別記事にてVPC上にパブリックサブネットとプライベートサブネットを構築し、踏み台サーバーやWEBサーバーを構築する手順をご紹介しました。
今回は、これまでに構築した環境をRoute53のPrivateHostedZoneで名前解決する手順をご紹介していきたいと思います。
用語の確認
Route53
Route53はAWSで利用できるDNSサービスです。
Route53では、ドメイン登録やDNSのルーティング、ヘルスチェックなどを行うことができます。
参考:Amazon Route 53 とは?
Route53 Private Hosted Zone
プライベートホストゾーンを利用すると、VPC内のリソースに対してDNSレコードを設定することができます。プライベートホストゾーンに登録したドメインは、基本的にプライベートホストゾーンと紐づけているVPC内でのみ名前解決が可能です。
ただし、Route53インバウンドエンドポイントをプライベートホストゾーンと組み合わせることで、VPCの外部(ダイレクトコネクトで接続されたオンプレミス環境)や別VPCから、プライベートホストゾーン上のレコードを名前解決させることが可能になります。
参考:VPC へのインバウンド DNS クエリの転送
Route53Resolver
すべてのVPCでデフォルトで利用できるフォワーダーとフルサービスリゾルバの機能。
VPCのCIDR+2(最初から3番目のIPアドレス)が割り当てられている。
例えば、VPCのCIDRが10.0.0.0/16なら、Route53ResolverのIPは10.0.0.2/32になります。
参考:Route53Resolverとは
フォワーダー(DNSプロキシ)
クライアントからのDNS問い合わせを別のフルサービスリゾルバ(キャッシュDNSサーバー)へ転送するためのDNSサーバー。
参考:JPRS用語辞典(DNSフォワーダー(DNSプロキシー))
フルサービスリゾルバ(キャッシュDNSサーバー)
クライアントからの名前解決要求を受けとり、ネームサーバー(権威サーバー)にDNSの反復検索を行うサーバー。ネームサーバーあてに名前解決を行い、結果を返すだけの機能を持ったサーバーのことをリゾルバと呼ぶ。さらに、名前解決の際に受け取った情報をキャッシュとして内部に保持できるサーバーのことをフルサービスリゾルバと呼ぶ。
参考:JPRS用語辞典(フルサービスリゾルバー(キャッシュDNSサーバー)
NS(NameServer)レコード
DNSレコードが登録されているネームサーバー(権威DNSサーバー)を指定するためのリソースレコード。
参考:JPRS用語辞典(NSリソースレコード)
SOA(StartOfAuthority)レコード
ドメインやゾーンの管理情報を記載するためのレコード。ゾーン管理サーバーの名前やドメイン管理責任者のメールアドレスなどが記述されます。
参考:JPRS用語辞典(SOAリソースレコード)
A(Address)レコード
ドメイン名に対するIPv4アドレスを指定するリソースレコード。
参考:JPRS用語辞典(Aレコード)
構成図の確認
まずは、構成図にて現時点の状態を確認しておきます。
現在はVPC上にパブリックサブネット・プライベートサブネットが存在しています。
パブリックサブネット上に踏み台サーバーが2台、プライベートサブネット上にWEBサーバーが1台存在する状態です。
※VPC・サブネットやEC2の構築方法については今回はご紹介しません。
VPCやサブネットの作成手順については過去記事をご確認ください。
VPCを構築すると、5つのIPアドレスがAWSによって使用されます。
今回利用するVPCは10.0.0.0/24となるため、下記5つのIPアドレスが予約されています。
- 10.0.0.0……NWアドレス
- 10.0.0.1……VPC内のルーター
- 10.0.0.2……VPC内の名前解決に利用されるRoute53Resolver
- 10.0.0.2……将来の利用のためにAWSにより予約済
- 10.0.0.255……ブロードキャストアドレス
10.0.0.0/24のVPCの場合は、デフォルトではRoute53Resolver(10.0.0.2)あてにDNS問い合わせを行います。Route53Resolverは内部的にフォワーダーの機能とフルサービスリゾルバの機能を持っています。外部のURLを名前解決させる場合は、下記のような経路でインターネットのパブリックDNSあてに名前解決が行われます。
また、VPC内のEC2では、デフォルトでAWSによりプライベートDNSホスト名が割り当てられています。EC2の詳細画面から、デフォルトでAWSから割り当てられているDNSホスト名を確認することができます。
デフォルトでは画像のように、「ip-x-x-x-x.リージョンコード.compute.internal」というプライベートDNS名が割り振られます。
デフォルト状態のプライベートホスト名(ip-x-x-x-x.リージョンコード.compute.internal)を名前解決させる場合は、下記のような通信経路で、AWSデフォルトのプライベートDNSホスト名が解決されます。
今回はRoute53のプライベートホストゾーンを作成し、「https-demo.com」という内部ドメイン名を設定します。プライベートホストゾーンを作成した場合は、下記のような経路でプライベートDNS名(xxx.https-demo.com)が名前解決されます。
