こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。先日 AWS Summit Japan 2024 へ参加するために幕張へ行ってきました。毎度ながら会場の熱量には圧倒されます。エンジニアとしてよい刺激を頂ける、毎年楽しみなイベントであります。
今回サミットでガバメントクラウド関係のセッションを聞いたり、参加者のSNS等でのレポートを拝見したりしました。目に留まったのが、AWS上のリソースに対してマイナンバー系ネットワークからDNSで名前解決する必要があることに皆様驚かれている点でした。AWS においては Route 53 Resolver インバウンドエンドポイントを利用することで、インターネットを介さずともDNSでの名前解決を実現できます。ただし、Route 53 Resolver は単体では利用できず、オンプレミスのDNSサーバーまたはActive Directoryの設定変更と組み合わせて利用する必要があります。本BLOGではオンプレミス側で必要となる設定変更についてご紹介したいと思います。
前提条件
下記の前提条件を想定します。
- 地方自治体様におけるマイナンバー系ネットワークを想定
- マイナンバー系ネットワークはオンプレミス、AWSどちらもインターネットには未接続
- オンプレミスとAWS間は既に Direct Connect 等の専用線サービスでプライベート接続されている
- オンプレミス側のマイナンバー系ネットワーク上にDNSサーバーが既に存在している
- Windows Server の役割 Active Directory ドメインサービスで同時にインストールされる DNSサーバーを利用
- AWS側には VPC と Route 53 Resolver インバウンドエンドポイントが構築されている
本BLOGでは Active Directory ドメインサービス、DNSサーバー および Route 53 Resolver インバウンドエンドポイント の構築方法は紹介しません。下記弊社BLOGにて紹介しておりますので必要に応じてご覧ください。
blog.serverworks.co.jp blog.serverworks.co.jp
AWS においてDNSでの名前解決が必要なリソースとは
ガバメントクラウドAWSにおいて地方自治体様がご利用される可能性の高いリソースのうち、下記のものはDNSで名前解決を行い接続します。IPアドレスでの接続が出来るものもありますが、マルチAZの冗長構成をDNSで実現しているサービスもあるためIPアドレスでの接続はお勧めしません。
- RDS
- Aurora
- Elastic Load Balancing
- VPC Endpoint (S3バケット等のプライベート接続に利用)
- Transfer Family
- FSx for Windows File Server
設定変更前の状態を確認
本BLOGでは RDS への接続を行う場合とします。RDS はIPアドレスでの接続をサポートしておらず、構築時に自動的に割り当てされるDNS名で接続する必要があります。
(RDS名前).(AWSが自動割り当てするユニークな文字列).ap-northeast-1.rds.amazonaws.com
このDNS名はAWSがインターネット上で提供するパブリックDNSでも名前解決が出来ますが、マイナンバー系ネットワークはインターネット未接続のため、オンプレミス上の端末で名前解決を行っても下記例の通り「見つかりません」となります。
DNSサーバーの設定変更
Active Directory ドメインサービスで同時にインストールされる DNSサーバーにおいては「条件付きフォワーダー」の設定変更を行い Route 53 Resolver を利用します。他の種類のDNSサーバーにおいても同様機能はある筈ですので、それらも概念としては同じです。
DNSサーバーに設定する Route 53 Resolver インバウンドエンドポイントのフォワード先 IPアドレスをAWSマネジメントコンソールより確認します。
AWS マネジメントコンソールよりRoute 53 コンソールへ移動し、ナビゲーションペインより「リゾルバー」→「インバウンドエンドポイント」を選択します。既に構築されたエンドポイントを開き「IPアドレス」セクションに表示されるIPアドレスの値を控えます。マルチAZで構成して複数IPアドレスが表示されることが一般的です。すべてのIPアドレスを控えます。
Active Directory ドメインサービスをインストールした Windows Server のデスクトップより「管理ツール」→「DNS (DNSマネージャー)」を選択し起動します。「DNSマネージャー」が表示されます。左のツリーに表示される管理するDNSサーバー配下の「条件付フォワーダー」より右クリックから「新規条件付きフォワーダー」を選択します。
「新規条件付きフォワーダー」が表示されます。本BLOGの例では「DNSドメイン」にAWSのリソースの名前解決に利用されるドメイン amazonaws.com
を入力します。「マスターサーバーのIPアドレス」の一覧に先ほど控えた Route 53 Resolver インバウンドエンドポイント のすべてのIPアドレスを入力し、「OK」を押下します。「解決できません」と表示され×マークになる場合でも動作上は問題ありません。
DNSサーバーの設定変更としてはこれだけで完了になります。
設定変更後の状態を確認
DNSサーバーの設定変更の前には名前解決できていなかった RDS のDNS名が、インターネット未接続の端末においても名前解決できるようになったことが確認できます。
まとめ
本来インターネット未接続であるマイナンバー系ネットワークにおいても、Route 53 Resolver とオンプレミス側のActive Directory またはDNSサーバーを用いることで、インターネットに通信することなくパブリッククラウドAWS上のリソースに対して名前解決が行えることをご紹介させていただきました。 本BLOGが少しでも皆様の参考になれば幸いです。