翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
マルチアカウント AWS 環境でハイブリッドネットワークの DNS 解決を設定する
Anvesh Koganti、Amazon Web Services
概要
このパターンは、複数の Amazon Web Services (AWS) アカウントを含むハイブリッドネットワーク環境で DNS 解決を設定するための包括的なソリューションを提供します。これにより、エンドポイントを介してオンプレミスネットワークと AWS 環境間の双方向 DNS 解決が可能になります Amazon Route 53 Resolver 。このパターンは、マルチアカウントで一元化されたアーキテクチャで DNS 解決を可能にする 2 つのソリューションを示しています。
基本セットアップでは Route 53 プロファイルを使用しません。これにより、複雑さの低い中小規模のデプロイのコストを最適化できます。
拡張セットアップでは、Route 53 Profiles を使用してオペレーションを簡素化します。大規模または複雑な DNS デプロイに最適です。
注記
実装する前に、「制限」セクションでサービスの制限とクォータを確認してください。意思決定を行う際には、管理のオーバーヘッド、コスト、運用の複雑さ、チームの専門知識などの要因を考慮してください。
前提条件と制限
前提条件
共有サービスとワークロードアカウント全体にデプロイされた Amazon Virtual Private Cloud (Amazon VPC) を使用する AWS マルチアカウント環境 (アカウント構造のAWS ベストプラクティスに従って AWS Control Tower を介してセットアップすることをお勧めします)。
オンプレミスネットワークと AWS 環境間の既存のハイブリッド接続 (AWS Direct Connect または AWS Site-to-Site VPN)。
Amazon VPC ピアリング AWS Transit Gateway、または VPCs AWS クラウド 間のレイヤー 3 ネットワーク接続用の WAN。(この接続はアプリケーショントラフィックに必要です。 DNS 解決が機能する必要はありません。 DNS 解決はVPCs.)
オンプレミス環境で実行されている DNS サーバー。
制約事項
Route 53 Resolver のエンドポイント、ルール、プロファイルはリージョン構造であり、グローバル組織 AWS リージョン では複数の でレプリケーションが必要になる場合があります。
Route 53 Resolver、プライベートホストゾーン、およびプロファイルのサービスクォータの包括的なリストについては、Route 53 ドキュメントの「クォータ」を参照してください。
アーキテクチャ
ターゲットテクノロジースタック
Route 53 アウトバウンドエンドポイントとインバウンドエンドポイント
条件付き転送用の Route 53 Resolver ルール
AWS Resource Access Manager (AWS RAM)
Route 53 プライベートホストゾーン
ターゲット アーキテクチャ
アウトバウンドエンドポイントとインバウンドエンドポイント
次の図は、 からオンプレミス AWS への DNS 解決フローを示しています。これは、ドメインがオンプレミスでホストされているアウトバウンド解決の接続設定です。この設定に関連するプロセスの概要を次に示します。詳細については、エピックセクションを参照ください。
アウトバウンド Route 53 Resolver エンドポイントを共有サービス VPC にデプロイします。
オンプレミスでホストされているドメインの共有サービスアカウントに Route 53 Resolver ルール (転送ルール) を作成します。
オンプレミスのホストドメインを解決する必要があるリソースをホストする他のアカウントの VPCs とルールを共有して関連付けます。これは、このセクションで後述するように、ユースケースに応じてさまざまな方法で行うことができます。
接続を設定した後、アウトバウンド解決に関連するステップは次のとおりです。
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは、 の DNS 解決リクエスト
db.onprem.example.comを VPC の Route 53 Resolver の VPC+2 アドレスに送信します。Route 53 Resolver は Resolver ルールをチェックし、アウトバウンドエンドポイントを使用してリクエストをオンプレミス DNS サーバー IPs に転送します。
アウトバウンドエンドポイントは、リクエストをオンプレミス DNS IPs。トラフィックは、共有サービス VPC とオンプレミスデータセンター間の確立されたハイブリッドネットワーク接続を経由します。
オンプレミス DNS サーバーはアウトバウンドエンドポイントに応答し、VPC の Route 53 Resolver に応答を転送します。Resolver は EC2 インスタンスにレスポンスを返します。
次の図は、オンプレミス環境から への DNS 解決フローを示しています AWS。これは、ドメインがホストされているインバウンド解決の接続設定です AWS。この設定に関連するプロセスの概要を次に示します。詳細については、エピックセクションを参照ください。
共有サービス VPC にインバウンドリゾルバーエンドポイントをデプロイします。
