マルチアカウントAWS環境でハイブリッドネットワークのDNS解像度を設定する - AWS 規範ガイダンス
[概要]前提条件と制限アーキテクチャツールエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチアカウントAWS環境でハイブリッドネットワークのDNS解像度を設定する

作成者: Amir Durrani

環境:本稼働

テクノロジー: インフラストラクチャ、ネットワーク

AWS サービス: AWS RAM、Amazon Route 53、AWSControl Tower

[概要]

このパターンでは、Amazon Route 53 Resolver ルールとアウトバウンド Resolver エンドポイントでオンプレミスのドメインネームシステム (DNS) サービスを使用して名前を解決する方法を説明します。

DNS は、ネットワーク環境間の通信を確立して維持するための基本です。ハイブリッドネットワーク接続環境がある場合は、 アカウントや仮想プライベートクラウド () 間で分散環境を管理する運用上の負担なしに、 DNSや Active Directory などの重要なネットワークサービスを共有できますVPCs。このアプローチは、多数のアカウントにまたがるアプリケーションの構築とサポートに役立ちます。例えば、ハイブリッド接続要件を持つ数百または数千のマルチリージョンアカウントがある場合、AWS組織内のすべての接続環境でDNSサービスを安全かつ効率的に共有できます。

DNS は、アプリケーションのすべての階層 (ウェブ、アプリケーション、データベース) 間の IP ネットワークに不可欠です。このリソースを設定、運用、サポートするためのフルアクセスを、DNSエキスパートチームのみに付与するのがベストプラクティスです。ハイブリッド接続環境では、条件付き転送を使用して、異なるアカウントに存在するリソースから発信される名前解決リクエストDNSにオンプレミスを引き続き使用できます。

このパターンは、AWSマルチアカウント環境のハイブリッドDNS解決を対象としています。単一アカウントについては、「単一アカウントAWS環境におけるハイブリッドネットワークのDNS解像度の設定」のパターンを参照してください。

前提条件と制限

前提条件

アーキテクチャ

AWS マルチアカウントアーキテクチャ

でのマルチアカウントアーキテクチャ AWS

ターゲットテクノロジースタック

  • 多数のAWSプリンシパルにわたるアウトバウンド名解決のための既存のオンプレミスDNSインフラストラクチャ 

  • Route 53 Resolver ルールとアウトバウンド Resolver エンドポイント

  • AWS RAM Route 53 Resolver ルールをAWS組織内外の他のAWSプリンシパルと共有する場合

ターゲット アーキテクチャ

次の図は、ハイブリッドDNS解像度を設定する end-to-end手順を示しています。AWS RAM は、中央共有サービスアカウントから設定および管理される Route 53 Resolver ルールと Resolver エンドポイントを共有するために使用します。Route 53 Resolver エンドポイントは、オンプレミスデータセンターに存在するリソースのアウトバウンド名前解決リクエストを受信し、これらのリクエストをオンプレミスDNSリゾルバーに転送するように、各アベイラビリティーゾーンに設定されます。オンプレミスDNSリゾルバーは、名前解決レスポンスをアウトバウンドエンドポイントに送信し、その後、レスポンスをVPCリゾルバーに転送します。これらのステップでは、IP アドレスの代わりにホスト名を使用して通信を確立 end-to-endします。

Resolver エンドポイントとAWSプリンシパルの共有

アーキテクチャの詳細を次の図に示します。

AWS network architecture diagram showing shared services, accounts, VPCs, and connections to on-premises infrastructure.

自動化とスケール

AWS CloudFormation テンプレートAWSRAMを使用して、 を通じて Route 53 Resolver ルールを設定および共有できます。 

ツール

AWS サービス

  • AWS Control Tower は、規範的なベストプラクティスに従って、AWSマルチアカウント環境をセットアップして管理するのに役立ちます。

  • AWS Resource Access Manager (AWS RAM) は、 AWSアカウント間でリソースを安全に共有し、運用上のオーバーヘッドを減らし、可視性と監査可能性を提供します。

  • Amazon Route 53 は、可用性が高くスケーラブルなDNSウェブサービスです。

その他のツール

  • nslookupdig は、DNSレコードをクエリするためのユーティリティです。

エピック

タスク説明必要なスキル

Route 53 アウトバウンド Resolver エンドポイントとルールを構成します。

  1. Route 53 アウトバウンドリゾルバールールを設定および共有するAWSアカウントのAWSマネジメントコンソールにサインインします。

  2. で Route 53 コンソールを開きますhttps://console.aws.amazon.com/route53/

  3. ナビゲーションバーで、Resolver エンドポイントを構成するリージョンを選択します。

  4. ナビゲーションペインで [アウトバウンドエンドポイント]、[エンドポイントの構成] の順に選択します。

  5. 一般設定、IP アドレス、オプションのタグ情報を入力し、[次へ] を選択します。

  6. 1 つ以上のルールを作成して、ネットワークに転送するDNSクエリのドメイン名を指定し、保存 を選択します。

詳細については、Route 53 ドキュメントの「ネットワークへのアウトバウンドDNSクエリの転送」を参照してください。

全般 AWS

Route 53 アウトバウンドリゾルバールールを作成してAWSプリンシパルと共有します。

  1. でAWSRAMコンソールを開きますhttps://console.aws.amazon.com/ram/

  2. ナビゲーションペインで [リソース共有] を選択し、[リソース共有の作成] を選択します。

  3. 共有名を指定します。

  4. リソースタイプには、[Resolver ルール] を選択します。

  5. 共有したい Resolver ルールを選択し、オプションでタグキーと値の情報を入力して、[次へ] を選択します。

  6. Resolver ルールのリソースを共有するプリンシパルを選択します。プリンシパルは、AWS組織の内部でも外部でもかまいません。例えば、AWS組織、組織内の特定の組織単位 (OU)、または特定のアカウントを選択できます。

  7. リソースの共有を確認し、作成します。

    リソースを作成して共有すると、そのリソースは共有先のプリンシパルのナビゲーションペインの「私と共有済み」セクションに表示されます。

  8. VPCs (プリンシパル) アカウントの を、共有サービスまたはネットワークアカウントによって共有されたリゾルバールールに関連付けます。

詳細については、AWSRAMドキュメントのAWS「リソースの共有」を参照してください。

全般 AWS

アウトバウンドDNS名の解決をテストします。

Resolver ルールを共有したVPCアカウントの のインスタンスで nslookup または dig ユーティリティを使用して名前解決をテストします。

クエリは、オンプレミスデータセンター内にあるリソースの IP アドレスに解決されるはずです。

全般 AWS

関連リソース