Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
Search
nagisa_53
September 09, 2025
Technology
11
3.5k
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
東京支部 CommunityBuilders Night #2 / Jr.Championsコラボ
nagisa_53
September 09, 2025
Tweet
Share
More Decks by nagisa_53
See All by nagisa_53
Kiroでインフラ要件定義~テスト を実施してみた
nagisa53
3
560
私とAWSとの関わりの歩み~意志あるところに道は開けるかも?~
nagisa53
1
390
“社内”だけで完結していた私が、AWS Community Builder になるまで
nagisa53
2
590
JAWS-UG への関わりの変遷と得たもの
nagisa53
3
130
AWSを利用する上で知っておきたい名前解決の話
nagisa53
6
1.2k
オンプレからの転向組が語るクラウドの魅力
nagisa53
2
150
2024AWSで個人的にアツかったアップデート
nagisa53
2
470
トレノケ雲の会 mod.13 re:Invent 2024における自身の取り組み姿勢を振り返る
nagisa53
0
130
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて
nagisa53
0
490
Other Decks in Technology
See All in Technology
WebアプリケーションのUI構築で気を付けてるポイント
tomokusaba
0
140
BtoBプロダクト開発の深層
16bitidol
0
130
BirdCLEF+2025 Noir 5位解法紹介
myso
0
150
analysis パッケージの仕組みの上でMulti linter with configを実現する / Go Conference 2025
k1low
1
240
組織観点からIAM Identity CenterとIAMの設計を考える
nrinetcom
PRO
1
130
PLaMo2シリーズのvLLM実装 / PFN LLM セミナー
pfn
PRO
2
670
Why React!?? Next.jsそしてReactを改めてイチから選ぶ
ypresto
9
3.5k
Findy Team+のSOC2取得までの道のり
rvirus0817
0
230
2重リクエスト完全攻略HANDBOOK / Double Request Handbook
shoheimitani
5
7k
OCI Network Firewall 概要
oracle4engineer
PRO
1
7.7k
サプライチェーン攻撃に学ぶModuleの仕組みと セキュリティ対策
kuro_kurorrr
3
780
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
9k
Featured
See All Featured
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
2.6k
Done Done
chrislema
185
16k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
188
55k
A better future with KSS
kneath
239
17k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.5k
Designing Experiences People Love
moore
142
24k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Fireside Chat
paigeccino
40
3.7k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Automating Front-end Workflow
addyosmani
1371
200k
Building a Modern Day E-commerce SEO Strategy
aleyda
43
7.7k
Transcript
東京支部 CommunityBuilders Night #2 / Jr.Championsコラボ AWSを利用する上で知っておきたい 名前解決の話(10分版) 五味なぎさ(X:@nagisa_53)
自己紹介 名前:五味 なぎさ 仕事:SIerインフラ部門クラウド提案・実行グループマネージャー 趣味:キックボクシング、スキューバダイビング 好きなAWSサービス:NW系サービス全般(Route53, ALB, etc) AWS Community
Builders (Networking and Content Delivery) AWS Ambassadors(2025-) AWS Japan Top Engineers(2024-) Japan All AWS Certifications Engineers(2022-) JAW-UG クラウド女子会/彩の国埼玉支部運営
今回のテーマ選択の背景 2025/5に彩の国埼玉支部でも同テーマでお話させていただき ましたが、5分枠では中途半端な内容になってしまったため、 今回10分版としてお話させていただくことにしました!
