本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在单账户 AWS 环境中为混合网络设置 DNS 解析
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-single-account-aws-environment"></a>

*Abdullahi Olaoye，Amazon Web Services*

## Summary
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-single-account-aws-environment-summary"></a>

此模式描述了如何设置完全混合的域名系统 (DNS) 架构，该架构支持本地资源、AW end-to-end S 资源和互联网 DNS 查询的 DNS 解析，而无需管理开销。该模式描述了如何设置 Amazon Route 53 Resolver 转发规则，以根据域名确定应将源自 AWS 的 DNS 查询发送到何处。对本地资源的 DNS 查询将转发到本地 DNS 解析程序。AWS 资源的 DNS 查询和互联网 DNS 查询由 Route 53 解析程序解析。

此模式涵盖 AWS 单账户环境中的混合 DNS 解析。有关在 AWS 多账户环境中设置出站 DNS 查询的信息，请参阅[在多账户 AWS 环境中为混合网络设置 DNS 解析](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)。

## 先决条件和限制
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-single-account-aws-environment-prereqs"></a>

**先决条件**
+ 一个 Amazon Web Services account 
+ 您的 Amazon Web Services account 中的虚拟私有云（VPC）
+ 通过 AWS 虚拟专用网络 (AWS VPN) 或 AWS Direct Connect 在本地环境和 VPC 之间建立网络连接
+ 您的本地 DNS 解析程序的 IP 地址（可从您的 VPC 访问）
+ 要转发给本地解析程序的域名/子域名（例如 onprem.mydc.com）
+ AWS 私有托管区的域名/子域名（例如 myvpc.cloud.com）

## 架构
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-single-account-aws-environment-architecture"></a>

**目标技术堆栈**
+ Amazon Route 53 私有托管区
+ Amazon Route 53 Resolver
+ Amazon VPC
+ AWS VPN 或 Direct Connect

**目标架构**

![使用 Route 53 Resolver 在 AWS 单账户环境中进行混合 DNS 解析的工作流。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/120dedc8-cc6c-4aa7-be11-c70a7ee80642/images/7b75f534-1adc-4a39-86d6-5c4596ff7b6a.png)


 

## 工具
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-single-account-aws-environment-tools"></a>
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) 通过在整个混合云实现无缝 DNS 查询解析，让企业客户更轻松地使用混合云。您可以创建 DNS 终端节点和条件转发规则，以解析本地数据中心和您的数据中心之间的 DNS 命名空间。 VPCs
+ [Amazon Route 53 私有托管区域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html)是一个容器，其中包含有关您希望 Route 53 如何响应您使用 Amazon VPC 服务创建的一个或多个 VPCs 域中的域及其子域的 DNS 查询的信息。

## 操作说明
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-single-account-aws-environment-epics"></a>

### 配置私有托管区
<a name="configure-a-private-hosted-zone"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 为 AWS 保留域名（例如 myvpc.cloud.com）创建 Route 53 私有托管区。 | 该区域保存应从本地环境解析的 AWS 资源 DNS 记录。有关说明，请参阅 Route 53 文档中的[创建私有托管区](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。 | 网络管理员、系统管理员 | 
| 将此私有托管区与分支账户 VPC 相关联。 | 要使 VPC 中的资源能够解析此私有托管区中的 DNS 记录，您必须将您的 VPC 与托管区关联。有关说明，请参阅 Route 53 文档中的[创建私有托管区](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。 | 网络管理员、系统管理员 | 

### 设置 Route 53 解析程序 端点
<a name="set-up-route-53-resolver-endpoints"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 创建入站端点。 | Route 53 Resolver 使用入站端点接收来自本地 DNS 解析程序的 DNS 查询。有关说明，请参阅 Route 53 文档[ VPCs中的将入站 DNS 查询转发](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html)给您。记下入站端点 IP 地址。 | 网络管理员、系统管理员 | 
| 创建出站端点。 | Route 53 解析程序使用出站端点向本地 DNS 解析程序发送 DNS 查询。有关说明，请参阅 Route 53 文档中的[将出站 DNS 查询转发到您的网络](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html)。记下输出端点 ID。 | 网络管理员、系统管理员 | 

### 设置转发规则并将其与您的 VPC 关联
<a name="set-up-a-forwarding-rule-and-associate-it-with-your-vpc"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 为本地域创建转发规则 | 此规则将指示 Route 53 解析程序将本地域（例如 onprem.mydc.com）的任何 DNS 查询转发给本地 DNS 解析程序。要创建此规则，您需要本地 DNS 解析程序的 IP 地址和 Route 53 解析程序的出站端点 ID。有关说明，请参阅 Route 53 文档中的[管理转发规则](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html)。 | 网络管理员、系统管理员 | 
| 将转发规则与 VPC 关联。 | 若要使转发规则生效，您必须将该规则与您的 VPC 关联起来。然后，Route 53 解析程序 在解析域名时会考虑该规则。有关说明，请参阅 Route 53 文档中的[管理转发规则](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html)。 | 网络管理员、系统管理员 | 

### 配置本地 DNS 解析程序
<a name="configure-on-premises-dns-resolvers"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 在内部部署 DNS 解析程序中配置条件转发。 | 要从本地环境向 Route 53 私有托管区发送 DNS 查询，您必须在本地 DNS 解析程序中配置条件转发。这指示 DNS 解析程序将 AWS 域（例如 myvpc.cloud.com）的所有 DNS 查询转发到 Route 53 解析程序的入站端点 IP 地址。 | 网络管理员、系统管理员 | 

### 测试 end-to-end DNS 解析度
<a name="test-end-to-end-dns-resolution"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 测试 AWS 到本地环境的 DNS 解析。 | 在 VPC 中的服务器上，对本地域（例如 server1.onprem.mydc.com）执行 DNS 查询。 | 网络管理员、系统管理员 | 
| 测试从本地环境到 AWS 的 DNS 解析。 | 在本地服务器上，对 AWS 域（例如 serv1.myvpc.cloud.com）执行 DNS 解析。 | 网络管理员、系统管理员 | 

## 相关资源
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-single-account-aws-environment-resources"></a>
+ [使用 Amazon Route 53 和 AWS Transit Gateway 对混合云进行集中 DNS 管理](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/)（AWS 网络与内容交付博客）
+ [使用 Route 53 Resolver 简化多账户环境中的 DNS 管理](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/)（AWS Security 博客文章）
+ [使用私有托管区](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html)（Route 53 文档）
+ [Route 53 解析程序 入门](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html)（Route 53 文档）