プライベートホストゾーンを使用する場合の考慮事項 - Amazon Route 53

プライベートホストゾーンを使用する場合の考慮事項

プライベートホストゾーンを使用する場合は、以下の点を考慮してください。

Amazon VPC の設定

プライベートホストゾーンを使用するには、次の Amazon VPC 設定で true を指定する必要があります。

  • enableDnsHostnames

  • enableDnsSupport

詳細については、Amazon VPC ユーザーガイドの「VPC の DNS サポートを更新する」を参照してください。

Route 53 ヘルスチェック

プライベートホストゾーンの Route 53 ヘルスチェックでは、フェールオーバー、複数値応答、および加重レコードのみへの関連付けが可能です。ヘルスチェックとフェイルオーバーレコードの関連付けの詳細については、「プライベートホストゾーンのフェイルオーバーの設定」を参照してください。

プライベートホストゾーンのレコードでサポートされるルーティングポリシー

プライベートホストゾーンにレコードを作成すると、次のルーティンポリシーを使用できます。

その他のルーティングポリシーを使用してプライベートホストゾーンでレコードを作成することはサポートされていません。

スプリットビュー DNS

Route 53 を使用して、スプリットビュー DNS (別名、スプリットホライズン DNS) を設定できます。スプリットビュー DNS では、内部使用 (accounting.example.com) とパブリックウェブサイト (www.example.com) などの外部使用で同じドメイン名 (example.com) を使用します。内部および外部で同じサブドメイン名を使用したいが、内部ユーザーと外部ユーザーに対して、異なるコンテンツを供給したり、異なる認証を要求したりする場合もあります。

スプリットビュー DNS を設定するには、以下の手順を実行します。

  1. 同じ名前を持つパブリックホストゾーンおよびプライベートホストゾーンを作成します。(スプリットビュー DNS は、パブリックホストゾーンに別の DNS サービスを使用している場合でも機能します)。

  2. 1 つ以上の Amazon VPC をプライベートホストゾーンに関連付けます。Route 53 Resolverは、このプライベートホストゾーンを使用して、指定された VPC に DNS クエリをルーティングします。

  3. 各ホストゾーンにレコードを作成します。パブリックホストゾーンのレコードはインターネットトラフィックのルーティング方法を制御し、プライベートホストゾーンのレコードは Amazon VPC でのトラフィックのルーティング方法を制御します。

VPC とオンプレミスワークロードの両方で名前解決を実行する必要がある場合は、Route 53 Resolver を使用できます。詳細については、「VPC とネットワークの間における DNS クエリの解決」を参照してください。

名前空間が重複するパブリックホストゾーンとプライベートホストゾーン

example.com や accounting.example.com など、重複する名前空間を持つプライベートホストゾーンとパブリックホストゾーンがある場合、Resolver は最も具体的な一致に基づいてトラフィックをルーティングします。プライベートホストゾーンに関連付けられた Amazon VPC で、EC2 インスタンスにユーザーがログインしている場合、Route 53 Resolver が DNS クエリをどのように処理するかは次のとおりです。

  1. Resolver は、プライベートホストゾーンの名前がリクエスト内のドメイン名 (accounting.example.com など) と一致するかどうかを評価します。次のいずれかに該当すると、一致したとみなされます。

    • 完全な一致

    • プライベートホストゾーンの名前がリクエスト内のドメイン名の親である。例えば、リクエスト内のドメイン名が次のような名前であるとします。

      seattle.accounting.example.com

      次のホストゾーンは seattle.accounting.example.com の親であるため、これらが一致します。

      • accounting.example.com

      • example.com

    一致するプライベートホストゾーンがない場合、Resolver はリクエストをパブリック DNS リゾルバーに転送します。この場合、リクエストは通常の DNS クエリとして解決されます。

  2. リクエスト内のドメイン名と一致するプライベートホストゾーンの名前がある場合は、リクエスト内のドメイン名と DNS タイプと一致するレコードが検索されます (例: accounting.example.com の A レコード)。

