Route 53 Resolver で逆引き DNS ルールを使用および上書きするにはどうすればよいですか?
Amazon Route 53 Resolver で自動定義された逆引き DNS ルールを使用および上書きする方法を教えてください。
解決方法
Resolver のルールを使用するには:
- 仮想プライベートクラウド (VPC) の DNS 解決と DNS ホスト名の属性を有効にする必要があります。
- その VPC の Amazon が提供する DNS リゾルバーに DNS クエリを送信する必要があります。
「DNSHostname」が有効になると、Resolver は、選択したドメインのクエリをデフォルトで解決する方法を定義する自動定義システムルールを自動的に作成します。自動定義ルールを上書きするには、ドメイン名の転送ルール (Resolver ルール) を作成します。Resolver を使用した逆引き DNS 名の解決方法は、自動定義ルール、Resolver のルール、プライベートホストゾーンの設定によって異なります。
Amazon が提供する DNS リゾルバーは、「最も限定的なドメイン名」のルールを次の優先度順で評価します。
- Resolver のルール – Resolver がターゲット IP アドレスに転送するためのドメイン名に対して手動で設定したルール。
- プライベートホストゾーンのルール – VPC に関連付ける各プライベートホストゾーンに、Resolver がルールを作成して、VPC の DNS リゾルバーに関連付けます。プライベートホストゾーンを複数の VPC に関連付けると、リゾルバーはルールを各 VPC の DNS リゾルバーに関連付けます。
- 逆引き DNS の自動定義ルール – 関連付けられた VPC の「enableDnsHostnames」を「true」に設定すると、リゾルバーは逆引き DNS ルックアップと localhost 関連ドメインの自動定義ルールを作成します。
VPC の CIDR ブロック範囲と、DNS サポートが有効なすべての接続済み VPC にルールが適用されます。CIDR ブロック範囲が与えられれば、リゾルバーは可能な限り最も一般的なルールを作成します。
自動定義ルールを上書きする方法の例
この例でのリソースは次のとおりです。
- CIDR 10.237.52.0/22 での DNS クエリソース VPC1
- DNSHostname attribute = 有効化
- DNSSupport attribute = 有効化
- CIDR 10.104.2.0/24 での接続済み VPC2 (Transit Gateway または DNS サポートが有効な VPC ピア接続を介して接続)
- VPC DNS リゾルバー = Amazon が提供する DNS リゾルバー
- 192.168.1.4/32 (別のネットワークにある DNS サーバー) に接続できる Route 53 Resolver のアウトバウンドエンドポイント
次に、以下の自動定義システムルールが Resolver によって作成されました。
| プライベート IP アドレスのルール | VPC1 CIDR のルール | VPC2 CIDR (ピア接続 VPC) のルール |
| 10.in-addr.arpa. | 52.237.10.in-addr.arpa. | 2.104.10.in-addr.arpa. |
| 16.172.in-addr.arpa. から 31.172.in-addr.arpa | 53.237.10.in-addr.arpa. | |
| 168.192.in-addr.arpa. | 54.237.10.in-addr.arpa. | |
| 254.169.254.169.in-addr.arpa. | 55.237.10.in-addr.arpa. |
クエリを転送する環境の DNS 解決要件は次のとおりです。
| 優先度番号 | 逆引き DNS クエリの CIDR | 送信先 DNS サーバー |
| 1 | 10.237.53.0/24 | 192.168.1.4/32 (別のネットワーク) |
| 2 | 10.237.53.0/24 を除く 10.237.52.0/22 | Amazon が提供する DNS リゾルバー |
| 3 | 10.104.2.0/24 | プライベートホストゾーン |
| 4 | 上記のすべてを除く 10.0.0.0/8 | 192.168.1.4/32 (別のネットワーク) |
前述の設定は、以下のステップで行います。
注: DNS クエリを実行するソースは VPC1 で、すべての要求は Amazon が提供する DNS IP アドレスに送信されます。
- IP アドレス範囲 10.237.53.0/24 は VPC1 CIDR 10.237.52.0/22 の一部であるため、この IP アドレス範囲に適用される自動定義システムルールがあります。ドメイン 53.237.10.in-addr.arpa の Resolver ルールを作成し、10.237.53.0/24 の範囲の IP アドレス用自動定義システムルールを上書きします。ターゲット IP アドレスを 192.168.1.4/32 に設定します。
- 10.237.53.0/24 以外の 10.237.52.0/22 の IP アドレスでは、自動定義システムルールを使用できます。Amazon が提供する DNS リゾルバーが、これらの DNS クエリを解決します。
- 10.104.2.0/24 の範囲の IP アドレスでは、VPC2 CIDR で使用できる自動定義の最も限定的なルールが既にあります。ただし、プライベートホストゾーンのルールは自動定義ルールよりも優先されるため、ドメイン名 2.104.10.in-addr.arpa のプライベートホストゾーンを作成する必要があります。
- ドメイン名 10.in-addr.arpa のリゾルバールールを作成します。このルールは、10.0.0.0/8 の範囲の IP アドレス (10.237.52.0/22 および 10.104.2.0/24 の範囲の IP アドレスを除く) 用の逆引き DNS クエリを、192.168.1.4/32 の IP アドレスを持つ別のネットワークの DNS サーバーに送信します。このルールは、自動定義システムルールも上書きします。
次のルールが要件を満たしたため、優先度に基づいてリゾルバーはこれらのルールを検討します。
- カスタムリゾルバーのルール: 53.237.10.in-addr.arpa. および 10.in-addr.arpa。
- プライベートホストゾーン用に作成したルール: 2.104.10.in-addr.arpa。
10.0.0.0/8 の範囲の IP アドレス用の逆引き DNS クエリを、リゾルバーのルールの優先度に基づいて解決します。プライベートホストゾーンのルールと、最も限定的なドメイン名ルールに基づく自動定義ルールは、次のようになります。
| 優先度番号 | 逆引き DNS クエリの IP アドレス範囲 | 送信先 DNS サーバー |
| 1 | 10.237.53.0/24 | 「最も限定的なリゾルバーバルール」を使用する 192.169.1.4/32 |
| 2 | 10.27.53.0/24 を除く 10.237.52.0/22 | デフォルトのルール (「最も限定的なシステムルール」) を使用する Amazon が提供する DNS リゾルバー |
| 3 | 10.104.2.0/24 | プライベートホストゾーン用に作成したデフォルトルールを使用する Amazon が提供する DNS リゾルバー |
| 4 | 上記のすべてを除く 10.0.0.0/8 | リゾルバールールを使用する192.168.1.4/32(他に利用可能なより具体的なルールはありません。ドメイン名 10.in-addr.arpa. の Resolver ルールは、同じドメイン名の自動定義ルールよりも優先されます。) |
Route 53 Resolver によるデフォルトのリバース DNS ルールを無効化することもできます。詳細については、「Resolver での逆引き DNS クエリの転送ルール」を参照してください。
関連情報
関連するコンテンツ
- AWS公式更新しました 1年前
