Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

オンプレDNSでAWSサービスの名前解決にハマった話

Avatar for Shun Kawamoto Shun Kawamoto
March 14, 2025
0
39

 オンプレDNSでAWSサービスの名前解決にハマった話

Avatar for Shun Kawamoto

Shun Kawamoto

March 14, 2025
Tweet

More Decks by Shun Kawamoto

See All by Shun Kawamoto
IAMロール再作成時の罠とインスタンスプロファイルの仕組み
Avatar for Shun Kawamoto kwmoon911
0
27
CloudFormationを用いた簡単なAWSネットワーク構築.pdf
Avatar for Shun Kawamoto kwmoon911
0
22

Featured

See All Featured
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.7k
[SF Ruby Conf 2025] Rails X
Avatar for Vladimir Dementyev palkan
0
540
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
9.8k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
7.9k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.1k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.3k
Done Done
Avatar for chrislema chrislema
186
16k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8.3k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.2k

Transcript

  1. © JSOL CORPORATION 0 プレゼンテーションタイトル © JSOL CORPORATION オンプレDNSでAWSサービスの名前解決にハマった話 河本

    瞬 豊洲会 #LT大会 2025年 3月 6日

  2. © JSOL CORPORATION 1 © JSOL CORPORATION 1 自己紹介

  3. © JSOL CORPORATION 2 自己紹介 河本 瞬(かわもと しゅん) プラットフォーム事業本部 プラットフォームビジネス第一部

    第1課 SAP basis・インフラ領域を担当 社会人歴:1年目 好きなAWSのサービス:Amazon Route 53 趣味:筋トレ、カメラ

  4. © JSOL CORPORATION 3 今日話したいこと AWS環境からオンプレDNSを参照して VPCエンドポイントを名前解決する方法

  5. © JSOL CORPORATION 4 © JSOL CORPORATION 4 前提:オンプレとAWSの接続構成

  6. © JSOL CORPORATION 5 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Hosted zone Resolver Transit Gateway Direct Connect Internet オンプレDNS EC2 Instance AWS Systems Manager VPC Endpoint 構成図 アカウントA アカウントB 前提:オンプレとAWSの接続構成

  7. © JSOL CORPORATION 6 AWS Cloud 前提:オンプレとAWSの接続構成 オンプレ拠点 AWS Cloud

    VPC VPC Resolver Transit Gateway Direct Connect Internet オンプレDNS EC2 Instance AWS Systems Manager VPC Endpoint 構成図 アカウントA アカウントB ①オンプレミス環境とAWS環境を Transit Gatewayで接続 Hosted zone

  8. © JSOL CORPORATION 7 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver Transit Gateway Direct Connect Internet オンプレDNS EC2 Instance AWS Systems Manager VPC Endpoint ②オンプレDNSを優先DNSと して利用 構成図 アカウントA アカウントB 前提:オンプレとAWSの接続構成 ①オンプレミス環境とAWS環境を Transit Gatewayで接続 Hosted zone

  9. © JSOL CORPORATION 8 © JSOL CORPORATION 8 実現したいこと

  10. © JSOL CORPORATION 9 実現したいこと AWS Cloud オンプレ拠点 AWS Cloud

    VPC VPC Hosted zone Resolver Direct Connect オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint SSMにアクセス アカウントBのEC2からアカウントAのVPC Endpointを経由してSSMにアクセスする アカウントA アカウントB

  11. © JSOL CORPORATION 10 AWS Cloud 実現したいこと オンプレ拠点 AWS Cloud

    VPC VPC Resolver Direct Connect オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint SSMにアクセス アカウントA アカウントB 通信が途中でブロックされてしまい、 アクセスできない アカウントBのEC2からアカウントAのVPC Endpointを経由してSSMにアクセスする Hosted zone

  12. © JSOL CORPORATION 11 © JSOL CORPORATION 11 名前解決の問題

  13. © JSOL CORPORATION 12 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Hosted zone Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint 名前解決の問題 AWSサービスの名前解決フロー(失敗例)

