プライベートホストゾーンを使用する場合の考慮事項

プライベートホストゾーンを使用する場合は、以下の点を考慮してください。

• Amazon VPC settings

• Route 53 health checks

• Supported routing policies for records in a private hosted zone

• Split-view DNS

• Public and private hosted zones that have overlapping namespaces

• Private hosted zones that have overlapping namespaces

• Private hosted zones and Route 53 VPC Resolver rules

• Delegating responsibility for a subdomain

• Custom DNS servers

• Required IAM permissions

Amazon VPC の設定

プライベートホストゾーンを使用するには、次の Amazon VPC 設定で true を指定する必要があります：

• enableDnsHostnames

• enableDnsSupport

詳細については「Amazon VPC ユーザーガイド」の「VPC の DNS 属性の表示と更新」を参照してください。

Route 53 ヘルスチェック

プライベートホストゾーンの Route 53 ヘルスチェックでは、フェイルオーバー、複数値レスポンス、加重、レイテンシー、位置情報、地理的近接性レコードのみへの関連付けが可能です。ヘルスチェックとフェイルオーバーレコードの関連付けの詳細については、「プライベートホストゾーンのフェイルオーバーの設定」を参照してください。

プライベートホストゾーンのレコードでサポートされるルーティングポリシー

プライベートホストゾーンにレコードを作成すると、次のルーティンポリシーを使用できます。

• シンプルルーティング

• フェイルオーバールーティング

• 複数値回答ルーティング

• 加重ルーティング

• レイテンシーに基づくルーティング

• 位置情報ルーティング

• 地理的近接性ルーティング

その他のルーティングポリシーを使用してプライベートホストゾーンでレコードを作成することはサポートされていません。

スプリットビュー DNS

Route 53 を使用して、スプリットビュー DNS (別名、スプリットホライズン DNS) を設定できます。スプリットビュー DNS では、内部使用 (accounting.example.com) とパブリックウェブサイト (www.example.com) などの外部使用で同じドメイン名 (example.com) を使用します。内部および外部で同じサブドメイン名を使用したいが、内部ユーザーと外部ユーザーに対して、異なるコンテンツを供給したり、異なる認証を要求したりする場合もあります。

スプリットビュー DNS を設定するには、以下の手順を実行します。

1. 同じ名前を持つパブリックホストゾーンおよびプライベートホストゾーンを作成します。(スプリットビュー DNS は、パブリックホストゾーンに別の DNS サービスを使用している場合でも機能します)。

2. 1 つ以上の Amazon VPC をプライベートホストゾーンに関連付けます。Route 53 VPC Resolver は、プライベートホストゾーンを使用して、指定された VPCs。

3. 各ホストゾーンにレコードを作成します。パブリックホストゾーンのレコードはインターネットトラフィックのルーティング方法を制御し、プライベートホストゾーンのレコードは Amazon VPC でのトラフィックのルーティング方法を制御します。

VPC とオンプレミスの両方のワークロードの名前解決を実行する必要がある場合は、Route 53 VPC Resolver を使用できます。詳細については、「Route 53 VPC Resolver とは」を参照してください。

名前空間が重複するパブリックホストゾーンとプライベートホストゾーン

や example.com など、名前空間が重複するプライベートホストゾーンとパブリックホストゾーンがある場合 accounting.example.com 、VPC Resolver は最も具体的な一致に基づいてトラフィックをルーティングします。ユーザーがプライベートホストゾーンに関連付けられている Amazon VPC の EC2 インスタンスにログインすると、Route 53 VPC Resolver が DNS クエリを処理する方法は次のとおりです。

1. VPC Resolver は、プライベートホストゾーンの名前が accounting.example.com などのリクエストのドメイン名と一致するかどうかを評価します。次のいずれかに該当すると、一致したとみなされます。

   • 完全な一致

   • プライベートホストゾーンの名前がリクエスト内のドメイン名の親である。例えば、リクエスト内のドメイン名が次のような名前であるとします。

     seattle.accounting.example.com

     次のホストゾーンは seattle.accounting.example.com の親であるため、これらが一致します。

     • accounting.example.com

     • example.com

   一致するプライベートホストゾーンがない場合、VPC リゾルバーはリクエストをパブリック DNS リゾルバーに転送し、リクエストは通常の DNS クエリとして解決されます。

