为 云服务器配置 内网 域名 总流程 为云服务器配置内网域名的流程如图2所示。 图2 内网域名配置流程 配置流程说明： “（可选）创建VPC及VPC子网”：在管理控制台虚拟私有云服务页面完成配置，仅当您在网站部署阶段为云服务器配置内网域名时，执行本操作。 “创建内网域名”和“创建记录集”：在管理控制台云解析服务页面完成相关配置。 “（可选）更改VPC子网的DNS”：在管理控制台虚拟私有云服务页面完成配置，仅当您为已运行网站的云服务器配置内网域名时，执行本操作。

方案概述 应用场景 网站在运行过程中，当某一台E CS 故障，需要将业务切换到备份的云服务器时，如果云服务器没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云服务器的内网IP地址，该操作需要中断业务并重新发布网站，耗时耗力。 内网域名功能支持为VPC内每个云服务器创建一个内网域名，在部署该网站时，我们为云服务器申请了内网域名，且代码中设置的是云服务器的内网域名，仅需要通过修改内网域名解析记录即可实现云服务器的切换，无需中断业务，也不需要重新发布网站。 方案架构 图1展示了某网站的逻辑组网，在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 图1 逻辑组网图 方案优势 通过内网域名访问VPC内的云服务器，无需经过Internet，访问速度更快、安全性更高。 在代码中使用内网域名代替内网IP。当需要进行云服务器切换时，只需通过修改内网域名解析记录即可，无需修改代码。

资源成本和规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 内网域名资源规划 资源 内网域名 关联VPC 内网IP 记录集类型 说明 ECS1 api.ecs.com VPC_001 192.168.2.8 A 公共接口ECS。 ECS2 api.ecs.com VPC_001 192.168.3.8 A 备份公共接口ECS。 RDS1 db.com VPC_001 192.168.2.5 A 数据库，用于存储业务数据。 RDS2 db.com VPC_001 192.168.3.5 A 备份数据库。 表2 资源和成本规划 区域 资源 资源名称 资源说明 数量 每月费用（元） 华北-北京四 虚拟私有云 VPC VPC_001 设置DNS服务器地址与华为云的内网 DNS地址 保持一致。 详细请参见华为云提供的内网DNS地址是多少？ 1 免费 弹性云服务器 ECS ECS ECS1 ECS2 内网域名：api.ecs.com 关联VPC：VPC_001 ECS1：公共接口ECS，内网IP：192.168.2.8 ECS2：备份公共接口ECS，内网IP：192.168.3.8 3 详细请参见弹性云服务器产品价格详情。 云数据库 RDS RDS1 RDS2 内网域名：db.com 关联VPC：VPC_001 RDS1：数据库，用于存储业务数据，内网IP：192.168.2.5 RDS2：备份数据库，内网IP：192.168.3.5 2 详细请参见 云数据库产品 价格详情。 云解析服务 api.ces.com db.com api.ces.com： 关联VPC：VPC_001 记录集类型：A，值：192.168.2.8 db.com 关联VPC：VPC_001 记录集类型：A，值：192.168.2.5 2 免费

