ネットワークへのアウトバウンド DNS クエリの転送 - Amazon Route 53
アウトバウンド転送の設定アウトバウンドエンドポイントを作成または編集するときに指定する値ルールを作成または編集するときに指定する値

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ネットワークへのアウトバウンド DNS クエリの転送

複数の VPC にある Amazon EC2 インスタンスから発信された DNS クエリを、自分のネットワークに転送するには、アウトバウンドエンドポイントと 1 つ以上のルールを作成します。

アウトバウンドエンドポイント

DNS クエリを VPC からネットワークに転送するには、アウトバウンドエンドポイントを作成します。アウトバウンドエンドポイントは、クエリの送信元の IP アドレスを指定します。VPC で使用できる IP アドレスの範囲から選択するこれらの IP アドレスは、パブリック IP アドレスではありません。つまり、アウトバウンドエンドポイントごとに、 AWS Direct Connect 接続、VPN 接続、またはネットワークアドレス変換 (NAT) ゲートウェイを使用して VPC をネットワークに接続する必要があります。同じリージョン内の複数の VPC で、同一のアウトバウンドエンドポイントを使用することも、複数のアウトバウンドエンドポイントを作成することもできます。アウトバウンドエンドポイントで DNS64 を使用する場合は、Amazon Virtual Private Cloud を使用して DNS64 を有効にできます。詳細については、Amazon VPC ユーザーガイドDNS64 および NAT64 を参照してください。

Route 53 Resolver ルールのターゲット IP は、Resolver によってランダムに選択され、特定のターゲット IP を他のターゲット IP よりも選択する設定はありません。転送された DNS リクエストにターゲット IP が応答しない場合、Resolver は他の IP に再試行します。定義されたすべての IP アドレスが使用可能になると、ターゲット IP アドレス全体でラウンドロビンが使用されます。

ルール

ネットワークの DNS リゾルバーに転送するクエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。各ルールは 1 つのドメイン名を指定します。次に、ネットワークにクエリを転送する VPC にルールを関連付けます。

詳細については、以下のトピックを参照してください。

アウトバウンド転送の設定

Resolver を設定し、自分の VPC を送信元とする DNS クエリを自分のネットワークに転送するには、次の手順を実行します。

重要

アウトバウンドエンドポイントを作成したら、1 つ以上のルールを作成し、1 つ以上の VPC に関連付ける必要があります。ルールは、ネットワークに転送する DNS クエリのドメイン名を指定します。

アウトバウンドエンドポイントを作成するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. ナビゲーションペインで、[Outbound endpoints (アウトバウンドエンドポイント)] を選択します。

  3. ナビゲーションバーで、アウトバウンドエンドポイントを作成するリージョンを選択します。

  4. [Create outbound endpoint (アウトバウンドエンドポイントの作成)] を選択します。

  5. 適切な値を入力します。詳細については、「アウトバウンドエンドポイントを作成または編集するときに指定する値」を参照してください

  6. [Create (作成)] を選択します。

    注記

    アウトバウンドエンドポイントを作成するには、1~2 分かかります。最初のアウトバウンドエンドポイントの作成が完了するまでは、別のエンドポイントを作成できません。

  7. ネットワークに転送する DNS クエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。詳細については、次の手順を参照してください。

1 つまたは複数の転送ルールを作成するには、次の手順を実行します。

転送ルールを作成して 1 つ以上の VPC に関連付けるには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. ナビゲーションペインで [ルール] を選択します。

  3. ナビゲーションバーで、転送ルールを作成するリージョンを選択します。

  4. [Create rule] を選択します。

  5. 適切な値を入力します。詳細については、「ルールを作成または編集するときに指定する値」を参照してください

  6. [Save] を選択します。

  7. さらにルールを追加するには、ステップ 4~6 を繰り返します。

アウトバウンドエンドポイントを作成または編集するときに指定する値

アウトバウンドエンドポイントを作成または編集する場合、以下の値を指定します。

Outpost ID

AWS Outposts VPC 上の Resolver のエンドポイントを作成する場合、これは AWS Outposts ID です。

エンドポイント名

わかりやすい名前にすると、ダッシュボードでアウトバウンドエンドポイントを見つけやすくなります。

region-name リージョンの VPC

すべてのアウトバウンド DNS クエリは、ネットワークに向かう途中で、この VPC を通過します。

このエンドポイントのセキュリティグループ

この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID です。指定したセキュリティグループには、1 つ以上のアウトバウンドルールを含める必要があります。アウトバウンドルールでは、ネットワークで DNS クエリに使用するポートで TCP および UDP アクセスを許可する必要があります。エンドポイントの作成が完了した後は、この値を変更できません。

一部のセキュリティグループルールでは、接続が追跡され、アウトバウンドエンドポイントからターゲットネームサーバーへの 1 秒あたりの最大クエリ数に影響する可能性があります。セキュリティグループによる接続の追跡を回避するには、「未追跡接続」を参照してください。

詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

[エンドポイントタイプ]

エンドポイントのタイプは、IPv4、IPv6、デュアルスタック IP アドレスのいずれかです。デュアルスタックエンドポイントの場合、エンドポイントには、ネットワーク上の DNS リゾルバーが DNS クエリを転送できる IPv4 と IPv6 の両方のアドレスが割り当てられます。