共有サービスアカウントにプライベートホストゾーンを作成します (集中型アプローチ)。
プライベートホストゾーンを共有サービス VPC に関連付けます。これらのゾーンを共有し、VPC-to-VPC VPCs。これは、このセクションで後述するように、ユースケースに応じてさまざまな方法で行うことができます。
接続を設定した後、インバウンド解決に関連するステップは次のとおりです。
オンプレミスリソースは、 の DNS 解決リクエスト
ec2.prod.aws.example.comをオンプレミス DNS サーバーに送信します。オンプレミス DNS サーバーは、ハイブリッドネットワーク接続を介して共有サービス VPC 内のインバウンドリゾルバーエンドポイントにリクエストを転送します。
インバウンドリゾルバーエンドポイントは、VPC Route 53 Resolver の助けを借りて、関連するプライベートホストゾーンでリクエストを検索し、適切な IP アドレスを取得します。
これらの IP アドレスはオンプレミス DNS サーバーに返送され、オンプレミスリソースにレスポンスが返されます。
この設定により、オンプレミスリソースは、インバウンドエンドポイントを介して適切な AWS プライベートホストゾーンにクエリをルーティングすることで、プライベートドメイン名を解決できます。このアーキテクチャでは、プライベートホストゾーンは共有サービス VPC に一元化されるため、単一のチームによる一元的な DNS 管理が可能になります。これらのゾーンは、VPC 間 VPCs DNS 解決のユースケースに対応するために、多くの VPC に関連付けることができます。 VPC-to-VPC または、それぞれに DNS ドメインの所有権と管理を委任することもできます AWS アカウント。この場合、各アカウントは独自のプライベートホストゾーンを管理し、各ゾーンを中央の共有サービス VPC に関連付けて、オンプレミス環境との統合解決を行います。この分散型アプローチは、このパターンの範囲外です。詳細については、Amazon VPCs」を参照してください。
Resolver エンドポイントを使用して基本的な DNS 解決フローを確立する場合は、 全体で Resolver ルールとプライベートホストゾーンの共有と関連付けを管理する方法を決定する必要があります AWS アカウント。これは 2 つの方法でアプローチできます。基本セットアップセクションで説明されているように、 AWS RAM を使用してリゾルバールールを共有し、プライベートホストゾーンの関連付けをダイレクトすることでセルフマネージド共有する方法と、拡張セットアップセクションで説明されているように Route 53 プロファイルする方法です。選択は、組織の DNS 管理設定と運用要件によって異なります。次のアーキテクチャ図は、一般的なエンタープライズデプロイを表す、異なるアカウントにまたがVPCs を含むスケーリングされた環境を示しています。
基本的なセットアップ
基本的なセットアップでは、マルチアカウント AWS 環境でのハイブリッド DNS 解決の実装では、 を使用して Resolver 転送ルールとプライベートホストゾーンの関連付け AWS RAM を共有し、オンプレミスと AWS リソース間の DNS クエリを管理します。この方法では、オンプレミスネットワークに接続された共有サービス VPC 内の一元化された Route 53 Resolver エンドポイントを使用して、インバウンドとアウトバウンドの両方の DNS 解決を効率的に処理します。
アウトバウンド解決の場合、リゾルバー転送ルールは共有サービスアカウントで作成され、 を使用して他の と共有 AWS アカウント されます AWS RAM。この共有は、同じリージョン内のアカウントに限定されます。その後、ターゲットアカウントはこれらのルールを VPCs に関連付け、それらの VPCs内のリソースを有効にしてオンプレミスドメイン名を解決できます。
インバウンド解決の場合、プライベートホストゾーンは共有サービスアカウントに作成され、共有サービス VPC に関連付けられます。その後、Route 53 API、 AWS SDKs、または AWS Command Line Interface () を使用して、これらのゾーンを他のアカウントの VPCs に関連付けることができますAWS CLI。関連付けられた VPCsリソースは、プライベートホストゾーンで定義された DNS レコードを解決できます。これにより、 AWS 環境全体で統一された DNS ビューが作成されます。
次の図は、この基本セットアップの DNS 解決フローを示しています。
この設定は、限られた規模で DNS インフラストラクチャを使用する場合に適しています。ただし、環境が大きくなるにつれて、 の管理が難しくなる可能性があります。プライベートホストゾーンとリゾルバールールを共有しVPCs個別に関連付ける方法を管理する運用オーバーヘッドは、スケールとともに大幅に増加します。さらに、プライベートホストゾーンあたり 300 VPC 関連付け制限などのサービスクォータは、大規模なデプロイで制約要因になる可能性があります。拡張セットアップは、これらの課題に対処します。
拡張セットアップ
Route 53 Profiles は、複数の にわたるハイブリッドネットワークの DNS 解決を管理するための合理化されたソリューションを提供します AWS アカウント。プライベートホストゾーンとリゾルバールールを個別に管理する代わりに、DNS 設定を 1 つのコンテナにグループ化して、リージョン内の複数の VPCs とアカウント間で簡単に共有および適用できます。この設定は、DNS 設定の管理を大幅に簡素化しながら、一元化された Resolver エンドポイントアーキテクチャを共有サービス VPC に維持します。
