註冊要求,請參閱 Amazon Route 53 開發人員指南和我們的網域名稱註冊協議。
會使用哪些名稱伺服器註冊我的網域名稱?
當您的網域名稱建立完成後,我們會自動將您的網域與四個唯一的 Route 53 名稱伺服器 (也稱為委派集) 建立關聯。您可以在 Amazon Route 53 主控台中查看網域的委派集。委派集列於註冊網域時我們為您自動建立的託管區域中。
在預設情況下,Route 53 將為您建立的每個託管區域指派一個唯一的新委派。但是,您也可以使用 Route 53 API 建立「可重複使用的委派集」,該委派集之後可套用於多個您建立的託管區域。對於擁有大量網域名稱的客戶,可重複使用的委派集可讓遷移到 Route 53 變得更容易,因為您可以指示您的網域名稱註冊機構對 Route 53 中管理的所有網域名稱使用相同的委派集。此功能還可以讓您建立「白標籤」名稱伺服器位址,例如 ns1.example.com、ns2.example.com 等,您可以將這些位址指向您的 Route 53 名稱伺服器。然後,您可以使用「白標籤」名稱伺服器位址做為任意數量網域名稱的權威名稱伺服器。有關更多詳細資訊,請參閱 Amazon Route 53 文件。
我的名稱伺服器需要收費嗎?
我們會對 Route 53 為您的網域名稱建立的託管區域收費,而且對於 Route 53 代表您提供服務的託管區域進行的 DNS 查詢也會收費。如果您不想支付 Route 53 的 DNS 服務費用,可以刪除 Route 53 託管區域。請注意,某些 TLD 要求您擁有有效的名稱伺服器做為網域名稱註冊的一部分。對於這些 TLD 下的網域名稱,您需要取得另一家供應商的 DNS 服務,並輸入該供應商的名稱伺服器位址,才可以安全地刪除該網域名稱的 Route 53 託管區域。
什麼是 Amazon Registrar, Inc. 和記錄註冊機構?
AWS 轉售在 ICANN 認可之註冊機構註冊的網域名稱。Amazon Registrar, Inc. 是 ICANN 認可註冊網域的 Amazon 公司。記錄註冊機構是 WHOIS 記錄中所列的「贊助註冊機構」,可讓您的網域指出註冊網域的註冊機構。
Gandi 是怎樣的一家公司?
Gandi 是一家註冊機構,Amazon 是其經銷商。做為記錄的註冊機構,Gandi 在 ICANN 的要求下會在註冊的開始階段聯絡註冊申請人以驗證其聯絡資訊。如果 Gandi 提出要求,您必須在註冊後的 15 天內驗證您的聯絡資訊,以免您的網域名稱被暫停。網域名稱需要續約時,Gandi 還會發出提醒通知。
Amazon Route 53 透過 Amazon Registrar 和 Gandi 個別在哪些頂層網域進行註冊?
我們動態選擇使用哪個基礎註冊商。大多數網域都是透過 Amazon Registrar 註冊的。請參閱我們的文件,以取得您目前可使用 Amazon Route 53 註冊的網域清單。
什麼是 Whois? 為什麼我的資訊顯示在 Whois 中?
Whois 是一個公開可用的網域名稱資料庫,其中列出了與網域名稱相關的聯絡資訊和名稱伺服器。任何人都可以透過廣泛提供的 WHOIS 命令來存取 Whois 資料庫。它包含在許多作業系統中,也在許多網站上以 Web 應用程式的形式提供。Internet Corporation for Assigned Names and Numbers (ICANN) 要求所有網域名稱要有公開可用的聯絡資訊,以便有人需要聯繫網域名稱擁有者時可以聯繫得上。
如何將我的網域名稱轉移到 Route 53?
要開始使用,登入您的帳戶並按一下 "Domains"。然後按一下螢幕上方的 "Transfer Domain" 按鈕並完成轉移程序。請在轉移程序開始前,確保以下各項:(1) 您的網域名稱在目前的註冊機構不是鎖定狀態;(2) 您已停用網域名稱的隱私保護 (如果可以);(3) 您已經從目前的註冊機構取得有效的授權代碼或 "authcode",轉移程序期間將需要輸入此代碼。
如何將現有的網域名稱註冊轉移到 Amazon Route 53,而不干擾我現有的 Web 流量?
