VPC セカンダリCIDRを構成した際の小ネタ

VPC セカンダリCIDR

この機能が実装されたのは2017年くらいだったかと思います。

https://aws.amazon.com/jp/about-aws/whats-new/2017/08/amazon-virtual-private-cloud-vpc-now-allows-customers-to-expand-their-existing-vpcs/

Posted On: Aug 29, 2017

VPC セカンダリCIDRにはいくつか制限があります。
特に追加するCIDRには条件があるので、下記をよく確認しましょう。
VPCのIPv4 CIDRブロックを管理する
 IPv4 CIDRブロック関連付けの制限

VPCはもともと最初にCIDRを決めて、その中からサブネットを払い出していきますが、
セカンダリCIDRとは、VPC CIDRに追加で割り当てたCIDR範囲から新たにサブネットを払い出すというものです。
(ここ、ちょっと勘違いしてました。初期VPCと追加VPCが連結するようなイメージを持っていました。)

なので、セカンダリCIDRはすべて、最初に構成したVPC設定に引っ張られます。

例えば、以下です。

AmazonProvidedDNS(Route 53 Resolver)
VPCに設定した属性(以下)

属性	設定値
enableDnsHostnames	true or false
enableDnsSupport	true or false

例えば追加したCIDR上のサブネットにAD DNSをEC2で構築した場合、ADに参加するその他のEC2サーバはこのAD DNSをDNS参照として設定するかと思います。

AD DNSがAWSリソースのDNS名を返すためにフォワードを設定する場合、下記となります。

例：
【VPC】

VPC	CIDR
Primary	10.0.0.0/16
Secondary	10.2.0.0/16

【DNS参照先】

DNSサーバ	IPアドレス
AmazonProvidedDNS(Route 53 Resolver)	10.0.0.2(169.254.169.253)

何気に、意識するときになって初めて疑問に思う部分だなと思った次第の小ネタでした。

ちなみにAmazonProvidedDNS(Route 53 Resolver)は以下、セキュリティグループ、ネットワークACLではフィルタリングできません。

ネットワーク ACL またはセキュリティグループを使用して、Amazon DNS サーバーとの間のトラフィックをフィルタリングすることはできません。

https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-dns.html

VPC セカンダリCIDRを構成した際の小ネタ

VPC セカンダリCIDR

[アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！

Python で Cloud Storage の JSON ファイルを読み込む

AWSの生成AI活用事例集GenUを使い倒す

WindowsServer上に作成したローカルユーザーのパスワード有効期限管理パターンとその適用手順をまとめてみる

cron の代わりに systemd timer を使ってみた

VPC セカンダリCIDRを構成した際の小ネタ

VPC セカンダリCIDR

関連記事Related Articles

AzureとAWSを接続してみようと思うけどどうやるの？

VPC Peeringを使ってロンゲストマッチを試す

AWSの侵入テストを同一VPCで完結したい場合の申請方法

VPCの設定でIP制限

Transit Gateway の AZ間通信を意識しよう