次の図は、拡張セットアップの DNS 解決フローを示しています。
Route 53 プロファイルを使用すると、プライベートホストゾーンの関連付け、リゾルバー転送ルール、DNS ファイアウォールルールを 1 つの共有可能なユニットにパッケージ化できます。共有サービスアカウントでプロファイルを作成し、 を使用してメンバーアカウントと共有できます AWS RAM。プロファイルを共有してターゲット VPCs に適用すると、必要なすべての関連付けと設定がサービスによって自動的に処理されます。これにより、DNS 管理の運用オーバーヘッドが大幅に削減され、拡大する環境に優れたスケーラビリティが提供されます。
自動化とスケール
AWS CloudFormation や Terraform などの Infrastructure as Code (IaC) ツールを使用して、Route 53 Resolver エンドポイント、ルール、プライベートホストゾーン、プロファイルを自動的にプロビジョニングおよび管理します。DNS 設定を継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプラインと統合して、一貫性、再現性、迅速な更新を実現します。
ツール
AWS のサービス
AWS Resource Access Manager (AWS RAM) は、 間でリソースを安全に共有 AWS アカウント し、運用オーバーヘッドを削減し、可視性と監査性を提供するのに役立ちます。
Amazon Route 53 Resolver はリソースからの DNS クエリに再帰的に応答 AWS し、すべての VPCs でデフォルトで使用できます。Resolver エンドポイントと条件付き転送ルールを作成して、オンプレミスデータセンターと VPCs 間の DNS 名前空間を解決できます。
Amazon Route 53 プライベートホストゾーンは、Route 53 がドメインとそのサブドメインの DNS クエリにどのように応答するかに関する情報を保持するコンテナです。
Amazon Route 53 プロファイルを使用すると、DNS 関連の Route 53 設定 AWS アカウント を多くの VPCsおよび管理できます。
ベストプラクティス
このセクションでは、Route 53 Resolver を最適化するためのベストプラクティスをいくつか紹介します。これらは Route 53 のベストプラクティスのサブセットを表します。包括的なリストについては、「Amazon Route 53 のベストプラクティス」を参照してください。
Resolver エンドポイントでのループ設定の回避
VPC の関連付けを慎重に計画することで、再帰的なルーティングを防ぐように DNS アーキテクチャを設計します。VPC がインバウンドエンドポイントをホストする場合は、循環参照を作成できる Resolver ルールに関連付けないでください。
アカウント間で DNS リソースを共有する場合は、 を AWS RAM 戦略的に使用して、クリーンなルーティングパスを維持します。
詳細については、Route 53 ドキュメントの「リゾルバーエンドポイントによるループ設定の回避」を参照してください。
Resolver エンドポイントのスケーリング
1 秒あたりのクエリ数 (QPS) が多い環境では、エンドポイントの ENI あたり 10,000 QPS の制限があることに注意してください。DNS QPS をスケールするために、エンドポイントにさらに ENIs を追加できます。
Amazon CloudWatch は
InboundQueryVolumeおよびOutboundQueryVolumeメトリクスを提供します (CloudWatch ドキュメントを参照)。しきい値が特定の値 (10,000 QPS の 80%) を超えた場合に警告するモニタリングルールを設定することをお勧めします。Resolver エンドポイントのステートフルセキュリティグループルールを設定して、大量のトラフィック中に接続追跡制限によって DNS クエリスロットリングが発生しないようにします。セキュリティグループでの接続追跡の仕組みの詳細については、Amazon EC2 ドキュメントの「Amazon EC2 セキュリティグループ接続追跡」を参照してください。 Amazon EC2
詳細については、Route 53 ドキュメントの「リゾルバーエンドポイントのスケーリング」を参照してください。
Resolver エンドポイントに高可用性を提供する
冗長性を確保するために、少なくとも 2 つのアベイラビリティーゾーンに IP アドレスを持つインバウンドエンドポイントを指定します。
追加のネットワークインターフェイスをプロビジョニングして、メンテナンス中やトラフィックの急増時に可用性を確保します。
詳細については、Route 53 ドキュメントの「Resolver エンドポイントの高可用性」を参照してください。
エピック
| タスク | 説明 | 必要なスキル |
|---|---|---|
インバウンドエンドポイントをデプロイします。 | Route 53 Resolverはインバウンド エンドポイントを使用して、DNS クエリをオンプレミスネットワークから Route 53 Resolver に転送します。手順については、Route 53 ドキュメントの「VPC へのインバウンド DNS クエリの転送」 を参照してください。受信エンドポイント IP アドレスをメモしておきます。 | AWS 管理者、クラウド管理者 |
