我们正在尝试决定使用哪种 DNS 托管解决方案。今天,我们使用 Power DNS,我们希望迁移到托管 DNS 解决方案。对我们来说最好的解决方案是为此使用亚马逊的 Route 53。我们被要求将 DNSSEC 用于我们的 DNS 解决方案,我一直在尝试了解 Amazon 的 DNS 支持什么以及不支持什么。
亚马逊的网站说:
Amazon Route 53 支持使用 DNSSEC 进行域注册,但不支持使用 DNSSEC 进行 DNS 服务。如果您要为注册到 Amazon Route 53 的域配置 DNSSEC,则必须使用其他 DNS 服务提供商。
http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html
谁能解释这意味着什么?特别是支持和不支持的内容,以及使用另一个 DNS 服务提供商为注册到 Route 53 的域意味着什么。
Route 53 提供两种不同的服务:
这两个服务之间没有必要的联系。您可以向任何认可的注册商(例如,Go Daddy)注册一个域,并且仍然使用 Route 53 托管 DNS……或者您可以使用 Route 53 注册一个域并仍然在其他地方托管 DNS(例如,让我们说 Dyn)... 或者您可以将 Route 53 用于这两种服务,因为它们是独立的。
Amazon Route 53 支持 DNSSEC 进行域注册
因此,如果您使用 Route 53 注册器注册域,则可以将其配置为使用 DNSSEC...
但不支持 DNSSEC 的 DNS 服务。
...但如果您将 Route 53 托管区域用于权威 DNS 托管,则不支持 DNSSEC,无论注册商是谁。
所以...
如果您要为注册到 Amazon Route 53 的域配置 DNSSEC,则必须使用其他 DNS 服务提供商
...托管您的权威 DNS 记录。您不能将 Route 53 托管区域与 DNSSEC 一起使用。
¹与此处相关的两种不同服务。重点是不同的,因为许多其他服务提供商模糊了域注册和权威 DNS 托管之间的区别,以至于许多用户似乎没有意识到他们几乎总是可以在至少一个方向上解耦,而不管提供商是谁有问题。“Route 53”横幅下还有其他服务,例如Route 53 Resolver(主要处理 VPC 和/或本地的递归查询)和Route 53 运行状况检查(可用作 DNS 故障转移的基础以及用于其他可能与 DNS 相关但不一定与 DNS 相关的健康检查和延迟测量目的)。
DNSSECAWS Route 53 现在支持DNSSEC signing(托管服务)和domain registration(注册服务)。
请按照官方指南在DNSSEC signing此处配置托管区域
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html