我们正在尝试决定使用哪种DNS托管解决方案。今天我们使用Power DNS,我们希望迁移到托管DNS解决方案。对我们来说,最好的解决方案是使用亚马逊的Route 53。 我们被要求将 DNSSEC 用于我们的 DNS 解决方案,我一直在努力了解亚马逊的 DNS 支持什么,不支持什么。
亚马逊的网站说:
Amazon Route 53 支持 DNSSEC 进行域注册,但不支持 DNSSEC for DNS 服务。如果要为在 Amazon Route 53 中注册的域配置 DNSSEC,则必须使用其他 DNS 服务提供商。
http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html
谁能解释一下这意味着什么?特别是支持和不支持的内容,以及为向 Route 53 注册的域使用其他 DNS 服务提供商意味着什么。
Route 53 提供两种不同的服务:
- DNS 托管提供商,在托管区域中提供权威的 DNS 托管 域名注册
- 商,允许您注册新域名以在互联网上使用(或转移现有域名的注册,以便将您的年度注册费合并到您的 AWS 账户账单中)
这两个服务彼此之间没有必要的连接。您可以向任何认可的注册商(例如,假设 GoDaddy)注册域,并且仍然使用 Route 53 托管 DNS...或者,您可以向 Route 53 注册域,但仍在其他地方托管 DNS(例如,假设 Dyn)...或者,您可以将 Route 53 用于这两个服务,因为它们是独立的。
Amazon Route 53 支持 DNSSEC 进行域注册
因此,如果您向 Route 53 注册商注册域,则可以将其配置为使用 DNSSEC...
但不支持 DNS 服务的 DNSSEC
。
。但如果您将 Route 53 托管区域用于不支持 DNSSEC 的权威 DNS 托管,则不会,无论注册商是谁。
因此。。。
如果要为在 Amazon Route 53 中注册的域配置 DNSSEC,则必须使用其他 DNS 服务提供商
。托管您的权威 DNS 记录。您不能将 Route 53 托管区域与 DNSSEC 结合使用。
¹ 此处相关的两种不同服务。重点旨在有所不同,因为许多其他服务提供商模糊了域注册和权威DNS托管之间的区别,以至于许多用户似乎没有意识到他们几乎总是可以在至少一个方向上分离,无论有问题的提供商如何。在"Route 53"横幅下还有其他服务,如 Route 53 解析器(主要处理 VPC 和/或本地中的递归查询)和 Route 53 运行状况检查(可用作 DNS 故障转移的基础,以及其他运行状况检查和延迟测量目的,这些目的可能甚至不一定与 DNS 相关)。
AWSRoute 53 现在支持DNSSEC signing(托管服务)和domain registration(注册器服务)DNSSEC。
请按照官方指南在此处配置托管区域的DNSSEC signinghttps://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html