  14. © JSOL CORPORATION 13 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint ①名前解決リクエスト ~.amazonaws.com 名前解決の問題 AWSサービスの名前解決フロー(失敗例) Hosted zone

  15. © JSOL CORPORATION 14 AWS Cloud 名前解決の問題 オンプレ拠点 AWS Cloud

    VPC VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ②名前解決 VPC Endpoint ①名前解決リクエスト ~.amazonaws.com AWSサービスの名前解決フロー(失敗例) Hosted zone

  16. © JSOL CORPORATION 15 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ②名前解決 VPC Endpoint インターネットのDNSサーバに問い合わせ ①名前解決リクエスト ~.amazonaws.com 名前解決の問題 AWSサービスの名前解決フロー(失敗例) Hosted zone

  17. © JSOL CORPORATION 16 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver Direct Connect オンプレDNS EC2 Instance AWS Systems Manager Internet ②名前解決 ③グローバルIPを返す VPC Endpoint インターネットのDNSサーバに問い合わせ ①名前解決リクエスト ~.amazonaws.com 名前解決の問題 AWSサービスの名前解決フロー(失敗例) Hosted zone

  18. © JSOL CORPORATION 17 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver Direct Connect オンプレDNS EC2 Instance AWS Systems Manager Internet ②名前解決 ③グローバルIPを返す VPC Endpoint インターネットのDNSサーバに問い合わせ ①名前解決リクエスト ~.amazonaws.com ④グローバルIP取得! 名前解決の問題 AWSサービスの名前解決フロー(失敗例) Hosted zone

  19. © JSOL CORPORATION 18 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Hosted zone Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint 名前解決の問題 AWSサービスへのアクセスフロー(失敗例) グローバルIP取得

  20. © JSOL CORPORATION 19 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager ①SSMにアクセスを試みる 例)52.216.45.67 Internet VPC Endpoint 名前解決の問題 AWSサービスへのアクセスフロー(失敗例) グローバルIP取得 Hosted zone

  21. © JSOL CORPORATION 20 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager ①SSMにアクセスを試みる 例)52.216.45.67 Internet ②FWでブロック される VPC Endpoint 名前解決の問題 AWSサービスへのアクセスフロー(失敗例) グローバルIP取得 Hosted zone

  22. © JSOL CORPORATION 21 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager ①SSMにアクセスを試みる 例)52.216.45.67 Internet ②FWでブロック される VPC Endpoint 名前解決の問題 AWSサービスへのアクセスフロー(失敗例) グローバルIP取得 オンプレDNSがAWSサービスの名前解決を行う際に グローバルIPを返し、FWで通信がブロックされる Hosted zone

  23. © JSOL CORPORATION 22 © JSOL CORPORATION 22 解決策

  24. © JSOL CORPORATION 23 解決策 AWS Cloud オンプレ拠点 AWS Cloud

    VPC VPC Hosted zone Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet オンプレDNSがAWS内部のVPCエンドポイントのプライベートIPを正しく解決できるようにする

  25. © JSOL CORPORATION 24 AWS Cloud 解決策 オンプレ拠点 AWS Cloud

    VPC VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ①Route53 Resolver インバウンド エンドポイント設置 オンプレDNSがAWS内部のVPCエンドポイントのプライベートIPを正しく解決できるようにする Hosted zone

  26. © JSOL CORPORATION 25 AWS Cloud 解決策 オンプレ拠点 AWS Cloud

    VPC VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ①Route53 Resolver インバウンド エンドポイント設置 ②*.amazonaws.comに対す るRoute 53へのフォワーディン グ設定 オンプレDNSがAWS内部のVPCエンドポイントのプライベートIPを正しく解決できるようにする Hosted zone

