概要
- 今回は、初めてRoute 53 Resolver を設定しましたので、設定方法を記事にします。
- Route 53 はAWSが提供するネームサーバーのマネージドサービスですね。Route 53 Resolver はVPCに備わっているDNSサーバー(フォワーダー + フルサービスリゾルバー)であり、この機能を利用することで、オンプレミス/AWSのハイブリッド環境の名前解決に利用することができます。つまり、VPC作成と同時に使用されるAmazon Provided DNSをDX環境(Direct Connectで接続されたオンプレミス環境)からも使用するための設定です。
Route 53 Resolverの役割
- Route 53 Resolverの役割を以下の図で説明します。オンプレミス環境→DX(Direct Connect)経由で投げられたDNSクエリをInbound Endpoint で受け、Route 53 Resolver に送ります。
- Route 53 Resolver は、プライベート向けの名前解決はAmazon Provided DNSにフォワードして、インターネット向けであればフルサービスリゾルバーとしてパブリックDNS に問い合わせします。
Endpointの設計
- Inbound Endpoint、Outbound Endpointを設定する際に、Security Group の割当が必要となります。それは、Endpoint がENI(Elastic Network Interface)で実現されているためです。(上記の構成図で見ると、ENIの役割も理解しやすいかと思います)
- Route 53 Resolver で、Direct Connect などで接続されたオンプレミス環境からのDNSクエリを受ける場合は、Inbound Endpoint に割り当てるSecurity Group を作成します。インバウンドのルールには、オンプレミス環境のネットワークセグメントや問い合わせ元となるDNSサーバーのIPアドレスを指定します。
Route 53 Resolverの設定
- 先ず、セキュリティグループを作成します。前述の通り、インバウンドのルールに、オンプレミス環境のネットワークセグメントや問い合わせ元となるDNSサーバーのIPアドレスを指定します。
- Route 53 Resolverのコンソールを開き、[Configure endpoints]を選択します。
- 今回は、オンプレミス環境からのDNSクエリを許可する設定のみを行いたいと思います。Inbound onlyを選択します。(AWS環境からオンプレミス環境へDNSクエリを許可する場合は、Outbound Endpointの設定も必要となります)
- Inbound endpointを作成します。下記を設定します。
- エンドポイント名
- VPC
- セキュリティグループ
- IP アドレス #1
- アベイラビリティーゾーン
- サブネット
- IPアドレス: 自動的に選択された IP アドレスを使用します。
- IP アドレス #2
- アベイラビリティーゾーン
- サブネット
- IPアドレス: 自動的に選択された IP アドレスを使用します。
- 設定を確認し、問題なければ[Submit]ボタンを押します。
- VPCにInbound endpoint が追加されたことを確認します。
- Inbound endpointのIPアドレスを確認します。
- Route 53 Resolver を設定すると、下記のメトリクスが使用可能です。メトリクスの詳細は参考資料に記載のAWSドキュメントを参照ください。
- InboundQueryVolume
- OutboundQueryAggregateVolume
- OutboundQueryVolume