Tác giả: Aanchal Agrawal và Anushree Shetty
Ngày phát hành: 05 JAN 2026
Chuyên mục: Amazon Route 53, AWS Transit Gateway, Intermediate (200), Networking & Content Delivery, Resource Access Manager (RAM), Security, Identity, & Compliance

Quản lý ghi nhật ký truy vấn DNS trên nhiều Amazon Virtual Private Clouds (VPCs) từ lâu đã là một thách thức đáng kể đối với các nhóm doanh nghiệp. Phương pháp truyền thống yêu cầu cấu hình ghi nhật ký truy vấn DNS thủ công cho từng VPC riêng lẻ, tạo ra một loạt các vấn đề vận hành. Quá trình phân mảnh này dẫn đến việc triển khai không nhất quán giữa các môi trường khác nhau, các lỗ hổng tuân thủ do bỏ sót hoặc cấu hình sai VPC, và gánh nặng vận hành đáng kể từ các tác vụ thiết lập thủ công lặp đi lặp lại. Các nhóm thường thiếu khả năng hiển thị toàn diện về các hoạt động DNS trên toàn bộ hạ tầng AWS của họ, khiến việc khắc phục sự cố trở nên phức tạp khi các vấn đề trải rộng trên nhiều VPC.

Chúng tôi vui mừng thông báo một giải pháp giải quyết trực tiếp những vấn đề này. Amazon Route 53 Resolver Query Logging hiện đã tích hợp liền mạch với Amazon Route 53 Profiles, mang đến cho các nhóm doanh nghiệp một phương pháp quản lý truy vấn DNS tập trung. Bạn có thể sử dụng Route 53 Resolver Query Logging để ghi nhật ký các truy vấn DNS bắt nguồn từ các Amazon VPC của bạn. Với tính năng ghi nhật ký truy vấn được bật, bạn có thể quan sát những tên miền nào đã được truy vấn, các tài nguyên AWS nào đã tạo ra các truy vấn đó và các phản hồi đã nhận được. Bài viết cấp độ trung cấp này nêu bật sự tích hợp của Route 53 Profiles với Route 53 Resolver Query Logging. Bạn có thể sử dụng Route 53 Profiles để đơn giản hóa việc quản lý DNS Query Logging, cấu hình ghi nhật ký một lần ở cấp độ Profile với khả năng tự động lan truyền đến tất cả các VPC được liên kết, loại bỏ cấu hình thủ công cho từng VPC đồng thời cung cấp các chính sách ghi nhật ký nhất quán trên các hạ tầng AWS đang mở rộng. Việc tập trung hóa này giúp giảm đáng kể sự phức tạp trong vận hành và chi phí quản lý, hợp lý hóa việc xác minh tuân thủ và ngăn chặn sự sai lệch cấu hình trên các triển khai VPC quy mô lớn. Sự tích hợp này sử dụng AWS Resource Access Manager (AWS RAM) để tạo điều kiện chia sẻ an toàn các cấu hình này trên các ranh giới tổ chức, để ngay cả các kiến trúc đa tài khoản phức tạp nhất cũng duy trì khả năng hiển thị DNS toàn diện.

Hướng dẫn kỹ thuật này được thiết kế dành cho các quản trị viên, kiến trúc sư đám mây và chuyên gia bảo mật quản lý môi trường AWS đa tài khoản với các cấu hình DNS phức tạp. Bạn sẽ khám phá cách giảm đáng kể chi phí quản lý đồng thời tăng cường khả năng hiển thị bảo mật và quản trị trên toàn bộ hạ tầng của bạn. Để tận dụng tối đa bài viết này, chúng tôi khuyên bạn nên có kiến thức nền tảng về các dịch vụ mạng AWS chính—bao gồm Amazon VPC, Amazon Route 53 Resolver, Amazon Route 53 Profiles và AWS RAM cùng với các nguyên tắc DNS cơ bản.

Route 53 Profiles là gì?

Route 53 Profiles cho phép quản lý DNS nhất quán để bạn có thể thiết lập các cấu hình DNS tiêu chuẩn hóa được gọi là Profiles, bao gồm các cài đặt DNS toàn diện. Các Profiles này duy trì tính đồng nhất trên toàn bộ hạ tầng DNS của bạn bằng cách tích hợp các private hosted zones và cấu hình của chúng, các quy tắc Route 53 Resolver (bao gồm cả quy tắc chuyển tiếp và quy tắc hệ thống), các nhóm quy tắc DNS Firewall và các Interface VPC endpoints.