  27. © JSOL CORPORATION 26 AWS Cloud 解決策 オンプレ拠点 AWS Cloud

    VPC VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ①Route53 Resolver インバウンド エンドポイント設置 ②*.amazonaws.comに対す るRoute 53へのフォワーディン グ設定 ③TCP/UDP 53番ポートの許可設定 オンプレDNSがAWS内部のVPCエンドポイントのプライベートIPを正しく解決できるようにする Hosted zone

  28. © JSOL CORPORATION 27 © JSOL CORPORATION 27 Route53 Resolver

    インバウンドエンド ポイントとDNSフォワーディング

  29. © JSOL CORPORATION 28 Route53 Resolver インバウンドエンドポイント AWS VPCの外部(ダイレクトコネクトやVPNで接続されているオンプレミスやGCPなど)から、 VPC内のRoute

    53 Resolverを使用して、VPC内の名前解決を可能にするためのエンドポイント 出典:「イラストで理解するRoute53の名前解決」. https://zenn.dev/fdnsy/articles/1b4933f719f98f

  30. © JSOL CORPORATION 29 DNSフォワーディング DNSクエリを他のDNSサーバーに転送して名前解決を行う仕組みのこと

  31. © JSOL CORPORATION 30 DNSフォワーディング DNSクエリを他のDNSサーバーに転送して名前解決を行う仕組みのこと 条件付きフォワーディングを設定

  32. © JSOL CORPORATION 31 DNSフォワーディング DNSクエリを他のDNSサーバーに転送して名前解決を行う仕組みのこと 条件付きフォワーディングを設定 DNSクエリは通常、UDP 53番ポート(場合によりTCPも使用)で送信 フォワーディング時はFWやセキュリティグループで許可設定が必要

  33. © JSOL CORPORATION 32 © JSOL CORPORATION 32 改善後の名前解決フロー

  34. © JSOL CORPORATION 33 改善後の名前解決フロー AWS Cloud オンプレ拠点 AWS Cloud

    VPC VPC Hosted zone Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager

  35. © JSOL CORPORATION 34 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager ①名前解決リクエスト ~.amazonaws.com Hosted zone

  36. © JSOL CORPORATION 35 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager ①名前解決リクエスト ~.amazonaws.com ②Route 53 へフォワー ディング Hosted zone

  37. © JSOL CORPORATION 36 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager Internet ドメイン名 宛先IP ~.amazonaws.com 10.0.152.16 Hosted zone

  38. © JSOL CORPORATION 37 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager Internet ドメイン名 宛先IP ~.amazonaws.com 10.0.152.16 ③プライベートIPを返す Route53→オンプレDNS Hosted zone

  39. © JSOL CORPORATION 38 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager Internet ドメイン名 宛先IP ~.amazonaws.com 10.0.152.16 ③プライベートIPを返す Route53→オンプレDNS ④プライベートIPを返す オンプレDNS→EC2 Hosted zone

  40. © JSOL CORPORATION 39 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager Internet ドメイン名 宛先IP ~.amazonaws.com 10.0.152.16 ③プライベートIPを返す Route53→オンプレDNS プライベートIP取得!! ④プライベートIPを返す オンプレDNS→EC2 Hosted zone

  41. © JSOL CORPORATION 40 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager プライベートIP取得!! Hosted zone

  42. © JSOL CORPORATION 41 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager プライベートIP取得!! SSMにアクセス! Hosted zone

  43. © JSOL CORPORATION 42 © JSOL CORPORATION 42 まとめ

  44. © JSOL CORPORATION 43 ✓ オンプレDNSがAWSサービスのドメインを解決すると、デフォルトで グローバルIPが返る ✓ AWSサービスのプライベートIPを解決するには、Route 53

    Resolver インバウンドエンドポイントを利用 ✓ オンプレDNSにフォワーディングルールを設定し、 *.amazonaws.com をRoute 53 Resolverへ転送 まとめ

  45. © JSOL CORPORATION 44 オンプレとAWSのハイブリッド環境では、DNS の仕組みを理解することが重要!