ネットワークへのアウトバウンド DNS クエリの転送 - Amazon Route 53

ネットワークへのアウトバウンド DNS クエリの転送

複数の VPC にある Amazon EC2 インスタンスから発信された DNS クエリを、自分のネットワークに転送するには、アウトバウンドエンドポイントと 1 つ以上のルールを作成します。

アウトバウンドエンドポイント

DNS クエリを VPC からネットワークに転送するには、アウトバウンドエンドポイントを作成します。アウトバウンドエンドポイントは、クエリの送信元の IP アドレスを指定します。VPC で使用できる IP アドレスの範囲から選択するこれらの IP アドレスは、パブリック IP アドレスではありません。つまり、アウトバウンドエンドポイントごとに、AWS Direct Connect 接続、VPN 接続、またはネットワークアドレス変換 (NAT) ゲートウェイを使用して VPC をネットワークに接続する必要があります。同じリージョン内の複数の VPC で、同一のアウトバウンドエンドポイントを使用することも、複数のアウトバウンドエンドポイントを作成することもできます。アウトバウンドエンドポイントで DNS64 を使用する場合は、Amazon Virtual Private Cloud を使用して DNS64 を有効にできます。詳細については、Amazon VPC ユーザーガイドDNS64 および NAT64 を参照してください。

ルール

ネットワークの DNS リゾルバーに転送するクエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。各ルールは 1 つのドメイン名を指定します。次に、ネットワークにクエリを転送する VPC にルールを関連付けます。

詳細については、以下のトピックを参照してください。

アウトバウンド転送の設定

Resolver を設定し、自分の VPC を送信元とする DNS クエリを自分のネットワークに転送するには、次の手順を実行します。

重要

アウトバウンドエンドポイントを作成したら、1 つ以上のルールを作成し、1 つ以上の VPC に関連付ける必要があります。ルールは、ネットワークに転送する DNS クエリのドメイン名を指定します。

アウトバウンドエンドポイントを作成するには

  1. AWS Management Console にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで、[Outbound endpoints (アウトバウンドエンドポイント)] を選択します。

  3. ナビゲーションバーで、アウトバウンドエンドポイントを作成するリージョンを選択します。

  4. [Create outbound endpoint (アウトバウンドエンドポイントの作成)] を選択します。

  5. 適切な値を入力します。詳細については、「アウトバウンドエンドポイントを作成または編集するときに指定する値」を参照してください

  6. [Create] を選択します。

    注記

    アウトバウンドエンドポイントを作成するには、1~2 分かかります。最初のアウトバウンドエンドポイントの作成が完了するまでは、別のエンドポイントを作成できません。

  7. ネットワークに転送する DNS クエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。詳細については、次の手順を参照してください。

1 つまたは複数の転送ルールを作成するには、次の手順を実行します。

転送ルールを作成して 1 つ以上の VPC に関連付けるには

  1. AWS Management Console にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで [ルール] を選択します。

  3. ナビゲーションバーで、転送ルールを作成するリージョンを選択します。

  4. [Create rule] を選択します。

  5. 適切な値を入力します。詳細については、「ルールを作成または編集するときに指定する値」を参照してください

  6. [Save] を選択します。

  7. さらにルールを追加するには、ステップ 4~6 を繰り返します。

アウトバウンドエンドポイントを作成または編集するときに指定する値

アウトバウンドエンドポイントを作成または編集する場合、以下の値を指定します。

エンドポイント名

わかりやすい名前にすると、ダッシュボードでアウトバウンドエンドポイントを見つけやすくなります。

region-name リージョンの VPC

すべてのアウトバウンド DNS クエリは、ネットワークに向かう途中で、この VPC を通過します。

このエンドポイントのセキュリティグループ

この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID です。指定するセキュリティグループには、その VPC (VPC CIDR + 2) に Amazon Provided DNS からの DNS (UDP) および DNS (TCP) のインバウンドルールを含める必要があります。アウトバウンドルールでは、ネットワークで DNS クエリに使用するポートで TCP および UDP アクセスを許可する必要があります。エンドポイントの作成が完了した後は、この値を変更できません。

詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

IP アドレス

ネットワークのリゾルバーに到達する過程で、Resolver が DNS クエリの転送先とする、VPC 内の IP アドレスです。これらは、ネットワークの DNS リゾルバーの IP アドレスではありません。リゾルバーの IP アドレスは、1 つ以上の VPC に関連付けるルールを作成するときに指定します。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。

