ネットワークへのアウトバウンド DNS クエリの転送

DNS クエリを VPC からネットワークに転送するには、アウトバウンドエンドポイントを作成します。アウトバウンドエンドポイントは、クエリの送信元の IP アドレスを指定します。VPC で使用できる IP アドレスの範囲から選択するこれらの IP アドレスは、パブリック IP アドレスではありません。つまり、アウトバウンドエンドポイントごとに、 AWS Direct Connect 接続、VPN 接続、またはネットワークアドレス変換 (NAT) ゲートウェイを使用して VPC をネットワークに接続する必要があります。同じリージョン内の複数の VPC で、同一のアウトバウンドエンドポイントを使用することも、複数のアウトバウンドエンドポイントを作成することもできます。アウトバウンドエンドポイントで DNS64 を使用する場合は、Amazon Virtual Private Cloud を使用して DNS64 を有効にできます。詳細については、Amazon VPC ユーザーガイドの DNS64 および NAT64 を参照してください。

Route 53 Resolver ルールのターゲット IP はリゾルバーによってランダムに選択され、特定のターゲット IP でも他のターゲット IP でも同じです。転送された DNS リクエストにターゲット IP が応答しない場合、リゾルバーはターゲット IP 内のランダム IP アドレスに再試行します。

すべてのターゲット IP アドレスが Resolver エンドポイントから到達可能であることを確認します。Resolver がアウトバウンド DNS クエリをターゲット IP に転送できない場合、DNS 解決時間が長くなる可能性があります。

ネットワークの DNS リゾルバーに転送するクエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。各転送ルールは 1 つのドメイン名を指定します。次に、ネットワークにクエリを転送する VPC にルールを関連付けます。

アウトバウンド委任ルールは、標準の転送ルールとは異なる特定の委任原則に従います。委任ルールを作成すると、Route 53 Resolver はルールの委任レコードを DNS レスポンスの NS レコードと照らし合わせて評価し、委任が必要かどうかを判断します。Route 53 Resolver は、委任ルール設定と DNS レスポンスで返された実際の NS レコードが一致している場合にのみ、オンプレミスのリゾルバーに権限を委任します。ドメイン名の一致に基づいてクエリをリダイレクトする転送ルールとは異なり、委任ルールは DNS 委任チェーンを尊重し、レスポンス内の信頼できるネームサーバーが委任設定と一致する場合にのみアクティブ化します。

詳細については、以下の各トピックを参照してください。