翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項
AWS リージョンでインバウンドおよびアウトバウンドの Resolver エンドポイントを作成する前に、次の問題を考慮してください。
トピック
各 リージョンのインバウンドエンドポイントおよびアウトバウンドエンドポイントの 数
AWS リージョン内の VPCs の DNS をネットワークの DNS と統合する場合は、通常、1 つの Resolver インバウンドエンドポイント (VPCs に転送する DNS クエリの場合) と 1 つのアウトバウンドエンドポイント (VPCs からネットワークに転送するクエリの場合) が必要です。複数のインバウンドエンドポイントとアウトバウンドエンドポイントを作成できますが、それぞれの方向のDNS クエリを処理するために1つのインバウンドまたはアウトバウンドエンドポイントで十分です。次の点に注意してください:
-
各 Resolver エンドポイントのために、それぞれ異なるアベイラビリティーゾーンで 2 つ以上の IP アドレスを指定します。エンドポイント内の各 IP アドレスは、1 秒間に多数の DNS クエリを処理できます。(エンドポイントの IP アドレスあたりの 1 秒あたりのクエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください) より多くのクエリを Resolver で処理する場合、別のエンドポイントを追加するのではなく、既存のエンドポイントにさらに IP アドレスを追加することができます。
-
Resolver の料金は、エンドポイント内の IP アドレスの数と、そのエンドポイントが処理する DNS クエリの数に基づきます。各エンドポイントに最低 2 つの IP アドレスが含まれています。Resolver の料金については、Amazon Route 53 料金表
を参照してください。 -
各ルールは、DNS クエリの転送元の発信エンドポイントを指定します。 AWS リージョンに複数のアウトバウンドエンドポイントを作成し、一部またはすべての Resolver ルールをすべての VPC に関連付ける場合は、それらのルールのコピーを複数作成する必要があります。
インバウンドエンドポイントとアウトバウンドエンドポイントに同じ VPC を使用する
インバウンドエンドポイントとアウトバウンドエンドポイントは、同じ VPC 内に作成することも、同じリージョン内の異なる VPC 内に作成することもできます。
詳細については、「Amazon Route 53 のベストプラクティス」を参照してください
インバウンドエンドポイントとプライベートホストゾーン
プライベートホストゾーンのレコードを使用して、インバウンド DNS クエリを Resolver に解決させたい場合は、そのプライベートホストゾーンを (インバウンドエンドポイントを内部に作成した) VPC に関連付けます。プライベートホストゾーンと VPC の関連付けについては、「プライベートホストゾーンの使用」を参照してください。
VPC ピアリング接続
選択した VPC が他の VPC とピアリングされているかどうかにかかわらず、インバウンドエンドポイントまたはアウトバウンドエンドポイントに AWS リージョン内の任意の VPCsを使用できます。詳細については、「Amazon Virtual Private Cloud VPC Peering」を参照してください。
共有サブネット内の IP アドレス
インバウンドまたはアウトバウンドエンドポイントを作成する場合、現在のアカウントで VPC を作成した場合のみ、共有サブネットに IP アドレスを指定できます。別のアカウントで VPC を作成し、VPC のサブネットをアカウントと共有している場合、そのサブネットで IP アドレスを指定することはできません。共有サブネットの詳細については、Amazon VPC ユーザーガイドの「共有 VPC の使用」を参照してください。
ネットワークとエンドポイントを作成する VPC との間の接続
ネットワークとエンドポイントを作成する VPC との間には、次のいずれかの接続が必要です。
-
インバウンドエンドポイント - ネットワークと、インバウンドエンドポイントの作成先の各 VPC との間に AWS Direct Connect 接続または VPN 接続を設定する必要があります。
-
アウトバウンドエンドポイント - ネットワークとアウトバウンドエンドポイントを作成する各 VPC の間に AWS Direct Connect 接続、VPN 接続、またはネットワークアドレス変換 (NAT) ゲートウェイを設定する必要があります。
ルールを共有すると、アウトバウンドエンドポイントも共有されます。
ルールを作成する際には、Resolver が DNS クエリをネットワークに転送するために使用する、アウトバウンドエンドポイントを指定します。ルールを別の AWS アカウントと共有する場合、ルールで指定したアウトバウンドエンドポイントも間接的に共有します。複数の AWS アカウントを使用して AWS リージョンに VPCs を作成した場合は、次の操作を実行できます。
-
リージョンにアウトバウンドエンドポイントを 1 つ作成します。
-
1 つの AWS アカウントを使用してルールを作成します。
-
リージョンで VPCs を作成したすべての AWS アカウントとルールを共有します。
これにより、リージョン内の 1 つのアウトバウンドエンドポイントを使用して、VPC が異なる AWS アカウントを使用して作成された場合でも、DNS クエリを複数の VPCs VPCs からネットワークに転送できます。
エンドポイントのプロトコルの選択
エンドポイントプロトコルは、データをインバウンドエンドポイントに送信する方法とアウトバウンドエンドポイントから送信する方法を決定します。ネットワーク上のすべてのパケットフローは、送信と配信の前に正しい送信元と送信先を検証するルールに基づいて個別に承認されるため、VPC トラフィックの DNS クエリを暗号化する必要はありません。送信側と受信側の両方から特別な許可されていない限り、情報がエンティティ間で勝手にやり取りされることはほとんどありません。パケットが、一致するルールのない送信先にルーティングされる場合、そのパケットはドロップされます。詳細については、「Amazon VPC の特徴」を参照してください。
使用可能なプロトコルは次のとおりです。
-
Do53: ポート 53 経由の DNS。データは Route 53 リゾルバーを使用して中継され、追加の暗号化は行われません。データは外部関係者が読み取ることはできませんが、 AWS ネットワーク内で表示できます。UDP または TCP を使用してパケットを送信します。Do53 は主に Amazon VPC 内およびAmazon VPC 間のトラフィックに使用されます。現在、これは委任インバウンドエンドポイントで使用できる唯一のプロトコルです。
-
DoH: データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化できず、意図した受信者以外はデータを読み取れないというセキュリティレベルを追加します。委任インバウンドエンドポイントでは使用できません。
-
DoH-FIPS: データは FIPS 140-2 暗号規格に準拠した暗号化された HTTPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、「FIPS PUB 140-2
」を参照してください。委任インバウンドエンドポイントでは使用できません。
Forward タイプのインバウンドエンドポイントの場合、プロトコルを次のように適用できます。
Do53 と DoH の組み合わせ。
Do53 と DoH-FIPS の組み合わせ。
Do53 のみ。
DoH のみ。
DoH-FIPS のみ。
なし。Do53 として扱われます。
アウトバウンドエンドポイントには、以下のようにプロトコルを適用できます。
Do53 と DoH の組み合わせ。
Do53 のみ。
DoH のみ。
なし。これは Do53 として扱われます。
「インバウンドエンドポイントを作成または編集するときに指定する値」および「アウトバウンドエンドポイントを作成または編集するときに指定する値」も参照してください。
ハードウェア専有インスタンスのテナンシー用に設定された VPC での Resolver の使用
Resolver エンドポイントを作成する際、インスタンスのテナンシー属性が dedicated に設定されている VPC を指定することはできません。Resolver は、シングルテナントのハードウェア上では実行されません。
VPC で発生する DNS クエリを、Resolver を使用して解決することは可能です。テナント属性が default に設定された VPC を少なくとも 1 つ作成し、インバウンドエンドポイントとアウトバウンドエンドポイントを作成するときに、その VPC を指定します。
移管ルールを作成するときは、インスタンステナンシーの設定に関わらず、任意の VPC に関連付けることができます。
