---
title: "Hybrid DNS Resolution"
type: concept
tags: []
sources: []
last_updated: 2026-04-24
---

## Hybrid DNS Resolution

混合 DNS 解析，指在 AWS VPC 环境与本地数据中心（On-prem）之间实现跨环境的域名解析能力，是企业云迁移和混合云架构的关键基础设施。

## Problem

在企业迁移到 AWS Landing Zone 的过程中，存在以下 DNS 解析需求：
- AWS 内部的 VPC 需要解析本地数据中心的内部域名（如 `corp.internal`）
- 本地数据中心的服务器需要解析 AWS VPC 内部的私有域名（如 `int-sas.local`）
- 跨账号的 VPC 之间需要相互解析

传统的分散式 DNS 管理无法有效解决这些问题。

## Solution: Route 53 Resolver Endpoints

AWS Route 53 Resolver 提供两个关键组件实现混合 DNS：

### Inbound Endpoints（入站终端节点）

- 用途：接收来自**本地数据中心**的 DNS 查询请求
- 机制：本地 DNS 服务器将针对 AWS 私有域名的查询转发至 Inbound Endpoint 的 IP
- 场景：本地用户访问 AWS 内部的私有服务（如 `*.int-sas.local`）

### Outbound Endpoints（出站终端节点）

- 用途：将** AWS VPC 内部**的 DNS 查询转发至本地 DNS 服务器
- 机制：通过 Resolver Rules（解析规则）定义哪些域名需要转发，以及转发到哪个 IP
- 场景：AWS 工作负载需要访问本地资源（如 GitHub Enterprise、遗留数据库）

## Cross-Account Architecture

在 AWS Landing Zone 中，集中化 DNS 管理的标准架构：

1. **专用 DNS 账号**：在 Landing Zone 中设立专门的 DNS 账号（曾被称为 InfoBlocks 账号）
2. **Private Hosted Zones (PHZ)**：在 DNS 账号中集中管理所有私有托管区
3. **AWS RAM 共享**：通过 Resource Access Manager 将 Resolver Rules 共享给各业务账号
4. **VPC 关联授权**：跨账号关联时，必须先由 PHZ 拥有者授权，再由 VPC 拥有者执行关联
5. **Terraform 自动化**：新账号创建时自动完成规则共享与 VPC 关联

## Key Concepts

- [[Private Hosted Zone]]：AWS Route 53 私有托管区，在指定 VPC 内部解析自定义域名
- [[Route 53 Resolver Rules]]：解析规则，定义域名的转发路径
- [[VPC Association Authorization]]：跨账号关联的先授权后关联流程
- [[AWS RAM]]：跨账号资源共享机制
- [[AWS Landing Zone]]：DNS 架构的承载基础

## Aliases

- Hybrid DNS
- Cross-Cloud DNS
- On-Premises DNS Integration