目次
Route53 PHZ vs オンプレDNSの違いのまとめ
| 運用管理 | セキュリティ | コスト | |
|---|---|---|---|
| Route 53 PHZ | AWSのマネージドサービス。冗長化済み、管理不要 | VPCに関連付けた範囲でのみ解決可能。外部からは不可。 | Route 53利用料のみ(ホストゾーン課金 + クエリ数課金)、サーバー不要 |
| オンプレDNS | サーバー構築・パッチ適用・冗長化・監視が必要 | 内部アクセス制御やファイアウォールで管理 | サーバーのハードウェア・ライセンス(ADの場合)・運用コストが発生 |
PHZは、Private Hosted Zoneの略です。
Route53 PHZは、AWSのVPC内限定で使えるプライベートDNSゾーンを管理するサービスです(PHZ自体がDNSの仕組みを使ったサービスです)。
オンプレDNSは、クラウドではなく自社のデータセンターや社内ネットワーク上に物理・仮想サーバーとして構築・運用するDNSサーバーのことです。
Route53 PHZとは
Route53 PHZとは、AWS上のプライベートDNSゾーンを管理するサービスで、特定のVPC内だけで有効なDNSゾーンです。
通常のDNSはインターネット上に公開されますが、PHZはアタッチしたVPCの内部にのみ名前解決を提供します。
たとえば api.internal や db.myapp.local のようなプライベートなドメイン名を、VPC内のリソース同士で使えるようにします。
主な特徴
- VPCにアタッチして使う。複数VPCにまたがってアタッチも可能
- インターネットからは一切参照できない(プライベート専用)
- AレコードやCNAMEなど通常のDNSレコードを登録できる
- AWS管理のためDNSサーバーを自前で建てる必要がない
- VPC内のリゾルバ(169.254.169.253)が自動的にPHZを参照する
使われる場面
EC2やECSからRDSのエンドポイントを db.internal のような名前で参照したり、ALBやNLBをわかりやすい内部ドメイン名でアクセスしたりするケースが代表的です。
IPアドレスが変わっても名前を変えずに済むため、設定の柔軟性が上がります。
パブリックホストゾーンとの違い
Route 53にはPHZとは別にパブリックホストゾーンがあり、こちらはインターネット全体に公開するドメイン(例: example.com)を管理します。
PHZはその「VPC内限定版」のイメージです。
Route53 PHZのメリット
1.内部サービス名解決
VPC内にあるEC2やRDSなどを、IPアドレスではなく ホスト名(FQDN) で参照できる。
例: db.internal.example.com → RDSインスタンスのプライベートIP
IPアドレスが変わっても、DNS名でアクセスできるため運用が楽。
2.内部専用ドメインの利用
example.com は外部公開用、internal.example.com は内部専用…と使い分けられる。
内部のシステム名や構成を、インターネットに公開しないで済む。
3.マルチVPC / ハイブリッド環境での統一DNS
VPC間接続(VPC Peering, Transit Gateway, PrivateLink) した環境で、共通のDNSを使える。
オンプレとAWSをDirect Connect / VPNでつないだ環境でも、内部名解決を統一可能。
4. 可用性と運用コストの低減
自前でBINDやWindows DNSサーバーを立てる必要がなく、AWSがマネージドで提供。
高可用性(冗長構成済み)、スケーラブルで管理不要。
5.セキュリティ
外部から解決できないDNSゾーン なので、
内部のサーバー名やIPアドレスをインターネットに晒さない。
内部限定のシステムに対して「名前解決できるのは内部だけ」というセキュリティ境界を作れる。
関連の記事