Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
Search
nagisa_53
September 09, 2025
Technology
5k
11
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
東京支部 CommunityBuilders Night #2 / Jr.Championsコラボ
nagisa_53
September 09, 2025
More Decks by nagisa_53
See All by nagisa_53
CloudFrontのHost Header転送設定でパケットの中身はどう変わるのか?
nagisa53
1
330
AWS Network Firewall Proxyを触ってみた
nagisa53
1
480
re:Inventで出たインフラエンジニアが嬉しかったアップデート
nagisa53
4
300
Rodeoで感じたアーキテクチャ図は言語の壁を越える!?
nagisa53
1
85
re:Invent 2025で発表されたNW系のアップデートについて?
nagisa53
1
86
ラスベガス到着~12/2までに現地で学んだこと
nagisa53
0
30
ALBのURL / Host Header rewriteを試してみた
nagisa53
0
470
re:Inventに向けてウォームアップしよう!
nagisa53
1
280
re:Inventに行くまでにやっておきたいこと
nagisa53
0
2.6k
Other Decks in Technology
See All in Technology
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
2
160
AICoEでAIネイティブ組織への進化
yukiogawa
0
170
[2026-07-15] AI Ready なはずだったアーキテクチャと、見えてきた課題・次に目指す状態
wxyzzz
4
2.9k
GuardrailからGovernanceへ~AIエージェント運用の次の課題~
sbspsy
2
270
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
2
1.5k
Compose 新機能総まとめ / What's New in Jetpack Compose
yanzm
0
170
AI Agent SaaS を支える自社仮想化基盤への挑戦と実運用 / ai-agent-saas-virtualization
flatt_security
2
3.8k
はじめてのWDM
miyukichi_ospf
1
140
ヘルスケア領域における AI 活用と その安全性担保のための取り組み (Leveraging AI in Healthcare and Our Efforts to Ensure Its Safety) - Google I/O Extended Tokyo 2026, July 11, 2026
zettaittenani
0
280
ADDF - ループエンジニアリングするフレームワークを作ったら/I Didn't Set Out to Build Loop Engineering, But ADDF Did
fruitriin
0
120
穢れた技術選定について
watany
4
420
KiCAD講習会②
tutcreators
0
110
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
50
15k
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
310
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
330
Facilitating Awesome Meetings
lara
57
7k
Typedesign – Prime Four
hannesfritz
42
3.1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
RailsConf 2023
tenderlove
30
1.5k
We Are The Robots
honzajavorek
0
280
Abbi's Birthday
coloredviolet
3
8.6k
Build your cross-platform service in a week with App Engine
jlugia
234
18k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.6k
How to make the Groovebox
asonas
2
2.3k
Transcript
東京支部 CommunityBuilders Night #2 / Jr.Championsコラボ AWSを利用する上で知っておきたい 名前解決の話(10分版) 五味なぎさ(X:@nagisa_53)
自己紹介 名前:五味 なぎさ 仕事:SIerインフラ部門クラウド提案・実行グループマネージャー 趣味:キックボクシング、スキューバダイビング 好きなAWSサービス:NW系サービス全般(Route53, ALB, etc) AWS Community
Builders (Networking and Content Delivery) AWS Ambassadors(2025-) AWS Japan Top Engineers(2024-) Japan All AWS Certifications Engineers(2022-) JAW-UG クラウド女子会/彩の国埼玉支部運営
今回のテーマ選択の背景 2025/5に彩の国埼玉支部でも同テーマでお話させていただき ましたが、5分枠では中途半端な内容になってしまったため、 今回10分版としてお話させていただくことにしました!
