原理

內網DNS解析利用阿里云VPC（Virtual Private Cloud）的隧道隔離特性（具體請查看什么是專有網絡），對您的內網域名執行隧道隔離。不同VPC下關聯的域名因其隧道ID不同，無法跨VPC訪問。

同時，阿里云的DNS采取了嚴格的驗證機制，確保您的私有域名在阿里云網絡內的唯一性，只有您自己才可以對其進行管理。

邏輯架構

一個內置權威Zone（例如example.com），域名生效范圍可以設置一個VPC，也可以設置多個VPC。設置域名生效范圍后，設置的域名解析記錄在相應的VPC內便可以被訪問。

功能概述

域名（Zone）

• 域名（Zone）：域名（Zone）文件中包含您需要管理的域名或子域名的資源記錄。域名（Zone）文件也是大多數DNS軟件用來管理域名空間的工具。

  內網DNS解析支持添加子域名（Sub Zone），域名 (Zone) 和子域名 (Sub Zone) 可以共存，但是子域名（Sub Zone）中的資源記錄將會覆蓋域名（Zone）中的資源記錄。

• 主機記錄：子域名的前綴稱為主機記錄，例如www。沒有前綴的主域名使用@作為主機記錄。

• 記錄類型：內網DNS解析支持的記錄類型如下表所示。

  記錄類型	描述
  A	用來指定域名的 IPv4 地址（例如 223.5.XX.XX），若需要將域名指向一個 IPv4 地址，則需要添加 A 記錄。
  AAAA	用來指定域名的 IPv6 地址（例如 BF02::0:0:0:0:XX:XX），若需要將域名指向一個 IPv6 地址，則需要添加 AAAA 記錄。
  CNAME	別名記錄，指向另外一個域名。
  MX	郵件服務器記錄，標識該域名的郵件服務器。
  TXT	雙引號標記的一些字符串，不超過512字符。例如申請SSL證書則需要添加TXT記錄。
  PTR	將IP地址反向映射到域名。

• TTL：域名解析結果在緩存模塊中的緩存時間。例如TTL設置為60秒，即表示外部DNS系統主動查詢這個域名的時候，如果這個解析結果在首次查詢之后被外部DNS系統緩存了，那么在60秒的時間內，這個外部DNS系統都將用這個緩存記錄進行應答。內網DNS解析中內置權威分為普通區和加速區，其TTL值的影響如下表所示。

  當TTL值通過內置權威加速區設置時：

  解析請求來源	解析結果緩存位置	描述
  云上終端訪問100.100.2.136/100.100.2.138發起的DNS查詢	無	加速區解析結果直接返回給云上終端
  外部DNS系統（入向）轉發進來的DNS查詢	外部DNS系統（入向）緩存模塊	加速區解析結果首先返回給外部DNS系統（入向）緩存模塊，由緩存模塊再返回給發起DNS查詢請求的終端

  當TTL值通過內置權威普通區設置時：

  解析請求來源	解析結果緩存位置	描述
  云上終端訪問100.100.2.136/100.100.2.138發起的DNS查詢	100.100.2.136/100.100.2.138的緩存模塊	普通區解析結果先返回給100.100.2.136/100.100.2.138的緩存模塊，然后由緩存模塊返回給云上終端
  外部DNS系統（入向）轉發進來的DNS查詢	外部DNS系統（入向）的緩存模塊、100.100.2.136/100.100.2.138的緩存模塊	普通區解析結果首先返回給100.100.2.136/100.100.2.138的緩存模塊，再由100.100.2.136/100.100.2.138緩存模塊返回給外部DNS系統（入向）緩存模塊，由外部DNS系統（入向）緩存模塊再返回給發起DNS查詢請求的終端

