はじめてのAWS NW（その４）

投稿日: 2022/03/31

はじめに

こんにちは、園田です。
AWS利用において、もっとも基本的ではあるものの、実はよく分かっていない、どのような設計が正しいのか分かっていない。という意見をよく聞くのがNWではないでしょうか。

という事で、今回は大規模利用時の課題となる名前解決について記載したいと思います。
前回までの記事はこちら

はじめてのAWS NW（その1）
基本的なNWの構成、設定について説明しています。

はじめてのAWS NW（その2）
DirectConnectおよびVPNでのオンプレミスとの接続について説明しています。

はじめてのAWS NW（その3）
大規模でNWを利用するための共有VPC、Transit Gatewayについて説明しています。

AWS NWでの名前解決

そもそもの話になりますが、AWSを単体で利用時に名前解決が問題になることはありません。AWSはデフォルトで、サブネットアドレス+2のIPアドレスがDNSサーバとして設定されているため、特に意識しなくても名前解決が可能となります。

そのため、名前解決が問題になるのは基本オンプレス環境の名前解決、もしくはオンプレミス環境からの名前解決と言ってしまって問題ないかと思います。

以下にケースを分けて説明、および解決策を記載します。

１．AWSからオンプレミス環境の名前解決を実施したい

標準ではAWSのDNSはAWS環境内のサーバ情報、および公開されているDNS情報、route53で設定したホスティッドゾーンの情報を参照します。
そのため、オンプレミスのDNSサーバに設定した情報については名前解決を行うことが出来ません。
※公開されているDNS情報はAWSのDNSから名前解決することが出来ます。あくまで公開されていない、オンプレミス内部のDNS情報の名前解決を指しています。

以前はこの問題を解決するため、DHCPオプションセットを利用してDNSサーバをAWSのDNSではなくオンプレミスのDNSサーバをDHCPにて送付。という事をしていました。
これはこれでOKだったのですが、今度はAWS環境の名前解決をどのようにすればよいのかという事で、Simple AD等を立てオンプレミスのDNSのフォワーダーとして（条件付きフォワーダー）Simple ADを指定して、などという複雑な設定が必要でした。

Route53　Resolverという機能がリリースされてから簡単にオンプレミスのDNSを参照できるようになりました。
Route53　Resolverには「インバウンド」、「アウトバウンド」の2つ設定がありますが、AWSからオンプレミスのDNSを参照する場合は「アウトバウンド」を利用します。

■Route53　Resolver「アウトバウンド」イメージ

リゾルバの作成については以下の通りです。
オンプレミスのDNSサーバについては「ルールの作成」にてDNSのIPアドレスを指定することが可能です。（アウトバンドエンドポイントはそのまま作成で問題ありません。）

ルールは「ドメイン名」毎に指定が可能となり、名前解決したいドメインが複数あり、DNSサーバのIPが異なるという場合、都度ルールを設定する形になります。
このアウトバウンドエンドポイント、およびルール設定を実施することで、AWS VPC上のサーバからオンプレミス環境の名前解決が実施できます。

2．オンプレミス環境からAWS上の名前解決を実施したい

AWSのDNSにて名前解決するものは基本公開されているものであるため、外部DNSでの名前解決を実施できれば問題ありませんが、VPCエンドポイントとして作成した、codecommitエンドポイントやathenaエンドポイントなどインターフェイス型のエンドポイントにオンプレミスからアクセスしたいといった場合、AWSのDNSにて名前解決を実施する必要があります。
※RDSのエンドポイント等、マネージドサービス利用時のエンドポイントは外部公開DNSに登録されているため、Route53 Resolverは不要です。

このような要件があった場合、Route53　Resolverの「インバウンド」を設定することでオンプレミス環境からAWSのDNSを参照可能です。 インバウンドのRoute53　Resolverについて、ルール作成は不要です。

■Route53　Resolver「インバウンド」イメージ

以下のような形でエンドポイントを作成することで利用が可能です。
払い出されたIPに対し、フォワード（条件付きフォワーダー）するよう、オンプレミスのDNS設定を設定しましょう。

3．オンプレミスのDNSサーバ（コンテンツサーバ）をRoute53に移行したい

コンテンツサーバとしてオンプレミスにて利用していたDNSをマネージドサービスに置き換えたいという事で、route53に移行したいという要件も出てくる場合があります。

その場合、Route53にてプライベートホストゾーンの作成を行い、DNS設定をroute53に移行。「2．オンプレミス環境からAWS上の名前解決を実施したい」と同様、Route53　Resolverの「インバウンド」を設定し、オンプレミスのDNSサーバをRotue53 ResolverのインターフェイスIPにすることで名前解決を実施することが可能です。

名前解決のまとめ

名前解決については地味ですが、ハマってしまうと解決が難しいものの1つとなります。
NW全般に言えることですが、NWは変更の影響が大きいため、後で変更というのが難しいものです。とはいえ、放っておくとどんどん複雑となり、運用でカバーが難しくなってしまいます。

俊敏性がクラウドの良い所だとは思いますが、全体設計となるNWについてはどのような機能があるか、またどのような設計方針で使っていくのかについてきちんと設計をする必要があると認識しています。

クラウドを利用しているユーザにとってNWはとっつきにくい分野かもしれませんが、本記事が少しでもお役に立てれば幸いです。

おわりに

CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。