在同一Virtual Private Cloud內,使用私網網域名稱進行ECS執行個體間的網路連接,可以避免因IP地址變動導致的服務訪問問題,極大地簡化大規模內部網路的管理,同時保持與公用互連網的分離,為內部通訊提供了更強的安全性和隔離性。
ECS私網網域名稱解析當前處於邀測階段。
ECS私網網域名稱
ECS私網網域名稱是指在VPC中為ECS執行個體分配的內部網域名稱,該網域名稱用於在VPC內部對ECS執行個體進行標識和訪問。
ECS私網網域名稱構成
ECS私網網域名稱為四級網域名稱,按"."分割級數。例如i-8ps2h6dsc74cuktb****.ap-southeast-3.ecs.internal或ip-172-16-0-89.ap-southeast-3.ecs.internal。構成說明如下:
頂級網域名稱(.internal):ECS的內部網域名稱,用於內部網路。
次層網域(.ecs):ECS的產品標識。
子網域名稱(.實際的regionID):可用性區域的ID。例如,如果您選擇馬來西亞地區,那麼regionID為ap-southeast-3。關於可用性區域ID詳細說明,請參見地區和可用性區域。
主機標識:指向具體的某一台ECS執行個體,ECS支援基於IP格式的主機名稱和基於資源ID格式的主機名稱:
基於IP格式主機名稱:ECS執行個體的主私網IPv4地址樣式的主機名稱,例如ip-171-16-0-89(執行個體的主私網IPv4地址為172.16.0.89)。
基於ID格式主機名稱:ECS執行個體的ID作為主機名稱,例如i-8ps2h6dsc74cuktb****(執行個體的ID為i-8ps2h6dsc74cuktb****)。如果您是IPv6通訊,那麼可以選擇基於執行個體ID格式的主機名稱。
ECS私網網域名稱使用限制
傳統網路執行個體不支援私網網域名稱功能。
私網網域名稱生效範圍只在VPC內部,不支援跨VPC私網網域名稱通訊。
私網網域名稱僅支援解析為主網卡的主私網IP地址,輔助私網IP地址不支援對應的私網網域名稱。
VPC內每台ECS機器每秒最高DNS閾值為5000次,單機每秒請求DNS峰值超過限制閾值後,將面臨限速風險,可用性SLA(99.99%)將無法得到保證。
常見應用情境
主機名稱管理:通過私網網域名稱解析服務,結合配置ECS主機名稱類型為基於IP格式或基於ID格式,實現在特定VPC網路通過主機名稱訪問ECS的用途,提升了日常主機管理的便捷性。
雲上服務執行個體化:對於部署在雲上的服務,往往涉及服務之間的互訪。通過使用私網網域名稱解析,為每個雲上服務產生VPC內網權威網域名稱並解析到具體的服務內網IP地址,將雲上服務執行個體化,大大降低服務IP地址變更對研發的改動。
私網網域名稱解析服務
私網網域名稱的產生和解析生效是通過DNS解析服務實現的。DNS解析服務是一種網路服務,它負責將網域名稱轉換為IP地址。ECS私網網域名稱解析服務依賴阿里雲的內網DNS解析。內網DNS解析服務地址為系統預設分配(100.100.2.136和100.100.3.138)。
ECS私網網域名稱解析記錄
解析記錄是DNS伺服器中用於將網域名稱映射到IP地址的資料條目,這些記錄定義了網域名稱與IP地址之間的對應關係,當使用者嘗試訪問一個網域名稱時,DNS解析服務會尋找相應的解析記錄,將網域名稱轉換為相應的IP地址。
解析記錄的TTL(Time To Live):TTL是一個以秒為單位的時間值,用於指定DNS記錄在緩衝中的有效時間。當DNS記錄被查詢並緩衝後,TTL值決定了該記錄在緩衝中可以保留多長時間。私網網域名稱解析記錄的TTL預設為1分鐘。
解析記錄類型:ECS私網網域名稱解析目前支援以下四種解析記錄:
記錄類型
含義
產生的私網網域名稱
