![[アップデート]VPC Lattice がリソースコンフィグにてカスタムドメインを設定できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-712455cf0a6faff1237b040c093f1652/28fdae67ec827a0229bfadb6381c6962/amazon-vpc-lattice?w=3840&fm=webp)
[アップデート]VPC Lattice がリソースコンフィグにてカスタムドメインを設定できるようになりました
こんにちは。クラウド事業本部の木村です。
2025年11月7日にアップデートが公開されまして、Amazon VPC Lattice がリソースコンフィグにてカスタムドメインを設定できるようになりました。
HTTP/Sで利用するLatticeサービスについては以前よりカスタムドメインが利用できていたのですが、リソースコンフィグなどを利用するデータベースなどのレイヤー4リソースに対して、カスタムドメインを利用することができませんでしたが今回のアップデートで利用することができるようになりました。
アップデート内容簡単まとめ
-
リソースコンフィグの設定にて
database.example.comのような独自のカスタムドメイン名を設定できるようになり、Route53のプライベートホストゾーンの設定なしでVPCからわかりやすいドメイン名でアクセスできるようになりました。 -
ドメインの認証を行う機能がLatticeに追加されました。VPCとサービスネットワークの関連付けでプライベートDNSを設定する範囲を制御できるようになりました。
アップデート内容について
では追加された要素について確認していきたいと思います。
カスタムドメインの設定について
従来はTCPで接続するリソースについてはリソースコンフィグで自動生成されるsnra-xxx.rcfg-xxx.4232ccc.vpc-lattice-rsc.ap-northeast-1.on.awsのようなデフォルトドメイン名を使用する必要がありました。
複数のVPCやAWSアカウントにまたがる環境だと、サービスネットワークの関連付け毎に払い出されるためにドメインが異なっていましたが、今回のアップデートで追加されたカスタムドメインによって使いやすく統一されたドメインによってリソースにアクセスできるようになりました。
カスタムドメインの設定は。図の赤枠のリソースコンフィグの部分にて設定を行います。
接続対象のリソースに対してデフォルトドメイン名に追加して、カスタムドメインを設定することが可能です。
作成後は変更ができないので、ドメイン名の変更が必要な場合は再作成が必要になります。
プライベートDNS設定
サービスネットワークとVPCの関連付け時に、プライベートDNS設定でどのリソースコンフィグで設定されたドメインに対してホストゾーンにレコードを追加するかを以下のオプションから制御できます。
| オプション | 内容 | 利用想定環境 |
|---|---|---|
| 検証済みドメインのみ | ドメイン検証済みのカスタムドメインのみ許可 | 本番環境 |
| 指定ドメインのみ | 明示的に指定したドメインのみ許可 | 検証環境、テスト環境 |
| 検証済み+指定ドメイン | 検証済み + 指定ドメインを許可 | 検証環境、テスト環境 |
| すべてのドメイン | 関連付けしたドメイン設定のすべてを許可 | 検証環境、テスト環境 |
設定されたオプションでサービスネットワークに関連づけられているVPCにプライベートホストゾーンを自動作成・管理してくれるので、Route 53のホストゾーンへのレコードの登録といった作業も不要になります。
ドメイン検証
先ほど説明したプライベートDNS設定にて認証済みのドメインにて利用するために利用する設定になります。
検証したい対象のホストゾーンを指定すると、レコード名とレコード値のペアで構成されるTXTレコード設定を返却します。
これを保持しているホストゾーンにて、txtレコードを追加することで所有権が確認され正当なホストゾーンの所有者として使用することを保証できます。親ドメインを検証することで、すべてのサブドメインも検証済みドメインとして扱われます。
やってみた
実際に、異なるVPCに配置されたEC2インスタンスからRDSデータベースへカスタムドメイン名を使ってアクセスしてみます。
構成
今回は以下の構成で検証します。
検証済みのドメインと検証していないドメインを利用して、接続可能であるかを検証していきます。
前提条件
今回以下の項目の作成は本筋でないので割愛いたします。
- Route 53でホストゾーン作成
- VPC作成
- RDS作成(MySQLを検証に利用)
- EC2作成
- Latticeサービスネットワーク作成
- Resource Gateway作成
Latticeを利用したTCPでの接続方法の詳細については以下のブログをご参照ください。
検証済みのドメインでの接続してみる
ドメイン検証
まず検証済みのドメインでの疎通を確認するために、ドメイン検証を行なっていきます。
「ドメイン検証」を指定して以下のように保持しているホストゾーンを入力します。
すると以下のようにtxtレコードで設定が必要な値を取得することができます。
この値をtxtレコードとして追加します。
レコードを作成すると1分程で認証されたことが確認できました!
リソースコンフィグを作成する
リソースコンフィグの設定の中で、カスタムドメインの設定項目が追加されているので以下のように設定を追加します。Verification IDは先ほど作成したものを指定しています。Verification IDを指定している場合は、検証したドメインのサブドメインである必要があります。
その他の項目は従来通りの設定で作成します。今回はRDSに接続するので対象のRDSのドメインを指定します。
サービスネットワークとリソースコンフィグの関連付け
こちらでもDNS設定を有効にするかの設定があるので有効化にしておきましょう。
サービスネットワークとVPCの関連付け
続いてVPCとサービスネットワークの関連付けを行います。先述した通りこの箇所でホストゾーンに作成するレコードの内容を制御することができます。
今回は検証済みのレコードのみを登録したので、「Verified domains only」で関連付けを行います。
疎通してみる
ではEC2から疎通してみます。
カスタムドメインで疎通が確認できました!
以下のように名前解決もきちんとできていました。
検証していないドメインでの接続してみる
リソースコンフィグを作成する
今回のドメインは検証していないものを利用するのでリソースコンフィグの作成から行います。
先ほどと同じRDSに対して接続を作成していきます。
今度は適当なドメインを入力して、Verification IDも入力しません。
サービスネットワークとリソースコンフィグの関連付け
先ほど同様関連付けを行います。
VPCの設定が「Verified domains only」のまま接続してみる
VPCとの設定は先ほど設定したVerified domains onlyのままなので、今回の検証していないドメインはプライベートホストゾーンに追加されておらず疎通できないことを確認したいと思います。
以下のように解決できず、疎通に失敗しました。当然名前解決もできません。
サービスネットワークとVPCの関連付け
VPCとサービスネットワークの関連付けの設定を疎通ができるように変更していきます。
設定の変更ができないようなので、一度削除して再度繋ぎなおします。
(11/28現在コンソールからは変更不可。CLIからも変更用のオプションは提供されていないため変更不可。)
再作成して、指定のドメインを許可するように追加しました。「example.com」のサブドメインを許可するように設定しています。
再度疎通テスト
設定変更後、再度疎通してみます。
疎通できました!
名前解決もできています。
簡単ではありますが、VPCとサービスネットワークでの設定によってホストゾーンの追加が制御できていることが確認できました。
まとめ
今回はLatticeのカスタムドメイン追加のアップデートを紹介させていただきました、
カスタムドメインの追加によって、複数の環境から利用されている場合はかなり利便性が向上するのではないでしょうか。但しVPCとサービスネットワークでのプライベートDNS設定変更には再作成が必要になりますので、設定変更の際は通信できなくなる時間が発生してしまいそうです。この辺りもアップデートで設定変更できるように改善されることを期待したいと思います!
以上、クラウド事業本部の木村がお届けしました。
