Route 53 ResolverによるDX環境の名前解決

9月 14, 2020AWS,Route53

概要

  • 今回は、初めてRoute 53 Resolver を設定しましたので、設定方法を記事にします。
  • Route 53 はAWSが提供するネームサーバーのマネージドサービスですね。Route 53 Resolver はVPCに備わっているDNSサーバー(フォワーダー + フルサービスリゾルバー)であり、この機能を利用することで、オンプレミス/AWSのハイブリッド環境の名前解決に利用することができます。つまり、VPC作成と同時に使用されるAmazon Provided DNSをDX環境(Direct Connectで接続されたオンプレミス環境)からも使用するための設定です。
 

Route 53 Resolverの役割

  • Route 53 Resolverの役割を以下の図で説明します。オンプレミス環境→DX(Direct Connect)経由で投げられたDNSクエリをInbound Endpoint で受け、Route 53 Resolver に送ります。
  • Route 53 Resolver は、プライベート向けの名前解決はAmazon Provided DNSにフォワードして、インターネット向けであればフルサービスリゾルバーとしてパブリックDNS に問い合わせします。
     

Endpointの設計

  • Inbound Endpoint、Outbound Endpointを設定する際に、Security Group の割当が必要となります。それは、Endpoint がENI(Elastic Network Interface)で実現されているためです。(上記の構成図で見ると、ENIの役割も理解しやすいかと思います)
  • Route 53 Resolver で、Direct Connect などで接続されたオンプレミス環境からのDNSクエリを受ける場合は、Inbound Endpoint に割り当てるSecurity Group を作成します。インバウンドのルールには、オンプレミス環境のネットワークセグメントや問い合わせ元となるDNSサーバーのIPアドレスを指定します。
 

Route 53 Resolverの設定

  • 先ず、セキュリティグループを作成します。前述の通り、インバウンドのルールに、オンプレミス環境のネットワークセグメントや問い合わせ元となるDNSサーバーのIPアドレスを指定します。
   
  • Route 53 Resolverのコンソールを開き、[Configure endpoints]を選択します。
   
  • 今回は、オンプレミス環境からのDNSクエリを許可する設定のみを行いたいと思います。Inbound onlyを選択します。(AWS環境からオンプレミス環境へDNSクエリを許可する場合は、Outbound Endpointの設定も必要となります)
 
  • Inbound endpointを作成します。下記を設定します。
    • エンドポイント名
    • VPC
    • セキュリティグループ
    • IP アドレス #1
      • アベイラビリティーゾーン
      • サブネット
      • IPアドレス: 自動的に選択された IP アドレスを使用します。
    • IP アドレス #2
      • アベイラビリティーゾーン
      • サブネット
      • IPアドレス: 自動的に選択された IP アドレスを使用します。
     
  • 設定を確認し、問題なければ[Submit]ボタンを押します。
 
  • VPCにInbound endpoint が追加されたことを確認します。
 
  • Inbound endpointのIPアドレスを確認します。
 
  • Route 53 Resolver を設定すると、下記のメトリクスが使用可能です。メトリクスの詳細は参考資料に記載のAWSドキュメントを参照ください。
    • InboundQueryVolume
    • OutboundQueryAggregateVolume
    • OutboundQueryVolume
           

参考資料

AWS,Route53

Posted by takaaki