AWS re:Inventで発表された「Amazon Route53 Global Resolver」、もうチェックされましたか?
新しく登場したGlobal Resolverは、Inbound EndpointやPrivate Hosted Zone(PHZ)の関連付け、セキュリティグループ(SG)設定といった従来の手間が解消され、ハイブリッドDNSをよりシンプルに扱えるようになりました。
この新しい仕組みが従来の構成とどう異なるのか、一緒に確認していきましょう!
1.従来構成の課題
1.1.従来の構成で発生していた運用負荷
2.Global Resolverの特徴
2.1.Anycast IPによる変化
2.2.DNSビューでできること
3.構成の比較
4.Global Resolverを導入する3つのメリット
4.1.運用・コストの削減
4.2.セキュリティレベルの向上
4.3.グローバルな可用性
5.まとめ
6.参考文献・情報源
従来のVPC Resolverを使ったハイブリッドDNSは、複雑な構成になりやすく運用負荷が高いという問題がありました。
従来の構成では、オンプレミス側のDNSサーバーで、AWSへのトラフィックを転送・冗長化するための設定が必要であり、以下のような負荷が発生していました。
リージョンごとに異なるInbound EndpointのIPを個別に管理する必要がありました。
マルチリージョン化・冗長構成の設計・テストを手動で行う必要がありました。
SGによるアクセス制御は柔軟性に欠け、管理が煩雑になりがちでした。
Global Resolverは、Inbound Endpointを使用せずに、新しい技術要素によって従来の課題を解消します。
※ Anycast IPとは:世界共通のIPアドレスを使用し、BGP(インターネットの経路制御プロトコル)によって利用者を「物理的に最も近いリージョン」へ自動誘導する技術です。これにより、拠点ごとの個別設定なしで低レイテンシと自動フェイルオーバーを実現します。
オンプレミスのDNSサーバーは、Anycast IPへ転送設定を行うだけで済みます。
これにより、リージョン毎に異なるIPアドレスの管理や冗長化設計が不要になります。
Anycast IPは地理的に最も近いAWSリージョンへと自動でクエリをルーティングします。
そのため、手動でのフェイルオーバー設計や運用が不要になります。
DNSビューは、Global Resolverの中核となるアクセス制御機能です。
アクセス元IPや認証トークンに応じて、参照可能なPHZや許可ルールを指定できます。
IP/CIDR ベースに加えて、トークン認証でより細かなアクセス制御を実現できます。
アクセス元によって参照先のPHZを指定することができます。
|
項目
|
従来の VPC Resolver
|
Global Resolver
|
|
エンドポイント
|
各リージョンにInbound Endpointを作成
|
単一の Anycast IP
|
|
PHZ管理方法
|
VPC ごとにPHZを関連付け
|
DNSビューでアクセス元に応じて制御
|
|
アクセス制御
|
SG による制御が中心
|
IP/CIDR+トークン認証
|
こうして比較すると、Global Resolverが「従来の苦労」を解決しているかがわかります。
設定が一元化されることで構成がシンプルになり、運用ミスの削減が期待できます。
Global Resolverは、従来のハイブリッド DNSが抱えていた管理の複雑さを解消する仕組みだと感じました。
エンドポイントの管理やフェイルオーバー設計が不要になった点や、DNSビューによる柔軟な制御も加わったことで、全体的に扱いやすさが向上しました。
Global Resolverの仕組みが理解できたので、次は実際に設定してみて、本当に運用が楽になるのかどうか、試してみたいと思います!
本記事は、以下のAWS公式サイトおよび公式ブログの情報を参考に作成しています。
Global Resolverの最新情報や技術仕様については、公式情報をご確認ください。