实施步骤 创建公网域名 进入公网域名列表页面。 在公网域名页面，单击“创建公网域名”。 根据界面提示配置相关参数，参数说明如表4所示。 图3 创建公网域名 表4 创建公网域名参数说明 参数 说明 示例 域名 从域名注册商处购买的域名。 域名的格式请参见域名格式与级别。 domain.com 企业项目 公网域名关联的企业项目，用于将公网域名资源按照企业项目进行管理。 仅当用户使用的“账号类型”为“企业账号”时，显示该参数，且参数必选。 配置原则： 如果不通过企业项目管理域名资源，则采用默认值“default”。 如果通过企业项目管理域名资源，则在下拉列表中选择已经创建的企业项目。 在设置该参数前，您需要完成创建企业项目。 更多关于企业项目的信息，请参考《企业项目管理用户指南》。 default 标签 可选参数。 域名的标识，包括键和值，每个域名可以创建20个标签。 example_key1 example_value1 描述 可选参数。 域名的描述信息。 长度不超过255个字符。 This is a zone example. 单击“确定”。 添加记录集 在“公网域名”页面的域名列表中，单击待添加CAA记录集的域名domain.com。 系统进入domain.com的域名解析记录页面。 单击“添加记录集”。 系统进入“添加记录集”页面。 根据界面提示配置相关参数，参数说明如表5所示。 图4 添加CAA类型记录集 表5 添加CAA类型记录集参数说明 参数 说明 示例 记录类型 记录集的类型，此处为CAA类型。 添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 详细内容请参见为什么会提示解析记录集已经存在？。 CAA – CA证书颁发机构授权校验 主机记录 解析域名的前缀。 例如创建的域名为“domain.com”，其“主机记录”设置包括： www：用于网站解析，表示解析的域名为“www.domain.com”。 空：用于网站解析，表示解析的域名为“domain.com”。 主机记录置为空，还可用于为空头域名“@”添加解析。 abc：用于子域名解析，表示解析的域名为“domain.com”的子域名“abc.domain.com”。 mail：用于邮箱解析，表示解析的域名为“mail.domain.com”。 *：用于泛解析，表示解析的域名为“*.domain.com”，匹配“domain.com”的所有子域名。 置空 别名 用于是否将此记录集关联至云服务资源实例。 是：为此记录集关联云服务资源实例。 否：不为此记录集关联云服务资源实例。 否 别名记录 “别名”参数设置选择“是”时，该项必选。 用于设置记录集关联的华为云服务资源实例。 记录集支持关联的华为云服务资源实例包括：企业门户、 Web应用防火墙 。 - 线路类型 解析的线路类型用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 默认值为“全网默认”。 仅支持为公网域名的记录集配置此参数。 全网默认：默认线路类型，当未根据访问者来源设置解析线路时，系统会返回默认解析结果。 运营商线路解析：根据访问者所在运营商，设置解析线路。 地域解析：根据访问者所在地域，设置解析线路。 自定义线路：根据访问者所属IP网段。 全网默认 TTL(秒) 解析记录在本地DNS服务器的缓存时间，以秒为单位。 默认值为“300秒”。取值范围为：1~2147483647 如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 更多TTL相关内容请参见什么是TTL值？。 300 记录值 指定要授权的证书颁发机构，使其可以给域名或者子域名颁发证书。 最多可以输入50个不重复记录，多个记录之间以换行符分隔。 填写格式：[flag] [tag] [value] 配置规则： flag：认证机构限制标志，定义为0~255无符号整型。常用取值为0。 tag：仅支持大小写字母和数字0~9，长度1~15，常用取值： issue：授权任何类型的域名证书 issuewild：授权通配符域名证书 iodef：指定违规申请证书通知策略 value：域名或用于违规通知的电子邮箱或Web地址。其值取决于[tag]的值，必须加双引号。取值范围：字符串（仅包含字母、数字、空格、-#*?&_~=:;.@+^/!%），最长255字符。 0 issue "ca.abc.com" 0 iodef "mailto:admin@domain.com" 权重 可选参数，返回解析记录的权重比例。默认值为1，取值范围：0~1000。 仅支持为公网域名的记录集配置此参数。 当域名在同一解析线路中有多条相同类型的解析记录时，可以通过“权重”设置解析记录的响应比例。 1 标签 可选参数，记录集的标识，包括键和值，每个记录集可以创建20个标签。 example_key1 example_value1 描述 可选参数，对域名的描述。 长度不超过255个字符。 The description of the hostname. 单击“确定”，完成CAA类型记录集的添加。

方案概述 应用场景 CAA（Certification Authority Authorization，证书颁发机构授权）是一项防止HTTPS证书错误颁发的安全措施，遵从IETF RFC6844。从2017年9月8日起，要求CA（Certification Authority，证书颁发）机构执行CAA强制性检查。 全球约有上百个CA机构有权发放HTTPS证书，证明您网站的身份。假如浏览器将某个CA机构列入黑名单，并宣称不再信任其颁发的HTTPS证书，当您访问到部署了这些HTTPS证书的网站时，会被提示HTTPS证书不受信任，如图1所示。

资源成本和规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表2 域名资源规划 资源 公网域名 记录集类型 DNS domain.com CAA 表3 资源和成本规划 资源 资源名称 资源说明 数量 每月费用 域名注册 域名 公网域名：domain.com 1 详细请参见域名注册产品价格详情。 云解析服务 公网域名 解析记录集 公网域名：domain.com 记录集类型：CAA 值： 0 issue "ca.abc.com" 0 iodef "mailto:admin@domain.com" 1 免费

