AWS Client VPN エンドポイントを作成しています。エンドユーザー (Client VPN に接続されたクライアント) が、Amazon Route 53 プライベートホストゾーンでホストされているリソースレコードをクエリできるようにする必要があります。これを行うにはどうすればよいですか?
解決方法
エンドユーザーが Client VPN を使用してプライベートホストゾーンのレコードをクエリできるようにする方法:
- Amazon Virtual Private Cloud (Amazon VPC) で「DNS 解決」と「DNS ホスト名」が有効になっていることを確認します。プライベートホストゾーンにアクセスするには、これらの設定を有効にする必要があります。詳細については、「VPC の DNS 属性の表示と更新」を参照してください。
- Client VPN エンドポイントを作成します (まだ作成していない場合)。DNS 解決クエリでエンドユーザーが到達できる DNS サーバーの IP アドレスを「DNS サーバーの IP アドレス」パラメータに設定します。または、既存の Client VPN エンドポイントを変更して DNS サーバー設定を更新することもできます。
サーバー設定と「DNS Server IP address」パラメータに指定した値に応じて、プライベートホストゾーンのドメインの解決方法は異なります。
- Amazon DNS サーバー (VPC IPv4 ネットワーク範囲 +2) - エンドユーザーは、VPC に関連付けられたプライベートホストゾーンのリソースレコードを解決できます。
- カスタム DNS サーバーが Client VPN エンドポイントの関連付けられた VPC と同じ VPC にある場合 - 必要に応じて DNS クエリを処理するようにカスタム DNS サーバーを設定できます。リソースレコードを解決するには、カスタム DNS サーバーをフォワーダーとして設定し、プライベートホストドメインの DNS クエリをデフォルトの VPC DNS リゾルバーに転送します。VPC 内の全リソースにカスタム DNS サーバーを使用するには、それに応じて DHCP オプションを設定してください。
注意: カスタム DNS サーバーは、ピア接続 VPC に存在する場合もあります。この場合、カスタム DNS サーバー設定は上記と同じです。プライベートホストゾーンを両方の VPC に関連付けてください。
- カスタム DNS サーバーがオンプレミスにあり、Client VPN の「DNS Server IP address」パラメータが無効/空の場合 - プライベートホストゾーンドメインの DNS クエリは Route 53 インバウンドリゾルバーに転送されます。オンプレミスのカスタム DNS サーバーで条件付き転送ルールを作成して、AWS Direct Connect または AWS サイト間 VPN 経由で VPC 内の Route 53 インバウンドリゾルバーの IP アドレスにクエリを転送する必要があります。
注意: Client VPN 接続が確立されたときに、クライアントデバイスにローカル DNS サーバーへのルートがない場合、DNS クエリは失敗します。この場合、クライアントデバイスのルートテーブルのカスタムオンプレミス DNS サーバーに、優先する静的ルートを手動で追加する必要があります。
- 「DNS Server IP address」パラメータが無効の場合 - クライアントデバイスはローカル DNS リゾルバーを使用して DNS クエリを解決します。ローカルリゾルバーがパブリック DNS リゾルバーに設定されている場合、プライベートホストゾーンのレコードを解決することはできません。
注: 以下は 4 種類の DNS サーバー設定にそれぞれ関係します。
関連情報
AWS Client VPN エンドポイントで DNS はどのように機能しますか?