Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
Search
nagisa_53
September 09, 2025
Technology
11
3.5k
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
東京支部 CommunityBuilders Night #2 / Jr.Championsコラボ
nagisa_53
September 09, 2025
Tweet
Share
More Decks by nagisa_53
See All by nagisa_53
Kiroでインフラ要件定義~テスト を実施してみた
nagisa53
3
560
私とAWSとの関わりの歩み~意志あるところに道は開けるかも?~
nagisa53
1
390
“社内”だけで完結していた私が、AWS Community Builder になるまで
nagisa53
2
590
JAWS-UG への関わりの変遷と得たもの
nagisa53
3
130
AWSを利用する上で知っておきたい名前解決の話
nagisa53
6
1.2k
オンプレからの転向組が語るクラウドの魅力
nagisa53
2
150
2024AWSで個人的にアツかったアップデート
nagisa53
2
470
トレノケ雲の会 mod.13 re:Invent 2024における自身の取り組み姿勢を振り返る
nagisa53
0
130
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて
nagisa53
0
490
Other Decks in Technology
See All in Technology
入門 FormObject / An Introduction to FormObject #kaigionrails
expajp
2
1.4k
組織観点からIAM Identity CenterとIAMの設計を考える
nrinetcom
PRO
1
130
Geospatialの世界最前線を探る [2025年版]
dayjournal
2
430
いま注目しているデータエンジニアリングの論点
ikkimiyazaki
0
530
#普通の文系サラリーマンチャレンジ 自分でアプリ開発と電子工作を続けたら人生が変わった
tatsuya1970
0
740
コンテキストエンジニアリングとは? 考え方と応用方法
findy_eventslides
4
810
pprof vs runtime/trace (FlightRecorder)
task4233
0
140
非エンジニアのあなたもできる&もうやってる!コンテキストエンジニアリング
findy_eventslides
3
840
動画データのポテンシャルを引き出す! Databricks と AI活用への奮闘記(現在進行形)
databricksjapan
0
120
stupid jj tricks
indirect
0
7.4k
バイブコーディングと継続的デプロイメント
nwiizo
2
350
Goに育てられ開発者向けセキュリティ事業を立ち上げた僕が今向き合う、AI × セキュリティの最前線 / Go Conference 2025
flatt_security
0
260
Featured
See All Featured
The Pragmatic Product Professional
lauravandoore
36
6.9k
Thoughts on Productivity
jonyablonski
70
4.8k
Code Reviewing Like a Champion
maltzj
525
40k
Bash Introduction
62gerente
615
210k
Statistics for Hackers
jakevdp
799
220k
How GitHub (no longer) Works
holman
315
140k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
Designing Experiences People Love
moore
142
24k
How to train your dragon (web standard)
notwaldorf
96
6.2k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
51k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Transcript
東京支部 CommunityBuilders Night #2 / Jr.Championsコラボ AWSを利用する上で知っておきたい 名前解決の話(10分版) 五味なぎさ(X:@nagisa_53)
自己紹介 名前:五味 なぎさ 仕事:SIerインフラ部門クラウド提案・実行グループマネージャー 趣味:キックボクシング、スキューバダイビング 好きなAWSサービス:NW系サービス全般(Route53, ALB, etc) AWS Community
Builders (Networking and Content Delivery) AWS Ambassadors(2025-) AWS Japan Top Engineers(2024-) Japan All AWS Certifications Engineers(2022-) JAW-UG クラウド女子会/彩の国埼玉支部運営
今回のテーマ選択の背景 2025/5に彩の国埼玉支部でも同テーマでお話させていただき ましたが、5分枠では中途半端な内容になってしまったため、 今回10分版としてお話させていただくことにしました!
