nexus/wiki/sources/ctp-topic-19-configuring-dns-within-aws-lzs.md

---
title: "CTP Topic 19: Configuring DNS within AWS LZs"
type: source
tags:
  - AWS
  - DNS
  - Landing-Zone
  - CTP
date: 2026-04-14
---

## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/08_Networking/ctp-topic-19-configuring-dns-within-aws-lzs.md]]

## Summary
- 核心主题：在 AWS Landing Zone 多账号环境下实现 DNS 集中化管理
- 问题域：解决跨账号、跨云与本地数据中心（On-prem）之间的域名解析难题
- 方法/机制：通过专用 DNS 账号集中管理 Private Hosted Zones，利用 Route 53 Resolver 的 Inbound/Outbound Endpoints 处理混合云 DNS 流量，通过 AWS RAM 跨账号共享 Resolver Rules
- 结论/价值：推荐设立专门的 DNS 账号（曾被称为 InfoBlocks 账号）进行集中管理，便于统一维护路由规则和域名记录

## Key Claims
- 在 Landing Zone 中设立专门的 DNS 账号进行集中管理，而非在每个业务账号中分散创建私有托管区
- Route 53 Resolver 的 Inbound Endpoints 接收来自本地数据中心的解析请求，Outbound Endpoints 将 AWS 内部请求转发至本地 DNS 服务器
- 利用 AWS RAM 将 DNS 账号中定义的解析规则共享给各个业务账号，跨账号 VPC 与私有托管区关联时必须先授权再关联

## Key Quotes
> "推荐在 Landing Zone 中设立专门的 DNS 账号（曾被称为 InfoBlocks 账号），而非在每个业务账号中分散创建私有托管区。这种方式便于统一维护路由规则和域名记录。" — Sankar Gopov

> "通过 Inbound Endpoints 接收来自本地数据中心的解析请求，通过 Outbound Endpoints 将 AWS 内部请求转发至本地 DNS 服务器。" — Sankar Gopov

## Key Concepts
- [[Route-53-Private-Hosted-Zone]]：AWS Route 53 私有托管区域，用于在指定 VPC 内部解析自定义域名
- [[Route-53-Resolver-Endpoint]]：Route 53 Resolver 的入站/出站终端节点，处理混合云 DNS 流量
- [[AWS-RAM]]：Resource Access Manager，用于跨账号共享 DNS 解析规则
- [[Landing-Zone]]：AWS 多账号环境规范，预配置安全、网络和治理框架
- [[VPC-Association-Authorization]]：跨账号关联流程，需先授权再关联

## Key Entities
- [[AWS]]：Amazon Web Services，主题云平台
- [[Gruntwork]]：提供 Landing Zone 框架
- [[Route-53]]：AWS DNS 服务

## Connections
- [[CTP-Topic-22-Global-DNS-Service-Offerings]] ← extends ← 本页面：DNS 服务架构的延续
- [[Gruntwork-Landing-Zone]] ← depends_on ← 本页面：DNS 配置依赖 Landing Zone 架构
- [[Route-53-Private-Hosted-Zone]] ← implements ← 本页面：具体实现机制

## Contradictions
- （暂无）

## Notes
- Terraform 用于自动化 DNS 配置，在创建业务 VPC 过程中通过预定义模块自动完成规则共享与 VPC 关联