マルチアカウント×ハイブリッドクラウド構成におけるRoute53

マルチアカウント×ハイブリッドクラウド構成における Route53 2025年2月21日 NTT DATA 坂本 英駿 © 2025 NTT DATA Corporation © 2025 NTT DATA Corporation

自己紹介 名前 坂本 英駿（さかもと ひでとし） 所属 株式会社NTTデータ 経歴 2018年入社 好きなAWSサービス Amazon VPC、AWS Transit Gateway、Amazon Route 53 趣味 野球 （見る方もプレーするほうも）、お酒（ ） © 2025 NTT DATA Corporation 2

1.はじめに ハイブリッドクラウド×マルチアカウント構成で活用できる、Route53の機能や設計パターンを紹介します。 時間制限があるので、細かいTipsや詳しい構築手順は↓の記事をご参照ください。 マルチアカウント×ハイブリッドクラウド構成におけるRoute53 © 2025 NTT DATA Corporation 3

• https://zenn.dev/hanabusashun/articles/238eb2e5364c40

2.前提となる構成 AWSおよびオンプレミスに複数のシステムを搭載する共通基盤構成を前提とします。 aws.homeドメイン onp.homeドメイン Aシステム Bシステム Cシステム VPC VPC VPC Resolver Resolver オンプレミス Resolver NWアカウント DXロケーション Hosted zone AWS Transit Gateway コンテンツ・ キャッシュサーバ AWS Direct Connect Gateway VPC Endpoints © 2025 NTT DATA Corporation 4

3.ハイブリッドクラウド構成におけるRoute53 | AWS→オンプレ AWS→オンプレミスのトラフィックはOutbound Endpointとリゾルバールールを活用します。 リゾルバールール ②リゾルバールールに基づき、 Outbound Endpointへ転送 ゾーン タイプ ターゲットIP エンドポイント onp.home 転送 x.x.x.x Outbound Endpoint NWアカウント onp.homeドメイン オンプレミス VPC Resolver ③リゾルバールールに基づき、 onp.homeのコンテンツ・キャッ シュサーバのIP（x.x.x.x）へ 転送 Inbound Endpoint Hosted zone www.onp.homeの 名前解決要求 Outbound Endpoint AWS Transit Gateway レコード名 タイプ 値 www.onp.home A x.x.x.y ①Route53 Resolverへ EC2 DXロケーション コンテンツ・ キャッシュサーバ （x.x.x.x） AWS Direct Connect Gateway © 2025 NTT DATA Corporation 5

3.ハイブリッドクラウド構成におけるRoute53 | オンプレ→AWS オンプレミス→AWSのトラフィックはInbound EndpointとPrivate Hosted Zoneを活用します。 レコード名 タイプ 値 www.aws.home A z.z.z.y onp.homeドメイン ④Route53 ResolverがVPC に関連づいているPrivate Hosted Zoneへ転送 NWアカウント Hosted zone オンプレミス VPC Resolver ③Inbound Endpointの 配置されているVPCの Route53 Resolverへ転送 Inbound Endpoint （z.z.z.z） Outbound Endpoint AWS Transit Gateway EC2 /etc/unbound/unbound.conf forward-zone: name: "aws.home" forward-addr: z.z.z.z DXロケーション ②キャッシュサーバの フォワード設定によって、 Inbound Endpoint へ転送 ①オンプレミスの キャッシュサーバ に名前解決要求 Client www.aws.homeの 名前解決要求 コンテンツ・ キャッシュサーバ （x.x.x.x） AWS Direct Connect Gateway © 2025 NTT DATA Corporation 6

4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 ①レコードの管理も各システムごとに用意するのではなく、一元管理することでシンプルに管理します。 ②コスト削減のためにaws.homeドメインの各種Endpointは1か所に集約します。 aws.homeドメイン Aシステム Bシステム VPC Resolver Cシステム オンプレミス ①AWS上のドメインは共通（aws.home）のた VPC VPC め、1つのPHZにまとめる Resolver Resolver PHZを各アカウントのVPCに割り当てることで システム間の名前解決を実現する DXロケーション ②Inbound/Outbound EndpointはENIの設置コストが かかるため、各アカウントに用意しない NWアカウント Hosted zone onp.homeドメイン AWS Transit Gateway AWS Direct Connect Gateway 参考 4 ENI x 0.125 USD x 730 時間 (1 か月) = 365.00 USD（約5、6万） コンテンツ・ キャッシュサーバ VPC Endpoints © 2025 NTT DATA Corporation 7

