8K Views
March 07, 24
スライド概要
2024/03/08 (金) JAZUG for women 第2回の登壇資料です。
都内で働いているインフラエンジニアです。Azure を含むMicrosoft 製品、インフラ、開発周りに興味があります。
オンプレDNSサーバーからクラウドのDNSサービスへ AzureのDNSサービスをうまく活用しよう 2024/03/08 第2回 JAZUG for Women Kazuki Yamabe
アジェンダ • 自己紹介 • オンプレミス時代のDNS サーバーの課題 • Azure のDNS サービスについて • Azure のDNS サービスでできないこと • Azure のDNS サービスのユースケース • まとめ • 参考資料 2
自己紹介 名前:Kazuki Yamabe 所属企業:株式会社エーピーコミュニケーションズ 職種:インフラエンジニア ◼ ブログ・SNS • ブログ:https://www.kdkwakaba.com/ • X:@kdk_wakaba • Linkedin:kdk-wakaba 3
はじめに ◼ 本日お話しないこと - ドメインやDNS に関する基礎知識 - Azure のDNS サービスに関する具体的な設定方法 4
アジェンダ • • オンプレミス時代のDNS サーバーの課題 • • • • • 5
オンプレミス時代のDNS サーバーの課題 • DNS サーバーの構築、運用・管理の知識や経験が必要 - DNS サーバーソフトウェアに応じた設定項目の理解 - 設定ミス、シリアル番号の更新漏れによるオペミス • DNS サーバーの脆弱性対応、セキュリティ対策 - DNS サーバーソフトウェアで緊急性の高い脆弱性による急なメンテナンス対応 - DNS サーバーソフトウェアだけでなくOS 側のアップデートも必要 - DDos 攻撃、DNS キャッシュポイズニング、ゾーン転送要求の悪用、など • DNS サーバーのコスト - DNS サーバー用の機器やVM の準備、冗長構成などお金がかかる - Windows Server でDNS を使うならサーバー用のCAL も必要 6
アジェンダ • • • Azure のDNS サービスについて • • • • 7
Azure のDNS サービスについて – DNS サービスの種類 • Azure Public DNS • Azure Private DNS • Azure Private Resolver 8
Azure のDNS サービスについて – Public DNS • Web サイトやメールなどパブリック公開用のフルマネージドDNS 権威サーバーサービス • 独自ドメインを外部に公開する場合はレジストラからドメイン購入が必要 - 外部公開せず内部でのみPublic のドメイン利用も可能 • フルマネージドのため、サーバーの管理やDNS ソフトウェアの設定は不要 - レコードの設定のみでDNS サーバーとして利用可能 • DNS 作成時に4つのネームサーバーを作成するため、DNS サーバーの冗長構成も簡単にできる - セカンダリ用のDNS サーバーの構築、運用・管理の負担も削減できる • 子ゾーンとしてサブドメインの移管も可能 • Azure Portal とAzure CLI で若干挙動が異なるため注意が必要 9
Azure のDNS サービスについて – Private DNS • 仮想ネットワーク内での名前解決に利用するフルマネージドの内部Private DNS サービス • 仮想ネットワークにPrivate DNS ゾーンをリンクさせることで、特定の仮想ネットワークで名前解決が可能 - Private DNS ゾーンは複数の仮想ネットワークにリンクが可能 - 自動登録を有効にしている場合、複数の仮想ネットワークにリンクできない • フルマネージドのため、サーバーの管理やDNS ソフトウェアの設定は不要 - レコードの設定のみでDNS サーバーとして利用可能 • 自動登録機能を利用すると仮想ネットワーク内のVM のプライベートIP レコードを自動で登録可能 10
Azure のDNS サービスについて – Private Resolver • オンプレミスの環境からAzure Private DNS ゾーンに転送できるフルマネージドのフォワーダーサービス - 2022/10 にGA されたサービス - このサービスができるまでは別途DNS サーバーを構築し転送用の設定が必要だった • 仮想ネットワーク内に受信、送信のエンドポイントを作成しDNS クエリの送受信を行う - 受信用、送信用でサブネットの分割が必要 - 指定した仮想ネットワークのみ作成可能。ハブ用のネットワーク経由で他の仮想ネットワークへの接続も可能 • 転送ルールセットを設定することで、ドメイン名に応じてDNS サーバーの参照先切り替えも可能 - オンプレミス側に通信を送信するルールセットも必要 - 他の仮想ネットワーク内のカスタムDNS サーバーに転送したいときも設定が必要 11
Azure のDNS サービスについて – Azure DNS の料金 • Public DNS、Private DNS ともにゾーン数とDNS クエリ数に応じた課金 - ゾーン数を25超えで利用する場合は追加料金が必要 - DNS クエリ数も10億クエリを超える場合は追加料金が必要 - 大量にゾーンが必要、みたいなケースでなければ自前でVM を構築、運用・管理するより安い • Private Resolver は送受信のエンドポイント数、ルールセット数に応じた課金 - クエリ数はAzure DNS 側の利用数となる • Azure DNS の価格 - https://azure.microsoft.com/ja-jp/pricing /details/dns/ 12
