Route53のInboundEndpoint・OutboundEndpoint・リゾルバルールを使用してPrivateHostedZone間でのゾーンフォワードの設定を確認していきます。
用語の確認
Route53ResolverEndpoint
AWSでVPCを構築すると、デフォルトでVPC内でRoute53Resolverが使用できます。
Route53Resolverは、すべてのVPCでデフォルトで使用できるフォワーダーとフルサービスリゾルバの機能です。
Route53リゾルバにはVPCのCIDR+2(最初から3番目のIPアドレス)が割り当てられます。
例えば、VPCのCIDRが10.0.0.0/16なら、Route53ResolverのIPは10.0.0.2/32になります。
参考:Amazon Route 53 Resolver
Route53 ResolverEndpoint
Route53ResolverEndpointは、VPC内のリソースからVPC外のリソースに対してDNS問い合わせを実行できるようにするためのVPCエンドポイントです。
Route53の転送ルールとRoute53ResolverEndpointを併用すると、VPC外のDNSサーバーに対してDNS問い合わせを転送したり、VPC外からのDNS問い合わせをVPCのDNSサーバーやVPCに紐づけているRoute53PrivateHostedZoneに転送させることができます。
Route53のResolverEndpointには、InboundEndpointとOutboundEndpointが存在します。
InboundEndpoint
VPC外からのDNS問い合わせをVPC内で受け付けるためのVPCエンドポイントです。
OutboundEndpoint
VPC内からのDNS問い合わせをVPC外に転送するためのVPCエンドポイントです。
転送ルール
転送ルールを設定すると、特定のドメイン名に対する問い合わせを指定したIPアドレスのDNSリゾルバに転送(フォワーディング設定)することができます。
※Route53で設定できるのはフォワーディングの設定のみです。ゾーン転送の設定は行えないため注意してください。
参考:DNSフォワーダ
参考:ゾーン転送
構成の確認
東京リージョン・大阪リージョンにそれぞれVPCを用意しています。
東京リージョン側の構成
東京リージョン側のVPCにはRoute53PrivateHostedZoneを作成し、各EC2に対してAレコードを紐づけておきます。
今回は大阪⇒東京に対して名前解決をさせたいため、東京側のVPCにはRoute53のInboundEndpointを作成します。
大阪リージョン側にはRoute53のOutboundEndpointを作成し、Route53のリゾルバルール(転送ルール)にによりhttps-demo.comの名前解決を東京側のRoute53InboundEndpointに転送するよう設定しておきます。
東京VPCと大阪VPCはNW経路をつなげておく必要があるため、二つのVPC間でVPCピアリングを設定しておきます。
東京ー大阪の全体像は、下記の構成図のような形になります。
作業の流れ
1.事前準備
※事前準備については別記事にて該当の手順をご紹介しているのでご参照ください。
1-1.東京側事前準備
VPCの作成
EC2の作成
PrivateHostedZoneの作成
1-2.大阪側事前準備
2.東京ー大阪共通の設定
2Route53エンドポイント作成・転送ルール設定
2-1.東京側設定
Route53InboundEndpointの作成
SGの設定
2-2.大阪側設定
Route53OutboundEndpointの作成
SGの設定
Route53転送ルールの設定
構築手順
東京側にRoute53InboundEndpointを作成する
まずは、東京側にRoute53のInboundEndpointを作成します。
リージョンが東京になっていることを確認し、
Route53のサービス画面を表示します。
左メニューから「インバウンドエンドポイント」を押下します。
IPアドレスの設定セクションです。
Route53のエンドポイントは、必ず2つのAZに対して作成されます。
まずは一つ目のAZを設定します。
アベイラビリティゾーンを選択し、エンドポイントを配置するサブネットを指定します。
IPアドレスは「自分で指定したIPv4アドレスを使用します」を押下し、IPを入力します。
二つ目のAZについても、同じ要領で設定します。
インバウンドエンドポイントの作成画面が表示されます。
エンドポイント名・エンドポイント作成先のVPCを選択します。
エンドポイントに紐づけるSGを指定し、エンドポイントのタイプは「IPv4」とします。
エンドポイントのプロトコルを「Do53」に指定し、下へスクロールします。
タグの指定を行い、「インバウンドエンドポイントの作成」を押下します。
SGの設定
Route53のエンドポイントに指定したセキュリティグループでは、TCP/UDPにて53番ポートを許可する必要があります。
今回は、東京VPC(10.0.0.0/21)と大阪VPC(172.21.0.0/21)からの53番ポートの接続を許可しておきます。
画像は、東京側のRoute53InboundEndpointに設定しているセキュリティグループのインバウンドルール設定です。
大阪側Route53OutboundEndpointの作成
大阪側にはRoute53のOutboundEndpointを作成しておきます。
リージョンが大阪になっていることを確認し、Route53のメニュー画面を表示します。
左メニューから「アウトバウンドエンドポイント」を押下します。
エンドポイントの作成画面が表示されます。
VPCを選択し、エンドポイントに紐づけるSGを選択します。
エンドポイントのタイプは「IPv4」とし、プロトコルは「Do53」を選択します。
IPアドレスの設定画面です。
一つ目のAZ・サブネットを選択します。
「自分で指定したIPv4アドレスを使用します」にチェックを入れ、IPアドレスを入力します。
同じ要領で、二つ目のIPアドレスについても設定します。
タグを設定し、「アウトバウンドエンドポイントの作成」を押下します。
SGの設定
OutboundEndpointのSGでも、TCP/UDPにて東京・大阪のIPアドレスを許可しておく必要があります。
画像は、OutboundEndpointに設定したSGの設定内容です。
Route53転送ルールの設定
大阪リージョンにて、Route53の転送ルールを設定します。
Route53のサービス画面を表示し、左メニューから「ルール」を押下します。
ルールの作成画面が表示されます。
名前を入力します。
ルールタイプは「転送」を選択します。
今回は東京リージョンに紐づけたhttps-demo.comというPrivateHostedZoneの名前解決ルールを設定するため、ドメイン名には「https-demo.com」を入力します。
ルールを紐づけるVPCを選択し、アウトバウンドエンドポイントは先ほど作成したものを指定します。
DNSクエリを転送する先のターゲットIPを入力します。
IPv4アドレスには、先程作成したRoute53OutboundEndpointのIPアドレスを指定します。
ポートは両方とも53番を指定し、伝送プロトコルはDo53を指定します。
タグの設定を行い、「送信」を押下します。
動作確認
名前解決が正常に行えるか確認します。
大阪リージョンの踏み台サーバ(172.31.0.5)にログインし、web-test.https-demo.comが名前解決できるかnslookupで確認します。
名前解決時の経路は下記図のようなイメージになります。
下記のようにコマンドを実行し、結果が返ってくれば成功です。
nslookup web-test.https-demo.com
今回ご紹介する手順は以上となります。
ここまでお読みくださりありがとうございました。