VPC セカンダリCIDR

この機能が実装されたのは2017年くらいだったかと思います。

https://aws.amazon.com/jp/about-aws/whats-new/2017/08/amazon-virtual-private-cloud-vpc-now-allows-customers-to-expand-their-existing-vpcs/

Posted On: Aug 29, 2017

VPC セカンダリCIDRにはいくつか制限があります。
特に追加するCIDRには条件があるので、下記をよく確認しましょう。
VPCのIPv4 CIDRブロックを管理する
IPv4 CIDRブロック関連付けの制限

VPCはもともと最初にCIDRを決めて、その中からサブネットを払い出していきますが、
セカンダリCIDRとは、VPC CIDRに追加で割り当てたCIDR範囲から新たにサブネットを払い出すというものです。
(ここ、ちょっと勘違いしてました。初期VPCと追加VPCが連結するようなイメージを持っていました。)

なので、セカンダリCIDRはすべて、最初に構成したVPC設定に引っ張られます。

例えば、以下です。

  • AmazonProvidedDNS(Route 53 Resolver)
  • VPCに設定した属性(以下)
属性 設定値
enableDnsHostnames true or false
enableDnsSupport true or false

例えば追加したCIDR上のサブネットにAD DNSをEC2で構築した場合、ADに参加するその他のEC2サーバはこのAD DNSをDNS参照として設定するかと思います。

AD DNSがAWSリソースのDNS名を返すためにフォワードを設定する場合、下記となります。

例:
【VPC】

VPC CIDR
Primary 10.0.0.0/16
Secondary 10.2.0.0/16

【DNS参照先】

DNSサーバ IPアドレス
AmazonProvidedDNS(Route 53 Resolver) 10.0.0.2(169.254.169.253)

何気に、意識するときになって初めて疑問に思う部分だなと思った次第の小ネタでした。

ちなみにAmazonProvidedDNS(Route 53 Resolver)は以下、セキュリティグループ、ネットワークACLではフィルタリングできません。

ネットワーク ACL またはセキュリティグループを使用して、Amazon DNS サーバーとの間のトラフィックをフィルタリングすることはできません。

https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-dns.html