阿里云解析DNS产品面向企业内网场景(主要为阿里云VPC内网场景)提供的完整DNS解析服务。
概述
内网域名解析(Private Hosted Zone)服务是原“云解析PrivateZone”产品的全新升级,是阿里云解析DNS产品面向企业内网场景(主要为阿里云VPC内网场景)提供的完整DNS解析服务,涵盖内置权威、缓存、转发、递归等功能模块,为云上客户在VPC内网环境下的各种客户端(如ECS主机、容器)提供域名解析、内网域名解析加速、内网私有权威域名定义、云上与云下IDC解析流量转发、内网解析流量日志分析等服务。
产品能力
阿里云解析DNS产品通过在阿里云全球各个机房部署自研DNS软件,提供面向VPC内网场景的完整域名解析DNS服务(简称“内网DNS解析”服务),整个服务包括以下功能模块:
内置权威(原“云解析 PrivateZone”服务)
内置于企业内网(阿里云专有网络VPC)环境中的私有DNS权威模块。该服务允许创建只在您企业内网VPC中生效的私有权威域名,并可解析映射到IP地址。您可以方便地使用私有权威域名记录来管理VPC中的ECS主机名、SLB、OSS等阿里云资源,而这些私有权威域名在VPC之外将无法访问。此外,您还可以通过专线或VPN等连接方式,将您的VPC与传统数据中心相连,实现传统数据中心与阿里云VPC之间通过私有权威域名进行资源互相访问。
根据服务部署位置差异,内置权威服务位置区分为:加速区、普通区。原云解析 PrivateZone服务创建的私有权威域名都存放在普通区;加速区权威服务离解析请求源更近,加速区权威域名解析记录数据存放在DNS服务器高速内存,所以对加速区的私有权威域名解析消耗的时延最短,特别适合将注重解析时延和稳定性的域名创建为内网加速区权威域名,保障此类域名的解析体验。加速区支持分线路智能解析和权重解析功能,普通区不支持这两个功能。
2025年4月30日(UTC+8)起,新开通云解析PrivateZone的用户在创建Zone时,默认将设置为加速区Zone。
2025年10月30日(UTC+8)起,所有用户的普通区内置权威Zone将自动切换至加速区。切换后解析请求量可能增加,导致使用成本上升。建议为ECS开启NSCD,以减少无本地缓存引发的解析请求增长。
缓存
内网DNS解析服务的缓存模块,主要用于加速域名在企业内网VPC的解析速度。通常VPC内网中的所有域名解析请求,都会将解析结果存储到DNS服务器高速缓存内存中,以便下次对相同域名进行解析时能快速获得解析结果。缓存中存放的解析应答结果持续时间受TTL时间影响,TTL到期后缓存效果会自动失效。您可以通过开启“缓存保持”功能,强制要求缓存服务将某些重点域名的解析结果持续保存在DNS服务器内存中不释放(TTL到期后如果有解析请求会先应答解析请求,再更新解析结果),缓存保持功能可以提升您重点域名在内网VPC环境中的解析速度,并可以避免域名在公网解析不可解析带来的异常影响(如:域名公网权威DNS服务故障)。具体请参考缓存管理。
转发(原云解析 PrivateZone的“解析器”服务)
内网DNS解析服务的转发模块(对应原云解析 PrivateZone产品中的“解析器”服务),通过创建域名转发规则和DNS出站终端节点,可将企业内网VPC中的特定域名解析请求流量转发到外部DNS系统,能够有效解决混合云、云上&云下的业务间调用场景。具体请参考转发管理。
递归
内网DNS解析服务的递归模块,主要为企业内网VPC环境中的各类终端(如ECS主机)提供出公网的域名递归解析服务。该服务为阿里云VPC内网解析场景默认提供的免费服务,但不承诺服务SLA。您也可以通过修改ECS上的默认DNS服务器IP地址(100.100.2.136/100.100.2.138),实现使用其他厂商的DNS服务器做解析(此时该ECS将整体无法使用阿里云解析DNS提供的内网解析服务)。
入站终端节点
入站终端节点是指内网DNS解析服务的NameSever地址,可作为云内客户端(ECS或者容器)的DNS服务地址进行配置,也可作为云外客户端 (云外主机或者云外DNS) 访问云内DNS解析服务的目标IP地址进行配置。入站终端节点分为“系统分配”和“自定义”两类,系统分配的默认内网DNS解析服务地址是100.100.2.136和100.100.2.138,以anycast任播方式对所有地域的所有VPC提供DNS解析服务,该地址可免费使用,不产生额外的地址使用费用;