なぜ名前解決の話? 各リソースにAWS側からFQDNが与えられ FQDNを指定することで接続する (IPアドレスを直指定することはほぼない)
= DNSでの名前解決が必要 = AWSを理解するためには重要な話
理解の上で重要と考えるポイント どこで名前解決され何が返されるか どのDNSで名前が解決され、返されるIPアドレスの種類は何 (グローバルIPアドレス 、プライベートIPアドレス、など)か 返されるIPアドレスは往々にして変わる 名前(FQDN)指定で接続するということは、名前解決のタイミングや クライアント環境によって実際に通信に利用されるIPアドレスが変わること は往々にしてある
① パブリックDNSで名前解決可 グローバルIPアドレスが返る (Internet Facing) 例: ② パブリックDNSで名前解決可 プライベートIPアドレスが返る 例:
(Internal) ③ VPC内のみ名前解決可 プライベートIPアドレスが返る 例: どこで名前解決され何が返されるか 大分類すると3パターン。 まずは利用しようとしているサービスがどのパターンかを意識。 カスタムドメイン 登録の場合
どこで名前解決され何が返されるか ①「パブリックDNSで名前解決可、グローバルIPアドレスが返る」 対象例: インターネット経由で接続できるサービスはほぼこれ。 Amazon CloudFront, Amazon API Gateway, Internet-facingのELBなど
対象FQDNに接続できる(名前解決&疎通できる)送信元: インターネット接続が行える環境(経路があり、パブリックDNSの名前解決が 行える環境)であれば接続可能
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 対象例: Amazon Aurora, InternalのELB, など GoogleのDNSキャッシュサーバーを 指定してNLBのFQDNを名前解決 プライベートIPアドレスが返る
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 対象FQDNに接続できる(名前解決&疎通できる)送信元: 対象のコンポーネントとプライベートIPアドレスでの接続性があり、 パブリックDNSの名前解決が行えるDNSキャッシュサーバが利用できる環境 ↓ 対象コンポーネントが配置されているVPCと 同一VPC内 Transit Gateway、VPC
Peering等で接続性のあるVPC 閉域接続のあるオンプレミス環境 など
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 注意点: カスタムドメイン名を利用したいケース、TLS接続などで証明書の考慮が必要 なケース、などでは、③のケースのように考慮が必要になるため注意
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 対象FQDNに接続できる(名前解決&疎通できる)送信元: 対象レコードはコンポーネントを作成した(関連付けした)VPCのRoute 53 Resolver経由で名前解決されるため、デフォルトでは作成したコンポーネント と同一のVPC内からのみ名前解決が可能 対象例: Amazon EFS,
Route 53 Private Hosted Zone(カスタムドメイン登録), など
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 該当のVPC内以外から名前解決するには? ↓ (NW経路があることは当然として、) Route 53 Resolver Inbound Endpointを利用するなどの手段が利用可能
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 Route 53 Resolver Inbound Endpointを利用した構成例 AWS上の別VPCであれば他にもいくつ か方法がありそうだが(カスタムドメ イン利用であれば関連付けなど)今回
は割愛 カスタムドメイン利用の上クライアント 側のDNSフォワーダー等の設定で特定 ドメイン向けの問い合わせだけを Route53 Resolver Inbound Endpointに 向ける構成も可能
どこで名前解決され何が返されるか ①~③にすんなり当てはまらない例 リンクローカルアドレスが返るパターン 例:VPC Lattice リンクローカルアドレスが返るので基本的には関連付けしたVPC内 からのみ接続可能 オンプレミス等からの接続は別途エンドポイント作成など考慮が必要 Interface型のVPCエンドポイントは設定により名前解決の考え方が変わる ので要注意(詳細は次ページ)
PrivateLinkのエンドポイントサービス利用時の挙動の話は割愛...
ちょっと難しい例:Interface型 VPCエンドポイント プライベートDNS名を有効にしているか否かで挙動が変わる 有効にしている場合 無効時:サービスエンドポイントのIPアドレス(グローバルIPアドレス)が返る 有効時:VPCエンドポイントのIPアドレスが返る *.s3.ap-northeast-1.amazonaws.com のIPアドレスは? 有効/無効 共通的に
(無効の場合はこちらを使う) エンドポイント固有のDNS名を使用する ※指定方法についてはサービスによって異なるので要確認 利用全AZのエンドポイントを含めるDNS名と AZ別のDNS名が提供される 対象のサービス(SQS, S3, 等)が提供するFQDNの名前解決結果として インタフェースVPCエンドポイントのIPアドレスが返る形になる。 ※上記の結果になるのはVPC内(Route53 ResolverをDNSとして利用時)のみ
返されるIPアドレスは往々にして変わる IPアドレスが途中で変更になることが起こり得る TTLを越えてIPアドレスのキャッシュを長く持ってしまうと、途中で接続できなく なることがあるため、TTLを守ることが重要(サービスごとの仕組みによるが、 TTLは60秒など、短いものも多い) NLBなどIPアドレス固定のサービスでも、内部の障害状況によって固定のIPアドレ スの1つが取り除かれるケースは起こり得るのでその点も注意 特にELBにおいての、このあたりの詳しい知りたい方は以下の視聴がおススメ AWS re:Invent
2024 - Optimizing ELB traffic distribution for high availability (NET401) https://youtu.be/EhbFossuQhI?si=NiFseqDHSUYMnASI
返されるIPアドレスは往々にして変わる ALB内のIPアドレス変更前 ALB内のIPアドレス変更後 例としてALBの場合
返されるIPアドレスは往々にして変わる その他クライアント側でのアクセス制御に関する注意事項 固定が保証されるのものを除いてIPアドレスでの宛先制御は行わない → Proxy利用やFQDNを利用できるセキュリティ製品を利用する ただし、FQDNで宛先制御を行えるFirewallの種類によっては、自身が問い合わせた名前 解決結果をキャッシュして接続許可を行うものがあるため、注意が必要 (クライアントが得た名前解決結果と異なり通信できないケースがある)
おわりに 「どこで名前解決され何が返されるか」、 「返されるIPアドレスは往々にして変わる」 という2つの観点から、 AWSを扱う上で重要な名前解決のお話をさせていただきました 10分版にしてみたものの、結局割愛した部分もあるので、 次はどこかで20分版を...。