首先,您需要取得網域名稱的 DNS 記錄資料清單,通常以「區域檔」的形式提供,您可以從現有的 DNS 供應商處獲得。如果您已經取得 DNS 記錄資料,可以使用 Route 53 管理主控台或簡單的 Web 服務界面,建立可以為您的網域名稱存放 DNS 記錄的託管區域,然後遵循轉移程序操作,其中的步驟包括將網域名稱的名稱伺服器更新為與託管區域關聯的名稱伺服器。要完成網域名稱轉移程序,請聯繫為您提供網域名稱註冊服務的註冊機構,然後遵循其轉移程序操作,其中的步驟包括將網域名稱的名稱伺服器更新為與託管區域關聯的名稱伺服器。一旦註冊機構傳播了新的名稱伺服器委派,來自您最終使用者的 DNS 查詢將開始從 Route 53 DNS 伺服器取得回答。
如何查看轉移請求的狀態?
您可以在 Route 53 主控台首頁的 "Alerts" 區段中查看網域名稱轉移的狀態。
如果轉移不成功該怎麼辦?
您將需要與目前的註冊機構取得聯繫,以判斷轉移失敗的原因。他們將問題解決後,您就能重新提交轉移請求。
如何將我的網域名稱轉移到其他註冊機構?
為了將您的網域名稱從 Route 53 移出,您需要向新的註冊機構發出轉移請求。他們會請求將網域名稱移動到其管理範圍內。
使用 Amazon Route 53 管理網域是否有數量上的限制?
每個新的 Amazon Route 53 帳戶限制最多有 20 個網域。如需請求提高限額,請聯絡我們。
Amazon Route 53 DNS 是否支援 DNSSEC?
是。您可以為現有和新的公共託管區域啟用 DNSSEC 簽署。
如何將已啟用 DNSSEC 的網域註冊傳輸到 Amazon Route 53?
要將已啟用 DNSSEC 的網域傳輸到 Amazon Route 53,請參閱我們的文件以取得逐步指南。
Route 53 Resolver
什麼是 Amazon Route 53 Resolver?
Route 53 Resolver 是區域性 DNS 服務,針對於 EC2 託管的名稱和網際網路上的公有名稱,提供遞迴 DNS 查詢。每個 Amazon Virtual Private Cloud (VPC) 中預設都可使用此功能。在混合雲端的情況下,您可以設定條件式轉送規則和 DNS 端點,以啟用跨 AWS Direct Connect 和 AWS 受管 VPN 的 DNS 解析。
什麼是遞迴 DNS?
Amazon Route 53 是授權 DNS 服務,也是遞迴 DNS 服務。授權 DNS 包含 DNS 查詢的最終答案,通常是 IP 地址。除了極罕見的情況,用戶端 (例如行動裝置、在雲端執行的應用程式,或資料中心的伺服器) 實際上不會直接與授權 DNS 服務對話。反之,用戶端會與遞迴 DNS 服務 (又稱為 DNS 解析程式) 對話,以尋找任何 DNS 查詢的正確授權答案。Route 53 Resolver 是遞迴 DNS 服務。
收到查詢時,像 Route 53 Resolver 這種遞迴 DNS 服務可能設定為自動將查詢直接轉送到特定的遞迴 DNS 伺服器,也可能從網域的根開始遞迴搜尋,持續遞迴直到找到最終答案為止。在任一情況下,一旦找到答案,遞迴 DNS 伺服器可能將答案快取一段時間,以利未來更快回答後續相同名稱的查詢。
什麼是條件式轉送規則?
條件式轉送規則可讓 Resolver 將指定網域的查詢轉送到您選擇的目標 IP 地址 (通常是現場部署 DNS 解析程式)。規則會在 VPC 層級上套用,並可從一個帳戶管理,還可跨多個帳戶共用。
什麼是 DNS 端點?
DNS 端點包含一個或多個連接至 Amazon Virtual Private Cloud (VPC) 的彈性網路界面 (ENI)。每個 ENI 從其所在 VPC 的子網路空間中獲派 IP 地址。然後,此 IP 地址可做為轉送目標,供現場部署 DNS 伺服器轉送查詢。您透過 AWS Direct Connect 和受管 VPN 將 DNS 查詢流量從 VPC 轉送到網域時,以及從網域轉送到 VPC 時,都需要端點。
如何跨帳戶共用規則?
