Route 53 Resolver の可用性とスケーリング - Amazon Route 53

Route 53 Resolver の可用性とスケーリング

Amazon VPC CIDR + 2 アドレスと fd00:ec2::253 で実行される Amazon Route 53 Resolver は、デフォルトで VPC のすべてにおいて利用可能で、パブリックレコード、Amazon VPC 固有の DNS 名、および Route 53 プライベートホストゾーンに関する DNS クエリに再帰的に応答します。Route 53 Resolver には、Nitro Resolver サービスと Zonal Resolver フリートの 2 つの高可用性コンポーネントがあり、ユーザーにとって透過的です。Nitro Resolver Service は、Nitro インスタンスの Nitro Card および旧世代インスタンスの Dom0 で実行され、ホストサーバー上のローカルで Route 53 Resolver 宛てのパケットを消費するサービスです。詳細については、「The Security Design of the AWS Nitro System」を参照してください。

Nitro Resolver サービスにはローカルキャッシュが格納されており、インスタンスによって短時間にわたって繰り返されるクエリに応答することでレイテンシーを短縮できます。Nitro Resolver サービスは、キャッシュされた回答がないクエリを受信すると、クエリを Zonal Resolver フリートに転送します。Zonal Resolver フリートは、通常、インスタンスと同じアベイラビリティーゾーンにある高可用性リゾルバーフリートです。アップストリームのネームサーバーやパスのその他のコンポーネントによるクエリの処理に障害が発生した場合、Nitro Resolver サービスは、インスタンスで実行されているワークロードに影響を与えることなく、これらの障害を透過的に処理することがよくあります。さらに、Resolver がドメインのネームサーバーからクエリタイムアウト、接続拒否、または SERVFAILS が発生した場合、可用性を向上させるために、Time-To-Live (TTL) 値を超えるキャッシュされた応答で応答することがあります。Nitro Resolver サービスと Zonal Resolver フリート間のクエリは、顧客 VPC の外部で厳密に制御されたネットワークに制限されます。このネットワークは顧客にアクセスできず、厳格なセキュリティコントロールの対象となります。Nitro Resolver サービスと VPC 外の Zonal Resolver フリート間のクエリを処理することで、顧客は VPC 内の DNS クエリを傍受できなくなります。AWS の外部にあるネームサーバー宛てのクエリは、Zonal Resolver フリートに属するパブリック IP アドレスから発信されたパブリックインターネットを経由します。現在、EDNS0-Client Subnet 属性はサポートされていません。つまり、パブリック DNS ネームサーバー宛てのすべてのクエリには、発信元のカスタマー IP アドレスに関する情報が含まれません。

Nitro Resolver サービスは、インスタンス上の Link-Local サービスの一部です。リンクローカルサービスには、Route 53 Resolver、Amazon Time Service (NTP)、インスタンスメタデータサービス (IMDS)、Windows Licensing Service (Windows インスタンス用) が含まれます。これらのサービスは、VPC で作成する各 Elastic Network Interface に合わせてスケーリングされ、各ネットワークインターフェイスでは、Link-Local サービス宛ての 1024 パケット/秒 (PPS) が許可されます。この制限を超えるパケットは拒否されます。ethtool によって返される linklocal_allowance_exceeded 値から、この制限を超えたかどうかを判断できます。ethtool の詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 インスタンスのネットワークパフォーマンスのモニタリング」を参照してください。このメトリクスは、CloudWatch エージェントによって CloudWatch メトリクスに報告することもできます。Route 53 Resolver はネットワークインターフェイスごとに実装されるため、アベイラビリティーゾーンにインスタンスを追加すると、スケーリングと信頼性が向上します。クエリの数には VPC ごとの集計制限がないため、Route 53 Resolver は本質的にネットワークアドレス使用状況 (NAU) に基づく VPC の境界内でスケーリングできます。詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「VPC のネットワークアドレスの使用状況」を参照してください。

次の図は、Route 53 Resolver がアベイラビリティーゾーン内の DNS クエリを解決する方法の概要を示しています。

Route 53 Resolver がアベイラビリティーゾーン内の DNS クエリを解決する方法を示す概念的なグラフィック。