本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在多帳戶 AWS 環境中設定混合網路的 DNS 解析
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment"></a>

*Anvesh Koganti，Amazon Web Services*

## 總結
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-summary"></a>

此模式提供全方位解決方案，可在包含多個 Amazon Web Services (AWS) 帳戶的混合網路環境中設定 DNS 解析。它可透過 Amazon Route 53 Resolver 端點在內部部署網路和 AWS 環境之間啟用雙向 DNS 解析。模式提供兩種解決方案，可在[多帳戶集中式架構](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html#multi-account-centralized)中啟用 DNS 解析：
+ *基本設定*不使用 Route 53 Profiles。它有助於最佳化低複雜度的中小型部署的成本。
+ *增強型設定*使用 Route 53 Profiles 來簡化操作。它最適合大型或更複雜的 DNS 部署。

**注意**  
在實作之前，請檢閱*限制*一節，了解服務限制和配額。當您做出決策時，請考慮管理開銷、成本、營運複雜性和團隊專業知識等因素。

## 先決條件和限制
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-prereqs"></a>

**先決條件**
+ 跨共用服務和工作負載帳戶部署 Amazon Virtual Private Cloud (Amazon VPC) 的 AWS 多帳戶環境 （最好遵循帳戶結構的[AWS 最佳實務，透過 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) 設定）。
+ 現場部署網路與 AWS 環境之間的現有混合連線 (AWS Direct Connect 或 AWS Site-to-Site VPN)。
+ Amazon VPC 對等 AWS Transit Gateway互連，或適用於 VPCs AWS 雲端 WAN。（應用程式流量需要此連線。 DNS 解析不需要它。 DNS 解析的運作與 VPCs.)
+ 在內部部署環境中執行的 DNS 伺服器。

**限制**
+ Route 53 Resolver 端點、規則和設定檔是區域性建構， AWS 區域 可能需要針對全球組織複寫多個 。
+ 如需 Route 53 Resolver、私有託管區域和設定檔的服務配額完整清單，請參閱 Route 53 文件中的[配額](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DNSLimitations.html)。

## Architecture
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture"></a>

**目標技術堆疊**
+ Route 53 傳出和傳入端點
+ 條件式轉送的 Route 53 Resolver 規則
+ AWS Resource Access Manager (AWS RAM)
+ Route 53 私有託管區域

**目標架構**

**傳出和傳入端點**

下圖顯示從 AWS 到內部部署的 DNS 解析流程。這是網域託管在內部部署的傳出解析度的連線設定。以下是設定此設定所涉及程序的高階概觀。如需詳細資訊，請參閱 [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics) 區段。

1. 在共用服務 VPC 中部署傳出 Route 53 Resolver 端點。

1. 在共用服務帳戶中為內部部署託管的網域建立 Route 53 Resolver 規則 （轉送規則）。

1. 在需要解析內部部署託管網域的其他 帳戶中，共用規則並將其與 VPCs 建立關聯。這可以根據您的使用案例以不同的方式完成，如本節稍後所述。

![\[AWS 中的傳入和傳出端點到內部部署 DNS 解析流程。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/d69d4cad-5e2c-4481-9370-2708e8a4f8c1.png)


設定連線後，傳出解析中涉及的步驟如下：

1. Amazon Elastic Compute Cloud (Amazon EC2) 執行個體會將 的 DNS 解析請求`db.onprem.example.com`傳送至 VPC\$12 地址的 VPC Route 53 Resolver。

1. Route 53 Resolver 會檢查 Resolver 規則，並使用傳出端點將請求轉送至內部部署 DNS 伺服器 IPs。

1. 傳出端點會將請求轉送至內部部署 DNS IPs。流量會經過共用服務 VPC 與內部部署資料中心之間已建立的混合網路連線。

1. 內部部署 DNS 伺服器會回應傳出端點，然後將回應轉送回 VPC 的 Route 53 Resolver。Resolver 會將回應傳回 EC2 執行個體。

下圖顯示從內部部署環境到 的 DNS 解析流程 AWS。這是網域託管所在之傳入解析度的連線設定 AWS。以下是設定此設定所涉及程序的高階概觀。如需詳細資訊，請參閱 [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics) 區段。

1. 在共用服務 VPC 中部署傳入解析程式端點。

1. 在共用服務帳戶中建立私有託管區域 （集中式方法）。

1. 將私有託管區域與共用服務 VPC 建立關聯。共用這些區域並將其與跨帳戶 VPCs建立關聯，以進行 VPC-to-VPC DNS 解析。這可以根據您的使用案例以不同的方式完成，如本節稍後所述。

![\[內部部署中傳入和傳出端點到 AWS DNS 解析流程。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/a6f5348c-2041-453e-8939-2b4ee0b7ebd8.png)


