ネットワークへのアウトバウンド DNS クエリの転送
複数の VPC にある Amazon EC2 インスタンスから発信された DNS クエリを、自分のネットワークに転送するには、アウトバウンドエンドポイントと 1 つ以上のルールを作成します。
- アウトバウンドエンドポイント
DNS クエリを VPC からネットワークに転送するには、アウトバウンドエンドポイントを作成します。アウトバウンドエンドポイントは、クエリの送信元の IP アドレスを指定します。VPC で使用できる IP アドレスの範囲から選択するこれらの IP アドレスは、パブリック IP アドレスではありません。つまり、アウトバウンドエンドポイントごとに、AWS Direct Connect 接続、VPN 接続、またはネットワークアドレス変換 (NAT) ゲートウェイを使用して VPC をネットワークに接続する必要があります。同じリージョン内の複数の VPC で、同一のアウトバウンドエンドポイントを使用することも、複数のアウトバウンドエンドポイントを作成することもできます。アウトバウンドエンドポイントで DNS64 を使用する場合は、Amazon Virtual Private Cloud を使用して DNS64 を有効にできます。詳細については、Amazon VPC ユーザーガイドの DNS64 および NAT64 を参照してください。
Route 53 Resolver ルールのターゲット IP はリゾルバーによってランダムに選択され、特定のターゲット IP でも他のターゲット IP でも同じです。転送された DNS リクエストにターゲット IP が応答しない場合、リゾルバーはターゲット IP 内のランダム IP アドレスに再試行します。
- ルール
ネットワークの DNS リゾルバーに転送するクエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。各ルールは 1 つのドメイン名を指定します。次に、ネットワークにクエリを転送する VPC にルールを関連付けます。
詳細については、以下のトピックを参照してください。
アウトバウンド転送の設定
Resolver を設定し、自分の VPC を送信元とする DNS クエリを自分のネットワークに転送するには、次の手順を実行します。
重要
アウトバウンドエンドポイントを作成したら、1 つ以上のルールを作成し、1 つ以上の VPC に関連付ける必要があります。ルールは、ネットワークに転送する DNS クエリのドメイン名を指定します。
アウトバウンドエンドポイントを作成するには
AWS Management Console にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/
) を開きます。 ナビゲーションペインで、[Outbound endpoints (アウトバウンドエンドポイント)] を選択します。
ナビゲーションバーで、アウトバウンドエンドポイントを作成するリージョンを選択します。
[Create outbound endpoint (アウトバウンドエンドポイントの作成)] を選択します。
適切な値を入力します。詳細については、「アウトバウンドエンドポイントを作成または編集するときに指定する値」を参照してください
[Create (作成)] を選択します。
注記
アウトバウンドエンドポイントを作成するには、1~2 分かかります。最初のアウトバウンドエンドポイントの作成が完了するまでは、別のエンドポイントを作成できません。
ネットワークに転送する DNS クエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。詳細については、次の手順を参照してください。
1 つまたは複数の転送ルールを作成するには、次の手順を実行します。
転送ルールを作成して 1 つ以上の VPC に関連付けるには
AWS Management Console にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/
) を開きます。 ナビゲーションペインで [ルール] を選択します。
ナビゲーションバーで、転送ルールを作成するリージョンを選択します。
[Create rule] を選択します。
適切な値を入力します。詳細については、「ルールを作成または編集するときに指定する値」を参照してください
[Save] を選択します。
さらにルールを追加するには、ステップ 4~6 を繰り返します。
アウトバウンドエンドポイントを作成または編集するときに指定する値
アウトバウンドエンドポイントを作成または編集する場合、以下の値を指定します。
- Outpost ID
AWS Outposts VPC 上の Resolverのエンドポイントを作成する場合、これは AWS Outposts ID です。
- エンドポイント名
わかりやすい名前にすると、ダッシュボードでアウトバウンドエンドポイントを見つけやすくなります。
- region-name リージョンの VPC
すべてのアウトバウンド DNS クエリは、ネットワークに向かう途中で、この VPC を通過します。
- このエンドポイントのセキュリティグループ
-
この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID です。指定したセキュリティグループには、1 つ以上のアウトバウンドルールを含める必要があります。アウトバウンドルールでは、ネットワークで DNS クエリに使用するポートで TCP および UDP アクセスを許可する必要があります。エンドポイントの作成が完了した後は、この値を変更できません。
セキュリティグループルールによっては、接続が追跡され、アウトバウンドエンドポイントからターゲットネームサーバーへの 1 秒あたりの最大クエリ数に影響する可能性があります。セキュリティグループによる接続の追跡を回避するには、「追跡されていない接続」を参照してください。
詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。
- [エンドポイントタイプ]
エンドポイントのタイプは、IPv4、IPv6、デュアルスタック IP アドレスのいずれかです。デュアルスタックエンドポイントの場合、エンドポイントには、ネットワーク上の DNS リゾルバーが DNS クエリを転送できる IPv4 と IPv6 の両方のアドレスが割り当てられます。
注記
セキュリティ上の理由から、すべてのデュアルスタック IP アドレスと IPv6 IP アドレスに対するパブリックインターネットへの IPv6 トラフィック直接アクセスを拒否しています。
- IP アドレス
ネットワークのリゾルバーに到達する過程で、Resolver が DNS クエリの転送先とする、VPC 内の IP アドレスです。これらは、ネットワークの DNS リゾルバーの IP アドレスではありません。リゾルバーの IP アドレスは、1 つ以上の VPC に関連付けるルールを作成するときに指定します。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。
注記
リゾルバーエンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。
次の点に注意してください。
