roy*_*eet 13 dns amazon-route53 dnssec powerdns
我们正在尝试决定使用哪种DNS托管解决方案.今天我们使用Power DNS,我们希望转向托管DNS解决方案.对我们来说,最好的解决方案是使用亚马逊的route53.我们被要求使用DNS-SEC作为我们的DNS解决方案,我一直在努力了解亚马逊的DNS支持以及它不支持的内容.
亚马逊的网站说:
Amazon Route 53支持DNSSEC进行域名注册,但不支持DNSSEC进行DNS服务.如果要为在Amazon Route 53中注册的域配置DNSSEC,则必须使用其他DNS服务提供商.
http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html
有谁能解释这意味着什么?特别是对于使用route53注册的域使用另一个DNS服务提供商的内容,支持什么以及什么不是什么.
Mic*_*bot 26
Route 53提供两种不同的服务:
这两项服务没有必要的联系.您可以向任何认可的注册商注册域名(例如,让我们说Go Daddy),并且仍然使用Route 53托管DNS ...或者您可以使用Route 53注册域名并且仍然在其他地方托管DNS(例如,让我们说Dyn)......或者你可以使用Route 53作为两种服务,因为它们是独立的.
Amazon Route 53支持DNSSEC进行域名注册
因此,如果您使用Route 53注册器注册域,则可以将其配置为使用DNSSEC ...
但不支持DNSSEC进行DNS服务.
...但是如果您使用Route 53托管区域进行权威DNS托管,则不会支持DNSSEC,无论注册商是谁.
因此...
如果要为在Amazon Route 53中注册的域配置DNSSEC,则必须使用其他DNS服务提供商
...托管您的权威DNS记录.您不能将Route 53托管区域与DNSSEC一起使用.
¹ 这里有两个不同的服务.重点是不同的,因为许多其他服务提供商模糊了域名注册和权威DNS托管之间的区别,以至于许多用户似乎不知道他们几乎总是可以在至少一个方向上解耦,而不管提供商有问题.同样在"Route 53"横幅下还有其他服务,如Route 53 Resolver(主要处理VPC和/或内部部署中的递归查询)和Route 53运行状况检查(可用作DNS故障转移的基础以及用于其他健康检查和延迟测量目的,可能但不一定与DNS相关).
DNSSECAWS Route 53 现在支持DNSSEC signing(托管服务)和domain registration(注册服务)。
请按照官方指南在DNSSEC signing此处配置托管区域
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html