278-AWS SAP AWS 「理論・実践・一問道場」アウトバウンドResolver

type

status

date

slug

summary

理論

1. VPCとDNS解決

VPC内でEC2インスタンスがDNS名を解決するためには、VPCのDNS設定が重要です。VPCにDNSホスト名を有効にすると、VPC内のインスタンスがDNS解決を行えるようになります。

2. Amazon Route 53 Resolver

Route 53 Resolverは、VPC内でのDNS解決を制御するためのサービスです。Route 53 Resolverには「アウトバウンドエンドポイント」と「インバウンドエンドポイント」があります。

アウトバウンドエンドポイント: VPC内のインスタンスからオンプレミスのDNSサーバーへのDNSリクエストを転送するために使用します。これにより、VPC内からオンプレミスのDNSゾーンを解決できます。
インバウンドエンドポイント: オンプレミスのDNSサーバーからVPC内のリソースに対するDNSリクエストを転送するために使用します。

3. Resolverルール

Resolverルールを設定することで、特定のドメイン（例: company.example）に対するDNSリクエストを、指定したDNSサーバー（例えばオンプレミスのDNSサーバー）に転送できます。これにより、VPC内のインスタンスはオンプレミスのDNSゾーンを解決できます。

4. Amazon Route 53とDNSゾーン

Route 53のプライベートDNSゾーンを使用することで、AWS内のリソースに対するDNS解決を行いますが、オンプレミスのDNSゾーンを解決するためには、Route 53 Resolverを使った設定が必要です。

5. オンプレミスDNSとの統合

オンプレミスのDNSゾーンをAWSのVPC内で解決するために、VPC内のリソース（EC2インスタンスなど）がオンプレミスのDNSサーバーを使用できるようにする設定が必要です。この設定を行うことで、VPC内からオンプレミスのサービスを名前解決を通じて参照することができます。

結論

VPC内からオンプレミスのDNSゾーンを解決するには、Route 53 Resolverを使用してアウトバウンドエンドポイントを設定し、DNSリクエストをオンプレミスのDNSサーバーに転送する必要があります。この設定により、VPC内のEC2インスタンスはcompany.exampleドメインを解決でき、既存のオンプレミスサービスと統合できます。

実践

略

一問道場

Question #278

ある企業が、VPC内のAmazon EC2インスタンスに新しいプライベートイントラネットサービスを展開する予定です。AWS Site-to-Site VPNがVPCと企業のオンプレミスネットワークを接続しています。この新しいサービスは、既存のオンプレミスサービスと通信する必要があります。オンプレミスのサービスは、company.exampleというDNSゾーンにあるホスト名を使ってアクセスされます。このDNSゾーンは完全にオンプレミスでホストされており、企業のプライベートネットワーク上でのみ利用可能です。

ソリューションアーキテクトは、既存のサービスと統合できるように、新しいサービスがcompany.exampleドメインのホスト名を解決できるようにする必要があります。

この要件を満たす解決策はどれですか？

A. Amazon Route 53でcompany.exampleの空のプライベートゾーンを作成し、オンプレミスのcompany.exampleゾーンに新しいプライベートゾーンの権限を持つ名前サーバーを指す追加のNSレコードを追加します。

B. VPCのDNSホスト名をオンにし、Amazon Route 53 Resolverで新しいアウトバウンドエンドポイントを設定し、company.exampleのリクエストをオンプレミスの名前サーバーに転送するResolverルールを作成します。

C. VPCのDNSホスト名をオンにし、Amazon Route 53 Resolverで新しいインバウンドリゾルバーエンドポイントを設定し、オンプレミスのDNSサーバーを設定して、company.exampleのリクエストを新しいリゾルバーに転送します。

D. AWS Systems Managerを使用して、必要なホスト名を含むhostsファイルをインストールする実行ドキュメントを設定し、インスタンスが実行状態に入るときにそのドキュメントを実行するAmazon EventBridgeルールを作成します。

解説

この問題では、VPC内の新しいサービスが、企業のオンプレミスネットワーク内の既存のサービスと統合するために、オンプレミスのDNSゾーン（company.example）を解決できるようにする必要があります。以下に、各選択肢の解説を行います。

A. Amazon Route 53でcompany.exampleの空のプライベートゾーンを作成し、オンプレミスのcompany.exampleゾーンに新しいプライベートゾーンの権限を持つ名前サーバーを指す追加のNSレコードを追加します。

不適切: この方法は、Amazon Route 53で新しいプライベートDNSゾーンを作成することに関係していますが、オンプレミスDNSゾーンでその新しいゾーンのNSレコードを追加するだけでは、VPC内からオンプレミスDNSゾーン（company.example）に対する名前解決を行うことはできません。オンプレミスのDNSゾーンを直接解決するためには、Route 53 Resolverを使用する方法が推奨されます。

B. VPCのDNSホスト名をオンにし、Amazon Route 53 Resolverで新しいアウトバウンドエンドポイントを設定し、company.exampleのリクエストをオンプレミスの名前サーバーに転送するResolverルールを作成します。

適切: この解決策は、VPC内のEC2インスタンスが、company.exampleドメインに関するDNSリクエストをオンプレミスのDNSサーバーに転送できるようにするものです。まず、VPCのDNSホスト名を有効にし、Amazon Route 53 Resolverを使用して、リクエストをオンプレミスのDNSサーバーに転送するためのアウトバウンドエンドポイントとResolverルールを設定します。これにより、VPC内の新しいサービスがオンプレミスのDNSゾーンを解決できるようになります。

C. VPCのDNSホスト名をオンにし、Amazon Route 53 Resolverで新しいインバウンドリゾルバーエンドポイントを設定し、オンプレミスのDNSサーバーを設定して、company.exampleのリクエストを新しいリゾルバーに転送します。

不適切: この方法は、オンプレミスのDNSサーバーがAmazon Route 53 Resolverにリクエストを転送する構成です。しかし、問題では、VPC内の新しいサービスがオンプレミスのDNSを解決する必要があるため、インバウンドエンドポイントを使うのではなく、アウトバウンドエンドポイントを使うべきです。この解決策はVPCからオンプレミスへのDNS解決には適していません。

D. AWS Systems Managerを使用して、必要なホスト名を含むhostsファイルをインストールする実行ドキュメントを設定し、インスタンスが実行状態に入るときにそのドキュメントを実行するAmazon EventBridgeルールを作成します。

不適切: この方法では、EC2インスタンスに手動でhostsファイルを設定することになります。これはホスト名解決の管理が非常に手動で、スケーラビリティが低く、長期的には運用が難しくなります。また、DNS解決の方法としては適切ではなく、Amazon Route 53 Resolverのような自動化された方法を使うほうが良いです。

正しい解決策

Bの選択肢が最も適切です。具体的には、VPC内のDNSホスト名を有効にし、Amazon Route 53 Resolverを使用して、オンプレミスのDNSサーバーにDNSリクエストを転送するためのアウトバウンドエンドポイントとResolverルールを設定することです。これにより、VPC内の新しいサービスがオンプレミスのDNSゾーン（company.example）を正しく解決できるようになります。