ハイブリッドクラウドかつマルチアカウント構成で、Route 53 Resolver イン / アウトバウンドエンドポイントの集約

平井裕二

2023.12.19

はじめに

オンプレミス環境とクラウド環境のハイブリッド構成、かつマルチアカウント構成で、Route 53 Resolverのアウトバウンドエンドポイントとインバウンドエンドポイントを1つのVPCに集約する構成を構築する機会がありましたので、その概要をまとめました。

実際の構築では、構築手順が記載された記事を参考にしましたので、本記事では構成内容の説明に留め、実際の構築手順については参考にした記事を紹介します。

Route 53 Resolverの概要は、下記の記事がわかりやすいです。DNSの基本から解説されています。

以降は、Route 53 Resolver インバウントエンドポイントは、インバウントエンドポイント、Route 53 Resolver アウトバウントエンドポイントは、アウトバウンドエンドポイントと省略します。

集約構成

集約構成は下記の通りです。

共通アカウントにアウトバウンドエンドポイントとインバウンドエンドポイントを集約し、複数のメンバーアカウントではエンドポイントを作成しません。

今回のインバウンド/アウトバウンドエンドポイントの集約においては、VPCピアリングやTransit Gatewayなどで、アカウント同士の接続は不要です。

ただし、インバウンド/アウトバウンドエンドポイント以外にもVPCエンドポイントの集約やNAT Gatewayによるインターネットへの出口の集約を利用する場合は、メンバーアカウントと共通アカウントの接続が必要になります。

インバウンドエンドポイントとアウトバウンドエンドポイント、それぞれの構築手順と経路を解説します。

インバウントの集約

オンプレミスのサーバーからAWS環境内のプライベートドメインで名前解決を行いたい場合、インバウンドエンドポイントを利用します。

プライベートドメインは、Route 53 プライベートホストゾーン(以降、プライベートホストゾーン)で定義します。

名前解決の経路は、オンプレミスサーバーからフォワーダーとインバウンドエンドポイントを経由し、メンバーアカウントのプライベートホストゾーンで行います。

名前解決に成功すると、EC2インスタンスのプライベートIPが取得され、EC2インスタンスへの通信が成功します。

インバウンドエンドポイントの集約を実現するために必要な構築手順は以下の通りです。

  1. メンバーアカウントでプライベートホストゾーンを作成し、ドメイン名とEC2インスタンスのプライベートIPを登録してVPCに関連付けます。
  2. 共通アカウントで、セキュリティグループとインバウントエンドポイントを作成します。
  3. オンプレミスのフォワーダー設定にプライベートホストゾーンのドメイン名を追加し、転送先としてインバウンドエンドポイントのIPアドレスを登録します。
  4. メンバーアカウントのプライベートホストゾーンを共通アカウントのVPCに関連付けます。

1.~3.の構築手順は、こちらの記事が参考になります。

4.の構築手順は、こちらの記事が参考になります。

別のメンバーアカウントのプライベートホストゾーンで名前解決を行いたい場合は、そのメンバーアカウントのプライベートホストゾーンも共通アカウントのVPCに関連付けることで実現できます。

この方法で共通アカウントのVPCにメンバーアカウントのプライベートホストゾーンを関連付けることで、インバウンドエンドポイントを集約できます。

インバウンドエンドポイントではリゾルバールールを追加で作成する必要はありません。

アウトバウントの集約

AWS側でEC2インスタンスなどのサーバーから、オンプレミスのネームサーバーで名前解決を行いたい場合、アウトバウンドエンドポイントを利用します。(下記の場合、example.org

名前解決の経路は、メンバーアカウントのEC2インスタンスからRoute 53 Resolverのフォワーダーとアウトバウンドエンドポイントを経由し、オンプレミスのネームサーバーで行われます。

アウトバウンドエンドポイントの集約を実現するために必要な構築手順は、下記の通りです。

  • 共通アカウントで、セキュリティグループとアウトバウンドエンドポイントを作成します。
  • 共通アカウントで、Route 53 リゾルバルールを作成します。
    • リゾルバールールは、オンプレミスのネームサーバーで名前解決したいドメイン名(example.org)指定し、ルールタイプを転送タイプに設定します。転送先であるオンプレミス側のIPアドレスも指定します。
  • 共通アカウントで作成したリゾルバールールをメンバーアカウントでも利用できるように、Resource Access Managerでリゾルバールールを共有します。
    • AWS Organizationsを利用している場合、組織内の全アカウントと共有することもできます。
  • メンバーアカウントで、メンバーアカウントのVPCにリゾルバールールを関連付けます

1.~4.の手順は、下記の記事が参考になりました。

[補足1] アウトバウンドエンドポイントのセキュリティグループの設定は、インバウンドルールが不要で、アウトバウンドルールは以下の通りです。

タイプ プロトコル ポート範囲 ソース(CIDR) 備考
DNS(TCP) TCP 53 x.x.x.x/32 ネームサーバー
DNS(TCP) UDP 53 x.x.x.x/32 ネームサーバー

[補足2] アウトバウンドエンドポイントを作成したサブネットに関連付けられたルートテーブルには、オンプレミスへのルートを設定してください。

送信先 ターゲット 備考
x.x.x.x/32 vgw-xxxxx 送信先はネームサーバーのIPアドレス

最後に

複数アカウント間やAWSとオンプレミスで実行されるワークロード間でドメインの名前解決を行うRoute 53 Resolverのインバウンド/アウトバウンドエンドポイントの集約構成について解説しました。

集約することでコスト削減や運用負担の軽減に繋がるため、参考にしていただければ幸いです。

参考

AWS

関連記事

[Update] การเชื่อมต่อ Elastic Beanstalk กับ CloudFront และทำให้เป็น HTTPS

Tinnakorn Maneewong

2024.04.25

AWS入門ブログリレー2024 〜Amazon Route 53編〜

おのやん

2024.04.15

Route53レジストラで取得可能なドメインが18個増えました

suzuki.ryo

2024.04.11

別レジストラで管理されているドメインをRoute 53に移管してみた

なおにし

2024.04.03