--- title: "CTP Topic 19 Configuring DNS within AWS LZs" type: cloud-learning source-type: video category: "DevOps & SRE/08_Networking" tags: - AWS - DNS - Landing-Zone - CTP date-added: 2026-04-14 video-source: "nas:///volume2/work/Public Cloud Learning Sessions/CTP _ Topic 19_ Configuring DNS within AWS LZs.mp4" audio-source: "" status: summarized (Gemini 摘要) --- # CTP Topic 19 Configuring DNS within AWS LZs **Source:** NAS `/volume2/work/Public Cloud Learning Sessions/CTP _ Topic 19_ Configuring DNS within AWS LZs.mp4` **Type:** VIDEO | **Category:** 08_Networking **Status:** ✅ 已完成(Gemini 摘要) --- ## 摘要 > 本次视频由 Sankar Gopov 主讲,核心内容围绕 AWS Landing Zone 环境下的 DNS 配置架构展开,特别是如何在多账号架构中实现集中化的 DNS 管理。讲座背景基于 Frankfurt R&D 和 London SAS 等实际落地场景,旨在解决跨账号、跨云与本地数据中心(On-prem)之间的域名解析难题。 > > 视频的核心要点包括: > 1. **集中化管理模式**:推荐在 Landing Zone 中设立专门的 DNS 账号(曾被称为 InfoBlocks 账号),而非在每个业务账号中分散创建私有托管区(Private Hosted Zones)。这种方式便于统一维护路由规则和域名记录。 > 2. **关键技术组件**:详细介绍了 Route 53 Resolver 的作用。通过 **Inbound Endpoints** 接收来自本地数据中心的解析请求,通过 **Outbound Endpoints** 将 AWS 内部请求转发至本地 DNS 服务器。 > 3. **资源共享机制**:利用 **AWS RAM (Resource Access Manager)** 将 DNS 账号中定义的解析规则(Resolver Rules)共享给各个业务账号(Workload Accounts)。同时,强调了跨账号 VPC 与私有托管区关联时,必须先进行“授权(Authorization)”再进行“关联(Association)”的必要步骤。 > 4. **典型应用场景**:Sankar 演示了三种场景:从 AWS 访问本地资源(如 GitHub Enterprise)、从本地 VPN 访问 AWS 内部服务、以及 AWS 账号间的相互解析。 > 5. **自动化实施**:该架构高度依赖 Terraform 进行部署。在创建业务 VPC 的过程中,通过预定义的模块自动完成规则共享与 VPC 关联,确保新账号上线即具备完整的解析能力。 --- ## 关键概念 - **Private Hosted Zones (PHZ)**: AWS Route 53 中的私有托管区,用于在指定的 VPC 内部解析自定义域名(如 `int-sas.local`),不对互联网开放。 - **Route 53 Resolver Rules**: 解析规则,定义了特定域名的解析路径,例如规定匹配某后缀的域名需转发至本地数据中心的特定 IP。 - **Inbound/Outbound Endpoints**: 路由解析终端节点;Inbound 处理“由外向内”的解析请求,Outbound 处理“由内向外”转发至本地的请求。 - **RAM (Resource Access Manager)**: AWS 资源共享管理器,用于在组织内跨账号共享 Resolver Rules、Transit Gateway 等资源。 - **VPC Association & Authorization**: 跨账号关联流程;当 VPC 与另一个账号的 PHZ 关联时,需先由 PHZ 拥有者授权,再由 VPC 拥有者执行关联。 - **Landing Zone**: 一种多账号 AWS 环境规范,通过预配置的安全、网络和治理规则,为企业提供可扩展的基础设施框架。 --- ## 相关视频 > [!info]+ 交叉引用 > [[AWS Landing Zone Architecture Overview]] — 了解 DNS 账号在整体多账号架构中的位置 > [[Introduction to Terraform for Cloud Infrastructure]] — 本视频中 DNS 自动化配置的技术前提 > [[Hybrid Connectivity: Direct Connect and VPN]] — 了解 DNS 流量通过 Inbound/Outbound Endpoints 传输的物理路径 ## 相关视频 > 配对视频笔记链接(生成后填入) --- *最后更新: 2026-04-14*