目次
DNSフォワーダとは
DNSフォワーダとは、問い合わせを受けた際に、自分で解決できない名前解決を上位DNSサーバへ転送する仕組みです。
ただし、すべてを転送するわけではなく、以下の優先順位で動作します。
自分が権威を持つゾーン → 自分で応答(権威DNSとして応答)
キャッシュに存在 → キャッシュから応答
それ以外 → 上位DNSへ転送(フォワード)
DNSフォワーダを使う理由
- パフォーマンス向上(キャッシュ共有)
社内の複数クライアントが同一のDNSフォワーダ(キャッシュDNS)を利用することで、キャッシュが共有され、同一名前解決に対する上位DNSへの問い合わせ回数を削減できる - セキュリティ統制
外部DNSへの通信を一箇所に集約し、セキュリティ制御しやすい - 運用簡略化
各サーバで個別にDNSの再帰処理や設定を持つのではなく、DNSフォワーダに集約することで、設定・管理・通信を一元化できる
DNSフォワーダの動作イメージ
フォワーダあり
| クライアント ↓ 社内DNS(フォワーダ機能あり + キャッシュ) ↓ (キャッシュなしの場合) ↓ 上位DNS(ISP / Public DNS) ↓ 応答 |
フォワーダなし(再帰DNSがルートサーバから順に反復問い合わせを行い、名前解決を完結させる)
| クライアント ↓ 社内DNS(再帰DNS) ↓ (キャッシュなしの場合) ↓ DNS階層(ルート → TLD → 権威) ↓ 応答 |
DNSの役割
| 種類 | 役割 |
|---|---|
| 権威DNS | 自分のゾーン情報に対して正式な回答を返す |
| 再帰DNS(キャッシュDNS / フルサービスリゾルバ) | クライアントの代わりに名前解決を最後まで実施 |
| DNSフォワーダ(※) | 問い合わせを上位DNSへ転送する機能 |
DNSフォワーダは、再帰DNSが自力でルートから問い合わせを行う代わりに、指定した上位DNSへ問い合わせを転送する動作モードの一つです。
社内ネットワークでの構成例
①社内ドメインの解決
| クライアント ↓ 社内DNS(権威 + キャッシュ) ↓(社内ゾーンに一致) 応答 |
② 外部ドメインの解決(フォワーダ利用)
| クライアント ↓ 社内DNS(フォワーダ機能 + キャッシュ) ↓(未解決の場合) 上位DNS(ISP / 8.8.8.8 など) ↓ 応答 |
AWSの名前解決の例
①VPC内部解決
| EC2 ↓ AmazonProvidedDNS(Route 53 Resolver=再帰DNS) ↓ ・Private Hosted Zone(権威DNSデータ、Route 53:ユーザ管理) ・AWS内部DNSゾーン(EC2内部名 / サービス名、AWS内部管理) |
AWS内部DNSゾーンとはAWSが内部的に管理している名前解決情報です。
例:EC2の内部DNS名(ip-10-0-0-1.ec2.internal)
②外部ドメイン解決
| EC2 ↓ AmazonProvidedDNS(Route 53 Resolver=再帰DNS) ↓ (キャッシュ確認・未解決の場合) ↓ 外部DNS(ルートDNS → TLD → 権威DNS)へ再帰的に問い合わせ ↓ 応答 |
③オンプレミス連携(条件付きフォワーダの例:特定ドメイン一致時にフォワードする)
| EC2 ↓ AmazonProvidedDNS(Route 53 Resolver=再帰DNS) ↓ (Resolverルール一致時にOutbound Endpointへ転送する) ↓ オンプレDNS ↓ 社内サーバ |
Route 53 Resolverは、VPC内の再帰DNSサービスであり、Resolverルールとエンドポイントを使うことで、外部DNSへの条件付きフォワーディングが可能です。
関連の記事