如果您希望使用VPC内自己规划的私网IP地址提供内网DNS解析服务,可以通过创建入站终端节点来分配自定义的内网DNS解析服务地址,该地址按需创建,按量计费。具体请参考入站终端节点。
流量分析
内网DNS解析服务提供端到端、全链路、可视化的域名解析流量分析服务,完整还原从收到域名解析请求、域名解析过程、最终返回DNS解析应答的全链路过程。提供解析时延、解析请求量、解析命中缓存率、热点域名、热点请求来源等各个维度的数据分析,为您优化解析设置提供数据参考。
内网DNS解析服务产品规则仅对企业内网VPC中DNS服务器地址配置为100.100.2.136/100.100.2.138或者通过入站终端节点自定义的IP的终端发起的解析请求有效(若将ECS终端的DNS设置修改为其他IP地址,则阿里云解析DNS内网解析服务的产品规则无法在该ECS上生效)。
解析规则优先级说明
企业内网VPC场景中,DNS服务器收到一次域名解析请求后,会按如下优先级规则对域名进行解析:
产品优势
丰富的产品功能
智能解析:支持内网域名解析针对来源于某个特殊IP段的DNS查询请求返回特定的IP地址,目前支持阿里云解析线路及自定义解析线路。
权重解析:相同主机记录、相同的解析请求来源配置多个IP地址或域名地址时,支持对每个记录值设置权重,在应答DNS查询时,所有IP地址/域名地址按照预先设置的权重比例返回,将解析流量分配到不同的服务器上,从而达到负载均衡的目的。
缓存保持:支持用户对热点域名、重点域名设置缓存保持,设置缓存保持的域名解析记录会一直保存在缓存中,提高域名在内网DNS解析速度,规避域名的权威DNS厂商服务故障引起的解析服务中断影响。
缓存清除:有些内网业务在紧急变更情况下,需要及时刷新内网DNS域名的最新解析记录。如果域名已经设置为缓存保持域名,可以通过缓存清除功能清除用户缓存保持域名在缓存规则生效范围对应缓存服务器上的数据。
转发管理:支持将企业内网VPC中的特定域名解析请求流量转发到外部DNS系统,能够有效解决混合云、云上&云下的业务间调用场景。
流量分析:提供端到端、全链路、可视化的流量分析服务,完整还原从收到域名解析请求、域名解析过程、最终返回DNS解析应答的全链路过程。并且提供图形化报表方便用户查阅,您可以根据解析流量数据变化及时调整您的业务架构。
安全隔离
内网DNS解析对不同的VPC实现完全数据隔离,具有以下安全特性:
域名(Zone)不会在Internet上被查询到,避免您的内部业务信息、内部系统架构被外界恶意探测。
域名(Zone)不会在域名生效范围外被查询到,界定了您的内部系统访问边界,将核心数据访问限制在最小范围。
域名(Zone)数据结合网络隧道特性,经过严密的安全处理,使您的域名(Zone)信息无法被恶意破解。
灵活控制
您可以无限制地添加或定制内网域名(Zone)文件。
您可以在内网DNS内添加任何域名(Zone),例如:
taobao.com,设置域名生效范围后,taobao.com将覆盖公网上的DNS解析结果。您可以在VPC内定制无法实际注册的域名。例如:
example.test,example.abcd等。您可以将相同名称的域名(Zone)设置不同的域名生效范围,使不同Region的VPC通过相同的域名,访问不同的云资源,实现就近访问。例如:在华北2和华东2的VPC内查询
test.example.com时,DNS会分别返回华北2和华东2的云资源地址。
应用场景
主机名管理
通过规范ECS主机名命名方式,使机器用途更容易理解看懂。借助内网解析服务“主机名记录”功能自动同步配置ECS主机名解析记录,实现通过主机名访问ECS。
例如,某公司(example.com)在华北2可用区E的VPC内有50台ECS机器,其中20台ECS用于官网首页、20台ECS用于移动端App、10台用于内部测试环境。那么可以按照以下方式来规划主机名:
官网:web01.huabei2-e.example.com 至 web20.huabei2-e.example.com
App:m01.huabei2-e.example.com 至 m20.huabei2-e.example.com