Route 53 Resolver 與 AWS Resource Access Manager (RAM) 整合,可提供簡單方法讓客戶跨 AWS 帳戶或在其 AWS Organization 內共用資源。您可以在主要帳戶上建立規則,然後使用 RAM 來跨多個帳戶共用規則。規則一旦共用,仍需要套用到這些帳戶中的 VPC,才會生效。如需詳細資訊,請參閱 AWS RAM 文件。
如果我決定停止與其他帳戶共用規則,會發生什麼情況?
您先前與之共用的帳戶無法再使用這些規則。這表示如果那些規則與那些帳戶中的 VPC 相關聯,則那些規則將會與那些 VPC 取消關聯。
哪些區域可使用 Route 53 Resolver?
如需查看哪些區域已推出 Route 53 Resolver,請瀏覽我們的 AWS 區域表。
Route 53 Resolver 的區域支援是否表示所有 Amazon Route 53 現在都是區域性?
否。Amazon Route 53 公有和私有 DNS、流量、運作狀態檢查和網域名稱註冊全部都是全球服務。
如何使用 Route 53 Resolver on Outposts?
您可以使用 Route 53 Resolver 在 AWS Outposts 機架上本機解析網域名稱伺服器 (DNS) 查詢,從而改善內部部署應用程式的可用性和效能。當您啟用 Route 53 Resolver on Outposts,Route 53 會自動在 Outposts 機架上存放 DNS 回應,即使在與父 AWS 區域非預期網路中斷連線期間,也能針對您的應用程式提供持續的 DNS 解析。透過在本機提供 DNS 回應,Route 53 Resolver on Outposts 還可實現低延遲 DNS
解析,從而改善內部部署應用程式的效能。
此外,您可以透過 Route 53 Resolver 端點,將 Route 53 Resolvers on Outposts 機架與內部部署資料中心的 DNS 伺服器建立連線。這可讓您解析 Outposts 機架與其他內部部署資源之間的 DNS 查詢。
如何開始使用 Route 53 Resolver?
有關入門的詳細資訊,請瀏覽 Amazon Route 53 開發人員指南。您還可以從 Amazon Route 53 主控台內設定 Resolver。
Route 53 Resolver 是否支援 DNS over HTTPS (DoH)?
是,Amazon Route 53 Resolver 支援將 DNS over HTTPS (DoH) 協定用於傳入和傳出解析程式端點。
Route 53 Resolver DNS Firewall
什麼是 Amazon Route 53 Resolver DNS Firewall?
Amazon Route 53 Resolver DNS Firewall 是一項功能,可讓您在所有 Amazon Virtual Private Cloud (VPC) 之間快速部署 DNS 保護。使用 Route 53 Resolver 進行遞迴 DNS 解析時,Route 53 Resolver DNS Firewall 可讓您封鎖對已知惡意網域的查詢 (即建立 “denylists”),並允許對受信任網域的查詢 (建立「允許清單」)。此外,您還可以使用 AWS 受管網域清單,快速開始抵禦常見的 DNS 威脅。Amazon Route 53 Resolver DNS Firewall 與 AWS Firewall Manager 相互協作,因此您可以根據 DNS Firewall 規則建置政策,然後將這些政策集中套用於您的 VPC 和帳戶。
何時應使用 Route 53 Resolver DNS Firewall?
如果您希望能夠從 VPC 內篩選可透過 DNS 查詢的網域名稱,那麼 DNS Firewall 會適合您。它讓您能夠以兩種方式靈活地選擇最適合您組織安全狀況的組態︰(1) 如果您對 DNS 的滲透要求嚴格,並且想拒絕所有不在核准網域清單中的網域出站 DNS 查詢,您可以針對 DNS 安全的「圍牆式」方法建立此類規則。(2) 如果您的組織希望預設允許您帳戶中的所有出站 DNS 查詢,並且僅需要能夠封鎖對已知惡意網域的 DNS 請求,則可以使用 DNS Firewall 建立拒絕清單,其中包含組織已知的所有惡意網域。DNS Firewall 還隨附 AWS 受管網域清單,可協助您抵禦可疑網域和命令與控制 (C&C) 殭屍程式。
Amazon Route 53 Resolver DNS Firewall 與 AWS 和 AWS Marketplace 上的其他防火牆產品有何不同?