Profile trực tiếp quản lý một số cấu hình DNS cấp VPC nhất định, chẳng hạn như cấu hình tra cứu DNS ngược cho Resolver Rules, cấu hình chế độ lỗi DNS Firewall và cấu hình xác thực DNSSEC. Bạn có thể định nghĩa các cài đặt DNS một lần và áp dụng chúng một cách nhất quán trên nhiều VPC và tài khoản AWS, giúp hợp lý hóa việc quản lý, cung cấp tính đồng nhất và nhất quán, đồng thời nâng cao khả năng mở rộng khi môi trường AWS của bạn phát triển. Phương pháp tập trung này hợp lý hóa việc quản trị DNS bằng cách tự động lan truyền các bản cập nhật đến tất cả các VPC được liên kết. AWS RAM tạo điều kiện chia sẻ Profile để quản lý đa tài khoản trong cùng một AWS Region.

Route 53 Resolver Query Logging

Route 53 Resolver Query Logging ghi lại tất cả các truy vấn DNS được xử lý bởi Route 53, những truy vấn bắt nguồn từ các tài nguyên VPC của bạn (chẳng hạn như các phiên bản Amazon Elastic Compute Cloud (Amazon EC2), container hoặc các hàm AWS Lambda) và lưu lượng truy cập được xử lý bởi các Route 53 Resolver endpoints. Các nhật ký thu thập thông tin cho các truy vấn:

• Giải quyết các tên DNS VPC cục bộ
• Giải quyết đến các Route 53 private hosted zones
• Được chuyển tiếp đến các máy chủ DNS tại chỗ thông qua Route 53 Resolver Endpoints
• Được giải quyết qua internet công cộng

Theo mặc định, tất cả các VPC đều sử dụng Route 53 Resolver để giải quyết các truy vấn DNS, và tính năng này ghi lại các yêu cầu và phản hồi đó.

Mỗi mục nhật ký bao gồm ID VPC, dấu thời gian truy vấn, tên miền được yêu cầu (Query Name), loại bản ghi DNS được tìm kiếm (Query Type), mã phản hồi DNS (chẳng hạn như NOERROR hoặc NXDOMAIN), và IP nguồn cụ thể cùng ID tài nguyên đã khởi tạo truy vấn. Khi các nhật ký này được bật, chúng sẽ được xuất bản đến một đích tập trung để phân tích và lưu trữ, chẳng hạn như Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs, hoặc Amazon Kinesis Data Firehose, với yêu cầu rằng các đích này phải nằm trong cùng Region với cấu hình ghi nhật ký truy vấn.

Route 53 Resolver Query Logging cung cấp khả năng hiển thị thiết yếu về hoạt động DNS của mạng bạn. Nó hoạt động như một công cụ bảo mật quan trọng để phát hiện các hoạt động độc hại như giao tiếp phần mềm độc hại hoặc rò rỉ dữ liệu thông qua các truy vấn DNS bất thường. Đối với mục đích tuân thủ và kiểm toán, nó cung cấp một bản ghi chi tiết về tất cả các hoạt động phân giải tên. Dịch vụ này giúp khắc phục sự cố và tạo ra một bảng điều khiển hiển thị để bạn nhanh chóng chẩn đoán các lỗi DNS bằng cách tiết lộ nguồn, tên miền được yêu cầu và phản hồi nhận được.

Thách thức với việc ghi nhật ký truy vấn Route 53 Resolver nhất quán

Duy trì ghi nhật ký truy vấn DNS nhất quán với Route 53 Resolver liên quan đến việc tạo cấu hình ghi nhật ký truy vấn trong một tài khoản AWS và chia sẻ các cấu hình này với nhiều tài khoản bằng cách sử dụng AWS RAM. Do đó, mỗi tài khoản có thể liên kết các VPC của mình với cấu hình ghi nhật ký được chia sẻ, để nhật ký có thể được thu thập ở một vị trí tập trung như CloudWatch Logs hoặc một S3 bucket. Tuy nhiên, có những thách thức trong phương pháp này, bao gồm giới hạn cứng về số lượng VPC có thể được liên kết cho mỗi tài khoản và mỗi AWS Region (thường là 100), và thực tế là chỉ tài khoản sở hữu mới có thể sửa đổi hoặc xóa các cấu hình được chia sẻ. Nếu cấu hình ghi nhật ký được chia sẻ bị xóa hoặc không được chia sẻ, thì việc ghi nhật ký truy vấn DNS sẽ dừng cho tất cả các VPC được liên kết, điều này có thể làm phức tạp việc quản lý. Hơn nữa, việc triển khai một giải pháp ghi nhật ký thống nhất để hợp nhất nhật ký trên nhiều VPC và tài khoản sẽ tạo ra sự phức tạp đáng kể và tăng khả năng xảy ra lỗi cấu hình. Tương tự, việc thiết kế các hệ thống ghi nhật nhật ký tập trung riêng biệt cho các môi trường khác nhau (chẳng hạn như phát triển, thử nghiệm và sản xuất) đòi hỏi kiến trúc và bảo trì cẩn thận để tránh các vấn đề về độ tin cậy.

