翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# VPC Resolver のベストプラクティス
<a name="best-practices-resolver"></a>

このセクションでは、Amazon Route 53 VPC Resolver を最適化するためのベストプラクティスと、以下のトピックについて説明します。

1. **Resolver エンドポイントとのループ構成を防ぐ:**
   + 同じ VPC が Resolver ルールとそのインバウンドエンドポイントの両方に関連付けられないようにすることで、ルーティングループを防止します。
   + 適切なルーティング設定を維持しながら AWS RAM 、 を使用してアカウント間で VPCs を共有します。

   詳細については、[Resolver エンドポイントとのループ構成を防ぐ](best-practices-resolver-endpoints.md)を参照してください。

1. **Resolver エンドポイントのスケーリング:**
   + 接続状態に基づいてトラフィックを許可するセキュリティグループルールを実装して、接続追跡のオーバーヘッドを削減する
   + インバウンドおよびアウトバウンドの Resolver エンドポイントの推奨されるセキュリティグループルールに従って、クエリスループットを最大化します。
   + 容量が制限されないように、DNS トラフィックを生成する一意の IP アドレスとポートの組み合わせを監視します。

   詳細については、[Resolver エンドポイントのスケーリング](best-practices-resolver-endpoint-scaling.md)を参照してください。

1. **Resolver エンドポイントの高可用性:**
   + 冗長性を確保するために、少なくとも 2 つのアベイラビリティーゾーンに IP アドレスを持つインバウンドエンドポイントを指定します。
   + メンテナンスやトラフィックの急増時に可用性を確保するための追加のネットワークインターフェイスをプロビジョニングする

   詳細については、[Resolver エンドポイントの高可用性](best-practices-resolver-endpoint-high-availability.md)を参照してください。

1. **DNS ゾーンウォーキング攻撃の防止:**
   + 攻撃者が DNSSEC 署名付き DNS ゾーンからすべてのコンテンツを取得しようとする潜在的な DNS ゾーンウォーキング攻撃に注意してください。
   + ゾーンウォーキングが疑われるためにエンドポイントでスロットリングが発生した場合は、 AWS サポートにお問い合わせください。

   詳細については、[DNS ゾーンウォーキング](best-practices-resolver-zone-walking.md)を参照してください。

 これらのベストプラクティスに従うことで、VPC Resolver デプロイのパフォーマンス、スケーラビリティ、セキュリティを最適化し、アプリケーションとリソースの DNS 解決の信頼性と効率性を確保できます。

# Resolver エンドポイントとのループ構成を防ぐ
<a name="best-practices-resolver-endpoints"></a>

Resolver ルールとそのインバウンドエンドポイントに対しては、(エンドポイントが直接ターゲットとしているか、オンプレミスの DNS サーバー経由でターゲットとしているかに関係なく) 同じ VPC を関連付けないようにしてください。アウトバウンドエンドポイントが、同じ Resolver ルールと VPC を共有するインバウンドエンドポイントを指している場合、インバウンドエンドポイントとアウトバウンドエンドポイント間でループが生成され、クエリの伝達が継続的に発生する場合があります。

転送ルールは、 AWS Resource Access Manager () を使用して他のアカウントと共有されている他の VPCs に関連付けることができますAWS RAM。この場合も、ハブに関連付けられたプライベートホストゾーン、つまり中央の VPC において、クエリからインバウンドエンドポイントへの解決が行われます (転送リゾルバーのルールでは、この解決は変更されません)。

# Resolver エンドポイントのスケーリング
<a name="best-practices-resolver-endpoint-scaling"></a>

Resolver エンドポイントセキュリティグループは、エンドポイントを出入りするトラフィックに関する情報を収集するために接続追跡を使用します。各エンドポイントインターフェイスが追跡可能な接続には最大数の制限があり、この接続数を超える大量の DNS クエリが送られた場合は、スロットリングやクエリの損失が発生する可能性があります。接続追跡は AWS、セキュリティグループ (SGs。SG における接続追跡を使用することでトラフィックのスループットが低下しますが、追跡されていない接続を実装してオーバーヘッドを減らし、パフォーマンスを改善することができます。詳細については、「[追跡されていない接続](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)」を参照してください。