测试:test01.huabei2-e.example.com 至 test10.huabei2-e.example.com
这样配置后,通过内网解析服务定义某个内网权威域名,并开启ECS主机名记录自动同步功能,实现在特定VPC网络通过主机名访问ECS的用途,提升了日常主机管理的便捷性。
分线路解析
老版本PrivateZone服务不支持分线路智能解析(不支持自定义线路、阿里云线路)。而升级后的内网DNS解析 (PrivateZone) 支持分线路智能解析,会判断访问者的来源,为不同的访问者智能返回不同的IP地址,可使访问者在访问网站时获取用户指定的IP地址,提升网站访问速度。只有内置权威加速区域名支持智能解析,包括阿里云线路和自定义解析线路。
权重解析
当域名(Zone)下存在相同主机记录、相同解析线路的多条A记录、AAAA记录、CNAME记录时,例如做业务迁移时,需要将业务从IP1迁移至IP2,此过程要求流量逐步切换,就需要对IP1和IP2承接的业务流量动态切换,您可以通过设置解析记录的权重值,在应答DNS查询时,所有地址按照预先设置的权重返回不同的解析结果,将解析流量分配到不同的服务器上,从而达到负载均衡的目的。只有内置权威加速区域名支持分权重智能解析功能。
云上服务实例化
对于部署在云上的服务,往往涉及服务之间的互访。通过使用内网解析服务,为每个云上服务生成VPC内网权威域名并解析到具体的服务内网IP地址,将云上服务实例化,大大降低服务IP地址变更对研发的改动。
例如在API管理场景,假设某公司(example.com)业务系统需要通过内部API接口获取账号鉴权信息。但是该API系统涉及隐私,不能暴露在公网,因此API使用保留IP地址。
那么可以为该API分配域名 account.inner.example.com,并将其解析指向 10.23.45.67。在API服务地址变更为10.45.67.89时,只要把account.inner.example.com的解析变更为新的IP地址即可。
域名解析加速及容灾保护
随着互联网的发展,企业间域名互访现象突出,间接造成了服务依赖,一旦被依赖的域名在公网解析不稳定(如域名所用DNS服务没有全球节点导致的解析时延高、域名所用DNS服务宕机等),将导致依赖方的服务也受影响。
通过使用内网解析服务“缓存管理”功能,可以在VPC内网环境极大提升对域名的解析速度,并确保域名解析不受域名所用DNS服务商稳定性影响。开启缓存保持后,域名的解析缓存不会被清除,从而实现内网VPC中域名解析能100%命中缓存数据,极大提升域名在内网VPC中的解析速度。在缓存TTL到期后,域名解析请求将会触发系统对域名解析结果的更新,如果此时域名所用的公网权威DNS服务异常,系统依然会使用老的缓存的解析结果继续应答,确保解析应答正常,从而在域名所用DNS服务异常时起到容灾保护。
云上云下解析数据互通
在大型企业集团业务逐步上云的过程,往往涉及企业内网(云上VPC+企业IDC)中域名解析如何平滑过渡问题。在未上云时,企业内部可能会有自建DNS服务,并往往定义了较多内网私有域名用于内部服务互访;在企业上云后,迁移上云的服务需要依然可以正常解析访问原有的IDC内网中的私有域名。
通过使用内网解析服务“转发管理”功能(Resolver解析器),可以将VPC内某些特定域名的解析请求转发到特定DNS服务进行解析。在企业云上VPC内的服务访问原有的私有域名时,将此类私有域名解析请求转发到原企业自建DNS进行解析,确保此类私有域名解析逻辑不变,为业务平滑迁移上云提供保障。
通过使用内网DNS解析“入站终端节点”功能,可以将IDC内的域名解析请求通过入站终端节点转入对应VPC内解析,并且用户可以自定义云内DNS解析服务的目标IP地址,以免与本地IDC内地址段冲突。这样云上云下只需要维护一套DNS解析系统,降低运维工作量。
流量分析
目前众多阿里云产品均集成内网DNS解析服务,但以往的服务是黑盒化的,用户对于内网DNS的解析服务情况了解甚少,用户无法根据域名解析情况及时调整业务架构。而本次内网DNS解析服务提供端到端、全链路、可视化的域名解析流量分析服务,完整还原从收到域名解析请求、域名解析过程、最终返回DNS解析应答的全链路过程。提供解析时延、解析请求量、解析命中缓存率、热点域名、热点请求来源等各个维度的数据分析,为业务优化解析设置提供数据参考。