相关阅读 表2 域名与解析常见迁移操作 类型 说明 是否影响DNS解析 域名账号间转移 仅转移域名：将域名的管理权从一个华为云账号转移至另一个华为云账号。 转移域名和DNS解析：将域名的管理权和DNS解析同时从一个华为云账号转移至另一个华为云账号。 否。 不改变域名的“DNS服务器”设置以及域名的解析记录，因此，不影响域名的正常解析。 账号间转移域名解析 将域名的解析记录从账号A转移到账号B 否。 不改变域名的“DNS服务器”设置以及域名的解析记录，因此，不影响域名的正常解析。 域名过户 域名用户类型以及域名所有者的变更，即更换域名的实名认证模板。 否。 不改变域名的“DNS服务器”设置以及域名的解析记录，因此，不影响域名的正常解析。 域名转入华为云 域名转出华为云 域名转入和域名转出是指将域名的管理权转入或者转出华为云，该操作是针对域名的管理权。 否。 不改变域名的“DNS服务器”设置以及域名的解析记录，因此，不影响域名的正常解析。 域名转入华为云解析 域名转入华为云解析是指将域名的解析记录全部迁移到华为云，并修改域名的DNS服务器地址为华为云DNS。 是 如果本地DNS不存在缓存延时，则修改立即生效。 在解析迁移过程中，修改DNS服务器的生效时间通常受域名NS记录的TTL值以及Local DNS的缓存的影响，在迁移过程中有可能导致解析中断。 最长需要48小时才能更新，如果本地DNS不存在缓存延时，则修改立即生效。

约束限制 目标账号需要通过实名认证，并启用“华北-北京四”的项目。 仅支持转移本账号下的域名解析记录。 单次最多可转移1000个域名的解析记录。 批量转移域名仅适用于迁移公网域名解析，不支持迁移内网域名解析记录集。 域名转移前请先确保对方账户能正常登录云解析控制台页面进行域名操作。 批量转移域名任务为异步操作，转移期间请避免对转移中的域名进行操作，以免导致数据不同步。 不支持迁移使用自定义线路的域名解析记录集。 暂不支持中国站和国际站之间互转。

操作步骤 登录A账号的DNS控制台，进入公网域名列表页。 在待转移DNS解析的域名所在行的“操作”列，选择“更多 ＞ 转移域名”。 或者在列表上方的“批量操作”中，下拉选择“批量转移域名”。 在批量转移域名界面，根据提示输入转移的域名信息。 输入待转移的域名名称，一次最多转移1000个域名。 输入转移后的华为云账号ID，即B账号的账号ID。 登录B账号管理控制台，鼠标移至页面右上角的用户名，在下拉菜单中单击“我的凭证”，即可查看账号ID。 单击“提交”，提交域名转移申请。 操作完成后，您可以在“批量操作记录”页面查看操作名称、操作结果、操作时间和状态信息，还可以下载失败操作记录。 登录B账号的DNS控制台，进入已转移DNS解析的域名解析记录列表页，查看转移结果。

应用场景 用户因账号变更、资源集中管理或分离管理、企业业务重组或拆分、避免资源冲突等原因需要更换域名解析所属账号，需要将域名的DNS解析从当前华为云账号转移至其他华为云账号。 华为云域名注册和云解析服务支持用户跨账号转移域名解析，主要包括以下两种场景： 表1 应用场景 用户场景 业务诉求 解决方案 域名和解析归属在同一账号。 例如：域名和解析同时归属在A账号下。 将解析从A账号转移至B账号 方案一：参考域名账号间转移，选择“转移DNS”，将域名和DNS解析从账号A转移至账号B管理。 方案二：参考本实践的操作步骤，将域名解析从账号A转移至账号B。 域名解析归属为不同账号。 例如：解析归属在A账号，域名归属在C账号 参考本实践的操作步骤，将域名解析从账号A转移至账号B。

背景 用户基于数据管理和信息安全等方面的因素考虑，数据没有全部部署在云上，选择采用本地数据中心与华为云混合部署的组网方式。 这种组网方式既可以保证敏感信息的安全，又保留了华为云灵活部署、控制成本等优势， 其组网如图1所示。 图1 混合组网示意图 在这种组网中，通过VPN或者云专线建立本地数据中心和华为云服务器的通信，使本地服务器和华为云服务器可以互通。 但是，由于一些网络安全因素，本地数据中心服务器无法直接访问华为云内网DNS的100网段地址，华为云服务器可以直接访问云服务100网段。华为云DNS和本地自建DNS服务器均有独立的域名，从而导致了以下问题：

