ネットワーキング

VPC の .2 リゾルバの正体 - AWS 内部 DNS と Route 53 Resolver の関係

VPC 内の DNS リゾルバ (CIDR+2 アドレス) が何者なのか、プライベートホストゾーンとの連携、Route 53 Resolver エンドポイントによるハイブリッド DNS、DNS クエリログの活用方法を解説します。

約 3 分で読めます

VPC の CIDR+2 アドレスに何がいるのか

VPC を作成すると、CIDR ブロックの 2 番目のアドレス (10.0.0.0/16 なら 10.0.0.2) が DNS リゾルバとして予約されます。EC2 インスタンスの /etc/resolv.conf を確認すると、nameserver にこのアドレスが設定されています。この .2 リゾルバは、Route 53 Resolver と呼ばれる AWS のマネージド DNS サービスです。インスタンスからの DNS クエリは、この .2 リゾルバに送信され、Route 53 Resolver が名前解決を行います。Route 53 Resolver は、クエリの内容に応じて異なる処理を行います。VPC に関連付けられたプライベートホストゾーンのドメインであれば、プライベートホストゾーンのレコードを返します。AWS 内部のサービスエンドポイント (ec2.ap-northeast-1.amazonaws.com など) であれば、AWS の内部 DNS で解決します。それ以外のドメインであれば、パブリック DNS (Route 53 のパブリックホストゾーンまたはインターネットの DNS) で解決します。この振り分けは自動的に行われ、ユーザーが設定する必要はありません。

プライベートホストゾーン - VPC 内だけで有効な DNS

Route 53 のプライベートホストゾーンは、VPC 内からのみ解決可能な DNS ゾーンです。たとえば、internal.example.com というプライベートホストゾーンを作成し、api.internal.example.com を 10.0.1.100 に解決するレコードを設定すると、VPC 内のインスタンスからは api.internal.example.com で内部サービスにアクセスできますが、インターネットからは解決できません。プライベートホストゾーンは複数の VPC に関連付けることができます。開発 VPC、ステージング VPC、本番 VPC のすべてに同じプライベートホストゾーンを関連付ければ、環境間で統一された内部 DNS 名を使用できます。ただし、各環境で異なる IP アドレスに解決したい場合は、環境ごとに別のプライベートホストゾーンを作成する必要があります。プライベートホストゾーンの興味深い特性は、パブリックホストゾーンと同じドメイン名を使用できることです。example.com のパブリックホストゾーンとプライベートホストゾーンが両方存在する場合、VPC 内からのクエリはプライベートホストゾーンが優先されます。これを「スプリットホライズン DNS」と呼びます。

Route 53 Resolver エンドポイント - ハイブリッド DNS の実現

オンプレミスネットワークと VPC を Direct Connect や VPN で接続している場合、DNS の名前解決が課題になります。オンプレミスのサーバーから VPC 内のプライベートホストゾーンのドメインを解決したい、逆に VPC 内のインスタンスからオンプレミスの Active Directory ドメインを解決したい、というニーズです。Route 53 Resolver エンドポイントは、この課題を解決します。インバウンドエンドポイントは、オンプレミスの DNS サーバーからのクエリを受け付け、VPC の .2 リゾルバに転送します。オンプレミスの DNS サーバーに、VPC のプライベートドメインの条件付きフォワーダーを設定し、転送先をインバウンドエンドポイントの IP アドレスにします。アウトバウンドエンドポイントは、VPC 内からのクエリをオンプレミスの DNS サーバーに転送します。Route 53 Resolver ルールで、特定のドメイン (例: corp.internal) のクエリをオンプレミスの DNS サーバーに転送するよう設定します。エンドポイントは各 AZ に ENI を作成するため、マルチ AZ の冗長性が確保されます。料金は ENI 1 つあたり 1 時間 0.125 USD + DNS クエリ 100 万件あたり 0.40 USD です。

DNS クエリログ - VPC 内の DNS 活動を可視化する

Route 53 Resolver の DNS クエリログは、VPC 内のすべての DNS クエリを記録する機能です。どのインスタンスが、いつ、どのドメインを解決しようとしたかが記録されます。セキュリティの観点で、DNS クエリログは極めて有用です。マルウェアは C2 (Command and Control) サーバーとの通信に DNS を使用することがあります (DNS トンネリング)。DNS クエリログを分析すれば、不審なドメインへのクエリを検出できます。たとえば、ランダムな文字列のサブドメイン (a1b2c3d4.evil.com) への大量のクエリは、DNS トンネリングの兆候です。クエリログの送信先は、CloudWatch Logs、S3、Kinesis Data Firehose の 3 つから選択できます。リアルタイムの分析には CloudWatch Logs、長期保存と大規模分析には S3 + Athena、ストリーミング分析には Kinesis が適しています。GuardDuty は DNS クエリログを自動的に分析し、暗号通貨マイニング、C2 通信、データ流出などの脅威を検出します。GuardDuty を有効にしていれば、DNS クエリログを手動で分析する必要はほとんどありません。

