Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSを利用する上で知っておきたい名前解決のはなし_彩の国埼玉支部#1

 AWSを利用する上で知っておきたい名前解決のはなし_彩の国埼玉支部#1

Avatar for nagisa_53

nagisa_53

May 09, 2025
Tweet

More Decks by nagisa_53

Other Decks in Technology

Transcript

  1. 名前解決の大まかな種類 どこから何が返るかが重要 ① パブリックDNSで名前解決可 グローバルIPアドレスが返る (Internet Facing) 例: 主にVPC外リソース、VPC内でインターネット から直接接続のあるリソース

    主にVPC外リソース、VPC内でインターネット から直接接続のあるリソース ② パブリックDNSで名前解決可 プライベートIPアドレスが返る 例: (Internal) 他VPCやオンプレミスからの接続時に 特別な考慮不要で名前解決できる ③ VPC内のみ名前解決可 プライベートIPアドレスが返る 例: (Internal) (プライベートIP DNS名) VPC外から名前解決させたい場合Route53 Resolver Endpoint等の利用が必要
  2. ①~③共通で注意しておきたいこと w IPアドレスが途中で変更になることが起こり得† “ TTLを越えてIPアドレスのキャッシュを長く持ってしまうと、途中で接続できなくなることがあるた め、TTLを守ることが重要(サービスごとの仕組みによるが、TTLは60秒など、短いものも多いr “ NLBなどIPアドレス固定のサービスでも、内部の障害状況によって固定のIPアドレスの1つが取り除 かれるケースは起こり得るのでその点も注U w

    1つのサービスで利用されるIPアドレスは必ずしも1つではなA “ 固定が保証されるのものを除いて、IPアドレスでの制御はできるだけしなq “ (AWSサービスに対して接続しに行く送信元側の話ではあるが、)
 FQDNで宛先制御を行えるFirewallの種類によっては、名前解決結果として得られるIPアドレスを キャッシュして接続許可を行うものがあるため、注意が必要
 (通る通信と通らない通信が発生したり)
  3. ちょっと難しい例:インターフェースVPCエンドポイント プライベートDNS名を有効にしているか否かで挙動が変わる 有効にしている場合 無効時:サービスエンドポイントのIPアドレス(グローバルIPアドレス)が返る 有効時:VPCエンドポイントのIPアドレスが返る *.s3.ap-northeast-1.amazonaws.com のIPアドレスは? 有効/無効 共通的に (無効の場合はこちらを使う)

    エンドポイント固有のDNS名を使用する ※指定方法についてはサービスによって異なるので要確認 利用全AZのエンドポイントを含めるDNS名と AZ別のDNS名が提供される 対象のサービス(SQS, S3, 等)が提供するFQDNの名前解決結果として インタフェースVPCエンドポイントのIPアドレスが返る形になる。 ※上記の結果になるのはVPC内(Route53 ResolverをDNSとして利用時)のみ 基本的には有効でよいと思うが、API GatewayでPublic/Private両方使う場合など無効を選択せざるを得な いケースや、そもそも有効を選べないサービスも(後者が現時点であるかは未確認)