解析樣本
應用情境
IP 格式主機名稱到執行個體主私網 IPv4 的 DNS 解析(A記錄)
將產生的IP格式私網網域名稱映射到執行個體的主私網IPv4地址。
ip-[主私網IPv4樣式字串].[regionID].[ecs.internal]
ip-192-168-1-1.region-name.ecs.internal 解析為 192.168.1.1
ECS執行個體訪問:通過將執行個體IP格式的主機名稱映射到對應的IPv4地址,可以方便地在雲端服務內部進行服務發現和通訊。
執行個體 ID 格式主機名稱到執行個體主私網 IPv4的 DNS 解析(A記錄)
將產生的執行個體DI格式私網網域名稱映射到執行個體的主私網IPv4地址。
[執行個體ID].[regionID].[ecs.internal]
i-bp1hs9xdprd7xq4p****.region-name.ecs.internal 解析為 192.168.XX.XX
自動化部署與管理:ECS執行個體可能由於頻繁建立、銷毀或遷移等原因,導致IP地址發生變化。通過執行個體ID格式的主機名稱進行DNS解析,可以自動將最新的IP地址與主機名稱綁定,簡化了組態管理和營運工作。
安全性和隔離性:在某些安全性原則嚴格的環境下,直接使用IP地址可能不被允許,特別是對於外部存取。使用執行個體ID格式的主機名稱並通過內部DNS解析,可以在保持網路隔離的同時,提供對雲資源的安全存取控制。
執行個體 ID 格式主機名稱到執行個體主私網 IPv6的 DNS 解析(AAAA記錄)
重要在選擇了分配IPv6地址時可選。
將產生的執行個體ID格式私網網域名稱映射到執行個體的主私網IPv6地址。
[執行個體ID].[regionID].[ecs.internal]
i-bp1hs9xdprd7xq4p****.region-name.ecs.internal 解析為 2408:XXXX:17:8aff:7833:3724:XXXX:XXXX
IPv6網路連接:當一個主機或服務同時支援IPv4和IPv6時,AAAA記錄使得支援IPv6的用戶端能夠通過IPv6地址建立串連,從而利用IPv6網路的更大地址空間和改進的通訊效率。
執行個體主私網 IPv4到 IP 格式主機名稱的反向DNS解析(PTR記錄)
將執行個體的主私網IPv4地址映射到產生的IP格式私網網域名稱。
ip-[主私網IPv4樣式字串].[regionID].[ecs.internal]
192.168.0.1 解析為 ip-192-168-0-1.cn-hangzhou.ecs.internal
垃圾郵件過濾:許多電子郵件伺服器使用反向DNS來驗證發送郵件的伺服器是否合法。如果一個IP地址不能正確地反向解析為一個網域名稱,或者該網域名稱與發出郵件的伺服器的HELO/EHLO標識不符,郵件可能會被標記為潛在的垃圾郵件或直接拒絕。
日誌分析與追蹤:在網路安全和系統管理中,通過反向DNS查詢可以將IP地址轉換為更容易理解的網域名稱形式,便於在記錄檔中進行分析和追蹤來源,尤其是在調查異常流量、入侵企圖或分析使用者行為時。
網路診斷與故障排查:當需要識別特定IP地址所對應的伺服器或服務時,反向DNS解析可以協助管理員快速定位問題所在,尤其是在處理與特定伺服器互動的問題時。
配置ECS私網網域名稱解析
VPC啟用/禁用DNS主機名稱功能
VPC啟用/禁用DNS主機名稱是ECS執行個體私網網域名稱解析功能的總開關。VPC開啟DNS主機名稱後,ECS執行個體的私網網域名稱才會生效;VPC禁用DNS主機名稱後,ECS執行個體的私網網域名稱失效。