Route 53 Resolver DNS Firewall 透過針對整個 VPC 提供對 Route 53 Resolver DNS 流量 (例如 AmazonProvidedDNS) 的控制和可見性,與 AWS 上的現有網路和應用程式安全服務相輔相成。根據您的使用案例,您可以選擇在現有的安全控制 (如 AWS 網路防火牆、Amazon VPC 安全群組、AWS Web 應用程式防火牆規則或 AWS Marketplace 設備) 中實作 DNS 防火牆。
Amazon Route 53 Resolver DNS Firewall 是否可以管理多個 AWS 帳戶之間的安全性?
是。Route 53 Resolver DNS Firewall 是一種區域性功能,可在組織和帳戶級保護 Route 53 Resolver DNS 網路流量。為了在多個帳戶間維護政策和管控,您應使用 AWS Firewall Manager。
Amazon Route 53 Resolver DNS Firewall 的費用是多少?
依防火牆內存放的網域名稱數目和檢查的 DNS 查詢數目定價。有關詳細資訊,請瀏覽 Amazon Route 53 定價。
可以使用哪些 AWS 工具來記錄和監控我的 Amazon Route 53 Resolver DNS Firewall 活動?
您可以將 DNS Firewall 活動記錄至 Amazon S3 儲存貯體或 Amazon CloudWatch 日誌群組中,以作進一步分析和調查。此外,您還可以使用 Amazon Kinesis Firehose 將日誌傳送至第三方供應商。
Amazon Route 53 Resolver 53 DNS Firewall 和 AWS Network Firewall 在抵禦惡意 DNS 查詢威脅方面有何差異?
Amazon Route 53 Resolver DNS Firewall 和 AWS Network Firewall 都提供針對傳出 DNS 查詢威脅的保護,但部署模型不同。如果您使用 Amazon Route 53 Resolver 進行 DNS 解析,Amazon Route 53 Resolver DNS Firewall 的設計可提供精細控制,以封鎖對惡意或受損網域的 DNS 請求。如果您使用外部 DNS 服務來解析 DNS 請求,則 AWS Network Firewall 提供類似的功能來篩選/封鎖對已知惡意網域的傳出 DNS 查詢。
Route 53 設定檔
什麼是 Route 53 設定檔?
Amazon Route 53 設定檔可讓您以設定檔形式,建立一個或多個可共用的組態,藉此輕鬆管理整個組織的 DNS 組態。使用設定檔,您可私有託管區域 (PHZ) 關聯、Resolver 規則和 Route 53 Resolver DNS Firewall 規則群組等各種組態,在一個可共用的 RAM 組態中合併。透過跨 AWS 帳戶共用設定檔,並將其與 Amazon Virtual Private Clouds (VPC) 建立關聯,您可輕鬆確保所有 VPC 都具有相同的 DNS 組態,免去管理單獨資源的複雜性。
Route 53 設定檔是否與 AWS Resource Access Manager (AWS RAM) 整合?
Route 53 設定檔與 AWS RAM 原生整合,可讓您跨帳戶或與 AWS Organization 共用設定檔。
是否可在 Route 53 設定檔上設定許可,從而只有特定使用者 (例如管理員) 才能修改許可?
是。Route 53 設定檔利用 RAM 受管許可,允許使用者將不同的許可附接至每個資源。
可與單一設定檔關聯的 VPC 有多少個?
您最多可將 5,000 個 VPC 關聯至單一 Route 53 設定檔。
是否可在每個 AWS 帳戶建立多個 Route 53 設定檔?
是,您可為每個帳戶建立一個或多個設定檔。不過,您一次只能為每個 VPC 關聯一個設定檔。
使用 Route 53 設定檔可管理哪些 Route 53 資源和組態?
Route 53 設定檔支援私有託管區域及其中指定的設定、Route 53 Resolver 規則 (轉傳和系統),以及 DNS Firewall 規則群組。此外,某些 VPC 組態可在設定檔中直接管理。這些組態包括 Resolver 規則的反向 DNS 查詢組態、DNS Firewall 失敗模式組態,以及 DNSSEC 驗證組態。
是否可在 AWS 區域共用 Route 53 設定檔?
否,您無法跨 AWS 區域共用設定檔