« AWS Black Belt Tech Webinar 「Amazon SNS / SQS」「Amazon CloudFront」資料公開 | メイン | AWS初心者向けWebinar「AWSクラウドでのWindowsの実行」の資料およびQA公開 »

オンプレミスネットワークとAWS間のDNS名前解決をAWS Directory ServiceとAmazon Route 53を使用してセットアップする方法

オンプレミスネットワークとAWS Virtual Private Cloud (VPC)環境とのプライベート接続を確立するには、これらの環境にまたがったDomain Name System (DNS)名前解決の必要性がより重要になってきます。この必要性に対処するためのひとつの一般的なアプローチは複数のアベイラビリティゾーン(AZ)にまたがったAmazon EC2上でDNSサーバーを動作させてプライベートのオンプレミスにあるDNSドメインと統合することです。しかしながら多くの場合、より管理上のオーバーヘッドが少ないマネージド型のプライベートDNSサービス(VPC外からアクセス可能)がより有利となります。このブログ記事では、Amazon Route 53とAWS Directory Serviceを使用してオンプレミスネットワークとAWS VPC環境の間でDNS名前解決を提供する2つのアプローチについて紹介します。

AWS Directory Serviceを使用してDNSリクエストをRoute 53にフォワードする

Simple ADは冗長化されたマネージド型のDNSサービスをAZをまたがって提供します。このDNSサービスは非権威ドメインへのリクエストを自動的にVPC-provided DNSにフォワードします。したがって、Route 53のプライベートホステッドゾーンにストアされたDNSレコードの名前解決に使用することができます。以下の図はこのアーキテクチャをしめしています。

たとえば、Simple ADディレクトリをプロビジョンしてそれにexample.netという名前を付けると、ドメイン名の外部(example.comとします)のすべてのDNSリクエストはVPCのインターナルDNSにフォワードされます。aws.example.comに対するRoute 53プライベートホステッドゾーンが作成されてVPCにアサインされていれば、それはVPC外から発生したDNSクエリに応答します。これはSimple AD DNSサービスによってSimple ADリソース、VPC-provided DNS、そしてRoute 53プライベートホステッドゾーンにまたがった名前解決を統合するための完成されたやり方です。VPCでは以下のVPCコンソールのスクリーンショットにあるようにDNS名前解決とDNSホスト名が有効になっていることに注意してください。この設定に関する詳細は、Using DNS with Your VPCを参照してください。AWS Directory Serviceによって提供されるDNSサービスについての詳細は、Using DNS with Simple AD and Microsoft ADを参照してください。 

Simple ADディレクトリがプロビジョンされた後、AWS Directory Serviceコンソールからそれをそれを選択して2つのDNSに関連付けされたIPアドレスを、以下のスクリーンショットにあるように表示します。

これらのIPアドレスへのリクエストはVPC-provided DNSサービスとRoute 53にフォワードされます。オンプレミスDNSサービスでこれらのIPアドレスのRoute 53ドメイン名に対するDNSフォワーダーをセットアップすることは、オンプレミスホストからAWS VPCへのDNS名前解決をいますぐ実現する簡単な方法です。ディレクトリに作成されたセキュリティグループがオンプレミスネットワークからのDNSトラフィックを許可するように設定されているか確認するようにしてください。さらに、Route 53ドメイン名がSimple ADドメイン名と異なっていることを確認してください。Route 53ドメインがSimple ADドメインと同じかまたはサブドメインの場合、Simple ADはリクエストをフォワードしません。

Route 53はグローバルサービスでプライベートホステッドゾーンを複数のVPCに関連付けすることができるため、このシナリオでは複数のAWSリージョンをまたがって複数のVPCに配置されたホストとサービスに対するDNS名前解決を提供することができます。それによって複数のVPCで単一の集中化されたRoute 53プライベートホステッドゾーンをもつことができます。

AWSから発生したオンプレミスリソースへのDNSリクエストの名前解決

多くの場合、VPCの内側にデプロイされたリソースがデータセンターまたはオンプレミスネットワークにあるリソースへの名前解決ができるようにしたいと思います。言い換えると、この記事でここまでカバーしていたステップは既存の企業またはプライベートネットワークからのVPCリソースの名前解決に関するものです。逆方向の名前解決についてはどうでしょうか?

Simple ADをディレクトリサービスとして選ぶと、DNSリクエストをオンプレミスDNSサーバーにもどすようにルーティングするのが最適な選択肢になります。リクエストをVPCとRoute 53にフォワードするステップについてはすでにカバーしています。VPC内でオンプレミスDNSサーバー(とSimple ADサーバーへのフォワーダー)のIPアドレスをもつようにEC2インスタンスを構成すると、単一のDNSコンフィグレーションでAWSとプライベートネットワークの両方の名前解決をすることができることができます。VPCのDHCPオプションセットにはそれを自動化する効果があります。詳細はDHCP Option Setsを参照してください。

以下の図はVPC内のSimple ADから生成されたDNSリクエストのフローを描いています。オンプレミスDNS名前解決を必要とするインスタンスだけがオンプレミスDNSサーバーの構成をするようにします。VPCリソースの名前解決だけを必要とするインスタンスは、Simple AD-provided DNSのアドレスだけを構成するようにします。

まとめ

AWS Directory ServiceはオンプレミスとAWSマネードDNSサービスとの間の統合をより簡単にして自身でDNSサーバーを管理する必要性を削減することができます。Simple ADディレクトリタイプを使用してオンプレミスネットワークから生成されたDNSリクエストをVPC-provided DNSと究極的にはRoute 53にフォワードすることができます。DNSサービスをEC2で動かすことは柔軟性がありますが、追加の管理上のオーバーヘッドと高可用性やフェイルオーバーの構成が必要になります。Directory Service - Simple ADのprovided DNSはAZをまたがったサービスをプロビジョンされたディレクトリの一部として提供します。これによってAWSにおけるハイブリッドアーキテクチャの実装がさらに容易になります。

次回の記事では、ハイブリッドアーキテクチャでのDNS名前解決を提供するためにSimple ADのかわりにMicrosoft Active Directoryを使用することをみていきます。ご質問やご意見があれば、こちらかDirectory Service forumまでお寄せください。

- Drew(日本語訳はSA渡邉(@gentaw0)が担当しました。原文はHow to Set Up DNS Resolution Between On-Premises Networks and AWS Using AWS Directory Service and Amazon Route 53

コメント

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

2018年4 月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30