アウトバウンドエンドポイントをデプロイします。 | Route 53 Resolver は、アウトバウンドエンドポイントを使用して DNS クエリをオンプレミスの DNS レゾルバ に送信します。手順については、Route 53 ドキュメントの「アウトバウンド DNS クエリのネットワークへの転送」 を参照してください。出力エンドポイント ID を書きとめておきます。 | AWS 管理者、クラウド管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
ホストされているドメインのプライベートホストゾーンを作成します AWS。 | このゾーンは、オンプレミス環境から解決する必要がある AWSホストドメイン ( など プライベートホストゾーンを作成するときは、VPC を同じアカウントが所有するホストゾーンに関連付ける必要があります。この目的のために共有サービス VPC を選択します。 | AWS 管理者、クラウド管理者 |
基本セットアップ: プライベートホストゾーンを他のアカウントの VPCs に関連付けます。 | 基本セットアップを使用している場合 (「アーキテクチャ」セクションを参照)。 メンバーアカウント VPCs のリソースでこのプライベートホストゾーンの DNS レコードを解決できるようにするには、VPCs をホストゾーンに関連付ける必要があります。関連付けを承認してから、プログラムで関連付けを作成する必要があります。手順については、Route 53 ドキュメントの「異なる で作成した Amazon VPC とプライベートホストゾーンの関連付け AWS アカウント」を参照してください。 | AWS 管理者、クラウド管理者 |
拡張セットアップ: Route 53 プロファイルを設定および共有します。 | 拡張セットアップを使用している場合 (アーキテクチャセクションを参照)。
注記組織の構造と DNS 要件によっては、異なるアカウントまたはワークロードに対して複数のプロファイルを作成および管理する必要がある場合があります。 | AWS 管理者、クラウド管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
オンプレミスでホストされているドメインの転送ルールを作成します。 | このルールは、オンプレミスドメイン ( など | AWS 管理者、クラウド管理者 |
基本設定: 転送ルールを共有し、他のアカウントの VPCs に関連付けます。 | 基本セットアップを使用している場合: 転送ルールを有効にするには、ルールを共有し、他のアカウントの VPCs に関連付ける必要があります。その後、Route 53 Resolver はドメインを解決するときにルールを考慮します。手順については、Route 53 ドキュメントの「Resolver ルール AWS アカウント を他の と共有ルールを使用する」および「転送ルールを VPC に関連付ける」を参照してください。 | AWS 管理者、クラウド管理者 |
拡張セットアップ: Route 53 プロファイルを設定および共有します。 | 拡張セットアップを使用している場合:
注記組織の構造と DNS 要件によっては、異なるアカウントまたはワークロードに対して複数のプロファイルを作成および管理する必要がある場合があります。 | AWS 管理者、クラウド管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
オンプレミス DNS リゾルバーで条件付き転送を設定します。 | 解決のためにオンプレミス環境 AWS から に DNS クエリを送信するには、インバウンドエンドポイント IP アドレスを指すようにオンプレミス DNS リゾルバーで条件付き転送を設定する必要があります。これにより、DNS リゾルバーは、Route AWS 53 Resolver による解決のために、ホストされたドメイン ( の場合など | ネットワーク管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
からオンプレミス環境 AWS への DNS 解決をテストします。 | 転送ルールが関連付けられている VPC 内のインスタンスから、オンプレミスホストドメイン ( の場合など | ネットワーク管理者 |
オンプレミス環境から への DNS 解決をテストします AWS。 | オンプレミスサーバーから、ホストされたドメイン ( の場合は など | ネットワーク管理者 |
関連リソース
Amazon VPC のハイブリッドクラウド DNS オプション (AWS ホワイトペーパー)
プライベートホストゾーンの使用 (Route 53 ドキュメント)
Route 53 Resolver の開始方法 (Route 53 ドキュメント)
Route 53 Resolver を使用してマルチアカウント環境で DNS 管理を簡素化
する (AWS ブログ記事) Amazon Route 53 Profiles と複数の VPCs を使用して DNS 管理を統一する AWS アカウント
(AWS ブログ記事) マルチアカウント DNS 環境を Amazon Route 53 Profiles に移行する
(AWS ブログ記事) スケーラブルなマルチアカウント AWS 環境での Amazon Route 53 プロファイルの使用
(AWS ブログ記事)