アジェンダ • • • • Azure のDNS サービスでできないこと • • • 13
Azure のDNS サービスでできないこと • キャッシュサーバーの役割 - Azure DNS は権威サーバーのため、前段にキャッシュサーバー置きたい場合は別途構築が必要 • ダイナミックDNS 機能 - Azure DNS 単体でレコードの自動更新機能はない - Azure の他サービスを組み合わせて仕組みを作ることは可能 • ゾーン転送 - ゾーンファイルのインポートはできるが、ゾーン転送の仕組みはない • 最近RFC となったレコードの利用 - 基本的なレコードタイプはサポートされているが、HTTPS レコードなどはまだ対応していない • DNSSEC、TSIG などDNS サーバー側で作業の必要な機能 - これらについてはサポートされていないため、要件として必要であれば別途DNS サーバーを構築する必要がある 14
アジェンダ • • • • • DNS サービスのユースケース • • 15
DNS サービスのユースケース - 子ゾーンを利用した管理の委任 • Public DNS は親ゾーンを基に子ゾーンを作成し、ドメイン管理を委任できる • サブスクリプションなどの単位でゾーンを利用することで利用上限やアクセス権限の分割が可能 16
DNS サービスのユースケース – PaaS のカスタムドメイン • App Service やStatic Web Apps でPublic DNS のドメインを関連付けできる - Public DNS に指定されたCNAME レコード、TXT レコードを追加し検証することで独自ドメインを利用可能に 17
DNS サービスのユースケース – 仮想ネットワーク間のPrivate DNS • 内部のみで利用する共通のドメインを利用したい場合に各仮想ネットワークにリンクさせる • サブスクリプション間の仮想ネットワークリンクも可能 • 共通のPrivate DNS を利用する場合のゾーンの肥大化や操作権限に注意 18
DNS サービスのユースケース – プライベートエンドポイント • プライベートエンドポイントの名前解決にはAzure Private DNS を利用してアクセスしている • プライベートリンクのIP アドレスがDNS ゾーンに登録される 19
DNS サービスのユースケース – Resolver のハブアンドスポーク • オンプレミスからの通信をハブネットワーク経由で複数の仮想ネットワークに通信を流すことも可能 20
DNS サービスのユースケース – DNS サービスの運用・監視 • Azure DNS のSLA は要求が有効であれば100% (Private Resolver は99.99%) - Azure DNS の SLA は次のうちどれですか? • Azure Monitor でアクティビティログ、メトリクスの取得が可能 - QueryVolume (Azure DNS のクエリ量) やRecordSetCount (レコードセット数) でセキュリティや意図しない 変更の検知も可能 - Log Analytics + KQL でDNS に関する詳細な内容のアラート検知、分析も可能 • RBAC による操作権限の設定、リソースロックによるDNS ゾーン、レコードの保護 21
DNS サービスのユースケース – DNS サーバーの移行 • Public DNS、Private DNS ではゾーンファイルのインポート、エクスポートがサポートされている - Public DNS はAzure Portal、Azure CLI でゾーンファイルのインポート、エクスポートが可能 - Private DNS はAzure CLI でのみゾーンファイルのインポート、エクスポートが可能 • Azure DNS から他のAzure DNS へのゾーン移行もファイルで可能 • 事前にPublic DNS などに設定を投入しておき、ネームサーバーの追加・切り替えなども可能 22
アジェンダ • • • • • • まとめ • 参考資料 23
まとめ • フルマネージドのAzure DNS を活用するとDNS サーバーの運用・管理面の負担を削減できる • Azure Private Resolver を利用するとオンプレミスなどのハイブリッド環境の名前解決もできる • Azure の各種サービスとも親和性が高く、ドメインを利用する様々な場面で役立つ 24
参考資料 • Azure DNS とは - https://learn.microsoft.com/ja-jp/azure/dns/dns-overview • Azure プライベート DNS とは - https://learn.microsoft.com/ja-jp/azure/dns/private-dns-overview • Azure DNS Private Resolver とは - https://learn.microsoft.com/ja-jp/azure/dns/dns-private-resolver-overview • Azure DNS サブドメインを委任する - https://learn.microsoft.com/ja-jp/azure/dns/delegate-subdomain • Azure プライベート DNS ゾーンのシナリオ - https://learn.microsoft.com/ja-jp/azure/dns/private-dns-scenarios • プライベート リゾルバーのアーキテクチャ - https://learn.microsoft.com/ja-jp/azure/dns/private-resolver-architecture 25
ご清聴ありがとうございました。 26