やりたいこと

昨年11月に、Private DNSの機能が追加されました。

この機能追加により、異なるVCN間で相互に名前解決を行うことができるようになりました。

東京リージョンと大阪リージョンを使用して災対環境を構築したと仮定し、DNSを利用して相互に名前解決できることを確認してみました。

以下のように設定するとうまくできました。東京-大阪間は、Remote Peeringで接続して検証しています。

なお、同一リージョン内でのVCN間相互名前解決であれば、メニュー ⇒ ネットワーキング ⇒ 仮想クラウドネットワーク ⇒ VCN名のリンク ⇒ DNSリゾルバのリンクを押下後、「関連付けられたプライベート・ビュー」の画面でVCNを相互に関連付けてあげるだけでできました。ただし「関連付けられたプライベート・ビュー」では、同一リージョン内のVCNしか関連付けることができませんでした。別リージョン間の場合は、後述するリスニング・エンドポイントと転送エンドポイントを設定することで相互に名前解決することができました。

手順

東京側VCNにDNSのリスニング・エンドポイント作成

※リスニング・エンドポイントは内部的にIPを2つ消費しているような動きをしていました。(リスニング・エンドポイント用に割り振られたIPの次のアドレスが予約されて使えなくなった)

まず、DNSのリスニング・エンドポイントを作成します。作成画面への遷移が非常にわかりづらいです。

メニュー ⇒ ネットワーキング ⇒ 仮想クラウドネットワーク ⇒ VCN名のリンクを押下後、
以下図のように、DNSリゾルバのリンクを押下します

画面左のエンドポイントリンクを押下後、「エンドポイントの作成」画面を押下します

名前、リスニング・エンドポイントを作成するサブネットを入力して、リスニング・エンドポイントを作成します

リスニング・エンドポイントが作成されたことを確認します。(割り振られたIPアドレスをメモしておきます)

東京側VCNにDNSの転送用エンドポイント作成

次に、DNSの転送用エンドポイントを作成します。同画面から続けて、「エンドポイントの作成」ボタンを押下します

名前、転送用エンドポイントを作成するサブネットを入力して、転送用エンドポイントを作成します

転送用エンドポイントが作成されたことを確認します。(割り振られたIPアドレスをメモしておきます)

大阪側VCNにDNSエンドポイント作成

大阪側でも同じようにDNSのリスニング・エンドポイントと転送用エンドポイントを作成します。

リージョンを大阪に変更後、
メニュー ⇒ ネットワーキング ⇒ 仮想クラウドネットワーク ⇒ VCN名のリンクを押下後、
以下図のように、DNSリゾルバのリンクを押下します

画面左のエンドポイントリンクを押下後、「エンドポイントの作成」画面を押下します

名前、リスニング・エンドポイントを作成するサブネットを入力して、リスニング・エンドポイントを作成します

リスニング・エンドポイントが作成されたことを確認します。(割り振られたIPアドレスをメモしておきます)

大阪側VCNにDNSの転送用エンドポイント作成

次に、東京と同じようにDNSの転送用エンドポイントを作成します。同画面から続けて、「エンドポイントの作成」ボタンを押下します

名前、転送用エンドポイントを作成するサブネットを入力して、転送用エンドポイントを作成します

転送用エンドポイントが作成されたことを確認します。(割り振られたIPアドレスをメモしておきます)

東京側VCNにセキュリティ・グループの作成とアタッチ

各リスニング・エンドポイントにDNSリクエストを送信するためには、ネットワーク・セキュリティ・グループを使用して、各転送用エンドポイントからのDNS通信(53/TCP・53/UDP)を許可する必要があります

東京VCNにネットワークセキュリティ・グループを作成し、大阪の転送用エンドポイントからの53/tcpおよび53/udpの通信を許可します。# 詳細は割愛します

メニュー⇒ネットワーキング⇒仮想クラウドネットワーク⇒VCN名のリンク⇒DNSリゾルバのリンク⇒画面左の「エンドポイント」リンクを押下後、以下図のように上述の手順で作成した、リスニング・エンドポイントのリンクを押下します

「ネットワーク・セキュリティ・グループの追加」ボタンを押下します

上述の手順で作成したネットワーク・セキュリティ・グループを追加します

大阪側VCNにセキュリティ・グループの作成とアタッチ

東京側と同じ用に、大阪VCNにネットワークセキュリティ・グループを作成し、東京の転送用エンドポイントからの53/tcpおよび53/udpの通信を許可します

メニュー⇒ネットワーキング⇒仮想クラウドネットワーク⇒VCN名のリンク⇒DNSリゾルバのリンク⇒ 画面左の「エンドポイント」リンクを押下後、以下図のように上述の手順で作成した、リスニング・エンドポイントのリンクを押下します

「ネットワーク・セキュリティ・グループの追加」ボタンを押下します

上述の手順で作成したネットワーク・セキュリティ・グループを追加します

東京側VCNに転送ルールを設定

東京側に、転送ルールを追加します。

メニュー ⇒ ネットワーキング ⇒ 仮想クラウドネットワーク ⇒ VCN名のリンク ⇒ DNSリゾルバのリンク ⇒ 画面左の「ルール」リンクを押下後、「ルールの管理」ボタンを押下します

大阪側VCNのドメイン「osaka01.oraclevcn.com」への名前解決を大阪側のリスニング・エンドポイントに転送するように設定します

転送ルールが設定されたことを確認します

この時点で、東京⇒大阪への名前解決ができるはずです。pingをうって確認します。

※わかりづらい名前を付けてしまいましたが、dns02は大阪側Computeのホスト名です
# ping -c3 dns02.public.osaka01.oraclevcn.com
PING dns02.public.osaka01.oraclevcn.com (192.168.2.2) 56(84) bytes of data.
64 bytes from 192.168.2.2 (192.168.2.2): icmp_seq=1 ttl=62 time=8.41 ms
64 bytes from 192.168.2.2 (192.168.2.2): icmp_seq=2 ttl=62 time=8.46 ms
64 bytes from 192.168.2.2 (192.168.2.2): icmp_seq=3 ttl=62 time=8.41 ms

--- dns02.public.osaka01.oraclevcn.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 8.411/8.428/8.460/0.108 ms

※設定を間違えて1回名前解決に失敗してしまうと、設定を正しく修正してもしばらく名前解決できない事象が発生しました。一定期間、ネガティブ・キャッシュを保持してしまうのかもしれません

大阪側VCNに転送ルールを設定

続いて、大阪側に、転送ルールを追加します。

東京側VCNのドメイン「tokyo.oraclevcn.com」への名前解決を東京側のリスニング・エンドポイントに転送するように設定します