なぜ名前解決の話? 各リソースにAWS側からFQDNが与えられ FQDNを指定することで接続する (IPアドレスを直指定することはほぼない)
= DNSでの名前解決が必要 = AWSを理解するためには重要な話
理解の上で重要と考えるポイント どこで名前解決され何が返されるか どのDNSで名前が解決され、返されるIPアドレスの種類は何 (グローバルIPアドレス 、プライベートIPアドレス、など)か 返されるIPアドレスは往々にして変わる 名前(FQDN)指定で接続するということは、名前解決のタイミングや クライアント環境によって実際に通信に利用されるIPアドレスが変わること は往々にしてある
① パブリックDNSで名前解決可 グローバルIPアドレスが返る (Internet Facing) 例: ② パブリックDNSで名前解決可 プライベートIPアドレスが返る 例:
(Internal) ③ VPC内のみ名前解決可 プライベートIPアドレスが返る 例: どこで名前解決され何が返されるか 大分類すると3パターン。 まずは利用しようとしているサービスがどのパターンかを意識。 カスタムドメイン 登録の場合
どこで名前解決され何が返されるか ①「パブリックDNSで名前解決可、グローバルIPアドレスが返る」 対象例: インターネット経由で接続できるサービスはほぼこれ。 Amazon CloudFront, Amazon API Gateway, Internet-facingのELBなど
対象FQDNに接続できる(名前解決&疎通できる)送信元: インターネット接続が行える環境(経路があり、パブリックDNSの名前解決が 行える環境)であれば接続可能
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 対象例: Amazon Aurora, InternalのELB, など GoogleのDNSキャッシュサーバーを 指定してNLBのFQDNを名前解決 プライベートIPアドレスが返る
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 対象FQDNに接続できる(名前解決&疎通できる)送信元: 対象のコンポーネントとプライベートIPアドレスでの接続性があり、 パブリックDNSの名前解決が行えるDNSキャッシュサーバが利用できる環境 ↓ 対象コンポーネントが配置されているVPCと 同一VPC内 Transit Gateway、VPC
Peering等で接続性のあるVPC 閉域接続のあるオンプレミス環境 など
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 注意点: カスタムドメイン名を利用したいケース、TLS接続などで証明書の考慮が必要 なケース、などでは、③のケースのように考慮が必要になるため注意
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 対象FQDNに接続できる(名前解決&疎通できる)送信元: 対象レコードはコンポーネントを作成した(関連付けした)VPCのRoute 53 Resolver経由で名前解決されるため、デフォルトでは作成したコンポーネント と同一のVPC内からのみ名前解決が可能 対象例: Amazon EFS,
Route 53 Private Hosted Zone(カスタムドメイン登録), など
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 該当のVPC内以外から名前解決するには? ↓ (NW経路があることは当然として、) Route 53 Resolver Inbound Endpointを利用するなどの手段が利用可能
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 Route 53 Resolver Inbound Endpointを利用した構成例 AWS上の別VPCであれば他にもいくつ か方法がありそうだが(カスタムドメ イン利用であれば関連付けなど)今回
は割愛 カスタムドメイン利用の上クライアント 側のDNSフォワーダー等の設定で特定 ドメイン向けの問い合わせだけを Route53 Resolver Inbound Endpointに 向ける構成も可能
どこで名前解決され何が返されるか ①~③にすんなり当てはまらない例 リンクローカルアドレスが返るパターン 例:VPC Lattice リンクローカルアドレスが返るので基本的には関連付けしたVPC内 からのみ接続可能 オンプレミス等からの接続は別途エンドポイント作成など考慮が必要 Interface型のVPCエンドポイントは設定により名前解決の考え方が変わる ので要注意(詳細は次ページ)
PrivateLinkのエンドポイントサービス利用時の挙動の話は割愛...
ちょっと難しい例:Interface型 VPCエンドポイント プライベートDNS名を有効にしているか否かで挙動が変わる 有効にしている場合 無効時:サービスエンドポイントのIPアドレス(グローバルIPアドレス)が返る 有効時:VPCエンドポイントのIPアドレスが返る *.s3.ap-northeast-1.amazonaws.com のIPアドレスは? 有効/無効 共通的に
(無効の場合はこちらを使う) エンドポイント固有のDNS名を使用する ※指定方法についてはサービスによって異なるので要確認 利用全AZのエンドポイントを含めるDNS名と AZ別のDNS名が提供される 対象のサービス(SQS, S3, 等)が提供するFQDNの名前解決結果として インタフェースVPCエンドポイントのIPアドレスが返る形になる。 ※上記の結果になるのはVPC内(Route53 ResolverをDNSとして利用時)のみ
返されるIPアドレスは往々にして変わる IPアドレスが途中で変更になることが起こり得る TTLを越えてIPアドレスのキャッシュを長く持ってしまうと、途中で接続できなく なることがあるため、TTLを守ることが重要(サービスごとの仕組みによるが、 TTLは60秒など、短いものも多い) NLBなどIPアドレス固定のサービスでも、内部の障害状況によって固定のIPアドレ スの1つが取り除かれるケースは起こり得るのでその点も注意 特にELBにおいての、このあたりの詳しい知りたい方は以下の視聴がおススメ AWS re:Invent
2024 - Optimizing ELB traffic distribution for high availability (NET401) https://youtu.be/EhbFossuQhI?si=NiFseqDHSUYMnASI
返されるIPアドレスは往々にして変わる ALB内のIPアドレス変更前 ALB内のIPアドレス変更後 例としてALBの場合
返されるIPアドレスは往々にして変わる その他クライアント側でのアクセス制御に関する注意事項 固定が保証されるのものを除いてIPアドレスでの宛先制御は行わない → Proxy利用やFQDNを利用できるセキュリティ製品を利用する ただし、FQDNで宛先制御を行えるFirewallの種類によっては、自身が問い合わせた名前 解決結果をキャッシュして接続許可を行うものがあるため、注意が必要 (クライアントが得た名前解決結果と異なり通信できないケースがある)
おわりに 「どこで名前解決され何が返されるか」、 「返されるIPアドレスは往々にして変わる」 という2つの観点から、 AWSを扱う上で重要な名前解決のお話をさせていただきました 10分版にしてみたものの、結局割愛した部分もあるので、 次はどこかで20分版を...。