322-AWS SAP AWS 「理論・実践・一問道場」53 Resolver

type

status

date

slug

summary

理論

1. Amazon Route 53 Resolverの利用

Amazon Route 53 Resolverは、AWS内とオンプレミス環境間でのDNS解決を管理するためのサービスです。特に、オンプレミスのDNSとAWSのDNS解決を統合する際に便利です。

条件付きフォワーディングルールを使用して、VPC内のリソースがオンプレミスのDNSサーバーを通じて特定のドメイン名を解決できるように設定できます。これにより、DNSクエリが正しく解決され、管理が簡単になります。

2. プライベートホストゾーンとNSレコード

Amazon Route 53プライベートホストゾーンは、VPC内でDNS解決を管理するために使用されます。プライベートホストゾーンにNSレコードを設定することで、AWSリソースがオンプレミスDNSサーバーを指し、オンプレミスのDNSサーバーにクエリを転送することが可能です。ただし、オンプレミスとAWS間のDNS統合には限界があるため、通常はRoute 53 Resolverを使う方が効果的です。

3. AWS Direct Connectの活用

AWS Direct Connectは、オンプレミスのデータセンターとAWS間で専用線接続を提供します。これにより、ネットワークのパフォーマンスが向上し、低遅延で安全な通信が可能になります。AWSとオンプレミス間でのDNS解決が重要な場合、Direct Connectは安定した通信を確保するために有効です。

4. EC2インスタンスを利用したキャッシュDNSサーバー

オンプレミスとAWS間でDNSの解決を行うために、VPC内でEC2インスタンスを用いてDNSキャッシュサーバーを運用する方法もあります。しかし、この方法は追加の管理負担が増えるため、条件付きフォワーディングルールを使用したRoute 53 Resolverの方が管理が簡単で効率的です。

5. Active Directoryの統合

オンプレミスのActive DirectoryをAWS環境と統合するためには、ドメインコントローラーの構築や信頼関係の設定が必要です。しかし、この方法は比較的高い管理負荷を伴い、DNS解決の要件に対する最も適切な解決策ではありません。

結論

最も管理負担が少なく、効率的にAWSとオンプレミス環境を統合する方法は、Amazon Route 53 Resolverを使用して条件付き転送ルールを設定する方法です。これにより、AWS内のアプリケーションがオンプレミスのActive DirectoryドメインのDNSクエリを解決できるようになります。

実践

略

一問道場

質問 #322

ある会社がモバイルバンキングアプリケーションを、Amazon EC2インスタンスで実行されるVPCに移行しています。バックエンドのサービスアプリケーションはオンプレミスのデータセンターで実行されています。データセンターにはAWS Direct Connect接続がAWSに向けて提供されています。VPCで実行されるアプリケーションは、データセンターにあるオンプレミスのActive Directoryドメインに対してDNSリクエストを解決する必要があります。

最も管理負荷が少ない解決策はどれですか？

A. VPC内で2つのアベイラビリティゾーンにまたがるEC2インスタンスセットを提供し、キャッシュDNSサーバーとして、VPC内のアプリケーションサーバーからのDNSクエリを解決します。

B. Amazon Route 53のプライベートホストゾーンを提供し、NSレコードをオンプレミスのDNSサーバーを指すように設定します。

C. Amazon Route 53 Resolverを使用してDNSエンドポイントを作成し、オンプレミスのデータセンターとVPC間でDNSネームスペースを解決するための条件付き転送ルールを追加します。

D. VPC内に新しいActive Directoryドメインコントローラーを提供し、この新しいドメインとオンプレミスのActive Directoryドメインとの間で双方向の信頼関係を構築します。

解説

このシナリオでは、AWS上のEC2インスタンスがオンプレミスのActive Directoryドメインに対してDNSクエリを解決する必要があります。最も管理負担が少ない解決策は、Amazon Route 53 Resolverを使用して、オンプレミスのDNSサーバーへの条件付きフォワーディングルールを設定する方法です。

選択肢の評価:

A. VPC内にキャッシュDNSサーバーを構築する方法です。この方法では、DNSクエリの解決に関する管理が増え、オンプレミスのActive Directoryドメインとの統合が難しくなります。

B. Amazon Route 53プライベートホストゾーンを作成し、NSレコードをオンプレミスのDNSサーバーを指すように設定する方法です。しかし、Route 53プライベートホストゾーンはVPC内のリソースに対して名前解決を提供するものであり、オンプレミスのActive Directoryドメインとの統合には適していません。

C. Amazon Route 53 Resolverを使用し、条件付きフォワーディングルールを設定して、オンプレミスのDNSサーバーへのクエリを転送する方法です。この方法は、AWSとオンプレミスのネットワーク間でのDNSクエリ解決を容易にし、管理負担を最小限に抑えることができます。

D. VPC内に新しいActive Directoryドメインコントローラーを配置し、オンプレミスのActive Directoryドメインとの双方向の信頼関係を構築する方法です。この方法は、Active Directoryの統合に関する管理が増え、DNSクエリ解決の要件を満たすための追加の設定が必要となります。

推奨される解決策:

C. Amazon Route 53 Resolverを使用し、条件付きフォワーディングルールを設定して、オンプレミスのDNSサーバーへのクエリを転送する方法です。この方法は、AWSとオンプレミスのネットワーク間でのDNSクエリ解決を容易にし、管理負担を最小限に抑えることができます。