61 lines
2.5 KiB
Markdown
61 lines
2.5 KiB
Markdown
---
|
||
title: "Hybrid DNS Resolution"
|
||
type: concept
|
||
tags: []
|
||
sources: []
|
||
last_updated: 2026-04-24
|
||
---
|
||
|
||
## Hybrid DNS Resolution
|
||
|
||
混合 DNS 解析,指在 AWS VPC 环境与本地数据中心(On-prem)之间实现跨环境的域名解析能力,是企业云迁移和混合云架构的关键基础设施。
|
||
|
||
## Problem
|
||
|
||
在企业迁移到 AWS Landing Zone 的过程中,存在以下 DNS 解析需求:
|
||
- AWS 内部的 VPC 需要解析本地数据中心的内部域名(如 `corp.internal`)
|
||
- 本地数据中心的服务器需要解析 AWS VPC 内部的私有域名(如 `int-sas.local`)
|
||
- 跨账号的 VPC 之间需要相互解析
|
||
|
||
传统的分散式 DNS 管理无法有效解决这些问题。
|
||
|
||
## Solution: Route 53 Resolver Endpoints
|
||
|
||
AWS Route 53 Resolver 提供两个关键组件实现混合 DNS:
|
||
|
||
### Inbound Endpoints(入站终端节点)
|
||
|
||
- 用途:接收来自**本地数据中心**的 DNS 查询请求
|
||
- 机制:本地 DNS 服务器将针对 AWS 私有域名的查询转发至 Inbound Endpoint 的 IP
|
||
- 场景:本地用户访问 AWS 内部的私有服务(如 `*.int-sas.local`)
|
||
|
||
### Outbound Endpoints(出站终端节点)
|
||
|
||
- 用途:将** AWS VPC 内部**的 DNS 查询转发至本地 DNS 服务器
|
||
- 机制:通过 Resolver Rules(解析规则)定义哪些域名需要转发,以及转发到哪个 IP
|
||
- 场景:AWS 工作负载需要访问本地资源(如 GitHub Enterprise、遗留数据库)
|
||
|
||
## Cross-Account Architecture
|
||
|
||
在 AWS Landing Zone 中,集中化 DNS 管理的标准架构:
|
||
|
||
1. **专用 DNS 账号**:在 Landing Zone 中设立专门的 DNS 账号(曾被称为 InfoBlocks 账号)
|
||
2. **Private Hosted Zones (PHZ)**:在 DNS 账号中集中管理所有私有托管区
|
||
3. **AWS RAM 共享**:通过 Resource Access Manager 将 Resolver Rules 共享给各业务账号
|
||
4. **VPC 关联授权**:跨账号关联时,必须先由 PHZ 拥有者授权,再由 VPC 拥有者执行关联
|
||
5. **Terraform 自动化**:新账号创建时自动完成规则共享与 VPC 关联
|
||
|
||
## Key Concepts
|
||
|
||
- [[Private Hosted Zone]]:AWS Route 53 私有托管区,在指定 VPC 内部解析自定义域名
|
||
- [[Route 53 Resolver Rules]]:解析规则,定义域名的转发路径
|
||
- [[VPC Association Authorization]]:跨账号关联的先授权后关联流程
|
||
- [[AWS RAM]]:跨账号资源共享机制
|
||
- [[AWS Landing Zone]]:DNS 架构的承载基础
|
||
|
||
## Aliases
|
||
|
||
- Hybrid DNS
|
||
- Cross-Cloud DNS
|
||
- On-Premises DNS Integration
|