設定連線後，傳入解析中涉及的步驟如下：

1. 內部部署資源會將 的 DNS 解析請求`ec2.prod.aws.example.com`傳送至內部部署 DNS 伺服器。

1. 內部部署 DNS 伺服器會透過混合網路連線，將請求轉送至共用服務 VPC 中的傳入解析程式端點。

1. 在 VPC Route 53 Resolver 的協助下，傳入解析程式端點會在相關聯的私有託管區域中查詢請求，並取得適當的 IP 地址。

1. 這些 IP 地址會傳回現場部署 DNS 伺服器，將回應傳回現場部署資源。

此組態可讓內部部署資源透過傳入端點將查詢路由到適當的 AWS 私有託管區域，來解析私有網域名稱。在此架構中，私有託管區域集中在共用服務 VPC 中，允許單一團隊進行中央 DNS 管理。這些區域可以與許多 VPCs相關聯，以解決 VPC-to-VPC解析使用案例。或者，您可能想要將 DNS 網域擁有權和管理委派給每個網域 AWS 帳戶。在這種情況下，每個帳戶都會管理自己的私有託管區域，並將每個區域與中央共用服務 VPC 建立關聯，以便與內部部署環境統一解析。此分散式方法超出此模式的範圍。如需詳細資訊，請參閱 Amazon [ VPCs 混合雲端 DNS 選項白皮書中的跨多個帳戶和 VPC 擴展](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html) DNS 管理。 **

當您使用解析程式端點建立基本 DNS 解析流程時，您需要判斷如何管理解析程式規則和跨 私有託管區域的共用和關聯 AWS 帳戶。您可以透過兩種方式處理此問題：透過使用 AWS RAM 共用解析程式規則和直接私有託管區域關聯的自我管理共用，如*基本設定*章節所述，或透過 Route 53 設定檔，如*增強型設定*章節所述。選擇取決於組織的 DNS 管理偏好設定和操作需求。下列架構圖說明擴展的環境，其中包含跨不同帳戶的多個 VPCs，代表典型的企業部署。

**基本設定**

在基本設定中，多帳戶 AWS 環境中混合 DNS 解析的實作會使用 AWS RAM 來共用解析程式轉送規則和私有託管區域關聯，以管理內部部署 AWS 和資源之間的 DNS 查詢。此方法使用共用服務 VPC 中連線至內部部署網路的集中式 Route 53 Resolver 端點，以有效率地處理傳入和傳出 DNS 解析。
+ 對於傳出解決方案，解析程式轉送規則會在共用服務帳戶中建立，然後使用 AWS 帳戶 與其他 共用 AWS RAM。此共用僅限於相同區域內的帳戶。然後，目標帳戶可以將這些規則與其 VPCs建立關聯，並讓這些 VPCs中的資源解析內部部署網域名稱。
+ 對於傳入解析度，私有託管區域會在共用服務帳戶中建立，並與共用服務 VPC 相關聯。這些區域接著可以使用 Route 53 API、 AWS SDKs 或 AWS Command Line Interface () 與其他VPCs 建立關聯AWS CLI。然後，相關聯 VPCs 中的資源可以解析私有託管區域中定義的 DNS 記錄，這會在整個 AWS 環境中建立統一的 DNS 檢視。

下圖顯示此基本設定中的 DNS 解析流程。

![\[在多帳戶 AWS 環境中使用混合 DNS 解析的基本設定。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/258e4bcd-e9c6-43b5-bab8-856ca22206b9.png)


當您在有限的規模上使用 DNS 基礎設施時，此設定可正常運作。不過，隨著環境的成長，管理 可能會變得具有挑戰性。管理私有託管區域和解析程式規則的共用和關聯方式的操作開銷會隨著規模VPCs而個別大幅增加。此外，每個私有託管區域的 300 個 VPC 關聯限制等服務配額，可能會成為大規模部署的限制因素。增強型設定可解決這些挑戰。

**增強型設定**

Route 53 Profiles 提供簡化的解決方案，可跨多個混合網路管理 DNS 解析 AWS 帳戶。除了個別管理私有託管區域和解析程式規則之外，您可以將 DNS 組態分組為單一容器，以便在區域中VPCs 和帳戶之間輕鬆共用和套用。此設定會在共用服務 VPC 中維護集中式 Resolver 端點架構，同時大幅簡化 DNS 組態的管理。

下圖顯示增強型設定中的 DNS 解析流程。

![\[在多帳戶 AWS 環境中使用 Route 53 Profiles 進行混合 DNS 解析的進階設定。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/55b9681d-ddb4-4a55-b4ec-fc9afa9870fa.png)