DNS の落とし穴 - enableDnsSupport と enableDnsHostnames

VPC には DNS に関する 2 つの設定があり、これらの設定を誤ると DNS 解決が機能しません。enableDnsSupport (デフォルト: true) は、VPC の .2 リゾルバを有効にする設定です。false にすると、VPC 内のインスタンスは .2 リゾルバを使用できなくなり、カスタム DNS サーバーを設定しない限り名前解決ができません。enableDnsHostnames (デフォルト: false、デフォルト VPC では true) は、パブリック IP アドレスを持つインスタンスに自動的に DNS ホスト名 (ec2-1-2-3-4.compute-1.amazonaws.com) を割り当てる設定です。この設定が false の場合、プライベートホストゾーンの関連付けが機能しません。プライベートホストゾーンを使用するには、enableDnsSupport と enableDnsHostnames の両方が true である必要があります。もう一つの落とし穴は、DHCP オプションセットです。VPC のインスタンスに配布される DNS サーバーのアドレスは、DHCP オプションセットで制御されます。カスタム DHCP オプションセットで DNS サーバーをオンプレミスの DNS に変更すると、.2 リゾルバが使用されなくなり、プライベートホストゾーンが解決できなくなります。VPC の DNS 設計を体系的に学ぶには、専門書籍 (Amazon)が参考になります。

関連するサービス

Amazon Route 53高可用性のドメイン名システム (DNS) とドメイン登録を提供するサービスAmazon VPCAWS 上に論理的に分離された仮想ネットワークを構築するサービス

関連する記事

Route 53 の名前の由来と DNS の雑学 - なぜ 53 なのか、なぜ UDP なのかRoute 53 の名前がポート番号 53 と米国の国道 Route 66 に由来する経緯から始め、DNS がなぜ UDP ポート 53 を使うのか、DNS 解決の裏側で何が起きているのかを雑学的に解説します。VPC のデフォルト CIDR /16 はなぜ /16 なのか - IP アドレス設計の雑学と落とし穴VPC のデフォルト CIDR が /16 に設定されている理由、RFC 1918 のプライベートアドレス空間の歴史、サブネットで使えない 5 つの IP アドレス、CIDR 設計の失敗パターンを雑学的に解説します。Amazon VPC のネットワーク設計 - サブネット構成と NAT Gateway の最適化パブリック/プライベートサブネットの分離設計、セキュリティグループの層別管理、Gateway VPC エンドポイントによる NAT Gateway コスト削減を紹介します。

同じテーマの記事

AWS App Mesh で構築するサービスメッシュ - マイクロサービス間通信の制御と可観測性Envoy サイドカーによるカナリアデプロイ、リトライポリシー、mTLS 暗号化を宣言的に設定し、X-Ray 統合でサービス間の依存関係を可視化する手法を紹介します。AWS Cloud Map でサービスディスカバリを実現 - マイクロサービス間の動的な名前解決DNS ベースと API ベースの 2 方式でマイクロサービスのエンドポイントを動的に検出する。ECS・EKS との統合でサービスの登録・解除を自動化する手法を紹介します。CloudFront の 600 超 PoP はどう動いているのか - Anycast ルーティングとキャッシュ階層の仕組みCloudFront がユーザーのリクエストを最寄りの PoP にルーティングする Anycast の仕組み、エッジロケーションとリージョナルエッジキャッシュの 2 層構造、キャッシュヒット率を左右する設計要因を解説します。専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。Elastic IP アドレスの管理と設計 - 静的 IP の活用とコスト最適化Elastic IP の割り当て、EC2 との関連付け、未使用 EIP のコスト影響、代替手段の検討を解説します。ELB の 3 種類はなぜ 3 種類あるのか - ALB・NLB・CLB が分かれた設計判断の裏側ALB、NLB、CLB (Classic) の 3 種類のロードバランサーがなぜ統合されずに併存しているのかを、OSI 参照モデルのレイヤー、パフォーマンス特性、歴史的経緯から解説します。AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバーAnycast IP で AWS グローバルネットワークにトラフィックを誘導し、エンドポイントグループの設計とヘルスチェックによるフェイルオーバーを実現する手法を紹介します。

内容が近い記事・サービス

Amazon Route 53 でのドメイン登録と DNS 移行 - レジストラ移管とゾーン設定の実践ドメイン登録から他レジストラからの移管、パブリック・プライベートホストゾーンの設計、DNSSEC の有効化までを一貫して紹介します。Route 53 の名前の由来と DNS の雑学 - なぜ 53 なのか、なぜ UDP なのかRoute 53 の名前がポート番号 53 と米国の国道 Route 66 に由来する経緯から始め、DNS がなぜ UDP ポート 53 を使うのか、DNS 解決の裏側で何が起きているのかを雑学的に解説します。AWS Cloud Mapマイクロサービスのサービスディスカバリを提供し、DNS または API 経由でサービスの場所を解決するサービスサービスディスカバリ - AWS Cloud Map でマイクロサービスの接続を自動化するAWS Cloud Map を使ったサービスディスカバリの構築を解説。DNS ベース・ API ベースのサービス検出、ECS/EKS との統合、App Mesh との連携を紹介します。