Tích hợp với Route 53 Profiles

Bạn có thể sử dụng tính năng mới này, tích hợp Route 53 Resolver Query Logging với Route 53 Profiles, để triển khai ghi nhật ký truy vấn DNS trên nhiều VPC thông qua một cấu hình Profile duy nhất. Điều này loại bỏ nhu cầu cấu hình ghi nhật ký riêng cho từng VPC.

Các lợi ích chính của sự tích hợp này:

• Cấu hình nhất quán: Trước đây, việc triển khai DNS Query Logging đòi hỏi cấu hình thủ công riêng lẻ cho từng Amazon Virtual Private Cloud (Amazon VPC), dẫn đến gánh nặng quản trị đáng kể khi môi trường mở rộng. Việc giới thiệu Route 53 Profiles đã thay đổi trải nghiệm này thông qua quản lý tập trung, để giờ đây bạn có thể cấu hình Query Logging một lần ở cấp độ Profile, và các cài đặt sẽ tự động lan truyền đến tất cả các VPC được liên kết. Cải tiến đáng kể này giúp giảm sự phức tạp trong vận hành và cung cấp việc triển khai ghi nhật ký nhất quán trên toàn bộ hạ tầng AWS đang phát triển của bạn.
• Hiệu quả vận hành: Các quản trị viên mạng định nghĩa cấu hình ghi nhật ký truy vấn một lần và áp dụng chúng một cách nhất quán trên toàn bộ hạ tầng của họ, giảm đáng kể chi phí quản lý.
• Quản lý quy mô: Các doanh nghiệp quản lý các đội VPC lớn triển khai các chính sách ghi nhật ký nhất quán thông qua các profile tập trung thay vì quản lý các cấu hình riêng lẻ.
• Tuân thủ đơn giản hóa: Các nhóm bảo mật đảm bảo tất cả các VPC tuân thủ các yêu cầu ghi nhật ký bằng cách liên kết chúng với các profile được cấu hình đúng cách, giúp việc xác minh tuân thủ rõ ràng hơn.
• Giảm thiểu sai lệch cấu hình: Các tổ chức có thể tập trung các cấu hình ghi nhật ký trong các profile để giảm thiểu rủi ro cài đặt không nhất quán trên môi trường của họ.

Sự tích hợp hoạt động liền mạch với các đích nhật ký hiện có, hỗ trợ CloudWatch Logs, Amazon S3 và Amazon Kinesis Data Firehose. Khi một VPC được liên kết với một profile chứa cấu hình ghi nhật ký truy vấn, các truy vấn DNS từ VPC đó sẽ tự động được ghi vào các đích đã chỉ định.

Tập trung hóa và liên kết Route 53 Resolver Query Logging trên các tài khoản

Trước khi ra mắt tính năng này, việc tập trung hóa nhật ký truy vấn DNS là một quá trình quản lý phức tạp hơn. Trong phần này, chúng ta sẽ xem xét hai hình sau. Cả hai hình đều có một số yếu tố chung:

• Một AWS Region bao gồm tất cả các tài nguyên
• Một tài khoản Production với một Production VPC
• Một tài khoản Development (Dev) với một Dev VPC
• Một tài khoản Shared Services với một Shared Services VPC
• Một AWS Transit Gateway được cấu hình sẵn trong tài khoản Shared Services
• Transit Gateway có các attachment đến Shared Services VPC, Production VPC và Dev VPC
• Route 53 Resolver Query Logging được bật trong tài khoản Shared Services
• AWS RAM để chia sẻ tài nguyên

Liên kết Route 53 Resolver Query Logging trên các tài khoản mà không sử dụng Route 53 Profiles

Đầu tiên, chúng ta sẽ xem xét Hình 1 và làm theo các bước về cách Route 53 Resolver Query Logging được chia sẻ giữa các tài khoản AWS khác nhau.

Hình 1: Phương pháp truyền thống – Chia sẻ Route 53 Resolver Query Logging với các tài khoản khác mà không sử dụng Route 53 Profiles

Dựa trên Hình 1, đây là các bước đã được thực hiện:

1. Bật Route 53 Resolver Query Logging trong tài khoản Shared Services.
2. Query Logging sau đó được chia sẻ với hai tài khoản khác (Production và Dev) thông qua AWS RAM theo Bước 2–4.
3. Khi được chia sẻ với các tài khoản khác, Query logging cần được liên kết thủ công với các VPC.