なぜ名前解決の話? 各リソースにAWS側からFQDNが与えられ FQDNを指定することで接続する (IPアドレスを直指定することはほぼない)
= DNSでの名前解決が必要 = AWSを理解するためには重要な話
理解の上で重要と考えるポイント どこで名前解決され何が返されるか どのDNSで名前が解決され、返されるIPアドレスの種類は何 (グローバルIPアドレス 、プライベートIPアドレス、など)か 返されるIPアドレスは往々にして変わる 名前(FQDN)指定で接続するということは、名前解決のタイミングや クライアント環境によって実際に通信に利用されるIPアドレスが変わること は往々にしてある
① パブリックDNSで名前解決可 グローバルIPアドレスが返る (Internet Facing) 例: ② パブリックDNSで名前解決可 プライベートIPアドレスが返る 例:
(Internal) ③ VPC内のみ名前解決可 プライベートIPアドレスが返る 例: どこで名前解決され何が返されるか 大分類すると3パターン。 まずは利用しようとしているサービスがどのパターンかを意識。 カスタムドメイン 登録の場合
どこで名前解決され何が返されるか ①「パブリックDNSで名前解決可、グローバルIPアドレスが返る」 対象例: インターネット経由で接続できるサービスはほぼこれ。 Amazon CloudFront, Amazon API Gateway, Internet-facingのELBなど
対象FQDNに接続できる(名前解決&疎通できる)送信元: インターネット接続が行える環境(経路があり、パブリックDNSの名前解決が 行える環境)であれば接続可能
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 対象例: Amazon Aurora, InternalのELB, など GoogleのDNSキャッシュサーバーを 指定してNLBのFQDNを名前解決 プライベートIPアドレスが返る
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 対象FQDNに接続できる(名前解決&疎通できる)送信元: 対象のコンポーネントとプライベートIPアドレスでの接続性があり、 パブリックDNSの名前解決が行えるDNSキャッシュサーバが利用できる環境 ↓ 対象コンポーネントが配置されているVPCと 同一VPC内 Transit Gateway、VPC
Peering等で接続性のあるVPC 閉域接続のあるオンプレミス環境 など
どこで名前解決され何が返されるか ②「パブリックDNSで名前解決可、プライベートIPアドレスが返る」 注意点: カスタムドメイン名を利用したいケース、TLS接続などで証明書の考慮が必要 なケース、などでは、③のケースのように考慮が必要になるため注意
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 対象FQDNに接続できる(名前解決&疎通できる)送信元: 対象レコードはコンポーネントを作成した(関連付けした)VPCのRoute 53 Resolver経由で名前解決されるため、デフォルトでは作成したコンポーネント と同一のVPC内からのみ名前解決が可能 対象例: Amazon EFS,
Route 53 Private Hosted Zone(カスタムドメイン登録), など
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 該当のVPC内以外から名前解決するには? ↓ (NW経路があることは当然として、) Route 53 Resolver Inbound Endpointを利用するなどの手段が利用可能
どこで名前解決され何が返されるか ➂「VPC内のみ名前解決可、プライベートIPアドレスが返る」 Route 53 Resolver Inbound Endpointを利用した構成例 AWS上の別VPCであれば他にもいくつ か方法がありそうだが(カスタムドメ イン利用であれば関連付けなど)今回
は割愛 カスタムドメイン利用の上クライアント 側のDNSフォワーダー等の設定で特定 ドメイン向けの問い合わせだけを Route53 Resolver Inbound Endpointに 向ける構成も可能
どこで名前解決され何が返されるか ①~③にすんなり当てはまらない例 リンクローカルアドレスが返るパターン 例:VPC Lattice リンクローカルアドレスが返るので基本的には関連付けしたVPC内 からのみ接続可能 オンプレミス等からの接続は別途エンドポイント作成など考慮が必要 Interface型のVPCエンドポイントは設定により名前解決の考え方が変わる ので要注意(詳細は次ページ)
PrivateLinkのエンドポイントサービス利用時の挙動の話は割愛...
ちょっと難しい例:Interface型 VPCエンドポイント プライベートDNS名を有効にしているか否かで挙動が変わる 有効にしている場合 無効時:サービスエンドポイントのIPアドレス(グローバルIPアドレス)が返る 有効時:VPCエンドポイントのIPアドレスが返る *.s3.ap-northeast-1.amazonaws.com のIPアドレスは? 有効/無効 共通的に
(無効の場合はこちらを使う) エンドポイント固有のDNS名を使用する ※指定方法についてはサービスによって異なるので要確認 利用全AZのエンドポイントを含めるDNS名と AZ別のDNS名が提供される 対象のサービス(SQS, S3, 等)が提供するFQDNの名前解決結果として インタフェースVPCエンドポイントのIPアドレスが返る形になる。 ※上記の結果になるのはVPC内(Route53 ResolverをDNSとして利用時)のみ
返されるIPアドレスは往々にして変わる IPアドレスが途中で変更になることが起こり得る TTLを越えてIPアドレスのキャッシュを長く持ってしまうと、途中で接続できなく なることがあるため、TTLを守ることが重要(サービスごとの仕組みによるが、 TTLは60秒など、短いものも多い) NLBなどIPアドレス固定のサービスでも、内部の障害状況によって固定のIPアドレ スの1つが取り除かれるケースは起こり得るのでその点も注意 特にELBにおいての、このあたりの詳しい知りたい方は以下の視聴がおススメ AWS re:Invent
2024 - Optimizing ELB traffic distribution for high availability (NET401) https://youtu.be/EhbFossuQhI?si=NiFseqDHSUYMnASI
返されるIPアドレスは往々にして変わる ALB内のIPアドレス変更前 ALB内のIPアドレス変更後 例としてALBの場合
返されるIPアドレスは往々にして変わる その他クライアント側でのアクセス制御に関する注意事項 固定が保証されるのものを除いてIPアドレスでの宛先制御は行わない → Proxy利用やFQDNを利用できるセキュリティ製品を利用する ただし、FQDNで宛先制御を行えるFirewallの種類によっては、自身が問い合わせた名前 解決結果をキャッシュして接続許可を行うものがあるため、注意が必要 (クライアントが得た名前解決結果と異なり通信できないケースがある)
おわりに 「どこで名前解決され何が返されるか」、 「返されるIPアドレスは往々にして変わる」 という2つの観点から、 AWSを扱う上で重要な名前解決のお話をさせていただきました 10分版にしてみたものの、結局割愛した部分もあるので、 次はどこかで20分版を...。