- 複数アベイラビリティーゾーン
少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。
- IP アドレスと Amazon VPC Elastic Network Interface
ユーザーが指定したアベイラビリティーゾーン、サブネット、および IP アドレスの組み合わせごとに、Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの DNS クエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください。各 Elastic Network Interface の料金については、Amazon Route 53 料金ページ
の「Amazon Route 53」を参照してください。 - IP アドレスの順序
IP アドレスは任意の順序で指定できます。Resolver が DNS クエリを転送する際にも、IP アドレスはリストされている順序に合わせて選択されるわけではありません。
IP アドレスごとに、以下の値を指定します。各 IP アドレスは、[VPC in the region-name Region (region-name リージョンの VPC)] で指定した VPC のアベイラビリティーゾーンに存在する必要があります。
- アベイラビリティーゾーン
ネットワークに向かう途中で DNS クエリを通過させるアベイラビリティーゾーンです。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。
- サブネット
ネットワークに向かう途中で DNS クエリを通過させる IP アドレスが含まれているサブネットです。サブネットには利用可能な IP アドレスが必要です。
サブネット IP アドレスはエンドポイントタイプと一致する必要があります。
- IP アドレス
ネットワークに向かう途中で DNS クエリを通過させる IP アドレスです。
指定したサブネット内の利用可能な IP アドレスから、いずれかを Resolver に自動的に選択させるのか、ユーザー自身が IP アドレスを指定するのかを設定します。
IP アドレスを自分で指定することを選択した場合は、IPv4 か IPv6 のいずれか、または両方のアドレスを入力します。
- プロトコル
エンドポイントプロトコルは、送信エンドポイントからのデータの送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。
Do53: (デフォルト) データは、追加の暗号化なしで Route 53 リゾルバーを使用して中継されます。データは外部から読み取ることはできませんが、AWS ネットワーク内では表示できます。
DoH: データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。
アウトバウンドエンドポイントには、以下のようにプロトコルを適用できます。
Do53 と DoH の組み合わせ。
Do53 のみ。
DoH のみ。
なし。これは Do53 として扱われます。
- タグ
1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。
ルールを作成または編集するときに指定する値
転送ルールを作成または編集する場合、以下の転送値を指定します。
- ルール名
わかりやすい名前にすると、ダッシュボードでルールを見つけやすくなります。
- ルールタイプ
適用可能な値を選択します。
Forward – 特定のドメイン名での DNS クエリをネットワークのリゾルバーに転送する場合は、このオプションを選択します。
System – 転送ルールで定義されている動作を、Resolver で選択的に上書きさせる場合は、このオプションを選択します。システムルールを作成すると、Resolver はルールで指定されたサブドメインの DNS クエリを解決します (システムルールを使わない場合は、ネットワークの DNS リゾルバーで解決されます)。
デフォルトでは、転送ルールはドメイン名とそのすべてのサブドメインに適用されます。ドメインのクエリをネットワークのリゾルバーに転送する際に、一部のサブドメインのクエリを除外する場合は、これらのサブドメインに対してシステムルールを作成します。例えば、example.com の転送ルールを作成する際に acme.example.com のクエリを転送しない場合は、システムルールを作成し、ドメイン名として acme.example.com を指定します。
- このルールを使用する VPC
このルールを使用して、指定したドメイン名の DNS クエリを転送する VPC です。ルールは、必要に応じていくつもの VPC に適用できます。
- ドメイン名
このドメイン名の DNS クエリは、[Target IP addresses (ターゲット IP アドレス)] で指定した IP アドレスに転送されます。詳細については、「Resolver がクエリ内のドメイン名とルールの一致を判断する際の動作」を参照してください
- アウトバウンドエンドポイント
Resolver は、ここで指定したアウトバウンドエンドポイントを通じて、[Target IP addresses (ターゲット IP アドレス)] で指定した IP アドレスに DNS クエリを転送します。
- ターゲット IP アドレス
DNS クエリが [Domain name (ドメイン名)] で指定した名前と一致すると、アウトバウンドエンドポイントはここで指定した IP アドレスにクエリを転送します。これらは、通常、お客様環境上の DNS リゾルバーの IP アドレスです。
[Target IP addresses (ターゲット IP アドレス)] は、[Rule type (ルールタイプ)] の値が [Forward (転送)] である場合にのみ利用できます。
IPv4 または IPv6 アドレス、プロトコル、およびエンドポイントに使用する ServerNameIndication を指定します。ServerNameIndication は、選択したプロトコルが DoH の場合にのみ適用されます。
アウトバウンドエンドポイントを介したネットワーク上では DoH リゾルバーの FQDN のターゲット IP アドレスの解決はサポートされていません。アウトバウンドエンドポイントには、DoH クエリを転送するために、ネットワーク上の DoH リゾルバーのターゲット IP アドレスが必要です。ネットワーク上の DoH リゾルバーが TLS SNI および HTTP ホストヘッダーに FQDN を必要とする場合、ServerNameIndication を指定する必要があります。
- ServerNameIndication
クエリを転送する DoH サーバーのサーバー名の表示。これは、プロトコルが DoH の場合にのみ使用されます。
- タグ
1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。
これらは、AWS の請求書を整理するために AWS Billing and Cost Managementに用意されているタグです。タグを使ったコスト配分の詳細については、AWS Billingユーザーガイドのコスト配分タグの使用を参照してください。