--- title: "CTP Topic 19 Configuring DNS within AWS LZs" type: source tags: - AWS - DNS - Landing-Zone - CTP - Route-53 - Multi-Account date: 2026-04-14 --- ## Source File - [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/08_Networking/ctp-topic-19-configuring-dns-within-aws-lzs.md]] ## Summary(用中文描述) - 核心主题:在 AWS Landing Zone 多账号环境中配置集中化 DNS 管理架构,实现跨账号、跨云与本地数据中心(On-prem)之间的统一域名解析。 - 问题域:如何在多账号 AWS 架构中避免私有托管区(PHZ)分散管理,解决从 AWS 访问本地资源、从本地访问 AWS 内部服务、以及账号间相互解析等场景。 - 方法/机制:设立专门的 DNS 账号集中管理 Route 53 Resolver Rules;利用 Inbound/Outbound Endpoints 实现双向解析转发;通过 AWS RAM 跨账号共享解析规则;Terraform 模块自动化部署。 - 结论/价值:集中化 DNS 账号模式优于分散式 PHZ,可简化路由规则维护、确保新账号上线即具备完整解析能力,适合 Frankfurt R&D、London SAS 等大规模落地场景。 ## Key Claims(用中文描述) - 在 Landing Zone 中设立专门的 DNS 账号(InfoBlocks 账号),统一管理私有托管区和解析规则,优于在每个业务账号中分散创建 PHZ。 - Route 53 Inbound Endpoint 接收来自本地数据中心的 DNS 解析请求;Outbound Endpoint 将 AWS 内部请求转发至本地 DNS 服务器。 - 通过 AWS RAM 将 DNS 账号中的 Resolver Rules 共享给各业务账号,业务 VPC 无需单独创建规则即可使用。 - 跨账号 VPC 与私有托管区关联时,必须先由 PHZ 拥有者执行"授权(Authorization)",再由 VPC 拥有者执行"关联(Association)"。 - 该架构高度依赖 Terraform 自动化部署,在创建业务 VPC 过程中通过预定义模块自动完成规则共享与 VPC 关联。 ## Key Quotes > "本次视频由 Sankar Gopov 主讲,核心内容围绕 AWS Landing Zone 环境下的 DNS 配置架构展开,特别是如何在多账号架构中实现集中化的 DNS 管理。" — 视频开篇背景介绍 ## Key Concepts - [[Route-53-Resolver]]:AWS Route 53 的解析引擎,通过 Inbound/Outbound Endpoints 实现混合云 DNS 流量转发。 - [[Private-Hosted-Zone]]:Route 53 私有托管区,在指定 VPC 内部解析自定义域名(如 `int-sas.local`),不暴露至互联网。 - [[Resolver-Rules]]:解析规则,定义特定域名的解析路径(如匹配某后缀的域名需转发至本地数据中心特定 IP)。 - [[AWS-RAM]]:Resource Access Manager,用于在 AWS Organization 内跨账号共享 Resolver Rules、Transit Gateway 等资源。 - [[VPC-Association-Authorization]]:跨账号关联流程;VPC 与另一个账号的 PHZ 关联时必须先授权再关联。 - [[AWS-Landing-Zone]]:多账号 AWS 环境规范,通过预配置的安全、网络和治理规则,为企业提供可扩展的基础设施框架。 ## Key Entities - [[SankarGopov]]:视频主讲人,来自 AWS/Cloud Transformation Programme,负责 DNS 架构设计与落地。 ## Connections - [[AWS-Landing-Zone]] ← foundational ← [[CTP-Topic-19-DNS]] - [[Route-53-Resolver]] ← core_technology ← [[CTP-Topic-19-DNS]] - [[Terraform]] ← automation_tool ← [[CTP-Topic-19-DNS]] - [[AWS-RAM]] ← sharing_mechanism ← [[CTP-Topic-19-DNS]] - [[CTP-Topic-19-DNS]] ← related_topic ← [[CTP-Topic-35-AWS-Landing-Zone]] - [[CTP-Topic-19-DNS]] ← related_topic ← [[CTP-Topic-17-AD-Services]] ## Contradictions - 暂无已知冲突。本页内容与其他 Landing Zone 相关来源(如 CTP Topic 35)保持一致,均强调集中化基础设施账号的治理优势。