4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | PHZの共用 Private Hosted Zoneは複数のVPCに割り当てることができます。 レコードのメンテナンスは1か所で行い、Private Hosted Zoneの割り当てによってマルチアカウントに展開します。 Aシステム Bシステム Cシステム VPC VPC VPC Resolver Resolver Resolver レコード名 タイプ 値 www.aws.home A z.z.z.y asys.aws.home A a.a.a.a bsys.aws.home A b.b.b.b csys.aws.home A c.c.c.c 各アカウントのDNSレコードを NWアカウントにあるPHZに登録します オンプレミス PHZを各アカウントのVPCに関連付けます NWアカウント Hosted zone VPC Resolver Inbound Endpoint （z.z.z.z） Outbound Endpoint AWS Transit Gateway EC2 DXロケーション コンテン・ キャッシュサーバ AWS Direct Connect Gateway © 2025 NTT DATA Corporation 8

4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | PHZの共用 Private Hosted Zoneをマルチアカウントで共有する流れは以下の通りです。 共有元アカウント 共有先アカウント ①Private Hosted Zoneを共有する aws route53 create-vpc-association-authorization コマンドを実 行することで、共有先に対してPrivate Hosted Zoneを共有します。 ②Private Hosted Zoneの共有を承諾する aws route53 associate-vpc-with-hosted-zone コマンドを実行する ことで、共有されたPrivate Hosted Zoneを承諾します。 ③関連付いているPrivate Hosted Zoneを確認する aws route53 list-hosted-zones-by-vpc コマンドを実行することで、 共有先アカウントVPCに想定通り関連付いていることを確認します。 ④Private Hosted Zoneの共有を削除する aws route53 delete-vpc-association-authorization コマンドを実 行することで、①で作成したPrivate Hosted Zoneの共有を削除しま す。 Route 53 プライベートホストゾーンを別の AWS アカウントの VPC に関連付けるにはどうすればよいですか? © 2025 NTT DATA Corporation 9

• https://repost.aws/ja/knowledge-center/route53-private-hosted-zone

4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | Endpointの集約 Outbound Endpointの集約は各システムからonp.homeドメインを名前解決するために、 リゾルバールールを各VPCに割り当てる必要があります。 こちらはRAMで共有しすることができます。 Aシステム Bシステム Cシステム VPC VPC VPC Resolver Resolver Resolver オンプレミス リゾルバールール NWアカウント Hosted zone ゾーン タイプ ターゲットIP エンドポイント onp.home 転送 x.x.x.x Outbound Endpoint VPC Resolver Inbound Endpoint （z.z.z.z） Outbound Endpoint AWS Transit Gateway EC2 DXロケーション コンテンツ・ キャッシュサーバ AWS Direct Connect Gateway © 2025 NTT DATA Corporation 10

4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | VPCEの集約 VPCEの集約でもRoute53を活用する必要があります。 まずはVPCEのトラフィックについておさらいします。 トラフィックフローから理解するAWS/AzureのPrivateLink © 2025 NTT DATA Corporation 11

• https://zenn.dev/hanabusashun/articles/833a0f591d01a1

4.マルチアカウント（＋ハイブリッドクラウド）構成におけるRoute53 | VPCEの集約 VPCEを利用する際はVPCE用のPrivate Hosted Zoneを利用します。 集約するにはPrivate Hosted Zoneを共有し、NWの到達性を担保することが必要です。 このPrivate Hosted Zoneを 各アカウントに共有することで、 VPCEにアクセスできるように トラフィックフローから理解するAWS/AzureのPrivateLink © 2025 NTT DATA Corporation 12

• https://zenn.dev/hanabusashun/articles/833a0f591d01a1

これ…アカウントが増えていったら、 Private Hosted Zoneとリゾルバールールを いちいち共有しないといけなくて面倒では…？ © 2025 NTT DATA Corporation 13

そんなあなたにAmazon Route 53 Profiles Route 53 ProfilesはRoute53関連の設定を1つのプロファイルとして集約します。 そのプロファイルを複数のアカウント、VPCに共有することができる機能です。 クロスアカウント共有はRAMで行うため、Organizationsと組み合わせるとOU単位で共有することもできます。 Route53 Profile プライベートホストゾーンとそのゾーンで指定された設定 作成したプロファイルをRAMを利用し、 Organization/OU/AWSアカウント等 好きな単位で共有可能 Route 53 Resolver のルール (転送とシステムの両方) AWS Organizations Organizational unit Organizational unit AWS Resource Access Manager DNS ファイアウォールルールグループ Amazon Route 53 プロファイルとは何ですか? © 2025 NTT DATA Corporation 14

• https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html

5.まとめ ハイブリッドクラウド×マルチアカウントのRoute53についてご説明しました。 要点は以下の通りです。 • AWS→外部のコンテンツサーバ：リゾルバールールとOutbound Endpointを活用する • 外部のキャッシュサーバ→AWS：Private Hosted ZoneとInbound Endpointを活用する • Route53 Profilesを活用すると簡単にRoute53リソース群を共有できる © 2025 NTT DATA Corporation 15