2. リクエスト内のドメイン名と一致するプライベートホストゾーンの名前がある場合は、リクエスト内のドメイン名と DNS タイプと一致するレコードが検索されます (例: accounting.example.com の A レコード)。

   注記

   一致するプライベートホストゾーンがあっても、リクエストのドメイン名とタイプに一致するレコードがない場合、VPC リゾルバーはリクエストをパブリック DNS リゾルバーに転送しません。代わりに、NXDOMAIN (存在しないドメイン) をクライアントに返します。

名前空間が重複する複数のプライベートホストゾーン

や example.com など、名前空間が重複するプライベートホストゾーンが 2 つ以上ある場合 accounting.example.com 、VPC Resolver は最も具体的な一致に基づいてトラフィックをルーティングします。

注記

プライベートホストゾーン (example.com) と、同じドメイン名のネットワークにトラフィックをルーティングする Route 53 VPC Resolver ルールがある場合、VPC Resolver ルールが優先されます。「Private hosted zones and Route 53 VPC Resolver rules」を参照してください。

ユーザーがすべてのプライベートホストゾーンに関連付けられている Amazon VPC の EC2 インスタンスにログインすると、VPC Resolver が DNS クエリを処理する方法は次のとおりです。

1. VPC Resolver は、accounting.example.com などのリクエスト内のドメイン名がプライベートホストゾーンのいずれかの名前と一致するかどうかを評価します。

2. リクエスト内のドメイン名と正確に一致するホストゾーンがない場合、VPC Resolver はリクエスト内のドメイン名の親である名前を持つホストゾーンをチェックします。例えば、リクエスト内のドメイン名が次のような名前であるとします。

   seattle.accounting.example.com

   次のホストゾーンは seattle.accounting.example.com の親であるため、一致します。

   • accounting.example.com

   • example.com

   VPC Resolver は よりも具体的accounting.example.comであるため、 を選択しますexample.com。

3. VPC Resolver は、 の A レコードなど、リクエスト内のドメイン名と DNS タイプに一致するレコードをaccounting.example.comホストゾーンで検索しますseattle.accounting.example.com。

   リクエストのドメイン名とタイプに一致するレコードがない場合、VPC Resolver は NXDOMAIN (存在しないドメイン) をクライアントに返します。

プライベートホストゾーンと Route 53 VPC リゾルバールール

プライベートホストゾーン (example.com) と、同じドメイン名のネットワークにトラフィックをルーティングする VPC Resolver ルールがある場合、VPC Resolver ルールが優先されます。

例えば、次の設定があるとします。

• example.com というプライベートホストゾーンがあり、それを VPC に関連付けます。

• example.com のトラフィックをネットワークに転送する Route 53 VPC Resolver ルールを作成し、そのルールを同じ VPC に関連付けます。

この設定では、VPC Resolver ルールがプライベートホストゾーンよりも優先されます。DNS クエリは、プライベートホストゾーンのレコードに基づいて解決されるのではなく、ネットワークに転送されます。

サブドメインの責任の委任

サブドメインの責任を委任する NS レコードをプライベートホストゾーンに作成できるようになりました。詳細については、「リゾルバーの委任ルールのチュートリアル」を参照してください。

カスタム DNS サーバー

VPC 内の Amazon EC2 インスタンスでカスタム DNS サーバーを設定した場合、プライベート DNS クエリを VPC 用に Amazon が提供する DNS サーバーの IP アドレスにルーティングするようにそれらの DNS サーバーを設定する必要があります。この IP アドレスは、VPC ネットワーク範囲のベースに「プラス 2」した IP アドレスです。例えば、VPC の CIDR 範囲が 10.0.0.0/16 である場合、DNS サーバーの IP アドレスは 10.0.0.2 です。

VPCs とネットワーク間で DNS クエリをルーティングする場合は、VPC Resolver を使用できます。詳細については、「Route 53 VPC Resolver とは」を参照してください。

必要な IAM アクセス許可

プライベートホストゾーンを作成するには、Route 53 アクションのアクセス許可に加えて、Amazon EC2 アクションのアクセス許可を IAM に付与する必要があります。詳細については、「サービス承認リファレンス」の「Actions, resources, and condition keys for Route 53」を参照してください。