注記

セキュリティ上の理由から、すべてのデュアルスタックおよび IPv6 IP アドレスに対して、パブリックインターネットへの直接 IPv6 トラフィックアクセスを拒否しています。

IP アドレス

ネットワークのリゾルバーに到達する過程で、Resolver が DNS クエリの転送先とする、VPC 内の IP アドレスです。これらは、ネットワークの DNS リゾルバーの IP アドレスではありません。リゾルバーの IP アドレスは、1 つ以上の VPC に関連付けるルールを作成するときに指定します。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。

注記

リゾルバーエンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。

次の点に注意してください。

複数アベイラビリティーゾーン

少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。

IP アドレスと Amazon VPC Elastic Network Interface

ユーザーが指定したアベイラビリティーゾーン、サブネット、および IP アドレスの組み合わせごとに、Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの DNS クエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください。各 Elastic Network Interface の料金については、Amazon Route 53 料金ページの「Amazon Route 53」を参照してください。

IP アドレスの順序

IP アドレスは任意の順序で指定できます。Resolver が DNS クエリを転送する際にも、IP アドレスはリストされている順序に合わせて選択されるわけではありません。

IP アドレスごとに、以下の値を指定します。各 IP アドレスは、[VPC in the region-name Region (region-name リージョンの VPC)] で指定した VPC のアベイラビリティーゾーンに存在する必要があります。

アベイラビリティーゾーン

ネットワークに向かう途中で DNS クエリを通過させるアベイラビリティーゾーンです。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。

サブネット

ネットワークに向かう途中で DNS クエリを通過させる IP アドレスが含まれているサブネットです。サブネットには利用可能な IP アドレスが必要です。

サブネット IP アドレスはエンドポイントタイプと一致する必要があります。

IP アドレス

ネットワークに向かう途中で DNS クエリを通過させる IP アドレスです。

指定したサブネット内の利用可能な IP アドレスから、いずれかを Resolver に自動的に選択させるのか、ユーザー自身が IP アドレスを指定するのかを設定します。

IP アドレスを自分で指定する場合は、IPv4 アドレスまたは IPv6 アドレス、またはその両方を入力します。

プロトコル

エンドポイントプロトコルは、送信エンドポイントからのデータの送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。

  • Do53: (デフォルト) データは、追加の暗号化なしで Route 53 リゾルバーを使用して中継されます。データは外部から読み取ることはできませんが、 AWS ネットワーク内では表示できます。

  • DoH: データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。

アウトバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • なし。これは Do53 として扱われます。

タグ

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。

ルールを作成または編集するときに指定する値

転送ルールを作成または編集する場合、以下の転送値を指定します。

ルール名

わかりやすい名前にすると、ダッシュボードでルールを見つけやすくなります。

ルールタイプ

適用可能な値を選択します。

  • Forward – 特定のドメイン名での DNS クエリをネットワークのリゾルバーに転送する場合は、このオプションを選択します。

  • System – 転送ルールで定義されている動作を、Resolver で選択的に上書きさせる場合は、このオプションを選択します。システムルールを作成すると、Resolver はルールで指定されたサブドメインの DNS クエリを解決します (システムルールを使わない場合は、ネットワークの DNS リゾルバーで解決されます)。

デフォルトでは、転送ルールはドメイン名とそのすべてのサブドメインに適用されます。ドメインのクエリをネットワークのリゾルバーに転送する際に、一部のサブドメインのクエリを除外する場合は、これらのサブドメインに対してシステムルールを作成します。例えば、example.com の転送ルールを作成する際に acme.example.com のクエリを転送しない場合は、システムルールを作成し、ドメイン名として acme.example.com を指定します。

このルールを使用する VPC

このルールを使用して、指定したドメイン名の DNS クエリを転送する VPC です。ルールは、必要に応じていくつもの VPC に適用できます。

ドメイン名

このドメイン名の DNS クエリは、[Target IP addresses (ターゲット IP アドレス)] で指定した IP アドレスに転送されます。詳細については、「Resolver がクエリ内のドメイン名とルールの一致を判断する際の動作」を参照してください

アウトバウンドエンドポイント

Resolver は、ここで指定したアウトバウンドエンドポイントを通じて、[Target IP addresses (ターゲット IP アドレス)] で指定した IP アドレスに DNS クエリを転送します。

ターゲット IP アドレス

DNS クエリが [Domain name (ドメイン名)] で指定した名前と一致すると、アウトバウンドエンドポイントはここで指定した IP アドレスにクエリを転送します。これらは、通常、お客様環境上の DNS リゾルバーの IP アドレスです。

[Target IP addresses (ターゲット IP アドレス)] は、[Rule type (ルールタイプ)] の値が [Forward (転送)] である場合にのみ利用できます。

IPv4 または IPv6 アドレス、およびエンドポイントに使用するプロトコルを指定します。

タグ

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。

これらは、 AWS 請求書を整理するために AWS Billing and Cost Management が提供するタグです。タグを使ったコスト配分の詳細については、AWS Billing ユーザーガイドコスト配分タグの使用を参照してください。