制限付きセキュリティグループルールを使用して接続追跡が強制される場合、またはクエリが Network Load Balancer ([自動追跡された接続](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#automatic-tracking)を参照) を介してルーティングされる場合、エンドポイントの IP アドレスごとの 1 秒あたりの合計最大クエリ数は 1,500 に抑えられます。

**インバウンド Resolver エンドポイントの送受信セキュリティグループルールの推奨事項**


****  

| 
| 
| **受信ルール** | 
| --- |
| プロトコルのタイプ | ポート番号 | 送信元 IP | 
| TCP  | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 
| **送信ルール** | 
| --- |
| プロトコルのタイプ | ポート番号 | 送信先 IP | 
| TCP | All | 0.0.0.0/0 | 
| UDP | All | 0.0.0.0/0 | 

**アウトバウンド Resolver エンドポイントの送受信セキュリティグループルールの推奨事項**


****  

| 
| 
| **受信ルール** | 
| --- |
| プロトコルのタイプ | ポート番号 | 送信元 IP | 
| TCP  | All | 0.0.0.0/0 | 
| UDP | All | 0.0.0.0/0 | 
| **送信ルール** | 
| --- |
| プロトコルのタイプ | ポート番号 | 送信先 IP | 
| TCP | 53 | 0.0.0.0/0 | 
| UDP | 53 | 0.0.0.0/0 | 

**注記**  
**セキュリティグループポートの要件:**  
**インバウンドエンドポイント**には、ポート 53 の TCP と UDP がネットワークから DNS クエリを受信できるようにする進入ルールが必要です。エグレスルールでは、エンドポイントがさまざまなソースポートからのクエリに応答する必要がある可能性があるため、すべてのポートを許可できます。
**アウトバウンドエンドポイント**では、エグレスルールにおいてネットワークの DNS クエリに使用するポートで TCP および UDP アクセスを許可する必要があります。ポート 53 は最も一般的な DNS ポートですが、ネットワークが異なるポートを使用する可能性があるため、上記の例に示しています。イングレスルールでは、すべてのポートが DNS サーバーからのレスポンスに対応できます。

**インバウンド Resolver エンドポイント**

インバウンドリゾルバーエンドポイントを使用するクライアントの場合、IP アドレスとポートの (DNS トラフィックを生成している) 固有の組み合わせが 40,000 個を超えると、Elastic Network Interface の容量に影響が生じます。

# Resolver エンドポイントの高可用性
<a name="best-practices-resolver-endpoint-high-availability"></a>

VPC リゾルバーのインバウンドエンドポイントを作成する場合、Route 53 では、ネットワーク上の DNS リゾルバーがクエリを転送する IP アドレスを少なくとも 2 つ作成する必要があります。冗長性を確保するために、少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定する必要があります。

複数の Elastic Network Interface エンドポイントを常時使用できるようにする場合は、必要とするネットワークインターフェイス数の他に少なくとも 1 つ余分にインターフェイスを作成し、トラフィックが急増した場合にも処理できるよう追加の容量を確保しておくことをお勧めします。また、追加のネットワークインターフェイスでメンテナンスやアップグレードなどのサービス作業を行っている間の可用性も確保できます。

詳細については、この詳細なブログ記事[「Resolver エンドポイントと で DNS の高可用性を実現する方法](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-achieve-dns-high-availability-with-route-53-resolver-endpoints/)」を参照してください[インバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-inbound-queries-values.md)。

# DNS ゾーンウォーキング
<a name="best-practices-resolver-zone-walking"></a>

DNS ゾーンウォーキング攻撃とは、DNSSec 署名付き DNS ゾーンからすべてのコンテンツを取得しようとすることです。VPC Resolver チームがエンドポイントで DNS ゾーンがウォークされたときに生成されたトラフィックパターンと一致するトラフィックパターンを検出すると、サービスチームはエンドポイントのトラフィックをスロットリングします。その結果、DNS クエリのタイムアウトの割合が高くなることがあります。

エンドポイントの容量が減少し、エンドポイントが誤って調整されたと思われる場合は、https://console.aws.amazon.com/support/home\$1/ にアクセスしてサポートケースを作成してください。