Amazon Route 53 とは

AWSで提供しているDNSサービスです。
購入したドメインを登録することで、世界中にドメインとIPアドレスを公開し、購入したドメインでサービスを展開できるようになります。

Amazon Route 53 とは？ - Amazon Route 53

学習成果

だいたいは以下資料のまとめです。
一般的には、グローバルなDNSサービスを思い浮かべると思いますが、ローカルなDNSサービスも担っており、説明資料としては2種類を分けています。

• 20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver (PDF)
• 20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone (PDF)

DNSサーバーの4つの機能

• フォワーダー、フルサービスリゾルバー、ネームサーバーが同居して、1つのDNSサーバーを構成する
• 著名なDNSサーバー実証のいくつかは、これら複数の機能を有していることが多い

ネームサーバー

• ルートを起点にして全てのFQDNを探索できるように構成された分散データベース
  • また、これを成す各々のネームサーバー
• 権威DNSサーバー／Authoritative Serverとも

フルサービスリゾルバー

• ルートから順にネームサーバーに問合せた回答を、問い合わせもとに返す実装
  • 経路
    • E.g.)
      • ユーザー: request www.example.com To フルサービスリゾルバー
      • フルサービスリゾルバー: request www.example.com To ルートネームサーバー
      • ルートネームサーバー: response .comネームサーバー To フルサービスリゾルバー
      • フルサービスリゾルバー: request www.example.com To .comネームサーバー
      • ルートネームサーバー: response .example.comネームサーバー To フルサービスリゾルバー
      • フルサービスリゾルバー: request www.example.com To .example.comネームサーバー
      • ルートネームサーバー: response 192.0.2.3 To フルサービスリゾルバー
      • フルサービスリゾルバー: response 192.0.2.3 To User
    • 上記の例のうち、ユーザー・フルサービスリゾルバー間の通信を再帰的問合せと呼ぶ
    • 上記の例のうち、フルサービスリゾルバー・各ネームサーバー間の通信を反復問合せと呼ぶ
• 効率化のため所定の期間 (TTL) キャッシュを保持する

スタブリゾルバー

• DNSクライアント実装
  • 基本的にOSに組込まれていることが多い
• 常に再帰的問合せ
  • キャッシュの有無は実装に依存
• 複数のDNSサーバーに対し、ドメインごとに振分けたり、同時に利用したりする機能は無い
  • サーバーを複数指定するのは障害時のフォールバックのため

フォワーダー

• 受取った問合せを、ルールに基づいて中継する実装
• 常に再帰的問合せ
• 効率化のため所定の期間 (TTL) キャッシュを保持する

ドメイン名とは

ドメイン名の基本

• レジストラント（登録者）: ドメイン名を登録し、使用するユーザー
• レジストラ（登録取次事業者）: レジストリと契約し、ドメイン名登録の窓口となる事業者
• レジストリ（登録管理機関）: TLDネームサーバーとWHOISデータベースの管理主体
  • TLD: トップレベルドメイン
  • WHOIS: ドメイン名の情報を参照可能なデータベース
• 全体像
  1. レジストラントがレジストラを操作して登録する
  2. レジストラがレジストリのWHOISに登録データを連携する
  3. レジストリがWHOISとTLDを同期する

ドメイン名管理者が認識しておきたいトラブル

• 事例
  • ドメイン名ハイジャック
    • 登録情報の書換え、ネームサーバーの侵害などによる乗取り
  • スラミング
    • ドメイン名移転スキームの悪用による所有権の乗取り
  • ドロップキャッチング
    • 更新漏れ、あるいは廃止したドメインの横取り
• 対応策
  • レジストラ／レジストリからの連絡を見逃さない
  • レジストリロック／レジストラロックの活用
  • 多要素認証などによるコントロールパネルの認証強化
  • ドメイン名を手放す際の影響の考慮

AWSが提供するDNSサービスと機能

Amazon Route 53 (Hosted Zone)

• ネームサーバーをマネージドで提供するサービス
  • エイリアスレコード
    • CNAMEレコードを返すのではなく、CNAMEレコードが最終的に保持するAレコードのIPアドレスをAレコードとして直接返答するRoute 53固有の機能
  • トラフィックルーティング
    • クライアントからのトラフィックをより適したリソースにルーティングする
    • クエリに応答する方法を決定するルーティングポリシーを選択できる
      • シンプル
        • ランダムに応答する
      • 加重
        • ルーティング割合を設定できる
      • フェイルオーバー
        • ヘルスチェックの結果に基づいて応答先を変える
      • 複数値回答
        • シンプル + フェイルオーバー
      • レイテンシー
        • 複数リージョンのうち最も低いリージョンのリソースを応答する
      • 位置情報
        • クライアントの位置情報に基づいて応答先を変える
          • 適切な言語に合わせたコンテンツの提供が可能
          • ライセンス許可した市場にのみの提供制限が可能
      • 物理的近接性
        • ユーザーとリソースの地理的場所に基づいて応答先を変える
          • トラフィックフローを利用してトラフィックルーティングを設定する必要がある
• 特定のVPCからの問合せと、それ以外からの問合せを識別し、異なる応答を返すことができる
  • Amazon Route 53 Private Hosted Zone: VPCに閉じたプライベートネットワーク内のDNSドメインのレコードを管理するコンテナ
    • from Instance via Route 53 Resolver in VPC
  • Amazon Route 53 Public Hosted Zone: インターネット上に公開されたDNSドメインのレコードを管理するコンテナ
    • from Internet

Amazon Route 53 Resolver

• VPCに標準で備わるDNSサーバー（フォワーダー + フルサービスリゾルバー）
  • フォワーダーにはリゾルバールール（転送ルールのテーブル）がある
  • 通信経路 via VPC
    • Inbound/Outbound Endpoint on EC2 in VPC <-> フォワーダー on Route 53 Resolver in VPC
      • Private: フォワーダー <-> EC2 in other VPC
      • Public: フォワーダー <-> フルサービスリゾルバー on Route 53 Resolver in VPC <-> the Internet
    • オンプレミス -> 他VPCのEC2インスタンス: xxx.ec2.internal
      • オンプレミス -> Inbound -> フォワーダー -> EC2 in other VPC
    • オンプレミス -> インターネット: www.example.com
      • オンプレミス -> Inbound -> フォワーダー -> フルサービスリゾルバー -> the Internet
    • VPC -> オンプレミス: x.on-prem.internal
      • EC2 -> フォワーダー -> Outbound -> オンプレミス

Amazon Route 53 Resolver for Hybrid Clouds

• ハイブリッド環境での名前解決を一元化するRoute 53 Resolverの拡張機能
  • オンプレミス VPC
  • オンプレミス -> インターネット
  • オンプレミス インターネット（同じドメイン）
    • リゾルバールールにサブドメインで通信先を分ける