GCEからAWS Route53のPrivate DNSで名前解決を行う。

はじめに

マルチクラウドの環境おいてGCPのCompute EngineからVPN接続されたAWSのRoute53のPrivate DNSで名前解決を行い、AWS EC2のインスタンスへアクセスする設定について記載していきます。
この記事ではGCPとAWSの設定がすんでいることを前提としています。VPNの設定に関しては以下の記事が参考になるかと思います。

• Amazon VPCとGoogle Compute EngineをVPN接続する
• [IPSec-VPN] クラウド間(GCP⇔AWS)通信

問題点

GCPとAWSのVPNの設定を行い、いざEC2とGCE間での通信行おうとして、とりあえずpingで接続確認。IPでの接続確認はVPN設定で当然行えるのだけれど、ドメインでの接続確認が...

ping: <ホスト>: Name or service not known

上記ドメインの名前解決はAWSのRoute53のPrivate DNSに設定されていて、そこで名前解決されていない様子。ちなみにPublic DNSだと問題なく名前解決を行い接続確認が行える(当たり前だけど...)。

これは色々面倒臭そう...

AWS側の設定

まずRoute53のPrivate DNSは、対象のVPCネットワーク内でなければ参照が行えない。そのためにVPC外からPrivate DNSを参照するには、ひと工夫することが必要になってきます。以下の記事を参照すると、いくつかの方法はあるのだけれども、今回は一番簡単に出来そうなAWS Directory Service Simple AD経由で名前解決を行う方法を採用しました。

• AWSハイブリッド構成のDNS設計レシピ

Directory Service Simple ADを利用してのPrivate DNSでの名前解決の方法はAWS Directory Service(Simple AD)を利用したオンプレミスからのPrivate Hosted Zone名前解決が参考になります。

AWSのDirectory Serviceから「ディレクトリのセットアップ」を行います。ディレクトタイプの選択で[Simple AD]を選択。

次にディレクトリの情報を入力しますが、ポイントとしてはディレクトリのDNS名を、Private DNSで設定されたドメインメイトは異なるドメイン名を入力します。

あとはVPCとサブネットの指定を行い、ディレクトリの作成を行います。

作成されたディレクトリの詳細情報を参照すると、ディレクトリに対してDNSアドレスが設定されていることが確認出来ます。VPC外のホストから、このアドレスに対してDNS名前解決を行うとPrivate DNSに設定された内容で名前解決行うことが出来ます。

試しにGCE上から以下のようにDNS指定で名前解決を行うと成功知ることが確認出来ます。

# nslookupの第２引数でDNSアドレスを指定する。
$ nslookup <ホスト> 172.31.46.186
Server:         172.31.46.186
Address:        172.31.46.186#53
Non-authoritative answer:
Name:   <ホスト>
Address: 172.16.15.146

AWS側の設定はこれでOK!

GCE側の設定

次にGCE側の設定を行なっていきます。今回はGCEのブートイメージとしてDebian GNU/Linux 9 (stretch)を前提に説明を行います。
DNSサーバのIPアドレスがわかっているんだから、あとはresolv.confに追記してあげればOKかなと思っていましたが...
以下を参照すると

• 内部 DNS

デフォルトでは、ほとんどのLinuxディストリビューションがDHCP情報をresolv.confに格納しています。Compute Engineの各インスタンスは、DHCP リースを 24 時間ごとに更新するように設定されています。ゾーン DNSに対して有効化されているインスタンスの場合は、DHCPリースは 1 時間ごとに期限切れとなります。DHCP更新によってこのファイルが上書きされるため、それまでに行われた変更が元に戻されます。

あれ、直接書いちゃいけないってこと?
それからの四苦八苦を省略し、色々と調べた結果DHCP側の設定ファイル/etc/dhcp/dhclient.confを変更しなければいけないことが分かりました。
/etc/dhcp/dhclient.confを覗いてみると以下のような感じでDHCPへのリクエスト設定を行なっています。

・・・
send host-name = gethostname();
request subnet-mask, broadcast-address, time-offset, routers,
        domain-name, domain-name-servers, domain-search, host-name,
        dhcp6.name-servers, dhcp6.domain-search, dhcp6.fqdn, dhcp6.sntp-servers,
        netbios-name-servers, netbios-scope, interface-mtu,
        rfc3442-classless-static-routes, ntp-servers;
・・・

このHDCPへのリクエスト結果に対して、resolv.confへDNSの追加を行うには、設定ファイルに対して以下を追加すればOKです。指定するIPアドレスはSimple ADのDNSアドレスとなります。

prepend domain-name-servers 172.31.46.186;
prepend domain-name-servers 172.31.6.6;

あとはネットワークの再起動。

$ sudo service networking restart

再度nslookupでの確認（DNS指定なし）を行なってみると、無事に名前解決が行えるようになりました。

$ nslookup <ホスト>
Server:         172.31.46.186
Address:        172.31.46.186#53
Non-authoritative answer:
Name:   <ホスト>
Address: 172.16.15.146

/etc/resolv.confも見てみると、DNSサーバの追加が無事にされていることが確認できます。

$ cat /etc/resolv.conf 
domain c.<プロジェクト名>.internal
search c.<プロジェクト名>.internal. google.internal.
nameserver 172.31.6.6
nameserver 172.31.46.186
nameserver 169.254.169.254

おまけ

GCEにはインスタンス起動時の独自のスクリプト実行として、起動スクリプトの仕組みがあります。

• 起動スクリプトの実行

起動スクリプトして今回DNSの追加処理を行うと便利です。インスタンス作成時の「管理」->「自動化」->「起動スクリプト」の欄に、実行するスクリプトを記述することで、実行することができます。

今回は以下のスクリプトを記載することで、起動時のDNSサーバの設定を行うことができます。

echo 'prepend domain-name-servers 172.31.6.6;' >> /etc/dhcp/dhclient.conf
echo 'prepend domain-name-servers 172.31.46.186;' >>  /etc/dhcp/dhclient.conf
sudo service networking restart

Google Cloud Storage上のファイルを起動スクリプトとして実行することもできるので、興味ある方はチャレンジしてみてください。

終わりに

今回はVPN接続されたAWSとGCPの環境に置いて、GCEからRoute53のPrivate DNSにおける名前解決方法について記載しました。
今後はGKEなどからも検証していけたらいいかな。