操作流程 操作步骤 说明 步骤一：配置入站终端节点 入站终端节点可以将本地自建DNS的解析请求转发到华为云内网DNS。 步骤二：配置出站终端节点 华为云内网DNS通过出站终端节点将特定域名解析转发到您指定的DNS。 步骤三：配置DNS转发规则 在出站终端节点和本地自建DNS分别配置转发规则。 配置完成后，线下站点与云上资源的互访如图3所示。 图3 线下站点与云上资源互访示意图 如图3所示，线下站点与云上资源的互访路径如下： ①：本地自建DNS将对华为云域名（例如“example.huaweicloud.com”）的解析请求转发到入站终端节点（10.231.x.x）。 ②：入站终端节点（10.231.x.x）将对华为云域名的解析请求转发至华为云内网DNS。 ③：出站终端节点（10.231.x.x）将对线下域名（例如“example.com”）的解析请求转发至本地自建DNS（192.168.10.179）。 要实现上述互访要求，需要为出站终端节点和本地自建DNS分别配置DNS转发规则： 出站终端节点：配置转发规则，将对线下域名（例如“example.com”）的解析转发至本地自建DNS。 本地自建DNS： 配置转发规则，将对华为云域名的解析转发至入站终端节点。 配置线下域名（例如“example.com”）的解析记录。

步骤五：查看转入进度 系统自动校验转移密码，命名审核等，校验通过后注册局会向原服务商发送转出确认通知，原服务商确认后(不同服务商确认时间不同，可以催原服务商尽快确认转出)，域名开始转入。 在域名转入页面您可以查看转入进度。 单击页面上方的“返回转入列表”，查看域名转入状态。 单击域名“操作”列的“查看”，进入转入流程页面。 图5 域名转入状态 在转入流程页面，可以对转入域名进行进一步操作，详细内容请参见表2。 表2 域名转入后续操作 域名状态 说明 后续操作 提交转入 域名转入提交完成，启动域名转入流程。 无需操作，等待系统转入处理。 若要取消转入，可以在转入流程页面通过单击“取消转入”实现。 审核中 域名转入进入审核阶段。 无需操作，等待系统转入处理。 若要取消转入，可以在转入流程页面通过单击“取消转入”实现。 域名转入过程通常需要5~7天。 转入成功 域名转入成功。 域名转入成功，需要对域名进行实名认证，详细操作请参见实名认证域名。 转入失败 域名转入失败。 根据界面提示的域名转入失败原因，进行处理： 用户取消转入 域名转移密码错误 注册局转移失败 当前域名正在转入中 域名服务商取消了该域名的转入操作 通知邮件确认超时 转入密码错误 填写的转入密码不正确，无法转入域名。 需要重新核对转入密码后，再次执行转入操作。 转入撤销 执行“取消转入”操作后，域名转入进入“转入撤销”状态。 域名状态为“转入提交”和“审核中”的域名可以执行“取消转入”。 无需操作，域名转入流程结束。

常见问题 先转入域名还是先转入解析？ 您可以选择先转入域名，也可以先转入解析，并无逻辑上先后顺序的要求。 先转入域名，再转入解析： 将域名转入Domains控制台进行域名管理。域名转入过程中，不影响在原服务商的解析，且转入域名的过程不可以修改域名的DNS。 域名转入成功后再导出解析记录集，将域名解析转入华为云DNS控制台。 先转入解析，再转入域名： 先转入解析是指先将域名的解析记录转入DNS控制台解析，并修改原服务商的DNS地址为华为云DNS地址。 然后再转入域名到Domains控制台进行域名管理，转入域名的过程中域名的DNS不变。 域名转入失败或者取消，是否会退回已支付费用？ 域名转入的订单支付完成后，如果域名转入失败，或者取消了域名转入操作，则会自动全额退费至原华为云账号，请及时查收。 更多域名转入常见问题

资源和成本规划 表1 资源和成本规划 资源 资源名称 资源说明 数量 每月费用（元） 实名认证信息模板 根据域名所有者定义模板名称 根据工信部域名实名认证的要求，在进行域名注册、域名过户（用户类型及域名所有者变更）、域名实名认证、域名转入等操作时，需要填写域名的用户信息。 建议您在进行上述操作前，首先创建域名的信息模板。 1 信息模板不计费 转入域名 域名的名称 域名转入是免费办理的。但因域名注册局的规定，转入时需在原期限上续费1年，因此，需支付域名续费1年的费用。 用户自定义迁移的域名数量 在华为云的价格详情中，点击域名类型查看相应的价格。