AWS Route53：同一域下的私有和公共托管区域答案

【问题标题】：AWS Route53: Private and public hosted zones under the same domainAWS Route53：同一域下的私有和公共托管区域
【发布时间】：2016-10-31 06:12:33
【问题描述】：

我已经阅读了我能找到的所有 AWS 文档，但 GoogleFoo 没有任何结果。

我的情况是我们有一个域 example.com，到目前为止，我们只将它用于公共记录。有一个托管区域设置为公共。我现在想为私有记录创建一个子域，以便在我们的 VPC 组内为我们的应用程序使用（例如，指向 ElastiCache 实例）。

我尝试将 private.example.com 创建为指向我们的 VPC 的私有托管区域，然后在其下创建 cache.private.example.com 作为记录，但无法解析。

我很好奇是否可以以某种方式配置我们主域的子域？

example.com - Public
** app.example.com 
private.example.com - Private
** cache.private.example.com - VPC

或

也可以创建具有相同顶级域 example.com 的私有托管区域吗？我很紧张，因为我不想影响应用程序。

example.com - Public
** app.example.com
example.com - Private
** cache.example.com - VPC

【问题讨论】：

你为什么要创建两个子域“private.example.com”和“cache.private.example.com”
@error2007s 我试图将整个 private.example.com 子域用作私有托管区域。我现在只有一张唱片，但将来会有更多。
查看下面的答案
定义“它不会解决”。当你尝试时会发生什么？如果您在公共区域（例如 cache.private.example.com）中放置冲突记录会发生什么？如果公共记录在 VPC 内解析，则说明您的配置有误，我们需要查明这一点。
不，除非您准备从公共区域复制所有记录，否则不要创建私有 example.com 区域。私人口罩同级或以下公开。

【解决方案1】：

适用于尝试将公共主机区域“子集化”或将私有主机区域“回退”或“扩展”为公共的 Google 员工。继续阅读。

首先，R53 是权威的，这意味着你必须提供精确的分辨率，所以使用不同 BIND 视图的常用方法是行不通的。同样，当主机区域名称重叠时，私有区域名称占上风。

其次，R53 将根据“特异性”确定使用哪个主机区域。因此，当用户请求www.example.com 时，名为www.example.com 的主机区域将优先于另一个名为example.com 的主机区域。这是我们可以利用的东西。

按照程序进行：

这样，如果你的机器请求www.example.com，并且私有主机区域匹配，它将返回本地地址，否则，它将回退使用公共主机区域。

此解决方案的缺陷是 R53 按主机区域数量向您收费，因此您将不得不支付更多费用。这也有点hacky。否则，它消除了创建和管理您自己的 BIND 服务器、同步公共记录等的复杂性。

【讨论】：

这是准确的。但是我要补充一点，例如，一旦您创建了“www.example.com”私有托管区域，那么其下的任何内容也将使用该私有托管区域。因此，尝试访问“server2.www.example.com”将导致在“www.example.com”私有托管区域而不是公共区域中查找其 IP。

【解决方案2】：

您需要为专用区域设置不同的域。像“example.internal”这样的东西然后你可以有“cache.example.internal”

cache.private.example.com 不会在您当前的设置中解析，因为它会寻找 example.com 来解析该 dns。另请注意，它只会在 VPC 内部解析。

【讨论】：

我发现这个简介让我相信示例 2 是可能的，但不确定它是否仅适用于“拆分视图”或可以按照我的布局工作。 docs.aws.amazon.com/Route53/latest/DeveloperGuide/…参见“拆分视图”部分
@MatthewMcCants，没有。 private.example.com 上的一个私有托管区域将与公共区域 example.com 共存，并具有完全所需的行为——私有记录仅在内部可见，public.example.com 外部的公共记录在内外可见。这种配置没有冲突也没有歧义。私有区域在私有区域的顶点及以下（而不是在其上方）掩盖了公众。