マルチアカウント×ハイブリッドクラウド構成におけるRoute53

Transcript

1. © 2025 NTT DATA Corporation © 2025 NTT DATA Corporation

   マルチアカウント×ハイブリッドクラウド構成における Route53 2025年2月21日 NTT DATA 坂本 英駿

2. © 2025 NTT DATA Corporation 2 自己紹介 名前 坂本 英駿（さかもと

   ひでとし） 所属 株式会社NTTデータ 経歴 2018年入社 好きなAWSサービス Amazon VPC、AWS Transit Gateway、Amazon Route 53 趣味 野球 （見る方もプレーするほうも）、お酒（ ）

3. © 2025 NTT DATA Corporation 3 1.はじめに ハイブリッドクラウド×マルチアカウント構成で活用できる、Route53の機能や設計パターンを紹介します。 時間制限があるので、細かいTipsや詳しい構築手順は↓の記事をご参照ください。 マルチアカウント×ハイブリッドクラウド構成におけるRoute53

4. © 2025 NTT DATA Corporation 4 2.前提となる構成 AWSおよびオンプレミスに複数のシステムを搭載する共通基盤構成を前提とします。 Aシステム NWアカウント

   オンプレミス DXロケーション コンテンツ・ キャッシュサーバ onp.homeドメイン aws.homeドメイン VPC VPC Endpoints AWS Transit Gateway AWS Direct Connect Gateway Bシステム VPC Cシステム VPC Resolver Resolver Resolver Hosted zone

5. © 2025 NTT DATA Corporation 5 3.ハイブリッドクラウド構成におけるRoute53 | AWS→オンプレ AWS→オンプレミスのトラフィックはOutbound

   Endpointとリゾルバールールを活用します。 NWアカウント オンプレミス DXロケーション コンテンツ・ キャッシュサーバ （x.x.x.x） onp.homeドメイン VPC Inbound Endpoint AWS Transit Gateway AWS Direct Connect Gateway Hosted zone Outbound Endpoint Resolver EC2 ①Route53 Resolverへ リゾルバールール エンドポイント ターゲットIP タイプ ゾーン Outbound Endpoint x.x.x.x 転送 onp.home www.onp.homeの 名前解決要求 ②リゾルバールールに基づき、 Outbound Endpointへ転送 ③リゾルバールールに基づき、 onp.homeのコンテンツ・キャッ シュサーバのIP（x.x.x.x）へ 転送 値 タイプ レコード名 x.x.x.y A www.onp.home

6. © 2025 NTT DATA Corporation 6 3.ハイブリッドクラウド構成におけるRoute53 | オンプレ→AWS オンプレミス→AWSのトラフィックはInbound

   EndpointとPrivate Hosted Zoneを活用します。 NWアカウント オンプレミス DXロケーション コンテンツ・ キャッシュサーバ （x.x.x.x） onp.homeドメイン VPC Inbound Endpoint （z.z.z.z） AWS Transit Gateway AWS Direct Connect Gateway Hosted zone Outbound Endpoint Resolver EC2 ①オンプレミスの キャッシュサーバ に名前解決要求 www.onp.homeへ のリクエスト ③Inbound Endpointの 配置されているVPCの Route53 Resolverへ転送 Client /etc/unbound/unbound.conf forward-zone: name: "aws.home" forward-addr: z.z.z.z 値 タイプ レコード名 z.z.z.y A www.aws.home ②キャッシュサーバの フォワード設定によって、 Inbound Endpoint へ転送 ④Route53 ResolverがVPC に関連づいているPrivate Hosted Zoneへ転送 www.aws.homeの 名前解決要求

7. © 2025 NTT DATA Corporation 7 4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 ①また、レコードの管理も各システムごとに用意するのではなく、一元管理することでシンプルに管理します。 ②コスト削減のためにaws.homeドメインの各種Endpointは1か所に集約します。 Aシステム

   NWアカウント オンプレミス DXロケーション コンテンツ・ キャッシュサーバ onp.homeドメイン aws.homeドメイン VPC VPC Endpoints AWS Transit Gateway AWS Direct Connect Gateway Bシステム VPC Cシステム VPC Resolver Resolver Resolver Hosted zone ①AWS上のドメインは共通（aws.home）のた め、1つのPHZにまとめる PHZを各アカウントのVPCに割り当てることで システム間の名前解決を実現する ②Inbound/Outbound EndpointはENIの設置コストが かかるため、各アカウントに用意しない 参考 4 ENI x 0.125 USD x 730 時間 (1 か月) = 365.00 USD（約5、6万）

8. © 2025 NTT DATA Corporation 8 4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | PHZの共用 Private