啟用DNS主機名稱:VPC啟用DNS主機名稱功能後,DNS解析服務會產生雲產品內建權威Zone,格式為[regionID].ecs.internal(比如,如果您在馬來西亞建立VPC並開啟DNS主機名稱功能,此時會產生名稱為ap-southeast-3.ecs.internal的內建權威Zone),此網域名稱僅在此VPC內部生效。詳細資料,請參見啟用DNS主機名稱實現VPC內ECS私網網域名稱訪問。
重要VPC啟用DNS主機名稱功能後,您配置的ECS私網網域名稱解析才會生效。
禁用DNS主機名稱:與該VPC關聯的內建權威Zone被刪除,ECS執行個體的私網網域名稱失效,通過私網網域名稱訪問無法解析為執行個體對應的IP地址。
重要如果您的應用中使用了私網網域名稱代替執行個體IP訪問對應的資源,禁用DNS主機名稱功能後,可能會導致您的應用訪問資源異常。
在ECS中配置私網網域名稱解析
ECS私網網域名稱和執行個體IP地址的映射關係(即ECS私網網域名稱解析記錄)需要在ECS中進行配置,您可以在購買執行個體時候或者在購買執行個體後根據需要啟用或取消不同的解析映射。具體操作樣本如下所示:
購買頁配置私網網域名稱解析
操作步驟
前往執行個體購買頁。
選擇自訂購買頁簽。
按需選擇付費類型、地區、執行個體規格、鏡像等配置。
各配置項詳細說明,請參考配置項說明。
在購買頁下方,點擊展開進階選項(選填)配置私網網域名稱解析。
根據實際情境,選擇對應的私網網域名稱和IP地址的映射關係,支援多選。關於解析記錄,請參見ECS私網網域名稱解析記錄。
編輯執行個體屬性配置私網網域名稱解析
操作步驟
登入ECS管理主控台。
在左側導覽列,選擇。
找到目標ECS執行個體,在操作列中,選擇
> 執行個體屬性 > 編輯執行個體屬性,彈出編輯執行個體屬性的對話方塊。根據實際情境,選擇對應的私網網域名稱和IP地址的映射關係,支援多選。關於解析記錄,請參見ECS私網網域名稱解析記錄。
點擊確定,完成ECS私網網域名稱解析配置。
VPC啟用DNS主機名稱,且ECS中配置私網網域名稱完成後,您可以在同VPC的另一台執行個體上通過私網網域名稱訪問此執行個體,具體資訊,請參見基於IP格式的網域名稱實現訪問。
通過控制台查看ECS私網網域名稱解析
您可以在執行個體詳情頁查看執行個體私網網域名稱解析,具體操作樣本如下:
登入ECS管理主控台。
在左側導覽列,選擇。
在執行個體列表中找到目標ECS執行個體,點擊執行個體ID。
選擇執行個體詳情頁簽,查看下方的其他資訊>私網網域名稱解析,顯示目前配置的私網網域名稱解析記錄數。
滑鼠懸浮在私網網域名稱解析具體數量,查看當前ECS執行個體配置的私網網域名稱和IP地址的映射關係。
驗證ECS私網網域名稱解析
您可以在配置了私網網域名稱映射的ECS執行個體本機上,或者在同一VPC內與此ECS執行個體內網互連的另一台ECS執行個體上,通過命令驗證私網網域名稱解析是否生效。不同作業系統查詢DNS的命令樣本如下:
私網網域名稱解析記錄更新後,生效時間受TTL影響,具體資訊,請參見解析記錄的TTL。
通過host命令查詢執行個體的DNS
host 命令是一個Linux中用於查詢 DNS(網域名稱系統)資訊的工具 + 生產力,該命令允許使用者查詢網域名稱與IP地址之間的映射關係,以及執行反向尋找,即根據IP地址查詢對應的網域名稱。
host安裝:Linux執行個體預設不支援host命令,您需要通過
sudo yum install bind-utils進行安裝。查詢樣本:
說明本樣本中開啟了私網網域名稱解析的執行個體資訊如下,您需要根據實際情況替換您實際的IP地址、執行個體ID。
執行個體ID:i-8psi44j4o4yqoh2b****
地區ID:ap-southeast-3
IPv4地址:172.16.0.89
IPv6地址:240b:XXXX:41:b200:1ca9:f9bb:ae4:1ea0