    注記

    一致するプライベートホストゾーンはあるものの、リクエスト内のドメイン名やタイプと一致するレコードが見つからない場合、Resolver はリクエストをパブリック DNS リゾルバーに転送しません。代わりに、NXDOMAIN (存在しないドメイン) をクライアントに返します。

名前空間が重複する複数のプライベートホストゾーン

example.com と accounting.example.com など、重複する名前空間を持つ複数のプライベートホストゾーンがある場合、Resolver は最も具体的な一致に基づいてトラフィックをルーティングします。

注記

プライベートホストゾーン (example.com) を使用しており、また、ドメイン名が同じである場合にネットワークにトラフィックをルーティングする Route 53 Resolver ルールがある場合、Resolver はルールを優先します。「Private hosted zones and Route 53 Resolver rules」を参照してください。

すべてのプライベートホストゾーンに関連付けられた Amazon VPC で、EC2 インスタンスにユーザーがログインしている場合、Resolver が DNS クエリをどのように処理するかは次のとおりです。

  1. Resolver は、リクエスト内のドメイン名 (accounting.example.com など) が、いずれかのプライベートホストゾーンの名前と一致するかどうかを評価します。

  2. リクエスト内のドメイン名と完全に一致するホストゾーンがない場合、Resolver は、リクエスト内のドメイン名の親の名前を持つホストゾーンを検索します。例えば、リクエスト内のドメイン名が次のような名前であるとします。

    seattle.accounting.example.com

    次のホストゾーンは seattle.accounting.example.com の親であるため、一致します。

    • accounting.example.com

    • example.com

    Resolver は、example.com より具体的である accounting.example.com を選択します。

  3. Resolver は、accounting.example.com ホストゾーンで、リクエスト内のドメイン名と DNS タイプに一致するレコード (seattle.accounting.example.com の A レコードなど) を検索します。

    リクエスト内のドメイン名とタイプに一致するレコードがない場合、Resolver はクライアントに NXDOMAIN (存在しないドメイン) を返します。

プライベートホストゾーンと Route 53 Resolver ルール

プライベートホストゾーン (example.com) があり、ドメイン名が同じであるトラフィックをネットワークにルーティングする Resolver ルールがある場合、Resolver はルールを優先します。

例えば、次の設定があるとします。

  • example.com というプライベートホストゾーンがあり、それを VPC に関連付けます。

  • example.com のトラフィックをネットワークに転送する Route 53 Resolver ルールを作成し、そのルールを同じ VPC に関連付けます。

この設定では、Resolver ルールがプライベートホストゾーンよりも優先されます。DNS クエリは、プライベートホストゾーンのレコードに基づいて解決されるのではなく、ネットワークに転送されます。

サブドメインの責任の委任

サブドメインの責任を委任する NS レコードをプライベートホストゾーンに作成することはできません。

カスタム DNS サーバー

VPC 内の Amazon EC2 インスタンスでカスタム DNS サーバーを設定した場合、プライベート DNS クエリを VPC 用に Amazon が提供する DNS サーバーの IP アドレスにルーティングするようにそれらの DNS サーバーを設定する必要があります。この IP アドレスは、VPC ネットワーク範囲のベースに「プラス 2」した IP アドレスです。例えば、VPC の CIDR 範囲が 10.0.0.0/16 である場合、DNS サーバーの IP アドレスは 10.0.0.2 です。

VPC とネットワーク間で DNS クエリをルーティングする場合は、Resolver を使用します。詳細については、「VPC とネットワークの間における DNS クエリの解決」を参照してください。

必要な IAM アクセス許可

プライベートホストゾーンを作成するには、Route 53アクションのアクセス許可に加えて、Amazon EC2 アクションのアクセス許可を IAM に付与する必要があります。詳細については、「プライベートホストゾーンでのアクションに必要なアクセス許可」を参照してください。