Amazon Route 53 とは
AWSで提供しているDNSサービスです。
購入したドメインを登録することで、世界中にドメインとIPアドレスを公開し、購入したドメインでサービスを展開できるようになります。
Amazon Route 53 とは? - Amazon Route 53
学習成果
だいたいは以下資料のまとめです。
一般的には、グローバルなDNSサービスを思い浮かべると思いますが、ローカルなDNSサービスも担っており、説明資料としては2種類を分けています。
DNSサーバーの4つの機能
- フォワーダー、フルサービスリゾルバー、ネームサーバーが同居して、1つのDNSサーバーを構成する
- 著名なDNSサーバー実証のいくつかは、これら複数の機能を有していることが多い
ネームサーバー
- ルートを起点にして全てのFQDNを探索できるように構成された分散データベース
- 権威DNSサーバー/Authoritative Serverとも
フルサービスリゾルバー
- ルートから順にネームサーバーに問合せた回答を、問い合わせもとに返す実装
- 経路
- E.g.)
- ユーザー: request www.example.com To フルサービスリゾルバー
- フルサービスリゾルバー: request www.example.com To ルートネームサーバー
- ルートネームサーバー: response .comネームサーバー To フルサービスリゾルバー
- フルサービスリゾルバー: request www.example.com To .comネームサーバー
- ルートネームサーバー: response .example.comネームサーバー To フルサービスリゾルバー
- フルサービスリゾルバー: request www.example.com To .example.comネームサーバー
- ルートネームサーバー: response 192.0.2.3 To フルサービスリゾルバー
- フルサービスリゾルバー: response 192.0.2.3 To User
- 上記の例のうち、ユーザー・フルサービスリゾルバー間の通信を再帰的問合せと呼ぶ
- 上記の例のうち、フルサービスリゾルバー・各ネームサーバー間の通信を反復問合せと呼ぶ
- 効率化のため所定の期間 (TTL) キャッシュを保持する
スタブリゾルバー
- DNSクライアント実装
- 常に再帰的問合せ
- 複数のDNSサーバーに対し、ドメインごとに振分けたり、同時に利用したりする機能は無い
- サーバーを複数指定するのは障害時のフォールバックのため
フォワーダー
- 受取った問合せを、ルールに基づいて中継する実装
- 常に再帰的問合せ
- 効率化のため所定の期間 (TTL) キャッシュを保持する
ドメイン名とは
ドメイン名の基本
- レジストラント(登録者): ドメイン名を登録し、使用するユーザー
- レジストラ(登録取次事業者): レジストリと契約し、ドメイン名登録の窓口となる事業者
- レジストリ(登録管理機関): TLDネームサーバーとWHOISデータベースの管理主体
- TLD: トップレベルドメイン
- WHOIS: ドメイン名の情報を参照可能なデータベース
- 全体像
- レジストラントがレジストラを操作して登録する
- レジストラがレジストリのWHOISに登録データを連携する
- レジストリがWHOISとTLDを同期する
ドメイン名管理者が認識しておきたいトラブル
- 事例
- ドメイン名ハイジャック
- 登録情報の書換え、ネームサーバーの侵害などによる乗取り
- スラミング
- ドロップキャッチング
- 対応策
- レジストラ/レジストリからの連絡を見逃さない
- レジストリロック/レジストラロックの活用
- 多要素認証などによるコントロールパネルの認証強化
- ドメイン名を手放す際の影響の考慮
AWSが提供するDNSサービスと機能
Amazon Route 53 (Hosted Zone)
- ネームサーバーをマネージドで提供するサービス
- エイリアスレコード
- CNAMEレコードを返すのではなく、CNAMEレコードが最終的に保持するAレコードのIPアドレスをAレコードとして直接返答するRoute 53固有の機能
- トラフィックルーティング
- クライアントからのトラフィックをより適したリソースにルーティングする
- クエリに応答する方法を決定するルーティングポリシーを選択できる
- シンプル
- 加重
- フェイルオーバー
- 複数値回答
- レイテンシー
- 複数リージョンのうち最も低いリージョンのリソースを応答する
- 位置情報
- クライアントの位置情報に基づいて応答先を変える
- 適切な言語に合わせたコンテンツの提供が可能
- ライセンス許可した市場にのみの提供制限が可能
- 物理的近接性
- ユーザーとリソースの地理的場所に基づいて応答先を変える
- トラフィックフローを利用してトラフィックルーティングを設定する必要がある
- 特定のVPCからの問合せと、それ以外からの問合せを識別し、異なる応答を返すことができる
- Amazon Route 53 Private Hosted Zone: VPCに閉じたプライベートネットワーク内のDNSドメインのレコードを管理するコンテナ
- from Instance via Route 53 Resolver in VPC
- Amazon Route 53 Public Hosted Zone: インターネット上に公開されたDNSドメインのレコードを管理するコンテナ
Amazon Route 53 Resolver
- VPCに標準で備わるDNSサーバー(フォワーダー + フルサービスリゾルバー)
- フォワーダーにはリゾルバールール(転送ルールのテーブル)がある
- 通信経路 via VPC
Inbound/Outbound Endpoint on EC2 in VPC <-> フォワーダー on Route 53 Resolver in VPC
- Private:
フォワーダー <-> EC2 in other VPC
- Public:
フォワーダー <-> フルサービスリゾルバー on Route 53 Resolver in VPC <-> the Internet
- オンプレミス -> 他VPCのEC2インスタンス: xxx.ec2.internal
オンプレミス -> Inbound -> フォワーダー -> EC2 in other VPC
- オンプレミス -> インターネット: www.example.com
オンプレミス -> Inbound -> フォワーダー -> フルサービスリゾルバー -> the Internet
- VPC -> オンプレミス: x.on-prem.internal
EC2 -> フォワーダー -> Outbound -> オンプレミス
Amazon Route 53 Resolver for Hybrid Clouds
- ハイブリッド環境での名前解決を一元化するRoute 53 Resolverの拡張機能
- オンプレミス VPC
- オンプレミス -> インターネット
- オンプレミス インターネット(同じドメイン)