AWS Directory Service を使用して VPN 経由で Route 53 プライベートホストゾーンを解決する方法を教えてください。
最終更新日: 2019 年 5 月 30 日
Amazon Route 53 プライベートホストゾーンを使用していて、VPN 経由でアクセスしたいと思っています。AWS Directory Service をどのように使用すればよいですか?
簡単な説明
Route 53 プライベートホストゾーンネームサーバーは、AWS DNS サーバーからのクエリのみに応答します。オンプレミスインフラストラクチャから直接プライベートゾーンを解決するには、Simple Active Directory (Simple AD) の使用を検討します。Simple AD ディレクトリを使用して、DNS リクエストを VPC から AWS DNS サーバーの IP アドレスに転送できます。
これらの DNS サーバーは、Amazon Route 53 プライベートホストゾーンで構成された名前を解決します。オンプレミスのインフラストラクチャを Simple AD に指定することで、選択したプライベートホストゾーンへ DNS リクエストを解決できます。
注: Simple AD は以下のリージョンでサポートされています。
- 米国東部 (バージニア北部)
- 米国西部 (オレゴン)
- アジアパシフィック (シンガポール)
- アジアパシフィック (シドニー)
- アジアパシフィック (東京)
- 欧州 (アイルランド)
Simple AD がお客様のリージョンではご利用いただけない場合、AWS Managed Microsoft AD を使用して、同じ DNS 解決が利用できます。詳細については、「How to Set Up DNS Resolution Between On-Premises Networks and AWS Using AWS Directory Service and Microsoft Active Directory」をご参照ください。
解決方法
新しい Simple AD を作成する
- AWS Directory Service コンソールにサインインして、[Set up directory] を選択します。
- [Simple AD] をクリックし、[Next] を選択します。
- [Directory size info] で [Small] または [Large] を選択します。
- [Directory DNS name] でドメイン名を入力します。
注: ドメイン名がプライベートホストゾーンと Route 53 ドメイン名と異なることを確認してください。Route 53 と Simple AD のドメイン名が同じ場合、または Route 53 ドメインが Simple AD ドメインのサブドメインである場合、Simple AD はプライベートホストゾーンにリクエストを転送できません。 - [Administrator password] と [Confirm password] にパスワードを入力し、[Next] を選択します。
- [VPC] でプライベートホストゾーンに関連付けられた VPC を追加し、[Next] 、[Create directory] の順にクリックします。
- 新しい AD のステータス が [Active] である場合、[Directory ID] をクリックし、DNS アドレス ([Directory Details] の下にある) を書き留めます。この IP アドレスはローカル DNS リソルバーを構成する際に使用します。
Directory Service が Simple AD コントローラー用にセキュリティグループを作成します。
このセキュリティグループがオンプレミス IP からのトラフィックを許可していることを確認します。
- Amazon EC2 コンソールにサインインし、[Security Groups] を選択します。
- directoryID_controllers という名前のセキュリティグループを見つけます。ここで directoryID は、Simple AD のディレクトリ ID です。
- セキュリティグループを開き、インバウンドトラフィックルールを編集して、オンプレミス CIDR からポート 53 への TCP/UDP トラフィックを許可します。
VPC のルートテーブルに、オンプレミスの仮想ゲートウェイのための適切なエントリがあることを確認します。
構成が完了すると、DHCP オプションセットを編集して、Simple AD に接続できます。DHCP で、DNS サーバーと同じになるように Simple AD の IP アドレスを設定します。ローカル DNS サーバーでフォワーダーまたは条件付きフォワーダーを設定することもできます。