参考:Amazon Route 53 Resolver(AWS Black Belt Online Seminar資料)
作業の流れ
作業は下記の流れで行います。
- Route53プライベートホストゾーンの作成
- プライベートホストゾーンにデフォルトで登録されるレコードの確認
- レコードの作成
- VPC側でDNS解決・DNSホスト名を有効化
- 内部ドメイン名の動作確認
構築
Route53プライベートホストゾーンの作成
それでは、Route53のプライベートホストゾーン作成から行います。
Route53のサービストップページに移動後、左メニューから「ホストゾーン」を押下します。ホストゾーンの一覧が表示されたら、「ホストゾーンの作成」を押下します。
ホストゾーンの作成画面が表示されます。
「ドメイン名」を入力します。今回は「https-demo.com」を設定しました。
「タイプ」には「プライベートホストゾーン」を設定します。
下にスクロールし、ホストゾーンに関連付けるVPCの設定を行います。
「VPCを追加」ボタンを押下します。
リージョン・VPC選択のプルダウンメニューが追加されます。
「リージョン」にはプライベートホストゾーンを利用するリージョンを選択します。
「VPCID」にはプライベートホストゾーンを関連付けたいVPCのIDを選択します。
ドメイン名・リージョン・VPCIDの設定が完了したら、「ホストゾーンの作成」を押下します。
これで、プライベートホストゾーンの作成が完了です。
プライベートホストゾーンにデフォルトで登録されるレコードの確認
ホストゾーン作成が完了した状態です。「ホストゾーン名」のリンクを押下します。
プライベートホストゾーンの詳細画面が表示されます。作成直後の状態では、NSレコード・SOAレコードのみが設定されています。
NSレコード・SOAレコードの設定内容について下記に整理します。
-
NSレコード
DNSレコードが登録されているネームサーバー(権威DNSサーバー)を指定するためのリソースレコード。Route53でプライベートホストゾーンを作成した場合は、AWSのネームサーバーが4つNSレコードとして登録されます。VPC内のRoute53ResolverからAWSの各ネームサーバーへの接続はプライベート接続にて行われます。
参考:プライベートホストゾーンの使用 -
SOAレコード
ドメインやゾーンの管理情報を記載するためのレコード。Route53のホストゾーンを作成した場合は、下記画像のような情報がSOAレコードの中に詰め込まれます。
参考:Amazon Route 53 がパブリックホストゾーンに作成する NS レコードと SOA レコード
※プライベートホストゾーン上のSOAレコードについて詳細が記載されているAWS公式ユーザーガイドを見つけられませんでした。ただ、値を見る限りでは、パブリックホストゾーンのSOAレコードと内容は同一のようです。
レコードの作成
プライベートホストゾーンにAレコードを追加します。
「レコードの作成」を押下します。
レコードの作成画面が表示されます。
今回は、パブリックサブネット上の踏み台サーバー(10.0.0.169)に対して「https-bat-01.https-demo.com」という内部DNS名を設定し、動作確認を行います。
その為、「レコード名」のテキストボックスには「https-bat-01」を入力し、「レコードタイプ」のプルダウンメニューから「Aレコード」を選択します。
「値」には踏み台サーバーのプライベートIPアドレス(10.0.0.169)を入力します。
レコード名・レコードタイプ・値の設定が完了したら、「レコードを作成」を押下します。
レコードの作成が完了した状態です。ホストゾーンのレコード一覧に「https-bat-01.https-demo.com」の情報が表示されています。
これで、プライベートホストゾーンの作成・レコードの作成が完了しました。
VPC側でDNS解決・DNSホスト名を有効化
プライベートホストゾーンのレコードを名前解決させるためには、VPC側でDNS解決・DNSホスト名の有効化設定を行う必要があります。
参考:プライベートホストゾーンを使用する場合の考慮事項
VPCのサービス画面に移動し、左メニューから「お使いのVPC」を押下します。
VPCの一覧が表示されたら、ホストゾーンと紐づけたVPCのチェックボックスにチェックを入れます。左上の「アクション」メニューの中から、「VPCの設定を編集」を押下します。
VPCの詳細編集画面が表示されます。
「DNS解決を有効化」と「DNSホスト名を有効化」のチェックボックスにチェックを入れ、「保存」を押下します。
VPCの設定変更が完了した状態です。
画面上部に「設定が正常に変更されました」と表示されることを確認します。
内部ドメイン名の動作確認
ここまでの設定が完了したら、内部ドメイン名が正常に設定されたことを確認します。
VPC内のEC2にログインし、下記のようにnslookupコマンドを実行します。
nslookup https-bat-01.https-demo.com
結果が正しく返ってくることを確認します。
10.0.0.0/24のVPCの場合は、Route53ResolverのIPが10.0.0.2となります。
VPC内からnslookupコマンドを実行すると、10.0.0.2からDNSレコードの回答が戻ってきます。
これで、今回ご紹介する手順は完了です。
ここまでお読みいただきありがとうございました。