状況
オンプレのADをクラウドに移行したらEC2の一覧画面でずっと読込中→タイムアウトになっちゃった…
結論
Active DirectoryのDNSサーバのフォワーダにRoute53 Resolverが入っていませんか?(VPCセグメントの先頭+2のIPアドレス)
CloudWatchをプライベートサブネットで使うためにVPCエンドポイントを作っていませんか?
VPCエンドポイントにCloudWatchがあるとec2.*.amazonaws.comに対しての名前解決がVPCセグメント内に行われ、VPCセグメント外からアクセスしようとすると応答できないので表示できなくなります。
対策
- ADのフォワーダに登録されたRoute53 Resolverを削除
- Route53 ResolverにADのドメインに対しての問い合わせルールを登録(ADのドメインに対してはADのEC2に対してDo53で転送)
- VPC内のEC2でAD以外のマシンはADに向けていたDNS設定を全てRoute53 Resolverに向け直す
(オンプレやVPC外のEC2等はそのままADに向け続けてOK)
Route53 Resolverに向ける場合、絶対にセカンダリは空白にするか、AD以外にしてください。
セカンダリにADを向けると何らかの理由でセカンダリにリクエストが飛んだ場合にVPCエンドポイントの名前解決ができなくなる場合があります。
参考情報