亚马逊AWS官方博客

将 Amazon Route 53 配置文件与多个 VPC 和 AWS 账户结合使用来统一 DNS 管理



如果您正在管理大量账户和 Amazon Virtual Private Cloud(Amazon VPC)资源,那么共享许多 DNS 资源然后将其关联到各个 VPC 可能会带来沉重的负担。您经常会遇到共享和关联方面的限制,而且您可能已经建立了自己的编排层,以便在您的账户和 VPC 之间传播 DNS 配置。

今天,我很高兴地宣布推出 Amazon Route 53 配置文件,它能够统一管理贵组织的所有账户和 VPC 的 DNS。Route 53 配置文件允许您定义标准 DNS 配置,包括 Route 53 私有托管区(PHZ)关联、解析器转发规则和 Route 53 解析器 DNS 防火墙规则组,并将该配置应用于同一 AWS 区域中的多个 VPC。使用配置文件,您可以轻松确保所有 VPC 都具有相同的 DNS 配置,而无需费力地处理单独的 Route 53 资源。现在,管理多个 VPC 的 DNS 就像管理单个 VPC 的相同设置一样简单。

配置文件与 AWS 资源访问管理器(RAM)原生集成,允许您跨账户或与您的 AWS Organizations 账户共享您的配置文件。配置文件与 Route 53 私有托管区无缝集成,允许您创建私有托管区以及将现有的私有托管区添加到您的配置文件,这样,贵组织在跨账户共享配置文件时,就可以访问这些相同的设置。在新预置账户时,AWS CloudFormation 允许您使用配置文件为 VPC 设置一致的 DNS 设置。利用今天发布的配置文件,您可以更好地管理多账户环境的 DNS 设置。

Route 53 配置文件的使用方法
要开始使用 Route 53 配置文件,我需要前往 Route 53 的 AWS 管理控制台,在那里我可以创建配置文件、向配置文件添加资源,并将其关联到相应的 VPC。然后,与另一个使用 AWS RAM 的账户共享创建的配置文件。

在 Route 53 控制台的导航窗格中,选择配置文件,然后选择创建配置文件以设置我的配置文件。

为配置文件指定一个简单易记的名称,比如 MyFirstRoute53Profile,也可以选择添加标签。

我可以在配置文件控制台页面中配置 DNS 防火墙规则组、私有托管区和解析器规则的设置,或者添加我的账户内现有的设置。

选择 VPC,将我的 VPC 关联到配置文件。我可以添加标签,以及配置递归 DNSSEC 验证,该验证是与我的 VPC 关联的 DNS 防火墙的失效模式。我还可以控制 DNS 评估顺序:先评估 VPC DNS 再评估配置文件 DNS,或者先评估配置文件 DNS 再评估 VPC DNS。

我可以为每个 VPC 关联一个配置文件,最多可以将 5,000 个 VPC 关联到一个配置文件。

配置文件使我能够管理组织中各账户的 VPC 设置。我能够为配置文件关联的每个 VPC 禁用反向 DNS 规则,而不是按每个 VPC 配置这些规则。Route 53 解析器会自动为我创建反向 DNS 查询规则,以便不同的服务都能轻松地从 IP 地址解析主机名。如果使用 DNS 防火墙,我可以通过设置为我的防火墙选择失效模式,即失效开放或失效关闭。我还可以指定是否希望与配置文件关联的 VPC 启用递归 DNSSEC 验证,而不必在 Route 53(或任何其他提供程序)中使用 DNSSEC 签名。

假设我将配置文件关联到一个 VPC。当查询与直接关联到该 VPC 的解析器规则或 PHZ 以及关联到该 VPC 的配置文件的解析器规则或 PHZ 完全匹配时,会发生什么? 哪些 DNS 设置优先,配置文件还是本地 VPC? 例如,如果 VPC 与 example.com 的 PHZ 关联且配置文件包含 example.com 的 PHZ,则该 VPC 的本地 DNS 设置将优先于配置文件。当查询冲突域名的名称(例如,配置文件包含 infra.example.com 的 PHZ,而 VPC 与名称为account1.infra.example.com 的 PHZ 关联)时,最具体的名称优先。

在使用 AWS RAM 的账户之间共享 Route 53 配置文件
我使用 AWS 资源访问管理器(RAM)与我的另一个账户共享我在上一节中创建的配置文件。

我在配置文件详细信息页面中选择共享配置文件选项,或者也可以前往 AWS RAM 控制台页面并选择创建资源共享

为我的资源共享指定一个名称,然后在资源部分搜索“Route 53 配置文件”。我在选定资源中选择配置文件。我可以选择添加标签。然后,选择下一步

配置文件使用 RAM 托管式权限,这允许我为每种资源类型附加不同的权限。默认情况下,只有配置文件的所有者(网络管理员)才能修改配置文件中的资源。配置文件的接收者(VPC 所有者)只能查看配置文件的内容(只读模式)。要允许配置文件的接收者向其添加 PHZ 或其他资源,配置文件的所有者必须为该资源附加必要的权限。接收者将无法编辑或删除配置文件所有者添加到共享资源的任何资源。

我保留默认选项,然后选择下一步以授予对我另一个账户的访问权限。

在下一页上,我选择允许与任何人共享,输入我另一个账户的 ID,然后选择添加。之后,我在选定主体部分选择该账户 ID,然后选择下一步

查看并创建页面中,我选择创建资源共享。资源共享已成功创建。

现在,我切换到我的另一个共享我的配置文件的账户,然后前往 RAM 控制台。在导航菜单中,我前往资源共享并选择我在第一个账户中创建的资源名称。我选择接受资源共享以接受邀请。

就这么简单! 现在,我前往我的 Route 53 配置文件页面,并选择与我共享的配置文件。

我可以访问共享配置文件的 DNS 防火墙规则组、私有托管区和解析器规则。我可以将此账户的 VPC 关联到此配置文件。我无法编辑或删除任何资源。配置文件是区域资源,不能跨区域共享。

现已推出
您可以使用 AWS 管理控制台Route 53 APIAWS 命令行界面(AWS CLI)AWS CloudFormationAWS SDK 轻松开始使用 Route 53 配置文件。

Route 53 配置文件将在所有 AWS 区域提供,加拿大西部(卡尔加里)、AWS GovCloud(美国)区域和 Amazon Web Services 中国区域除外。

有关定价的更多详细信息,请访问 Route 53 定价页面。

立即开始使用配置文件,并通过正常的 AWS Support 联系人或 Amazon Route 53 的 AWS re:Post 告诉我们您的反馈。

— Esra