Liên kết Route 53 Resolver Query Logging trên các tài khoản với Route 53 Profiles

Với Route 53 Profiles như được hiển thị trong Hình 2, quy trình được hợp lý hóa:

Hình 2: Chia sẻ Amazon Route 53 Resolver Query Logging thông qua Amazon Route 53 Profile

Dựa trên Hình 2, các bước sẽ như sau:

1. Bật Route 53 Resolver Query Logging trong tài khoản Shared Services.
2. Tạo một Route 53 Profiles trong tài khoản Shared Services.
3. Liên kết Route 53 Resolver Query Logging với Route 53 Profile.
4. Route 53 Profiles được chia sẻ với các tài khoản Production và Dev thông qua AWS RAM.
5. Liên kết các VPC Production và Dev với Profile.
6. Các VPC tự động có quyền truy cập vào Route 53 Resolver Query Logging thông qua việc liên kết của chúng (bạn có thể tìm các bước để liên kết tài nguyên trong tài liệu liên kết của Route 53 Profiles được cung cấp) với Route 53 Profiles.

Trước khi tính năng này được ra mắt, việc bật Query Logging đòi hỏi cấu hình thủ công cho từng Amazon VPC riêng lẻ. Điều này tạo ra gánh nặng vận hành đáng kể khi hạ tầng phát triển. Route 53 Profiles hợp lý hóa quy trình này bằng cách gắn Query Logging vào một Profile. Đổi lại, cấu hình ghi nhật ký sẽ tự động được áp dụng cho tất cả các VPC được liên kết với Profile đó, từ đó hợp lý hóa việc quản lý ở quy mô lớn.

Kịch bản liên kết kép

Nếu một VPC có cả liên kết Route 53 Resolver Query Logging trực tiếp và liên kết dựa trên Route 53 Profile, thì nhật ký sẽ được tạo và lưu trữ ở hai vị trí riêng biệt và có thể dẫn đến ghi nhật ký trùng lặp. Để ngăn chặn các mục nhật ký dư thừa, hãy triển khai quá trình chuyển đổi theo từng giai đoạn khi áp dụng ghi nhật ký truy vấn dựa trên Profile. Đầu tiên, tạo và liên kết cấu hình ghi nhật ký mới của bạn với các Profiles thích hợp, sau đó xác thực chức năng hoạt động đúng của nó, và cuối cùng loại bỏ bất kỳ cấu hình ghi nhật ký hiện có nào bằng cách dừng ghi nhật ký từ các VPC và xóa nó đối với những VPC được liên kết trực tiếp với từng VPC riêng lẻ.

• Nhật ký liên kết VPC trực tiếp duy trì định dạng hiện có: (vpc-id_instance-id)
• Nhật ký liên kết dựa trên Profile sử dụng định dạng mới: (profile-id_vpc-id_instance-id)

Các cân nhắc chính để tập trung hóa Route 53 Resolver Query Logging với Route 53 Profiles

• Chia sẻ tài nguyên với Route 53 Profiles chỉ hoạt động trong cùng một Region.
• Tài khoản mà tài nguyên đã được chia sẻ không thể sửa đổi hoặc xóa cấu hình.
• Nếu cấu hình bị xóa hoặc không được chia sẻ, thì việc ghi nhật ký hợp nhất sẽ dừng cho tất cả các VPC được liên kết.
• Chia sẻ tài nguyên giữa các tài khoản thông qua AWS RAM yêu cầu cả chủ sở hữu tài nguyên và tài khoản chia sẻ phải có các quyền AWS Identity and Access Management (IAM) thích hợp để tạo và quản lý việc chia sẻ tài nguyên. Nếu không có các quyền này, quyền truy cập sẽ bị hạn chế và việc chia sẻ hoặc quản lý tài nguyên hiệu quả không thể được thiết lập. Bạn có thể đọc thêm về các quyền trong tài liệu AWS RAM.
• Ghi nhật ký hợp nhất tăng cường quản trị dữ liệu bằng cách cho phép kiểm soát truy cập nhất quán và giảm thiểu quyền truy cập của con người, với các hệ thống tự động xử lý các hoạt động đọc. Triển khai giám sát để cảnh báo về bất kỳ quyền ghi hoặc quyền quản trị nào đối với bộ lưu trữ nhật ký.
• Route 53 Profiles và Route 53 Query logging cung cấp hỗ trợ toàn diện cho cả giao thức IPv4 và IPv6. Điều này cung cấp khả năng tương thích đầy đủ với các môi trường mạng hiện đại. Hơn nữa, các tổ chức có thể sử dụng hỗ trợ giao thức kép này để quản lý và giám sát hiệu quả các truy vấn DNS trên cả hai định dạng địa chỉ, cung cấp khả năng hiển thị và kiểm soát nâng cao đối với lưu lượng mạng bất kể phiên bản IP đang được sử dụng.