Route 53 Profiles 可讓您將私有託管區域關聯、解析程式轉送規則和 DNS 防火牆規則封裝為單一可共用的單位。您可以在共用服務帳戶中建立設定檔，並使用 與成員帳戶共用 AWS RAM。當設定檔共用並套用至目標 VPCs時，服務會自動處理所有必要的關聯和組態。這可大幅降低 DNS 管理的操作負荷，並為不斷成長的環境提供絕佳的可擴展性。

**自動化和擴展**

使用基礎設施做為程式碼 (IaC) 工具，例如 CloudFormation 或 Terraform，以自動佈建和管理 Route 53 Resolver 端點、規則、私有託管區域和設定檔。將 DNS 組態與持續整合和持續交付 (CI/CD) 管道整合，以實現一致性、可重複性和快速更新。

## 工具
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-tools"></a>

**AWS 服務**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 可協助您安全地跨 共用資源 AWS 帳戶 ，以減少營運開銷並提供可見性和可稽核性。
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) 會以遞迴方式回應來自 AWS 資源的 DNS 查詢，且預設可在所有 VPCs 中使用。您可以建立解析程式端點和條件式轉送規則，以解析內部部署資料中心和 VPCs 之間的 DNS 命名空間。
+ [Amazon Route 53 私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html)是容器，其中包含您希望 Route 53 如何回應網域及其子網域的 DNS 查詢的相關資訊。
+ [Amazon Route 53 Profiles](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) 可讓您以 AWS 帳戶 簡化的方式跨多個 VPCs 套用和管理 DNS 相關的 Route 53 組態。

## 最佳實務
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-best-practices"></a>

本節提供最佳化 Route 53 Resolver 的一些最佳實務。這些代表 Route 53 最佳實務的子集。如需完整清單，請參閱 [Amazon Route 53 的最佳實務](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices.html)。

**使用解析程式端點避免迴圈組態**
+ 仔細規劃 VPC 關聯，設計您的 DNS 架構以防止遞迴路由。當 VPC 託管傳入端點時，請避免將其與可建立循環參考的解析程式規則建立關聯。
+ 當您跨帳戶共用 DNS 資源時， AWS RAM 請策略性地使用 ，以維持乾淨的路由路徑。

如需詳細資訊，請參閱 Route 53 文件中的使用[解析程式端點避免迴圈組態](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoints.html)。

**擴展解析程式端點**
+ 對於需要每秒大量查詢 (QPS) 的環境，請注意端點中的每個 ENI 限制為 10，000 個 QPS。您可以將更多 ENIs新增至端點，以擴展 DNS QPS。
+ Amazon CloudWatch 提供 `InboundQueryVolume`和 `OutboundQueryVolume`指標 （請參閱 [CloudWatch 文件](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html))。建議您設定監控規則，以便在閾值超過特定值 （例如 10，000 QPS 的 80%) 時提醒您。
+ 設定 Resolver 端點的狀態安全群組規則，以防止連線追蹤限制在大量流量期間造成 DNS 查詢限流。若要進一步了解連線追蹤如何在安全群組中運作，請參閱 [Amazon EC2 文件中的 Amazon EC2 安全群組連線追蹤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html)。 Amazon EC2 

如需詳細資訊，請參閱 Route 53 文件中的[解析程式端點擴展](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-scaling.html)。

**為解析程式端點提供高可用性**
+ 在至少兩個可用區域中建立 IP 地址的傳入端點以進行備援。
+ 佈建其他網路介面，以確保在維護或流量激增期間可用性。

如需詳細資訊，請參閱 Route 53 文件中的[解析程式端點高可用性](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html)。

## 史詩
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics"></a>

### 部署 Route 53 Resolver 端點
<a name="deploy-r53r-endpoints"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 部署傳入端點。 | Route 53 Resolver 使用傳入端點從內部部署 DNS 解析程式接收 DNS 查詢。如需說明，請參閱 Route 53 文件中的[轉送傳入 DNS 查詢到您的 VPCs](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html)。記下傳入端點 IP 地址。 | AWS 管理員、雲端管理員 | 
| 部署傳出端點。 | Route 53 Resolver 使用傳出端點將 DNS 查詢傳送至內部部署 DNS 解析程式。如需說明，請參閱 Route 53 文件中的[轉送傳出 DNS 查詢到您的網路](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html)。記下輸出端點 ID。 | AWS 管理員、雲端管理員 | 

