AWSを利用する上で知っておきたい名前解決のはなし（10分版）

Transcript

1. 東京支部 CommunityBuilders Night #2 / Jr.Championsコラボ AWSを利用する上で知っておきたい 名前解決の話（10分版） 五味なぎさ（X：@nagisa_53）

2. 自己紹介 名前：五味 なぎさ 仕事：SIerインフラ部門クラウド提案・実行グループマネージャー 趣味：キックボクシング、スキューバダイビング 好きなAWSサービス：NW系サービス全般（Route53, ALB, etc） AWS Community

   Builders （Networking and Content Delivery） AWS Ambassadors（2025-） AWS Japan Top Engineers（2024-） Japan All AWS Certifications Engineers（2022-） JAW-UG クラウド女子会/彩の国埼玉支部運営

3. 今回のテーマ選択の背景 2025/5に彩の国埼玉支部でも同テーマでお話させていただき
 ましたが、5分枠では中途半端な内容になってしまったため、 今回10分版としてお話させていただくことにしました！

4. なぜ名前解決の話？ 各リソースにAWS側からFQDNが与えられ FQDNを指定することで接続する （IPアドレスを直指定することはほぼない）

5. ＝ DNSでの名前解決が必要 ＝ AWSを理解するためには重要な話

6. 理解の上で重要と考えるポイント どこで名前解決され何が返されるか どのDNSで名前が解決され、返されるIPアドレスの種類は何
 （グローバルIPアドレス 、プライベートIPアドレス、など）か 返されるIPアドレスは往々にして変わる 名前（FQDN）指定で接続するということは、名前解決のタイミングや
 クライアント環境によって実際に通信に利用されるIPアドレスが変わること は往々にしてある

7. ① パブリックDNSで名前解決可 グローバルIPアドレスが返る （Internet Facing) 例： ② パブリックDNSで名前解決可 プライベートIPアドレスが返る 例：

   (Internal) ③ VPC内のみ名前解決可 プライベートIPアドレスが返る 例： どこで名前解決され何が返されるか 大分類すると3パターン。 まずは利用しようとしているサービスがどのパターンかを意識。 カスタムドメイン 登録の場合

8. どこで名前解決され何が返されるか ①「パブリックDNSで名前解決可、グローバルIPアドレスが返る」 対象例： インターネット経由で接続できるサービスはほぼこれ。 Amazon CloudFront, Amazon API Gateway, Internet-facingのELBなど

   対象FQDNに接続できる（名前解決＆疎通できる）送信元： インターネット接続が行える環境（経路があり、パブリックDNSの名前解決が 行える環境）であれば接続可能

9. どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 対象例： Amazon Aurora, InternalのELB, など GoogleのDNSキャッシュサーバーを 指定してNLBのFQDNを名前解決 プライベートIPアドレスが返る

10. どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 対象FQDNに接続できる（名前解決＆疎通できる）送信元： 対象のコンポーネントとプライベートIPアドレスでの接続性があり、 パブリックDNSの名前解決が行えるDNSキャッシュサーバが利用できる環境 ↓ 対象コンポーネントが配置されているVPCと 同一VPC内 Transit Gateway、VPC

    Peering等で接続性のあるVPC 閉域接続のあるオンプレミス環境 など

11. どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 注意点： カスタムドメイン名を利用したいケース、TLS接続などで証明書の考慮が必要 なケース、などでは、③のケースのように考慮が必要になるため注意

12. どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 対象FQDNに接続できる（名前解決＆疎通できる）送信元： 対象レコードはコンポーネントを作成した（関連付けした）VPCのRoute 53 Resolver経由で名前解決されるため、デフォルトでは作成したコンポーネント と同一のVPC内からのみ名前解決が可能
 対象例： Amazon EFS,

    Route 53 Private Hosted Zone（カスタムドメイン登録）, など

13. どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 該当のVPC内以外から名前解決するには？ ↓ （NW経路があることは当然として、）
 Route 53 Resolver Inbound Endpointを利用するなどの手段が利用可能

14. どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 Route 53 Resolver Inbound Endpointを利用した構成例 AWS上の別VPCであれば他にもいくつ か方法がありそうだが（カスタムドメ イン利用であれば関連付けなど）今回

    は割愛 カスタムドメイン利用の上クライアント 側のDNSフォワーダー等の設定で特定 ドメイン向けの問い合わせだけを Route53 Resolver Inbound Endpointに 向ける構成も可能

15. どこで名前解決され何が返されるか ①～③にすんなり当てはまらない例 リンクローカルアドレスが返るパターン 例：VPC Lattice リンクローカルアドレスが返るので基本的には関連付けしたVPC内 からのみ接続可能 オンプレミス等からの接続は別途エンドポイント作成など考慮が必要 Interface型のVPCエンドポイントは設定により名前解決の考え方が変わる ので要注意（詳細は次ページ）

    PrivateLinkのエンドポイントサービス利用時の挙動の話は割愛．．．

16. ちょっと難しい例：Interface型 VPCエンドポイント プライベートDNS名を有効にしているか否かで挙動が変わる 有効にしている場合 無効時：サービスエンドポイントのIPアドレス（グローバルIPアドレス）が返る 有効時：VPCエンドポイントのIPアドレスが返る *.s3.ap-northeast-1.amazonaws.com のIPアドレスは？ 有効/無効 共通的に

    （無効の場合はこちらを使う） エンドポイント固有のDNS名を使用する ※指定方法についてはサービスによって異なるので要確認 利用全AZのエンドポイントを含めるDNS名と AZ別のDNS名が提供される 対象のサービス（SQS, S3, 等）が提供するFQDNの名前解決結果として インタフェースVPCエンドポイントのIPアドレスが返る形になる。 ※上記の結果になるのはVPC内（Route53 ResolverをDNSとして利用時）のみ

17. 返されるIPアドレスは往々にして変わる IPアドレスが途中で変更になることが起こり得る TTLを越えてIPアドレスのキャッシュを長く持ってしまうと、途中で接続できなく なることがあるため、TTLを守ることが重要（サービスごとの仕組みによるが、 TTLは60秒など、短いものも多い） NLBなどIPアドレス固定のサービスでも、内部の障害状況によって固定のIPアドレ スの1つが取り除かれるケースは起こり得るのでその点も注意 特にELBにおいての、このあたりの詳しい知りたい方は以下の視聴がおススメ
 AWS re:Invent

    2024 - Optimizing ELB traffic distribution for high availability (NET401)
 https://youtu.be/EhbFossuQhI?si=NiFseqDHSUYMnASI

18. 返されるIPアドレスは往々にして変わる ALB内のIPアドレス変更前 ALB内のIPアドレス変更後 例としてALBの場合

19. 返されるIPアドレスは往々にして変わる その他クライアント側でのアクセス制御に関する注意事項 固定が保証されるのものを除いてIPアドレスでの宛先制御は行わない → Proxy利用やFQDNを利用できるセキュリティ製品を利用する ただし、FQDNで宛先制御を行えるFirewallの種類によっては、自身が問い合わせた名前 解決結果をキャッシュして接続許可を行うものがあるため、注意が必要
 （クライアントが得た名前解決結果と異なり通信できないケースがある）

20. おわりに 「どこで名前解決され何が返されるか」、
 「返されるIPアドレスは往々にして変わる」
 という2つの観点から、
 AWSを扱う上で重要な名前解決のお話をさせていただきました 10分版にしてみたものの、結局割愛した部分もあるので、
 次はどこかで20分版を．．．。