オンプレDNSでAWSサービスの名前解決にハマった話

Transcript

1. © JSOL CORPORATION 0 プレゼンテーションタイトル © JSOL CORPORATION オンプレDNSでAWSサービスの名前解決にハマった話 河本

   瞬 豊洲会 ＃LT大会 2025年 3月 6日

2. © JSOL CORPORATION 1 © JSOL CORPORATION 1 自己紹介

3. © JSOL CORPORATION 2 自己紹介 河本 瞬（かわもと しゅん） プラットフォーム事業本部 プラットフォームビジネス第一部

   第１課 SAP basis・インフラ領域を担当 社会人歴：１年目 好きなAWSのサービス：Amazon Route 53 趣味：筋トレ、カメラ

4. © JSOL CORPORATION 3 今日話したいこと AWS環境からオンプレDNSを参照して VPCエンドポイントを名前解決する方法

5. © JSOL CORPORATION 4 © JSOL CORPORATION 4 前提：オンプレとAWSの接続構成

6. © JSOL CORPORATION 5 AWS Cloud オンプレ拠点 AWS Cloud VPC

   VPC Hosted zone Resolver Transit Gateway Direct Connect Internet オンプレDNS EC2 Instance AWS Systems Manager VPC Endpoint 構成図 アカウントA アカウントB 前提：オンプレとAWSの接続構成

7. © JSOL CORPORATION 6 AWS Cloud 前提：オンプレとAWSの接続構成 オンプレ拠点 AWS Cloud

   VPC VPC Resolver Transit Gateway Direct Connect Internet オンプレDNS EC2 Instance AWS Systems Manager VPC Endpoint 構成図 アカウントA アカウントB ①オンプレミス環境とAWS環境を Transit Gatewayで接続 Hosted zone

8. © JSOL CORPORATION 7 AWS Cloud オンプレ拠点 AWS Cloud VPC

   VPC Resolver Transit Gateway Direct Connect Internet オンプレDNS EC2 Instance AWS Systems Manager VPC Endpoint ②オンプレDNSを優先DNSと して利用 構成図 アカウントA アカウントB 前提：オンプレとAWSの接続構成 ①オンプレミス環境とAWS環境を Transit Gatewayで接続 Hosted zone

9. © JSOL CORPORATION 8 © JSOL CORPORATION 8 実現したいこと

10. © JSOL CORPORATION 9 実現したいこと AWS Cloud オンプレ拠点 AWS Cloud

    VPC VPC Hosted zone Resolver Direct Connect オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint SSMにアクセス アカウントBのEC2からアカウントAのVPC Endpointを経由してSSMにアクセスする アカウントA アカウントB

11. © JSOL CORPORATION 10 AWS Cloud 実現したいこと オンプレ拠点 AWS Cloud

    VPC VPC Resolver Direct Connect オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint SSMにアクセス アカウントA アカウントB 通信が途中でブロックされてしまい、 アクセスできない アカウントBのEC2からアカウントAのVPC Endpointを経由してSSMにアクセスする Hosted zone

12. © JSOL CORPORATION 11 © JSOL CORPORATION 11 名前解決の問題

13. © JSOL CORPORATION 12 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Hosted zone Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint 名前解決の問題 AWSサービスの名前解決フロー（失敗例）

14. © JSOL CORPORATION 13 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint ①名前解決リクエスト ～.amazonaws.com 名前解決の問題 AWSサービスの名前解決フロー（失敗例） Hosted zone

15. © JSOL CORPORATION 14 AWS Cloud 名前解決の問題 オンプレ拠点 AWS Cloud

    VPC VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ②名前解決 VPC Endpoint ①名前解決リクエスト ～.amazonaws.com AWSサービスの名前解決フロー（失敗例） Hosted zone

16. © JSOL CORPORATION 15 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ②名前解決 VPC Endpoint インターネットのDNSサーバに問い合わせ ①名前解決リクエスト ～.amazonaws.com 名前解決の問題 AWSサービスの名前解決フロー（失敗例） Hosted zone

17. © JSOL CORPORATION 16 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver Direct Connect オンプレDNS EC2 Instance AWS Systems Manager Internet ②名前解決 ③グローバルIPを返す VPC Endpoint インターネットのDNSサーバに問い合わせ ①名前解決リクエスト ～.amazonaws.com 名前解決の問題 AWSサービスの名前解決フロー（失敗例） Hosted zone

18. © JSOL CORPORATION 17 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver Direct Connect オンプレDNS EC2 Instance AWS Systems Manager Internet ②名前解決 ③グローバルIPを返す VPC Endpoint インターネットのDNSサーバに問い合わせ ①名前解決リクエスト ～.amazonaws.com ④グローバルIP取得！ 名前解決の問題 AWSサービスの名前解決フロー（失敗例） Hosted zone

19. © JSOL CORPORATION 18 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Hosted zone Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet VPC Endpoint 名前解決の問題 AWSサービスへのアクセスフロー（失敗例） グローバルIP取得

20. © JSOL CORPORATION 19 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager ①SSMにアクセスを試みる 例）52.216.45.67 Internet VPC Endpoint 名前解決の問題 AWSサービスへのアクセスフロー（失敗例） グローバルIP取得 Hosted zone

21. © JSOL CORPORATION 20 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager ①SSMにアクセスを試みる 例）52.216.45.67 Internet ②FWでブロック される VPC Endpoint 名前解決の問題 AWSサービスへのアクセスフロー（失敗例） グローバルIP取得 Hosted zone

