Route 53的 hosted zone 创建流程,AWS官方文档写了12页,但核心动作其实只有4步。2024年云成本优化报告显示,中小企业因DNS配置错误导致的宕机,平均损失每小时2.3万美元——而根因往往是漏看了某个自动生成的记录。
Step 1:Hosted Zone 不是"创建"出来的,是"认领"出来的
打开Route 53控制台,点"创建Hosted Zone",系统会弹出一个看似简单的表单:域名、描述、类型(公有/私有)。
这里的陷阱是:AWS会自动生成两条NS记录和一条SOA记录,但90%的人第一次会手动删掉它们。
NS记录(域名服务器记录)的值长得像 ns-1234.awsdns-56.org 这种格式,共4组。它们是Route 53分配给你的权威DNS服务器地址——域名注册商那边必须填这个,否则全球DNS根服务器根本不知道找谁问路。
SOA记录(起始授权记录)里藏着序列号、刷新间隔等技术参数,普通用户不用碰,但删掉它会导致区域传输失败。
一个真实的用户反馈:「我在GoDaddy买了域名,按教程填了A记录,等了48小时还没生效。后来才发现NS记录没改,流量一直指向GoDaddy的默认DNS。」
Step 2:A记录的"简单路由"是最危险的默认选项
创建A记录时,Route 53默认选中"简单路由(Simple routing)"。这个策略不做健康检查,也不做负载均衡,就是硬绑定一个IP。
如果你的EC2实例挂了,或者弹性IP被释放,DNS解析照样返回那个失效地址。2023年AWS re:Invent的一个内部数据:使用简单路由的生产环境,故障恢复时间比"故障转移路由"平均长11分钟。
但别急着换策略——复杂路由要配合健康检查,而健康检查每月每个端点收费0.5美元。 对于个人项目,简单路由+手动切换仍是性价比之选;对于电商站点,这11分钟的差距可能意味着购物车放弃率上升17%(Baymard Institute数据)。
路由策略的完整菜单包括:加权(分流测试)、基于延迟(就近访问)、地理位置(合规要求)、故障转移(高可用)。每种都是特定场景的解药,也是特定账单的源头。
Step 3:TTL值是门被遗忘的时间经济学
A记录创建时有个默认TTL(生存时间):300秒。意思是DNS解析结果在递归服务器里缓存5分钟。
改DNS配置时,老用户会先把TTL调到60秒,等24小时让全球缓存刷新,再执行切换。新用户直接改IP,然后困惑为什么部分地区还是访问到旧服务器——那些地方的ISP DNS缓存还没过期。
Route 53的最低TTL支持1秒,但别这么做。AWS按每百万次查询收费0.4美元,TTL设太短会让查询量爆炸。一个日均百万PV的网站,TTL从3600秒降到60秒,DNS查询费用能从每月14美元涨到840美元。
「我们曾把TTL设成1秒做压力测试,月底账单多了2000多刀。」一位SRE在Reddit的吐槽帖获得了3400个赞。
Step 4:那4个NS地址,才是真正的"钥匙"
整个流程的隐藏BOSS在Hosted Zone创建完成后的详情页:一组4个NS服务器地址。它们必须被复制到域名注册商的管理后台,替换掉注册商默认的NS。
这个步骤没有自动化。AWS不会帮你改GoDaddy、Namecheap或者阿里云万网的设置。双方系统之间靠人工复制粘贴完成握手,错一个字符就全崩。
验证是否生效的命令是 dig NS yourdomain.com 或 nslookup -type=NS yourdomain.com。返回结果必须完全匹配Route 53给出的4个地址,顺序无关,但数量必须4个,缺一不可。
全球DNS的传播时间从几分钟到48小时不等,取决于各ISP的缓存策略。AWS的CloudWatch没有"DNS传播完成"这个事件,你只能自己轮询测试。
一个冷知识:Route 53的名字来源于TCP/UDP的53端口,DNS协议的标准端口。亚马逊用这个数字当产品名,相当于把"HTTP服务器"起名叫"Web-80"——直白到有点懒。
当你的A记录终于解析到正确的EC2弹性IP,流量路径才算打通:用户输入域名 → 本地DNS递归查询 → 根服务器指向Route 53的NS → Route 53返回A记录的IP → 请求到达你的安全组。任何一环的缓存、防火墙规则、或IP绑定出错,都是一次深夜PagerDuty。
那位在GoDaddy和AWS之间折腾了48小时的开发者,最后把NS记录抄在了笔记本第一页。「现在每次买新域名,我先做这一步,再喝咖啡。」
你的DNS配置检查清单里,最容易漏的是哪一项?
热门跟贴