使用 Amazon Route 53 个人资料统一 DNS 管理,支持多个 VPC 和 AWS 账户
使用 Amazon Route 53 配合多个 VPC 和 AWS 帐户统一 DNS 管理
作者:Esra Kayabali 日期:2024年4月22日在这篇文章中,我们将讨论如何使用 Amazon Route 53 Profiles 来简化多个 VPC 和 AWS 帐户中的 DNS 管理。
文章重点
Amazon Route 53 Profiles 现已推出,提供一种统一管理组织内所有帐户和 VPC 的 DNS 方式。可以方便地定义标准的 DNS 配置,并将其应用于同一 AWS 区域内的多个 VPC。Profiles 与 AWS Resource Access Manager (RAM) 原生集成,便于跨帐户共享。使用 AWS CloudFormation 可确保新建帐户的 VPC DNS 设置一致性。如果你正在管理多个 AWS 帐户和 Amazon Virtual Private Cloud (Amazon VPC) 资源,则共享并将大量 DNS 资源关联到每个 VPC 可能会变得相当繁琐。经常会遇到分享和关联的限制,或许你已经建立了自己的协调层级,来在不同的帐户和 VPC 之间传递 DNS 配置。
今天,我很高兴地宣布推出 Amazon Route 53 Profiles,这使得你可以统一管理整个组织的 DNS 设置。Route 53 Profiles 允许你定义标准的 DNS 配置,包括 Route 53 私有托管区 (PHZ) 关联、解析器转发规则以及 Route 53 Resolver DNS 防火墙规则组,并将该配置应用于同一 AWS 区域内的多个 VPC。通过 Profiles,你可以轻松地确保所有 VPC 拥有相同的 DNS 配置,而无需复杂的处理不同的 Route 53 资源。在许多 VPC 之间管理 DNS 现在变得与管理单个 VPC 的设置一样简单。
Profiles 凭借于 AWS Resource Access Manager (RAM) 进行原生集成,允许你跨帐户或与 AWS Organizations 帐户共享 Profiles。Profiles 还与 Route 53 私有托管区无缝集成,让你能够创建并将现有的私有托管区添加到你的 Profile,这样当 Profile 在帐户间共享时,组织就能访问这些相同的设置。通过 AWS CloudFormation,你可以使用 Profiles 在新配置的帐户的 VPC 上统一设置 DNS。随著今天的发布,你将能够更好地管理多帐户环境下的 DNS 设置。
Route 53 Profiles 的使用方法
要开始使用 Route 53 Profiles,我进入 Route 53 的 AWS 管理控制台,在那里我可以创建 Profiles、添加资源并与其 VPC 关联。然后,我可以通过 AWS RAM 将创建的 Profile 共享到其他帐户中。
在 Route 53 控制台的导航面板中,我选择 Profiles,然后选择 Create profile 来设置我的 Profile。
我给我的 Profile 配置一个友好的名称,例如 MyFirstRoute53Profile,并可以选择性地添加标签。
我可以配置 DNS 防火墙规则组、私有托管区和解析器规则的设置,或在 Profile 控制台页面内添加我帐户中的现有设置。
接下来,我选择 VPCs 来将我的 VPC 与 Profile 关联。我可以添加标签以及设定递归 DNSSEC 验证、与 VPC 关联的 DNS 防火墙失败模式。我还可以控制 DNS 评估的顺序:先是 VPC DNS,然后是 Profile DNS,或者相反。
我可以为每个 VPC 关联一个 Profile,且可以将多达 5000 个 VPC 关联到单一 Profile。
如何在 AWS RAM 中共享 Route 53 Profiles
我利用 AWS Resource Access Manager (RAM) 将前面创建的 Profile 与其他帐户进行共享。
我在 Profiles 详情页面中选择 Share profile,或可以进入 AWS RAM 控制台页面并选择 Create resource share。
提供资源共享的名称,然后在 Resources 部分中查找 “Route 53 Profiles”。我选中 Selected resources 中的 Profile,可以选择性地添加标签。然后,选择 Next。
Profiles 使用由 RAM 管理的权限,这让我可以将不同的权限附加到每种资源类型上。预设情况下,只有 Profile 的拥有者即网路管理员能够修改 Profile 中的资源。Profile 的接收者即 VPC 所有者将只能查看 Profile 的内容只读模式。若希望 Profile 的接收者能够将 PHZ 或其他资源添加到其中,则 Profile 的拥有者需附加必要的权限。接收者将无法编辑或删除 Profile 拥有者已添加到共享资源的资源。
我保留预设选择,选择 Next 以授予我的其他帐户存取权。
在下一页中,我选择 Allow sharing with anyone,然后输入其他帐户的 ID,再选择 Add。接下来,我在 Selected principals 部分中选择该帐户 ID,然后选择 Next。
在 Review and create 页面中,我选择 Create resource share。资源共享成功创建。
现在,我切换到共享了我的 Profile 的其他帐户,并前往 RAM 控制台。在导航菜单中,我转到 Resource shares,然后选择在第一个帐户中创建的资源名称。我选择 Accept resource share 以接受邀请。
飞跃加速器安卓下载这样我就能访问与我共享的 Profile 的 DNS 防火墙规则组、私有托管区和解析器规则,并将该帐户的 VPC 与此 Profile 关联,但无法编辑或删除任何资源。Profiles 是区域性资源,无法跨区域共享。
立即可用
你可以通过 AWS 管理控制台、Route 53 API、AWS 命令行介面 (AWS CLI)、AWS CloudFormation 和 AWS SDK 简单开始使用 Route 53 Profiles。
Route 53 Profiles 即将在所有 AWS 区域上可用,除了加拿大西部卡尔加里、AWS GovCloud (US) 区域和亚马逊网路服务中国区域。
有关定价的更多详细信息,请访问 Route 53 定价 页面。
今天就开始使用 Profiles 吧!如果有任何反馈,请随时联系你习惯的 AWS 支持联系人或访问 AWS rePost。
Esra
更新:2024年4月23日:截图已更新。
了解作者
Esra Kayabali 是 AWS 的高级解决方案架构师,专精于分析,包括数据仓库、数据湖、大数据分析、批处理和实时数据流以及数据整合。她拥有超过十年的软件开发和解决方案架构经验,热衷于协作学习、知识分享,并在社区的云技术旅程中提供指导。