LoginSignup
5
8

More than 1 year has passed since last update.

@KurokawaKouhei(Kouhei Kurokawa)inCloudTech

AWS Route53 resolverの設定方法と料金 〜陸と空をつなぐ案内人〜

Last updated at Posted at 2019-04-04

Route53resolverとは

オンプレとAWS、双方向でDNSの名前解決ができる機能。

image.png

オンプレとAWS間をDXやVPNで接続していると、相互にDNS名前解決したい場面がよくある。

以前はDNSのフォワーダーサーバーを構築してこれを実現してたが、環境が拡張していくと辛い。

一度構築したDNSの仕組みは更改するのに障壁が高い。構築当初から視野にいれるべき。

そんなハイブリッド環境のDNSクエリ問題を解決する為の機能がRoute53resolverです。

主に機能は2つで構成。
 ・Route 53 resolverエンドポイント ※(VPCに向けての)インバウンドクエリ向け

 ・Conditional forwarding Rules  ※(VPCから発信する)アウトバウンドクエリ向け

料金など

Route 53 Resolverは、VPC内のDNSクエリ処理においては無料です。

エンドポイントはENIsを使用します。ENIは1時間当たり$0.125です。

最初の10億クエリまでは100万クエリあたり$0.20で、それ以上は100万クエリあたり$0.40です。
(これはConditional Forwarding Ruleで処理されるDNSクエリか、もしくはエンドポイントで処理されるクエリについてです)

その前に…

.2 DNS resolverとは

デフォルトでVPC内でDNS機能を提供するもの
・EC2インスタンスはDNSクエリをここに送信する
・無料である。

・通称「.2 DNS resolver」 「ドットツー」※例 10.0.0.2 , 172.168.0.2 ...
・処理量によってスケールする
・内向き、外向き双方の名前解決をする。(実はインターネットゲートウェイが無くとも外向きアドレスも解決してくれる)

今回のRoute 53 Resolverはこの.2 DNS Resolver に新機能が2つリリースされた、と言えるだろう。

Route 53 resolverエンドポイント

 オンプレミスからのDNSクエリをAWS所属の内部ドメインに変換する機能。

 要は「(VPCに向けての)インバウンドクエリの機能」

 使用するにはオンプレのDNSサーバーからDXやVPNを通してAWSへ接続することが必要。

 エンドポイントはIPアドレスを持つ。

 これを任意のVPCサブネットに配置する。

Conditional forwarding Rules

 (VPCから発信する)アウトバウンドDNSクエリはこのRoute 53 resolverのルールが適用される

 オンプレのドメインを設定する

 これらのオンプレドメインへの通信(クエリ)が発生した際、このルールが適用され、設定したDNSサーバー(オンプレのDNSサーバー)へリクエストを転送する。

 DXやVPNの経路を通過するプライベートな接続。

この2つを組み合わせると、再帰的なDNS lookupがオンプレ&クラウドのハイブリッドな業務処理で使える。

オンプレ、クラウド双方にかかる余分なマネージコスト、オペレーションコスト、メンテナンスコストを節約できる。

設定してみよう

1.Route 53 resolverはリージョン固有サービスなので、まずはリージョンを選ぼう。

リージョンを選んだら、インバウンド向き or アウドバウンド向き or 両方かの通信方向を選ぼう。

2.インバウンド & アウトバウンド 両方の通信方向を選択した。

 まずはインバウンド向けの設定。
 
 名前を入力し、VPCを選択する。

 VPC内の1つ以上のサブネットを割り当てる。(今回、AZを2つ選択しました。)

 エンドポイントのIPアドレスを決定する。

 (選択したサブネットのIPアドレスによります。また、自動選択もできます。)

image.png

3.VPCの通信がDNSクエリをオンプレのDNS基盤へルーティングする為、オンプレドメインのルールを作成します。

 オンプレのDNSサーバーのIPアドレスを1つ以上入力し、ルールを作成します。

image.png

4.完成!

 VPCはインバウンドとアウトバウンドルールに関連付けられて、ルーティングが開始されます。
 Conditional forwarding RulesはAWS Resource Access Manager(RAM)を使用して複数アカウントで共有できます。

VPCの数がどんどん拡張してもバッチリですね。

image.png

参考:https://aws.amazon.com/jp/blogs/aws/new-amazon-route-53-resolver-for-hybrid-clouds/

所感

3年前にはドヤ顔でAWS公式ブログに投稿された「自前DNSフォワーダーソリューション構想」が
今回のサービスリソースによって一瞬で「レガシー」になってしまった。

クラスメソッドさんも、いつもご苦労様です。
https://dev.classmethod.jp/cloud/aws-hybrid-cloud-dns-designs/

この構想を採用した担当者は今頃、Route 53 Resolverへの移行コストを見積もっているのだろうか。

クラウドに慣れている人にとっては日常茶飯事なのだろうか。

クラウドサービスは小さく始める、という教訓が少し分かった。

ありがとうございました。
少しでもお役にたちましたら「いいね」をよろしくお願いします。

5
8
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
8