Khả dụng và giá cả

Route 53 Profiles hiện có sẵn ở tất cả các AWS Region ngoại trừ Châu Á Thái Bình Dương (New Zealand) và Châu Á Thái Bình Dương (Đài Bắc). Đối với Route 53 Resolver Query logging, các khoản phí chính không phải dành cho tính năng ghi nhật ký mà là cho các dịch vụ hạ nguồn được sử dụng để lưu trữ và phân tích nhật ký.

Kiểm tra Giá CloudWatch, Giá Amazon S3, Giá Amazon Data Firehose, và Giá Amazon Athena để biết giá riêng lẻ.

Ngoài các chi phí trên, phí Route 53 Profile cũng được áp dụng. AWS đã thiết kế mô hình định giá để đạt được khả năng mở rộng và giá trị tối đa, với cấu trúc trả tiền theo giờ, minh bạch, dựa trên các liên kết Profile-VPC của bạn.

Kết luận

Tích hợp ghi nhật ký truy vấn DNS với Amazon Route 53 Profiles mang lại năm lợi thế chính. Route 53 Profiles cách mạng hóa Amazon Query Logging bằng cách thay thế các cấu hình thủ công cho từng VPC bằng một phương pháp quản lý tập trung, nơi các cài đặt tự động lan truyền đến tất cả các VPC được liên kết. Sự tích hợp này giúp giảm đáng kể chi phí vận hành cho các nhóm mạng, những người giờ đây có thể định nghĩa các chính sách ghi nhật ký nhất quán một lần và áp dụng chúng trên toàn bộ hạ tầng của họ bất kể quy mô. Giải pháp này cũng cho phép chia sẻ cấu hình DNS giữa các tài khoản thông qua AWS RAM, tạo điều kiện thuận lợi cho quản trị đa tài khoản đồng thời hợp lý hóa việc xác minh tuân thủ. Hơn nữa, các tổ chức có thể loại bỏ nhu cầu cấu hình thủ công nhiều lần để giảm thiểu rủi ro sai lệch cấu hình và duy trì các cài đặt nâng cao đồng nhất trên môi trường AWS đang phát triển của họ.

Bài đăng blog này đã trình bày cách thiết lập ghi nhật ký truy vấn DNS bằng cách sử dụng Route 53 Profile và cung cấp hướng dẫn cho các tổ chức có kiến trúc truyền thống. Chúng tôi đã xem xét những khó khăn liên quan đến các giải pháp thông thường và đi sâu vào quy trình triển khai chi tiết cũng như các thực hành được khuyến nghị để tích hợp ghi nhật ký truy vấn DNS với Route 53 Profiles. Để biết thêm thông tin, hãy xem các tài nguyên này:

• Route 53 Profiles
• Amazon Route 53 Resolver Query Logging
• AWS Resource Access Manager

Về tác giả

Aanchal Agrawal

Aanchal giữ vị trí Quản lý Tài khoản Kỹ thuật Cấp cao tại AWS, nơi cô chuyên về Mạng và Bảo mật Biên (Edge Security). Trong suốt thời gian làm việc tại AWS, cô đã tập trung hỗ trợ khách hàng trong việc áp dụng đám mây hiệu quả. Tận dụng chuyên môn của mình về mạng và bảo mật biên, cô hỗ trợ khách hàng xây dựng các kiến trúc đám mây hiệu quả và tối ưu.

Anushree Shetty

Anushree làm việc với tư cách là Quản lý Tài khoản Kỹ thuật Cấp cao tại AWS. Cô chuyên về Bảo vệ Chu vi (Perimeter Protection) và các dịch vụ Biên (Edge services). Cô hướng dẫn các tổ chức thực hiện quá trình di chuyển AWS Edge liền mạch, tạo ra các giải pháp đám mây phù hợp để đáp ứng các yêu cầu kinh doanh và nhu cầu bảo mật cụ thể. Cô luôn giúp khách hàng tối đa hóa lợi ích từ việc áp dụng đám mây của họ, nâng cao cả tư thế bảo mật và hiệu quả hoạt động.