AWS 发布 Route 53 Global Resolver 预览版：DNS 全球化与区域解耦

AWS 宣布推出 Amazon Route 53 Global Resolver 预览版。这项新服务通过 Anycast 技术，将 DNS 解析从特定区域解耦，提供全球分布的解析能力，显著降低了混合云环境下的 DNS 管理复杂度，并增强了故障隔离能力。

Route 53 Global Resolver 开启预览

AWS 近日宣布了 Amazon Route 53 Global Resolver 的公开预览版。这是一项新服务，旨在全球范围内提供安全、可靠的 DNS 解析。组织可以使用该服务解析互联网上的公共域名以及与 Route 53 私有托管区域关联的私有域名。

️ 解决混合 DNS 的运维痛点

历史上，管理混合 DNS 带来了巨大的运维开销。在传统的区域设置中，管理员必须手动同步水平分割（split-horizon）的基础设施，并管理复杂的转发规则。这一般需要维护冗余的 VPC Resolver 端点，并在多个区域复制安全策略以确保故障转移。

Route 53 Global Resolver 通过消除单独的水平分割 DNS 转发需求解决了这些挑战。正如 AWS 高级解决方案架构师 Esra Kayabali 所解释的：

它通过多种协议提供 DNS 解析，包括 DNS over UDP (Do53)、DNS-over-HTTPS (DoH) 和 DNS-over-TLS (DoT)。每个部署都提供一组通用的 IPv4 和 IPv6 任播（Anycast）IP 地址，将查询路由到最近的 AWS 区域，从而降低分布式客户端群体的延迟。

(来源: AWS News Blog Post)

️ 集成高级安全功能

该服务集成了相当于 Route 53 Resolver DNS Firewall 的安全功能，实现了聚焦式的策略执行。关键的安全能力包括：

• 托管过滤：管理员使用 AWS 托管域名列表（AWS Managed Domain Lists）来阻止恶意软件和网络钓鱼等威胁，或限制特定的 Web 内容。
• 行为保护：解析器可以检测并阻止域名生成算法（DGA）模式和 DNS 隧道尝试。
• 加密传输：支持 DoH 和 DoT，保护查询在传输过程中免受未经授权的访问。

为了支持 零信任架构，Global Resolver 仅接受来自经过身份验证的客户端的流量。除了标准的 IP/CIDR 允许列表外，该服务还引入了用于 DoH 和 DoT 连接的基于令牌的身份验证。这提供了细粒度的控制，允许管理员为特定客户端组或单个远程设备分配和撤销令牌。

从区域依赖到全球弹性

Abhijeet Kulkarni 在一篇 LinkedIn 帖子中指出，传统的 DNS 依赖于区域绑定的解析器，故障可能会放大中断影响，而 Global Resolver 引入了一种根本不同的运营模式。

通过 Anycast 将解析移动到边缘，DNS 默认变得全球分布。Kulkarni 强调，这提供了“解析层的故障隔离”，确保区域性中断在 DNS 层被吸收，而不是在网络中级联。这有效地将 DNS 从区域依赖转变为弹性的全球系统边界。

可用性与定价

预览版目前在多个全球区域可用，包括美国东部（北弗吉尼亚、俄亥俄）、美国西部（北加利福尼亚、俄勒冈）、欧洲（法兰克福、爱尔兰、伦敦）和亚太地区（孟买、新加坡、东京、悉尼）。定价详情可在官方 Route 53 定价页面上找到。

️ 笔者锐评

DNS 一直是混合云架构中最容易被忽视但又最致命的单点故障之一。AWS 这次推出的 Global Resolver 实际上是将 DNS 解析能力“边缘化”和“服务化”了。以前我们需要在每个 VPC 里小心翼翼地配置 Forwarder，目前可以直接使用全球 Anycast IP。这不仅简化了配置，更重大的是将 DNS 的可用性与单个 Region 的可用性解耦了。对于跨国企业和追求极致高可用的架构师来说，这是一个巨大的福音。

求点赞 求关注 ❤️ 求收藏 ⭐️ 你的支持是我更新的最大动力！