View a markdown version of this page

DNS - スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築
ハイブリッド DNSRoute 53 DNS ファイアウォール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DNS

デフォルトの VPC を除く VPC でインスタンスを起動すると、 は、VPC に指定した DNS 属性 とインスタンスにパブリック IPv4 アドレスがあるかどうかに応じて、プライベート DNS ホスト名 (場合によってはパブリック DNS ホスト名) をインスタンス AWS に提供します。 enableDnsSupport 属性が に設定されている場合true、Route  53 Resolver (+2 IP オフセットから VPC CIDR) から VPC 内の DNS 解決を取得します。デフォルトでは、Route  53 Resolver は EC2 インスタンスまたは Elastic Load Balancing ロードバランサーのドメイン名などの VPC ドメイン名の DNS クエリに応答します。VPC ピアリングを使用すると、1 つの VPC のホストは、パブリック DNS ホスト名をピア接続された VPCs のインスタンスのプライベート IP アドレスに解決できます。ただし、そのオプションが有効になっている場合です。経由で接続VPCs にも同じことが当てはまります AWS Transit Gateway。詳細については、「VPC ピアリング接続の DNS 解決サポートの有効化」を参照してください。

インスタンスをカスタムドメイン名にマッピングする場合は、Amazon Route  53 を使用してカスタム DNS-to-IP-mappingレコードを作成できます。Amazon Route  53 ホストゾーンは、Amazon Route  53 がドメインとそのサブドメインの DNS クエリにどのように応答するかに関する情報を保持するコンテナです。パブリックホストゾーンには、パブリックインターネット経由で解決可能な DNS 情報が含まれていますが、プライベートホストゾーンは、特定のプライベートホストゾーンにアタッチされた VPCs にのみ情報を表示する特定の実装です。複数の VPCs またはアカウントがあるランディングゾーンのセットアップでは、単一のプライベートホストゾーンを AWS アカウント間およびリージョン間で複数の VPCs に関連付けることができます (SDK/CLI/API でのみ可能)。VPCs のエンドホストは、DNS クエリのネームサーバーとしてそれぞれの Route  53 Resolver IP (+2 offset the VPC CIDR) を使用します。VPC の Route  53 Resolver は、VPC 内のリソースからの DNS クエリのみを受け入れます。

ハイブリッド DNS

DNS は、ハイブリッドなどのインフラストラクチャの重要なコンポーネントであり、アプリケーションが依存するhostname-to-IP-address解決を提供します。ハイブリッド環境を実装しているお客様は、通常、DNS 解決システムがすでに導入されており、現在のシステムと連携する DNS ソリューションが必要です。ネイティブ Route  53 リゾルバー (ベース VPC CIDR の +2 オフセット) は、VPN または を使用してオンプレミスネットワークから到達できません Direct Connect。したがって、AWS リージョンの VPCs の DNS をネットワークの DNS と統合する場合は、Route  53 Resolver インバウンドエンドポイント (VPCs に転送する DNS クエリの場合) と Route 53 Resolver アウトバウンドエンドポイント (VPCs からネットワークに転送するクエリの場合) が必要です。

次の図に示すように、VPC の Amazon EC2 インスタンスから受信したクエリをネットワーク上の DNS サーバーに転送 VPCs するようにアウトバウンド Resolver エンドポイントを設定できます。選択したクエリを VPC からオンプレミスネットワークに転送するには、転送する DNS クエリのドメイン名 (example.com など) と、クエリを転送するネットワーク上の DNS リゾルバーの IP アドレスを指定する Route  53 Resolver ルールを作成します。オンプレミスネットワークから Route  53 ホストゾーンへのインバウンドクエリの場合、ネットワーク上の DNS サーバーは、指定された VPC 内のインバウンドリゾルバーエンドポイントにクエリを転送できます。

Route  53 Resolver を使用したハイブリッド DNS 解決を示す図

Route  53 Resolver を使用したハイブリッド DNS 解決

これにより、オンプレミスの DNS リゾルバーは、その VPC に関連付けられた Route  53 プライベートホストゾーンの Amazon EC2 インスタンスやレコードなど、AWS リソースのドメイン名を簡単に解決できます。さらに、Route  53 Resolver エンドポイントは ENI あたり 1 秒あたり最大約 10,000 件のクエリを処理できるため、 ははるかに大きな DNS クエリボリュームに簡単にスケールできます。詳細については、Amazon Route  53 ドキュメントの「リゾルバーのベストプラクティス」を参照してください。

ランディングゾーンのすべての VPC に Route  53 Resolver エンドポイントを作成することはお勧めしません。中央出力 VPC (ネットワークサービスアカウント) に一元化します。このアプローチにより、コストを抑えながら管理しやすくなります (作成したインバウンド/アウトバウンドリゾルバーエンドポイントごとに時間単位の料金が課金されます)。一元化されたインバウンドエンドポイントとアウトバウンドエンドポイントをランディングゾーンの残りの部分と共有します。

  • アウトバウンド解決 — Network Services アカウントを使用して、リゾルバールールを書き込みます (DNS クエリがオンプレミスの DNS サーバーに転送される基準に基づく)。Resource Access Manager (RAM) を使用して、これらの Route  53 Resolver ルールを複数のアカウントと共有します (アカウント内の VPCsと関連付けます)。スポーク VPCs の EC2 インスタンスは、DNS クエリを Route  53 Resolver に送信できます。Route  53 Resolver Service は、これらのクエリを Egress VPC のアウトバウンド Route  53 Resolver エンドポイントを介してオンプレミス DNS サーバーに転送します。  スポーク VPCs を出力 VPC にピア接続したり、Transit Gateway 経由で接続したりする必要はありません。スポーク VPCs のプライマリ DNS としてアウトバウンドリゾルバーエンドポイントの IP を使用しないでください。スポーク VPCs、VPC で Route  53 Resolver (VPC CIDR のオフセット) を使用する必要があります。

Route  53 Resolver エンドポイントを進入/退出 VPC に一元化する図

Route  53 Resolver エンドポイントを Ingress/Egress VPC に一元化する

Route 53 DNS ファイアウォール

Amazon Route 53 Resolver DNS Firewall はVPCs のアウトバウンド DNS トラフィックをフィルタリングおよび規制するのに役立ちます。DNS Firewall の主な用途は、VPC 内のリソースが、組織が信頼するサイトに対してのみアウトバウンド DNS リクエストを実行できるようにするドメイン名の許可リストを定義することで、データの流出を防ぐことです。また、VPC 内のリソースが DNS 経由で通信したくないドメインのブロックリストを作成することもできます。 Amazon Route 53 Resolver DNS ファイアウォールには次の機能があります。

お客様は、DNS クエリの応答方法を定義するルールを作成できます。ドメイン名に定義できるアクションには、NODATA、、 OVERRIDE などがありますNXDOMAIN

お客様は、許可リストと拒否リストの両方のアラートを作成して、ルールアクティビティをモニタリングできます。これは、顧客がルールを本番環境に移行する前にテストする場合に便利です。

詳細については、「Amazon VPC Amazon Route 53 Resolver 用 DNS ファイアウォールの開始方法」ブログ記事を参照してください。