如何對 Route 53 私有託管區域 DNS 解析問題進行疑難排解？

解決方案

注意： 如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息，請確認您使用的是最新版本的 AWS CLI。

1. 確認正確的 VPC ID 與私有託管區域關聯。使用 AWS CLI 命令 AWS CLI 取得與託管區域關聯的 VPC 清單。或者，使用 list-hosted-zone-by-vpc 取得與特定 VPC 關聯的私有託管區域清單。
   注意： 確認您是從相同 VPC 內查詢網域。

2. 確認 DNS 主機名稱和 DNSSupport 參數在您的 VPC 設定為 true。若要執行此操作，請檢查您的 VPC 設定。

3. 檢查 VPC 設定以驗證您已在 DHCP 選項集中設定自訂 DNS 伺服器。如果已設定，請確認已將 DNS 伺服器設定為將私有網域的 DNS 查詢轉發至您 VPC 的 Amazon 提供 DNS 伺服器。例如，如果您的 VPC 的 CIDR 範圍是 10.0.0.0/16，則 VPC DNS 伺服器的 IP 地址為 10.0.0.2。IP 地址是 VPC 網路範圍加 2。
   注意： 私有託管區域只能透過 VPC DNS 解析。

4. 檢閱來源執行個體的解析程式組態設定。

   • 對於 Linux 執行個體，請使用 cat /etc/resolv.conf 和 cat/etc/hosts 檔案。
   • 對於 macOS，請在 macOS 使用者指南參閱在 Mac 上變更 DNS 設定。
   • 對於 Windows，請完成下列步驟：
     選擇開始、網路和網際網路設置。
     選擇進階網路設定下的變更介面卡選項。
     在網路連線上按一下滑鼠右鍵，然後選擇屬性。
     選擇 IPv4 屬性，然後在 DNS 伺服器地址中輸數偏好 DNS IP 地址。

   範例： 您可以在 resolv.conf 設定輪換選項，以在 Amazon 提供的 DNS 伺服器和公有名稱伺服器之間負載平衡 DNS 查詢。此組態會造成間歇性 DNS 解析問題。到達與私有託管區域關聯的 VPC DNS 解析程式的查詢已解決。路由至公有名稱伺服器的查詢失敗。

5. 檢查是否有多個具備重疊命名空間的私有託管區域，例如 example.com 和 test.example.com。如果存在重疊的命名空間，則解析程式會根據最具體的相符項目將流量路由至託管區域。如果存在相符的區域，但沒有與網域名稱和類型相符的記錄，則解析程式將向用戶端傳回 NXDOMAIN (不存在的域)。在這種情況下，解析程式不會將請求轉送至另一個區域或公有 DNS 解析程式。確認是否在最具體的私有託管區域設定正確記錄，以成功解析 DNS。

6. 確認您沒有在父網域的私有託管區域中為子網域設置 NS 記錄。
   注意： 在私有託管區域，不支援使用名稱伺服器 (NS) 記錄委派子網域的責任。

7. 確認您設定的私有託管區域由路由政策支援。支援的路由政策如下：

   • 簡便路由
   • 容錯移轉路由
   • 多值答案路由
   • 加權路由
   • 延遲為基礎的路由
   • 地理位置路由

8. 檢查您是否在傳出端點使用解析程式。如果下列兩個條件都成立，則以解析程式規則優先：

   • 您可遵循解析程式規則，為您的私有託管區域網域將流量路由至網路。
   • 您已將解析程式規則與私有託管區域關聯的同一 VPC 建立關聯。

   如需詳細資訊，請參閱解析 VPC 與網路之間的 DNS 查詢。

9. 確認解析程式規則和 VPC 的傳入端點不會造成查詢迴圈。如果執行以下操作，就會建立迴圈：

   • 在解析程式，將目標 IP 位址設定為指向 VPC 的傳入端點。
   • 將端點與私有託管區域建立關聯，並且
   • 將相同的解析程式規則與 VPC 建立關聯。

10. 確認內部部署解析程式傳送遞迴請求。使用 DNS 解析程式 (內部部署) 上的封包擷取來驗證解析類型。然後，檢閱 DNS 標誌 (recursion desired = 0)。您也可以透過使用具備 dig 命令 的 +norecurse 或設定具備 nslookup 的 "norecurse" 傳送迭代請求來測試解析。

11. 確認您已為 Amazon 提供的 DNS 設定正確的規則優先級。一般而言，以最具體的規則為優先。如果規則位於同一層級，則優先順序依序為解析程式規則、私有託管區域規則和內部規則。

相關資訊

使用私有託管區域

我需要啟用哪些 Amazon VPC 選項才能使用我的私有託管區域？