Route53 ResolverとVPCエンドポイントの集約¶
チェック¶
- [ ] 本文を確認した
- [ ] 概要を確認した
- [ ] タグを確認した
- [ ]
inbox/直下へ移行した
概要¶
ハイブリッドクラウドおよびマルチアカウント環境で、Route 53 Resolver endpoint と VPC endpoint を共通ネットワーク AWS アカウントへ集約する検証記事。 オンプレミスとメンバー AWS アカウントの両方から、共通 NW アカウントの AWS managed private hosted zone を使って VPC endpoint を名前解決し、S3 へ private 経路でアクセスする構成を扱う。 Direct Connect Gateway、VGW、Route 53 Resolver inbound / outbound endpoint、RAM 共有、VPC peering が登場する。
本文¶
構成は、共通 NW AWS アカウントとメンバー AWS アカウントの 2 アカウント。 共通 NW アカウントには Route 53 Resolver inbound / outbound endpoint と VPC endpoint を集約する。 メンバーアカウントは共通 NW アカウントの network resource を参照する。 オンプレミスと AWS アカウントは Direct Connect Gateway と VGW で接続する。
VPC endpoint の private DNS を有効にすると、AWS managed private hosted zone が作成される。 今回のゴールは、オンプレミスとメンバー AWS アカウントから、この private hosted zone を使って共通 NW アカウントの VPC endpoint を名前解決し、共通 NW アカウントの endpoint 経由でメンバーアカウントの S3 にアクセスすること。
オンプレミスからは Route 53 Resolver inbound endpoint を使う。
オンプレミス DNS が ap-northeast-1.amazonaws.com の query を inbound endpoint に転送し、共通 NW アカウント内の Route 53 Resolver が managed private hosted zone を参照して endpoint の private IP を返す。
メンバー AWS アカウントからは、RAM で共有された resolver forwarding rule を使う。 メンバーアカウントの Route 53 Resolver が共通 NW アカウントの outbound endpoint に query を転送し、そこから inbound endpoint 経由で共通 NW 内の Resolver に戻して private hosted zone を参照する。 解決された private IP を使い、VPC peering と共通 NW アカウントの VPC endpoint を経由して S3 にアクセスする。
環境準備として、共通 NW 側には VPC、subnet、SSM / S3 / STS interface VPC endpoint、Route 53 Resolver inbound / outbound endpoint、VPC peering、route table、security group を用意する。 メンバー側には VPC、private subnet、VPC peering、route table、EC2、S3 bucket、IAM role を用意する。
要点¶
- Route 53 Resolver と VPC endpoint を共通 NW アカウントへ集約できる。
- オンプレミスは inbound endpoint、メンバー AWS アカウントは shared forwarding rule と outbound endpoint を使う。
- Private DNS の managed hosted zone をどう参照させるかが設計の中心。
- Multi-account network では DNS 経路と data path の両方を明示的に設計する必要がある。