Amazon Web Services Preview Route 53 Global Resolver, Decouples DNS from Regional Failures

亚马逊云科技（AWS）最近宣布公开预览Amazon Route 53 Global Resolver，这是一项在全球范围内提供安全、可靠的DNS解析的新服务。组织可以使用该服务来解析互联网上的公共域和与Route 53私有托管区域关联的私有域名的DNS查询。

从历史上看，管理混合型DNS带来了巨大的操作开销。在传统的区域设置中，管理员必须手动同步水平分区基础设施，并管理复杂的转发规则。这通常需要维护冗余的VPC解析器端点，并在多个区域中复制安全策略以确保故障转移。

Route 53 Global Resolver通过消除对单独分DNS转发的需求来解决这些挑战。正如AWS的高级解决方案架构师Esra Kayabali解释的那样：

它通过多种协议提供DNS解析，包括DNS over UDP（Do53）、DNS-over-HTTPS（DoH）和DNS-over-TLS（DoT）。每个部署提供一组通用的IPv4和IPv6任何播IP地址，将查询路由到最近的AWS区域，减少分布式客户端群体的延迟。

（来源： AWS新闻博客文章）

该服务集成了与Route 53 Resolver DNS防火墙等效的安全功能，可以集中实施策略。主要的安全功能包括：

托管过滤：管理员使用AWS托管域名列表来阻止恶意软件和网络钓鱼等威胁，或限制特定网络内容。

行为保护：解析器检测并阻止域名生成算法（Domain Generation Algorithm，DGA）模式和DNS隧道尝试。

加密传输：支持DoH和DoT保护查询在传输过程中免受未经授权的访问。

为了支持零信任架构，Global Resolver仅接受经过身份验证的客户端的流量。除了标准的IP/CIDR允许列表外，该服务为DoH和DoT连接引入了基于令牌的身份验证。这提供了细粒度的控制，允许管理员为特定客户端组或单个远程设备分配和撤销令牌。

Abhijeet Kulkarni在LinkedIn帖子中指出，虽然传统的DNS依赖于区域绑定的解析器，其中故障可能会放大中断，但Global Resolver引入了一种根本不同的运维模式。

通过任播将解析移动到边缘，DNS在默认情况下成为全局分布的。Kulkarni强调，这提供了“解析层的故障隔离”，确保在DNS层吸收区域中断，而不是通过网络级联。这有效地将DNS从区域依赖转变为具有弹性的全球系统边界。

预览版目前在几个全球区域可用，包括美国东部（弗吉尼亚北部、俄亥俄州）、美国西部（加利福尼亚北部、俄勒冈州）、欧洲（法兰克福、爱尔兰、伦敦）和亚太地区（孟买、新加坡、东京、悉尼）。定价详情可在官方Route 53定价页面上找到。

原文链接：