  當TTL值通過外部DNS系統（如云下IDC自建DNS、公網權威DNS）設置時：

  解析請求來源	解析結果緩存位置	描述
  云上終端訪問100.100.2.136/100.100.2.138發起的DNS查詢	100.100.2.136/100.100.2.138的緩存模塊	外部系統DNS（出向）解析結果先返回給100.100.2.136/100.100.2.138的緩存模塊，然后由緩存模塊返回給云上終端
  外部DNS系統（入向）轉發進來的DNS查詢	外部DNS系統（入向）的緩存模塊、100.100.2.136/100.100.2.138的緩存模塊	外部系統DNS（出向）解析結果首先返回給100.100.2.136/100.100.2.138的緩存模塊，再由100.100.2.136/100.100.2.138緩存模塊返回給外部DNS系統（入向）緩存模塊，由外部DNS系統（入向）緩存模塊再返回給發起DNS查詢請求的終端

域名生效范圍

• 設置域名生效范圍：您可以將域名（Zone）關聯到需要訪問的一個或多個VPC，相同名稱的域名（Zone）不能關聯同一個VPC。例如，當同時存在兩個example.com時，無法將兩個example.com都和相同的VPC關聯，否則在執行DNS查詢時，DNS服務器無法判斷需要響應的解析結果。當您確定某些VPC不需要訪問某個域名（Zone）時，可以將這些VPC從域名生效范圍中移除。

反向解析

• 反向解析：域名反向解析指從IP地址到域名的映射，即通過查詢IP地址的PTR記錄來得到該IP地址指向的域名。

• 反解域名（Zone）：在Internet域名空間中特地劃出的一部分名字空間用作反向映射，這部分名字空間被稱為in-addr.arpa 域。例如，168.192.in-addr.arpa這個域名（Zone）包含的就是所有IP地址以192.168開頭的主機的反向映射信息。

• PTR記錄：IP地址到域名的映射，該類型映射使用的DNS資源記錄是PTR（pointer指針）記錄。

產品優勢

豐富的產品功能

智能解析：支持內網域名解析針對來源于某個特殊IP段的DNS查詢請求返回特定的IP地址，目前支持阿里云解析線路及自定義解析線路。

權重解析：相同主機記錄、相同的解析請求來源配置多個IP地址或域名地址時，支持對每個記錄值設置權重，在應答DNS查詢時，所有IP地址/域名地址按照預先設置的權重比例返回，將解析流量分配到不同的服務器上，從而達到負載均衡的目的。

緩存保持：支持用戶對熱點域名、重點域名設置緩存保持，設置緩存保持的域名解析記錄會一直保存在緩存中，提高域名在內網DNS解析速度，規避域名的權威DNS廠商服務故障引起的解析服務中斷影響。

緩存清除：有些內網業務在緊急變更情況下，需要及時刷新內網DNS域名的最新解析記錄。如果域名已經設置為緩存保持域名，可以通過緩存清除功能清除用戶緩存保持域名在緩存規則生效范圍對應緩存服務器上的數據。

轉發管理：支持將企業內網VPC中的特定域名解析請求流量轉發到外部DNS系統，能夠有效解決混合云、云上&云下的業務間調用場景。

流量分析：提供端到端、全鏈路、可視化的流量分析服務，完整還原從收到域名解析請求、域名解析過程、最終返回DNS解析應答的全鏈路過程。并且提供圖形化報表方便用戶查閱，您可以根據解析流量數據變化及時調整您的業務架構。

安全隔離

內網DNS解析對不同的VPC實現完全數據隔離，具有以下安全特性：

• 域名（Zone）不會在Internet上被查詢到，避免您的內部業務信息、內部系統架構被外界惡意探測。

• 域名（Zone）不會在域名生效范圍外被查詢到，界定了您的內部系統訪問邊界，將核心數據訪問限制在最小范圍。

• 域名（Zone）數據結合網絡隧道特性，經過嚴密的安全處理，使您的域名（Zone）信息無法被惡意破解。

靈活控制

您可以無限制地添加或定制內網域名（Zone）文件。

• 您可以在內網DNS內添加任何域名（Zone），例如：taobao.com，設置域名生效范圍后，taobao.com將覆蓋公網上的DNS解析結果。

• 您可以在VPC內定制無法實際注冊的域名。例如：example.test，example.abcd等。

• 您可以將相同名稱的域名（Zone）設置不同的域名生效范圍，使不同Region的VPC通過相同的域名，訪問不同的云資源，實現就近訪問。例如：在華北2和華東2的VPC內查詢test.example.com時，DNS會分別返回華北2和華東2的云資源地址。