Amazon Route 53
提供域名注册、DNS 路由和健康检查的高可用性可扩展 DNS 服务
概述
Amazon Route 53 是一项高可用性和可扩展的域名系统(DNS)Web 服务。提供域名注册、DNS 路由和健康检查三大功能。支持多种路由策略(简单、加权、延迟、故障转移、地理位置、多值应答),实现灵活的流量管理。与 AWS 服务的别名记录(Alias Record)集成,可将域名直接指向 ELB、CloudFront、S3 等资源而无需额外费用。
托管区域与记录类型
Route 53 的托管区域(Hosted Zone)是 DNS 记录的容器,对应一个域名。公有托管区域响应互联网上的 DNS 查询,私有托管区域仅在关联的 VPC 内解析。记录类型支持 A、AAAA、CNAME、MX、TXT、NS、SOA 等标准类型,以及 AWS 特有的别名记录。别名记录可将域名的根(Zone Apex,如 example.com)直接指向 AWS 资源,这是 CNAME 无法实现的。别名记录的 DNS 查询不产生费用,是指向 AWS 资源的推荐方式。TTL 设置影响 DNS 缓存时间——生产环境建议 60-300 秒,迁移前临时降低到 60 秒以加快切换。
路由策略与流量管理
Route 53 提供多种路由策略满足不同需求。加权路由按比例分配流量,适合蓝绿部署和 A/B 测试。延迟路由将用户导向延迟最低的区域。故障转移路由在主资源不健康时自动切换到备用资源。地理位置路由按用户地理位置路由到指定端点,适合内容本地化和合规要求。流量流(Traffic Flow)提供可视化编辑器设计复杂的路由策略组合,支持版本管理和回滚。健康检查监控端点的可用性,支持 HTTP、HTTPS 和 TCP 协议,可配置检查间隔、失败阈值和通知。计算型健康检查可组合多个子健康检查的状态进行复杂判断。
域名注册与 DNSSEC
Route 53 支持直接注册域名,管理域名的生命周期(注册、续期、转移)。域名锁定防止未授权的转移。隐私保护隐藏 WHOIS 信息中的注册人个人信息。DNSSEC(DNS Security Extensions)签名为 DNS 响应提供加密验证,防止 DNS 欺骗和缓存投毒攻击。Route 53 支持 DNSSEC 签名(作为权威 DNS)和 DNSSEC 验证(作为解析器)。启用 DNSSEC 需要在 KMS 中创建签名密钥,Route 53 自动管理密钥轮换和签名。Resolver 功能提供 VPC 内的 DNS 解析,支持条件转发规则将特定域名的查询转发到本地 DNS 服务器,实现混合云环境的 DNS 集成。