Amazon Route 53 DNSSEC 支持
Amazon Route 53 DNSSEC support
我们正在尝试决定使用哪种 DNS 托管解决方案。今天我们使用 Power DNS,我们希望转向托管 DNS 解决方案。对我们来说最好的解决方案是为此使用亚马逊的 Route 53。
我们被要求将 DNSSEC 用于我们的 DNS 解决方案,我一直在努力了解 Amazon 的 DNS 支持和不支持的内容。
亚马逊网站说:
Amazon Route 53 supports DNSSEC for domain registration but does not support DNSSEC for DNS service. If you want to configure DNSSEC for a domain that is registered with Amazon Route 53, you must use another DNS service provider.
http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html
谁能解释一下这是什么意思?特别是什么受支持,什么不支持,以及对在 Route 53 注册的域使用另一个 DNS 服务提供商意味着什么。
53 号公路提供两种¹不同的服务:
- DNS 托管提供商,在托管区域提供权威的 DNS 托管
- 域注册商,允许您注册新域以在 Internet 上使用(或转移现有域的注册,以便您的年度注册费用合并到您的 AWS 账户账单中)
这两个服务之间没有必然联系。您可以向任何认可的注册商注册一个域(例如,假设 Go Daddy),并且仍然使用 Route 53 托管 DNS...或者您可以使用 Route 53 注册一个域并仍然在其他地方托管 DNS(例如,让我们说 Dyn)... 或者您可以将 Route 53 用于这两种服务,因为它们是独立的。
Amazon Route 53 supports DNSSEC for domain registration
因此,如果您向 Route 53 注册器注册域,则可以将其配置为使用 DNSSEC...
but does not support DNSSEC for DNS service.
...但如果您使用 Route 53 托管区域进行权威 DNS 托管,则不支持 DNSSEC,无论注册商是谁。
因此...
If you want to configure DNSSEC for a domain that is registered with Amazon Route 53, you must use another DNS service provider
...托管您的权威 DNS 记录。您不能将 Route 53 托管区域与 DNSSEC 结合使用。
¹ 两种不同的服务 与此处相关。重点是不同,因为许多其他服务提供商模糊域注册和权威 DNS 托管之间的区别,以至于许多用户似乎没有意识到他们几乎总是可以分离,至少在一个方向上,而不管所讨论的提供者如何。 "Route 53" 旗帜下还有其他服务,如 Route 53 Resolver (which deals primarily with recursive querying in VPC and/or on-premise) and Route 53 Health Checks(可用作 DNS 故障转移以及其他健康检查和延迟测量目的的基础,这些目的可能但不一定甚至 DNS 相关)。
DNSSEC
现在 AWS Route 53 支持 DNSSEC signing
(托管服务)和 domain registration
(注册服务)。
请按照官方指南在此处配置 DNSSEC signing
托管区域
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html
我们正在尝试决定使用哪种 DNS 托管解决方案。今天我们使用 Power DNS,我们希望转向托管 DNS 解决方案。对我们来说最好的解决方案是为此使用亚马逊的 Route 53。 我们被要求将 DNSSEC 用于我们的 DNS 解决方案,我一直在努力了解 Amazon 的 DNS 支持和不支持的内容。
亚马逊网站说:
Amazon Route 53 supports DNSSEC for domain registration but does not support DNSSEC for DNS service. If you want to configure DNSSEC for a domain that is registered with Amazon Route 53, you must use another DNS service provider.
http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html
谁能解释一下这是什么意思?特别是什么受支持,什么不支持,以及对在 Route 53 注册的域使用另一个 DNS 服务提供商意味着什么。
53 号公路提供两种¹不同的服务:
- DNS 托管提供商,在托管区域提供权威的 DNS 托管
- 域注册商,允许您注册新域以在 Internet 上使用(或转移现有域的注册,以便您的年度注册费用合并到您的 AWS 账户账单中)
这两个服务之间没有必然联系。您可以向任何认可的注册商注册一个域(例如,假设 Go Daddy),并且仍然使用 Route 53 托管 DNS...或者您可以使用 Route 53 注册一个域并仍然在其他地方托管 DNS(例如,让我们说 Dyn)... 或者您可以将 Route 53 用于这两种服务,因为它们是独立的。
Amazon Route 53 supports DNSSEC for domain registration
因此,如果您向 Route 53 注册器注册域,则可以将其配置为使用 DNSSEC...
but does not support DNSSEC for DNS service.
...但如果您使用 Route 53 托管区域进行权威 DNS 托管,则不支持 DNSSEC,无论注册商是谁。
因此...
If you want to configure DNSSEC for a domain that is registered with Amazon Route 53, you must use another DNS service provider
...托管您的权威 DNS 记录。您不能将 Route 53 托管区域与 DNSSEC 结合使用。
¹ 两种不同的服务 与此处相关。重点是不同,因为许多其他服务提供商模糊域注册和权威 DNS 托管之间的区别,以至于许多用户似乎没有意识到他们几乎总是可以分离,至少在一个方向上,而不管所讨论的提供者如何。 "Route 53" 旗帜下还有其他服务,如 Route 53 Resolver (which deals primarily with recursive querying in VPC and/or on-premise) and Route 53 Health Checks(可用作 DNS 故障转移以及其他健康检查和延迟测量目的的基础,这些目的可能但不一定甚至 DNS 相关)。
DNSSEC
现在 AWS Route 53 支持 DNSSEC signing
(托管服务)和 domain registration
(注册服务)。
请按照官方指南在此处配置 DNSSEC signing
托管区域
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html