遠端連線Linux執行個體。
具體操作,請參見通過密碼或密鑰認證登入Linux執行個體。
根據啟用的私網網域名稱解析記錄,執行對應的
host命令,查詢DNS資訊。尋找IP格式網域名稱對應的IP地址(IP 格式主機名稱到執行個體主私網 IPv4 的 DNS 解析(A記錄)):
host ip-172-16-0-89.ap-southeast-3.ecs.internal
尋找執行個體ID格式網域名稱對應的IP地址(啟用執行個體 ID 格式主機名稱到執行個體主私網 IPv4 的 DNS 解析(A記錄)):
host i-8psi44j4o4yqoh2b****.ap-southeast-3.ecs.internal
尋找網域名稱對應的IPv6地址(啟用執行個體 ID 格式主機名稱到執行個體主私網 IPv6 的 DNS 解析(AAAA記錄)):
host -t AAAA i-8psi44j4o4yqoh2b****.ap-southeast-3.ecs.internal
DNS執行反向尋找,根據IP地址查詢關聯到的IP格式主機名稱產生的網域名稱(啟用執行個體主私網 IPv4 到 IP 格式主機名稱的反向DNS解析(PTR記錄)):
host 172.16.0.89
通過nslookup命令查詢執行個體的DNS
nslookup 是Windows中預裝的一個工具,它可以用來查詢DNS記錄。
查詢樣本:
說明本樣本中開啟了私網網域名稱解析的執行個體資訊如下,您需要根據實際情況替換您實際的IP地址、執行個體ID。
執行個體ID:i-8ps2h6dsc74cfy02****
地區ID:ap-southeast-3
IPv4地址:172.16.0.91
IPv6地址:240b:XXXX:41:b200:1ca9:f9bb:ae4:1e9a
遠端連線Windows執行個體。
具體操作,請參見通過密碼或密鑰認證登入Windows執行個體。
根據啟用的私網網域名稱解析記錄,執行對應的nslookup命令,查詢DNS資訊。
尋找IP格式網域名稱對應的IP地址(啟用 IP 格式主機名稱到執行個體主私網 IPv4 的 DNS 解析(A記錄)):
nslookup ip-172-16-0-91.ap-southeast-3.ecs.internal
尋找執行個體ID格式網域名稱對應的IP地址(啟用執行個體 ID 格式主機名稱到執行個體主私網 IPv4 的 DNS 解析(A記錄)):
nslookup i-8ps2h6dsc74cfy02****.ap-southeast-3.ecs.internal
尋找網域名稱對應的IPv6地址(啟用執行個體 ID 格式主機名稱到執行個體主私網 IPv6 的 DNS 解析(AAAA記錄)):
nslookup -type=AAAA i-8ps2h6dsc74cfy02****.ap-southeast-3.ecs.internal
DNS執行反向尋找,根據IP地址查詢關聯到的IP格式主機名稱產生的網域名稱(啟用執行個體主私網 IPv4 到 IP 格式主機名稱的反向DNS解析(PTR記錄)):
nslookup 172.16.0.91
ECS執行個體之間通過私網網域名稱通訊
在同一VPC下(開啟DNS主機功能)購買兩台ECS執行個體,ECS1和ECS2。在ECS1上啟用不同的私網網域名稱映射,在ECS2上執行ping <ECS1的私網網域名稱>命令測試私網網域名稱是否可以正確解析為IP地址。
本樣本中,ECS1的基本資料如下,您需要根據實際環境替換對應的IP地址和執行個體ID:
執行個體ID:i-8psi44j4o4yqoh2b****
主私網IPv4:172.16.0.89
IPv6:240b:XXXX:41:b200:1ca9:f9bb:ae4:1ea0