### 設定和共用 Route 53 私有託管區域
<a name="configure-and-share-r53-private-hosted-zones"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 為託管的網域建立私有託管區域 AWS。 | 此區域會保留 AWS託管網域 （例如 `prod.aws.example.com`) 中資源的 DNS 記錄，這些記錄應從內部部署環境解析。如需說明，請參閱 Route 53 文件中的[建立私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。建立私有託管區域時，您必須將 VPC 與相同帳戶擁有的託管區域建立關聯。為此選取共用服務 VPC。 | AWS 管理員、雲端管理員 | 
| 基本設定：將私有託管區域與其他帳戶中VPCs 建立關聯。 | 如果您使用的是基本設定 （請參閱[架構](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)一節）：若要啟用成員帳戶 VPCs來解析此私有託管區域中的 DNS 記錄，您必須將 VPCs與託管區域建立關聯。您必須授權關聯，然後以程式設計方式建立關聯。如需說明，請參閱 Route 53 文件中的[關聯 Amazon VPC 和您使用不同 建立的私有託管區域 AWS 帳戶](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html)。 | AWS 管理員、雲端管理員 | 
| 增強型設定：設定和共用 Route 53 設定檔。 | 如果您使用的是增強型設定 （請參閱[架構](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)一節）：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)視組織的結構和 DNS 需求而定，您可能需要為不同的帳戶或工作負載建立和管理多個設定檔。 | AWS 管理員、雲端管理員 | 

### 設定和共用 Route 53 Resolver 轉送規則
<a name="configure-and-share-r53r-forwarding-rules"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 為內部部署託管的網域建立轉送規則。 | 此規則會指示 Route 53 Resolver 將內部部署網域 （例如 `onprem.example.com`) 的任何 DNS 查詢轉送至內部部署 DNS 解析程式。若要建立此規則，您需要內部部署 DNS 解析程式的 IP 地址和傳出端點 ID。如需說明，請參閱 Route 53 文件中的[建立轉送規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-creating-rules.html)。 | AWS 管理員、雲端管理員 | 
| 基本設定：與其他帳戶中VPCs 共用和建立轉送規則的關聯。 | 如果您使用的是基本設定：若要讓轉送規則生效，您必須與其他帳戶中VPCs 共用並建立規則的關聯。Route 53 Resolver 接著會在解析網域時考慮規則。如需說明，請參閱 Route 53 文件中的[與其他 共用解析程式規則 AWS 帳戶 和使用共用規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-sharing.html)，以及[將轉送規則與 VPC 建立關聯](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-associating-rules.html)。 | AWS 管理員、雲端管理員 | 
| 增強型設定：設定和共用 Route 53 設定檔。 | 如果您使用的是增強型設定：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)視組織的結構和 DNS 需求而定，您可能需要為不同的帳戶或工作負載建立和管理多個設定檔。 | AWS 管理員、雲端管理員 | 

### 設定內部部署 DNS 解析程式以進行 AWS 整合
<a name="configure-on-premises-dns-resolvers-for-aws-integration"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
|  在內部部署 DNS 解析程式中設定條件式轉送。 | 若要 AWS 從內部部署環境傳送至 以進行解析的 DNS 查詢，您必須在內部部署 DNS 解析程式中設定條件式轉送，以指向傳入端點 IP 地址。這會指示 DNS 解析程式將所有 AWS託管網域的 DNS 查詢 （例如，針對 `prod.aws.example.com`) 轉送至傳入端點 IP 地址，以供 Route 53 Resolver 解析。 | 網路管理員 | 

### 在混合環境中驗證end-to-end解析
<a name="verify-end-to-end-dns-resolution-in-a-hybrid-environment"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 測試從 AWS 到內部部署環境的 DNS 解析。 | 從 VPC 中具有與其相關聯之轉送規則的執行個體，執行內部部署託管網域的 DNS 查詢 （例如，針對 `db.onprem.example.com`)。 | 網路管理員 | 
| 從現場部署環境測試 DNS 解析 AWS。 | 從內部部署伺服器，執行託管網域 AWS的 DNS 解析 （例如，針對 `ec2.prod.aws.example.com`)。 | 網路管理員 | 

## 相關資源
<a name="set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-resources"></a>
+ [Amazon VPC 的混合雲端 DNS 選項](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html) (AWS 白皮書）
+ [使用私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (Route 53 文件）
+ [Route 53 Resolver 入門](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html)(Route 53 文件）
+ [使用 Route 53 Resolver（部落格文章） 簡化多帳戶環境中的 DNS 管理](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/)AWS 
+ [使用具有多個 VPCs和 （部落格文章） 的 Amazon Route 53 設定檔統一 DNS 管理 AWS 帳戶](https://aws.amazon.com/blogs/aws/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/)AWS 
+ [將多帳戶 DNS 環境遷移至 Amazon Route 53 Profiles](https://aws.amazon.com/blogs/networking-and-content-delivery/migrating-your-multi-account-dns-environment-to-amazon-route-53-profiles/) (AWS 部落格文章）
+ [將 Amazon Route 53 Profiles 用於可擴展的多帳戶 AWS 環境](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-route-53-profiles-for-scalable-multi-account-aws-environments/) (AWS 部落格文章）