次の点に注意してください。

複数アベイラビリティーゾーン

少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。

IP アドレスと Amazon VPC Elastic Network Interface

ユーザーが指定したアベイラビリティーゾーン、サブネット、および IP アドレスの組み合わせごとに、Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの DNS クエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください。各 Elastic Network Interface の料金については、Amazon Route 53 料金ページの「Amazon Route 53」を参照してください。

IP アドレスの順序

IP アドレスは任意の順序で指定できます。Resolver が DNS クエリを転送する際にも、IP アドレスはリストされている順序に合わせて選択されるわけではありません。

IP アドレスごとに、以下の値を指定します。各 IP アドレスは、[VPC in the region-name Region (region-name リージョンの VPC)] で指定した VPC のアベイラビリティーゾーンに存在する必要があります。

アベイラビリティーゾーン

ネットワークに向かう途中で DNS クエリを通過させるアベイラビリティーゾーンです。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。

サブネット

ネットワークに向かう途中で DNS クエリを通過させる IP アドレスが含まれているサブネットです。サブネットには利用可能な IP アドレスが必要です。

IPv4 アドレスのサブネットを指定します。IPv6 はサポートされていません。

IP アドレス

ネットワークに向かう途中で DNS クエリを通過させる IP アドレスです。

指定したサブネット内の利用可能な IP アドレスから、いずれかを Resolver に自動的に選択させるのか、ユーザー自身が IP アドレスを指定するのかを設定します。

IP アドレスを自分で指定することを選択した場合は、IPv4 アドレスを入力します。IPv6 はサポートされていません。

タグ

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。

これらは、AWSの請求書を整理するために AWS Billing and Cost Managementに用意されているタグです。タグを使ったコスト配分の詳細については、AWS Billingユーザーガイドコスト配分タグの使用を参照してください。

ルールを作成または編集するときに指定する値

転送ルールを作成または編集する場合、以下の転送値を指定します。

ルール名

わかりやすい名前にすると、ダッシュボードでルールを見つけやすくなります。

ルールタイプ

適用可能な値を選択します。

  • Forward – 特定のドメイン名での DNS クエリをネットワークのリゾルバーに転送する場合は、このオプションを選択します。

  • System – 転送ルールで定義されている動作を、Resolver で選択的に上書きさせる場合は、このオプションを選択します。システムルールを作成すると、Resolver はルールで指定されたサブドメインの DNS クエリを解決します (システムルールを使わない場合は、ネットワークの DNS リゾルバーで解決されます)。

デフォルトでは、転送ルールはドメイン名とそのすべてのサブドメインに適用されます。ドメインのクエリをネットワークのリゾルバーに転送する際に、一部のサブドメインのクエリを除外する場合は、これらのサブドメインに対してシステムルールを作成します。例えば、example.com の転送ルールを作成する際に acme.example.com のクエリを転送しない場合は、システムルールを作成し、ドメイン名として acme.example.com を指定します。

このルールを使用する VPC

このルールを使用して、指定したドメイン名の DNS クエリを転送する VPC です。ルールは、必要に応じていくつもの VPC に適用できます。

ドメイン名

このドメイン名の DNS クエリは、[Target IP addresses (ターゲット IP アドレス)] で指定した IP アドレスに転送されます。詳細については、「Resolver がクエリ内のドメイン名とルールの一致を判断する際の動作」を参照してください

アウトバウンドエンドポイント

Resolver は、ここで指定したアウトバウンドエンドポイントを通じて、[Target IP addresses (ターゲット IP アドレス)] で指定した IP アドレスに DNS クエリを転送します。

ターゲット IP アドレス

DNS クエリが [Domain name (ドメイン名)] で指定した名前と一致すると、アウトバウンドエンドポイントはここで指定した IP アドレスにクエリを転送します。これらは、通常、お客様環境上の DNS リゾルバーの IP アドレスです。

[Target IP addresses (ターゲット IP アドレス)] は、[Rule type (ルールタイプ)] の値が [Forward (転送)] である場合にのみ利用できます。

IPv4 アドレスを指定します。IPv6 はサポートされていません。

タグ

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。

これらは、AWSの請求書を整理するために AWS Billing and Cost Management に用意されているタグです。タグを使ったコスト配分の詳細については、AWS Billingユーザーガイドコスト配分タグの使用を参照してください。