亚马逊云科技(AWS)最近宣布公开预览Amazon Route 53 Global Resolver,这是一项在全球范围内提供安全、可靠的 DNS 解析的新服务。组织可以使用该服务来解析互联网上的公共域和与 Route 53 私有托管区域关联的私有域名的 DNS 查询。
从历史上看,管理混合型 DNS 带来了巨大的操作开销。在传统的区域设置中,管理员必须手动同步水平分区基础设施,并管理复杂的转发规则。这通常需要维护冗余的 VPC 解析器端点,并在多个区域中复制安全策略以确保故障转移。
Route 53 Global Resolver 通过消除对单独分 DNS 转发的需求来解决这些挑战。正如 AWS 的高级解决方案架构师 Esra Kayabali 解释的那样:
它通过多种协议提供 DNS 解析,包括 DNS over UDP(Do53)、DNS-over-HTTPS(DoH)和 DNS-over-TLS(DoT)。每个部署提供一组通用的 IPv4 和 IPv6 任何播 IP 地址,将查询路由到最近的 AWS 区域,减少分布式客户端群体的延迟。
(来源: AWS新闻博客文章)
该服务集成了与 Route 53 Resolver DNS 防火墙等效的安全功能,可以集中实施策略。主要的安全功能包括:
托管过滤:管理员使用AWS托管域名列表来阻止恶意软件和网络钓鱼等威胁,或限制特定网络内容。
行为保护:解析器检测并阻止域名生成算法(Domain Generation Algorithm,DGA)模式和 DNS 隧道尝试。
加密传输:支持 DoH 和 DoT 保护查询在传输过程中免受未经授权的访问。
为了支持零信任架构,Global Resolver 仅接受经过身份验证的客户端的流量。除了标准的 IP/CIDR 允许列表外,该服务为 DoH 和 DoT 连接引入了基于令牌的身份验证。这提供了细粒度的控制,允许管理员为特定客户端组或单个远程设备分配和撤销令牌。
Abhijeet Kulkarni 在 LinkedIn帖子中指出,虽然传统的 DNS 依赖于区域绑定的解析器,其中故障可能会放大中断,但 Global Resolver 引入了一种根本不同的运维模式。
通过任播将解析移动到边缘,DNS 在默认情况下成为全局分布的。Kulkarni 强调,这提供了“解析层的故障隔离”,确保在 DNS 层吸收区域中断,而不是通过网络级联。这有效地将 DNS 从区域依赖转变为具有弹性的全球系统边界。
预览版目前在几个全球区域可用,包括美国东部(弗吉尼亚北部、俄亥俄州)、美国西部(加利福尼亚北部、俄勒冈州)、欧洲(法兰克福、爱尔兰、伦敦)和亚太地区(孟买、新加坡、东京、悉尼)。定价详情可在官方Route 53定价页面上找到。
原文链接:
https://www.infoq.com/news/2026/01/route53-global-resolver-anycast/
