DHCPオプションセットって何だろう？？

DHCPオプションセットって何だろう？？ 2023/3/15 JAWS-UG朝会 #43

自己紹介名前：藤田直幸 Twitter：@amarelo_n24 アマレロ@コーヒー焙煎人兼エンジニア Facebook：https://www.facebook.com/naoyuki.fujita.37 趣味：コーヒー豆の焙煎、干し芋作り好きなAWSサービス：AWS CLI、AWS
CloudShell、Cloud9 好きなコーヒー豆：ブラジルブルボンアマレロ Twitter Facebook

１．DHCPオプションセットとは？２．デフォルトDHCPオプションセット３．カスタムDHCPオプションセット４．AWS CLIでのDHCPオプションセット作成５．まとめ ※DHCP、DNS、NTPそのものについては話しません。アジェンダ

１．DHCPオプションセットとは？２．デフォルトDHCPオプションセット３．カスタムDHCPオプションセット４．AWS CLIでのDHCPオプションセット作成５．まとめアジェンダ

※AWS公式ドキュメントからの引用です。 VPC 内の EC2 インスタンスが仮想ネットワーク経由で通信するために使用するネットワーク構成のグループです。カスタム DHCP オプションセットを作成するか、VPC からすべての
オプションセットの関連付けを解除しない限り、リージョン内の各 VPC は同じデフォルトの DHCP オプションセットを使用します。 DHCPオプションセットとは？

DHCPオプションセットには２種類あります。 ①デフォルトDHCPオプションセット ②カスタムDHCPオプションセット DHCPオプションセットの種類

最初から各リージョンのVPC内に存在しているDHCPオプションセット。なお、デフォルトDHCPオプションセットを変更・削除することはできない！デフォルトDHCPオプションセット

ドメイン名：＜リージョン名＞.compute.internal ドメインネームサーバ：AmazonProvidedDNS NTPサーバとNetBIOSネームサーバーの設定は無しデフォルトDHCPオプションセットの設定値

Amazon Route 53 ResolverのことでAmazonProvidedDNS改称後の名称 ※DHCPオプションセットの表記も合わせてほしかったなぁ… Route53のリゾルバーにも関連付けされていることを確認 AmazonProvidedDNS？？

特定のサブネットやアベイラビリティゾーンには存在せず、VPCに標準で備わっているDNSサーバ。以下のDNSクエリに対応。・EC2インスタンスのローカルVPCドメイン名・プライベートホストゾーンのレコード・フルリゾルバに対して外部ドメイン名の再帰的検索 Amazon Route 53 Resolver

①169.254.169.253 ②VPCのネットワークアドレスの第４オクテットに + 2 したIPアドレス例：10.0.0.0/16 の場合、AmazonProvidedDNSのIPアドレスは、 10.0.0.2 となる。 AmazonProvidedDNSのIPアドレス

NTPサーバの設定がないのに、時刻同期はできている？？デフォルトDHCPオプションセットでの時刻同期？日本標準時（JST）協定世界時（UTC）＋9時間すれば、日本標準時と一致。

Chrony（クローニー）の設定ファイルを見たところ、chrony.dの下にあるとのこと。時刻同期設定はどこに？？

link-local.sources に「Amazon Time Sync Service」のサーバIPアドレスが書かれていた！ ※EC2のデフォルト設定？デフォルトDHCPオプションセットがNTPサーバ機能も兼ねているのか、どちらなんだろう？？時刻同期設定はどこに？？

Amazon Time Sync Service には、すべてのEC2インスタンスからアクセスでき、最新バージョンの Amazon Linux 2 はデフォルトで
Amazon Time Sync Service と同期するとのこと。アクセスを許可するためのセキュリティグループルール、または、ネットワーク ACL ルールの設定も不要。 ※参考 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/set-time.html 時刻同期設定はどこに？？

自前のDHCPサーバ等を使いたい場合、 DNSサーバ・NTPサーバ・NetBIOS ネームサーバーを使いたい場合に作成。 ※デフォルトDHCPオプションセットを変更できないため、外部のNTPサーバを使いたい要件が出てきたら、これ一択になるはず… カスタムDHCPオプションセット

マネジメントコンソールからVPCの画面を開き、「DHCPオプションセット」⇒「DHCPオプションセットを作成」をクリックカスタムDHCPオプションセットを作ってみた

ドメインネームサーバはGoogle Public DNSを指定 NTPサーバはひとまずAmazon Time Sync ServiceのIPアドレスを指定ドメインネームサーバとNTPサーバを設定ひとまず１つだけ指定。本来は複数登録すべき。
他のNTPサーバを指定する場合、ドメインで登録できた方が良いのではと疑問？？

正常に作成されたと表示されればOK カスタムDHCPオプションセットを作ってみた

デフォルトDHCPオプションセットのドメインネームサーバ（AmazonProvidedDNS = Route 53 Resolver）を参照している。これだけではまだ設定は反映されず

VPCとDHCPオプションセットの関連付けを変更

DHCP設定にて、作成したDHCPオプションセットに変更し、保存する。 ※VPC単位で関連付けするため、関連付けしたVPC配下にあるEC2のDHCPオプションセットの設定が変更されるため注意。 VPCとDHCPオプションセットの関連付けを変更

VPCのDHCPオプションセットが変わったことを確認

resolv.conf が書き換わったことを確認

今回、アウトバウンド通信をすべて許可にしていたため、DNS通信に支障はなかったが、セキュリティグループやネットワークACLでアウトバウンド通信を詳細に設定している場合は、DNSとNTPの許可設定を追加する必要がある。アウトバウンド通信の許可設定

AWS CLIでも設定可能 •DHCPオプションセットの作成 aws ec2 create-dhcp-options •VPCとDHCPオプションセットの関連付け aws ec2 associate-dhcp-options
¥ --dhcp-options-id <value> --vpc-id <value> •DHCPオプションセットの削除 aws ec2 delete-dhcp-options ¥ --dhcp-options-id <value> •DHCPオプションセットの参照 aws ec2 describe-dhcp-options

DHCPオプションセット作成

DHCPオプションセットをVPCに関連付け作成したDHCPオプションセットのIDとVPCIDを指定して、 associate-dhcp-optionsを実行する。

VPC設定より、DhcpOptionsIdが作成したDHCPオプションセットと同じであることを確認する。 DHCPオプションセットをVPCに関連付け

DHCPオプションセット参照

DHCPオプションセット削除

・EC2インスタンスがどのように名前解決と時刻同期をしているか、理解が深まった。・普段あまり目立たない機能だけど、AWSのネットワークを理解するためには確実に勉強しておいた方がよい。まとめ

・Blackbelt資料 https://pages.awscloud.com/rs/112-TZM-766/images/20191016_AWS_Blackbelt_Route53_Resolver.pdf ・DHCPオプションセットの概念 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/DHCPOptionSetConcepts.html ・VPC の DNS 属性 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-dns.html#AmazonDNS ・Amazon
Route 53 Resolver の概要 https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/resolver.html ・VPCのDHCPオプションセットを使ってEC2のDNS/NTPサーバ設定を試してみる https://dev.classmethod.jp/articles/dhcp-option-set-dns-ntp/ ・要点整理から攻略する『AWS認定高度なネットワーキング-専門知識』 https://book.mynavi.jp/ec/products/detail/id=128392 参考文献

Twitter Facebook

DHCPオプションセットって何だろう？？

DHCPオプションセットって何だろう？？

amarelo_n24

More Decks by amarelo_n24

Other Decks in Technology

Featured

Transcript