22. © JSOL CORPORATION 21 AWS Cloud オンプレ拠点 AWS Cloud VPC

    VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager ①SSMにアクセスを試みる 例）52.216.45.67 Internet ②FWでブロック される VPC Endpoint 名前解決の問題 AWSサービスへのアクセスフロー（失敗例） グローバルIP取得 オンプレDNSがAWSサービスの名前解決を行う際に グローバルIPを返し、FWで通信がブロックされる Hosted zone

23. © JSOL CORPORATION 22 © JSOL CORPORATION 22 解決策

24. © JSOL CORPORATION 23 解決策 AWS Cloud オンプレ拠点 AWS Cloud

    VPC VPC Hosted zone Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet オンプレDNSがAWS内部のVPCエンドポイントのプライベートIPを正しく解決できるようにする

25. © JSOL CORPORATION 24 AWS Cloud 解決策 オンプレ拠点 AWS Cloud

    VPC VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ①Route53 Resolver インバウンド エンドポイント設置 オンプレDNSがAWS内部のVPCエンドポイントのプライベートIPを正しく解決できるようにする Hosted zone

26. © JSOL CORPORATION 25 AWS Cloud 解決策 オンプレ拠点 AWS Cloud

    VPC VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ①Route53 Resolver インバウンド エンドポイント設置 ②*.amazonaws.comに対す るRoute 53へのフォワーディン グ設定 オンプレDNSがAWS内部のVPCエンドポイントのプライベートIPを正しく解決できるようにする Hosted zone

27. © JSOL CORPORATION 26 AWS Cloud 解決策 オンプレ拠点 AWS Cloud

    VPC VPC Resolver オンプレDNS EC2 Instance AWS Systems Manager Internet ①Route53 Resolver インバウンド エンドポイント設置 ②*.amazonaws.comに対す るRoute 53へのフォワーディン グ設定 ③TCP/UDP 53番ポートの許可設定 オンプレDNSがAWS内部のVPCエンドポイントのプライベートIPを正しく解決できるようにする Hosted zone

28. © JSOL CORPORATION 27 © JSOL CORPORATION 27 Route53 Resolver

    インバウンドエンド ポイントとDNSフォワーディング

29. © JSOL CORPORATION 28 Route53 Resolver インバウンドエンドポイント AWS VPCの外部(ダイレクトコネクトやVPNで接続されているオンプレミスやGCPなど)から、 VPC内のRoute

    53 Resolverを使用して、VPC内の名前解決を可能にするためのエンドポイント 出典：「イラストで理解するRoute53の名前解決」. https://zenn.dev/fdnsy/articles/1b4933f719f98f

30. © JSOL CORPORATION 29 DNSフォワーディング DNSクエリを他のDNSサーバーに転送して名前解決を行う仕組みのこと

31. © JSOL CORPORATION 30 DNSフォワーディング DNSクエリを他のDNSサーバーに転送して名前解決を行う仕組みのこと 条件付きフォワーディングを設定

32. © JSOL CORPORATION 31 DNSフォワーディング DNSクエリを他のDNSサーバーに転送して名前解決を行う仕組みのこと 条件付きフォワーディングを設定 DNSクエリは通常、UDP 53番ポート（場合によりTCPも使用）で送信 フォワーディング時はFWやセキュリティグループで許可設定が必要

33. © JSOL CORPORATION 32 © JSOL CORPORATION 32 改善後の名前解決フロー

34. © JSOL CORPORATION 33 改善後の名前解決フロー AWS Cloud オンプレ拠点 AWS Cloud

    VPC VPC Hosted zone Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager

35. © JSOL CORPORATION 34 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager ①名前解決リクエスト ～.amazonaws.com Hosted zone

36. © JSOL CORPORATION 35 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager ①名前解決リクエスト ～.amazonaws.com ②Route 53 へフォワー ディング Hosted zone

37. © JSOL CORPORATION 36 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager Internet ドメイン名 宛先IP ～.amazonaws.com 10.0.152.16 Hosted zone

38. © JSOL CORPORATION 37 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager Internet ドメイン名 宛先IP ～.amazonaws.com 10.0.152.16 ③プライベートIPを返す Route53→オンプレDNS Hosted zone

39. © JSOL CORPORATION 38 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager Internet ドメイン名 宛先IP ～.amazonaws.com 10.0.152.16 ③プライベートIPを返す Route53→オンプレDNS ④プライベートIPを返す オンプレDNS→EC2 Hosted zone

40. © JSOL CORPORATION 39 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager Internet ドメイン名 宛先IP ～.amazonaws.com 10.0.152.16 ③プライベートIPを返す Route53→オンプレDNS プライベートIP取得！！ ④プライベートIPを返す オンプレDNS→EC2 Hosted zone

41. © JSOL CORPORATION 40 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager プライベートIP取得！！ Hosted zone

42. © JSOL CORPORATION 41 AWS Cloud 改善後の名前解決フロー オンプレ拠点 AWS Cloud

    VPC VPC Resolver Internet オンプレDNS EC2 Instance AWS Systems Manager プライベートIP取得！！ SSMにアクセス！ Hosted zone

43. © JSOL CORPORATION 42 © JSOL CORPORATION 42 まとめ

44. © JSOL CORPORATION 43 ✓ オンプレDNSがAWSサービスのドメインを解決すると、デフォルトで グローバルIPが返る ✓ AWSサービスのプライベートIPを解決するには、Route 53

    Resolver インバウンドエンドポイントを利用 ✓ オンプレDNSにフォワーディングルールを設定し、 *.amazonaws.com をRoute 53 Resolverへ転送 まとめ

45. © JSOL CORPORATION 44 オンプレとAWSのハイブリッド環境では、DNS の仕組みを理解することが重要！