ECS1、ECS2需要滿足在同一VPC下內網互連的條件,本樣本中兩台執行個體在同一安全性群組,預設互連。如果您測試的兩台執行個體不在同一安全性群組,請參見實現不同安全性群組的執行個體內網互連。
如果測試IPv6訪問,您需要為ECS1、ECS2分別開通IPv6地址,具體資訊,請參見IPv6通訊。
基於IP格式的網域名稱實現訪問
ECS1上啟用 IP 格式主機名稱到執行個體主私網 IPv4 的 DNS 解析(A記錄),具體操作,請參見在ECS中配置私網網域名稱解析。
遠端連線ECS2執行個體,並執行如下命令,通過IP格式的私網網域名稱訪問ECS1。
說明遠端連線Linux執行個體,請參見通過密碼或密鑰認證登入Linux執行個體。
遠端連線Windows執行個體,請參見通過密碼或密鑰認證登入Windows執行個體。
您可以通過控制台查看ECS私網網域名稱解析,確認ECS1的私網網域名稱。
ping <ECS1的基於IP格式的私網網域名稱>本樣本中,命令如下所示:
ping ip-172-16-0-89.ap-southeast-3.ecs.internal通過執行結果,可以看到私網網域名稱成功被解析為ECS1的主私網IPv4地址:
基於ID格式的網域名稱訪問
ECS1上啟用執行個體 ID 格式主機名稱到執行個體主私網 IPv4 的 DNS 解析(A記錄),具體操作,請參見在ECS中配置私網網域名稱解析。
遠端連線ECS2執行個體,並執行如下命令,通過ID格式的私網網域名稱訪問ECS1。
說明遠端連線Linux執行個體,請參見通過密碼或密鑰認證登入Linux執行個體。
遠端連線Windows執行個體,請參見通過密碼或密鑰認證登入Windows執行個體。
您可以通過控制台查看ECS私網網域名稱解析,確認ECS1的私網網域名稱。
ping <ECS1的基於執行個體ID的私網網域名稱>本樣本中,命令如下所示:
ping i-8psi44j4o4yqoh2b****.ap-southeast-3.ecs.internal通過執行結果,可以看到私網網域名稱成功被解析為ECS1的主私網IPv4地址:
基於ID格式的網域名稱訪問(IPv6訪問)
在ECS1上啟用執行個體 ID 格式主機名稱到執行個體主私網 IPv6 的 DNS 解析(AAAA記錄),具體操作,請參見在ECS中配置私網網域名稱解析。
遠端連線ECS2執行個體,並執行如下命令,通過ID樣式私網網域名稱訪問ECS1。
說明遠端連線Linux執行個體,請參見通過密碼或密鑰認證登入Linux執行個體。
遠端連線Windows執行個體,請參見通過密碼或密鑰認證登入Windows執行個體。
您可以通過控制台查看ECS私網網域名稱解析,確認ECS1的私網網域名稱。
ping6 <ECS1的基於執行個體ID的私網網域名稱>本樣本中,命令如下所示:
ping6 i-8psi44j4o4yqoh2b****.ap-southeast-3.ecs.internal通過執行結果,可以看到私網網域名稱成功被解析為ECS1的主私網IPv6地址:
不同操作對ECS私網網域名稱解析的影響
執行個體變更VPC
如果ECS啟用了私網網域名稱解析,需要檢查您更換的目標VPC的DNS主機名稱功能是否開啟。
執行個體主私網IP變化
私網網域名稱服務 (DNS)自動重新對應:當您的執行個體主私網IPv4或IPv6發生變化時(比如您可以通過修改私人IP地址改變執行個體的IP地址),私網網域名稱解析DNS會刪除原IP對應的解析記錄,產生新的有效IP地址對應的解析記錄。
執行個體釋放
執行個體釋放後,執行個體所在VPC中內建權威Zone對應的,與該執行個體相關的解析記錄均會被刪除。無法通過私網網域名稱訪問該執行個體及其上的服務。