   Hosted Zoneは複数のVPCに割り当てることができます。 レコードのメンテナンスは1か所で行い、Private Hosted Zoneの割り当てによってマルチアカウントに展開します。 NWアカウント VPC Inbound Endpoint （z.z.z.z） AWS Transit Gateway AWS Direct Connect Gateway Hosted zone Outbound Endpoint Resolver EC2 Aシステム VPC Bシステム VPC Cシステム VPC Resolver Resolver Resolver オンプレミス DXロケーション コンテン・ キャッシュサーバ 値 タイプ レコード名 z.z.z.y A www.aws.home a.a.a.a A asys.aws.home b.b.b.b A bsys.aws.home c.c.c.c A csys.aws.home 各アカウントのDNSレコードを NWアカウントにあるPHZに登録します PHZを各アカウントのVPCに関連付けます

9. © 2025 NTT DATA Corporation 9 4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | PHZの共用 Private

   Hosted Zoneをマルチアカウントで共有する流れは以下の通りです。 ①Private Hosted Zoneを共有する aws route53 create-vpc-association-authorization コマンドを実 行することで、共有先に対してPrivate Hosted Zoneを共有します。 ②Private Hosted Zoneの共有を承諾する aws route53 associate-vpc-with-hosted-zone コマンドを実行する ことで、共有されたPrivate Hosted Zoneを承諾します。 ③関連付いているPrivate Hosted Zoneを確認する aws route53 list-hosted-zones-by-vpc コマンドを実行することで、 共有先アカウントVPCに想定通り関連付いていることを確認します。 ④Private Hosted Zoneの共有を削除する aws route53 delete-vpc-association-authorization コマンドを実 行することで、①で作成したPrivate Hosted Zoneの共有を削除しま す。 共有元アカウント 共有先アカウント Route 53 プライベートホストゾーンを別の AWS アカウントの VPC に関連付けるにはどうすればよいですか?

10. © 2025 NTT DATA Corporation 10 4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | Endpointの集約 Outbound

    Endpointの集約は各システムからonp.homeドメインを名前解決するために、 リゾルバールールを各VPCに割り当てる必要があります。 こちらはRAMで共有しすることができます。 NWアカウント VPC Inbound Endpoint （z.z.z.z） AWS Transit Gateway AWS Direct Connect Gateway Hosted zone Outbound Endpoint Resolver EC2 Aシステム VPC Bシステム VPC Cシステム VPC Resolver Resolver Resolver オンプレミス DXロケーション コンテンツ・ キャッシュサーバ リゾルバールール エンドポイント ターゲットIP タイプ ゾーン Outbound Endpoint x.x.x.x 転送 onp.home

11. © 2025 NTT DATA Corporation 11 4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | VPCEの集約 VPCEの集約でもRoute53を活用する必要があります。

    まずはVPCEのトラフィックについておさらいします。 トラフィックフローから理解するAWS/AzureのPrivateLink

12. © 2025 NTT DATA Corporation 12 4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | VPCEの集約 VPCEを利用する際はVPCE用のPrivate

    Hosted Zoneを利用します。 集約するにはPrivate Hosted Zoneを共有し、NWの到達性を担保することが必要です。 トラフィックフローから理解するAWS/AzureのPrivateLink

13. © 2025 NTT DATA Corporation 13 これ…アカウントが増えていったら、 Private Hosted Zoneとリゾルバールールを

    いちいち共有しないといけなくて面倒では…?

14. © 2025 NTT DATA Corporation 14 そんなあなたにAmazon Route 53 Profiles

    Route 53 ProfilesはRoute53関連の設定を1つのプロファイルとして集約します。 そのプロファイルを複数のアカウント、VPCに共有することができる機能です。 クロスアカウント共有はRAMで行うため、Organizationsと組み合わせるとOU単位で共有することもできます。 Route53 Profile プライベートホストゾーンとそのゾーンで指定された設定 Route 53 Resolver のルール (転送とシステムの両方) DNS ファイアウォールルールグループ Amazon Route 53 プロファイルとは何ですか? Organizational unit Organizational unit AWS Organizations AWS Resource Access Manager 作成したプロファイルをRAMを利用し、 Organization/OU/AWSアカウント等 好きな単位で共有可能

15. © 2025 NTT DATA Corporation 15 5.まとめ ハイブリッドクラウド×マルチアカウントのRoute53についてご説明しました。 要点は以下の通りです。 •

    AWS→外部のコンテンツサーバ:リゾルバールールとOutbound Endpointを活用する • 外部のキャッシュサーバ→AWS:Private Hosted ZoneとInbound Endpointを活用する • Route53 Profilesを活用すると簡単にRoute53リソース群を共有できる
16. None