IBM Cloud Docs
カスタム・リゾルバーのユース・ケース

カスタム・リゾルバーのユース・ケース

IBM Cloud® DNS Services は、さまざまなホスト名に対するゾーン解決ルールをカスタマイズする機能を備えるサービスとしてカスタム・リゾルバーを提供します。 このカスタム・リゾルバー機能を使用すると、オンプレミス DNS リゾルバーとの間で行われる DNS 照会の名前解決と転送をきめ細かく管理できます。

この例のシナリオでは、財務データがオンプレミス・インスタンス内に存在しており、オンプレミス DNS サーバーによって管理される DNS ゾーン fin.example.com の下でこのデータ・アクセスを管理します。 IBM Cloud VPC で実行されているアプリケーションは、この DNS ゾーンの下にあるホスト名によって財務データにアクセスする必要があります。

このケースでは、この DNS ゾーンに対する DNS 照会をオンプレミス DNS サーバーに転送するためのカスタム・リゾルバーを作成できます。 また、カスタム・リゾルバーを使用して、DNS 照会を DNS Services サーバー、パブリック・リゾルバー、さらには他の IBM Cloud VPC で起動されたカスタム・リゾルバーに転送するルールをカスタマイズすることもできます。

カスタム・リゾルバーの概念

カスタム・リゾルバーは、DNS Services インスタンスで IBM Cloud VPC 用に作成される論理オブジェクトです。 カスタム・リゾルバー内で、カスタム・リゾルバーの基礎となる DNS 転送機能を起動するロケーションを指定できます。 カスタム・リゾルバー・ロケーションは、IBM Cloud VPC のサブネットに相当します。 同じ VPC 内の異なるサブネットに 1 つのロケーションのみか、最大 3 つのロケーションを指定することによって、カスタム・リゾルバーを作成できます。 デフォルト構成は高可用性で、2 つのロケーションがあります。

カスタム・リゾルバーは複数の転送ルールを持ち、DNS 照会をどこに (および、どの DNS ゾーンに対して) 転送するかをカスタマイズできます。 DNS 照会を DNS Services サーバーに転送するデフォルトの転送ルールが、カスタム・リゾルバーとともに自動的に作成されます。

ユース・ケースとワークフロー

カスタム・リゾルバーの最も一般的なユース・ケースは、以下のとおりです。

  • IBM Cloud VPC からオンプレミス DNS サーバーに、またはその逆方向に、DNS 照会を転送する。
  • IBM Cloud VPC からパブリック・リゾルバーに、DNS 照会を転送する。
  • 異なる IBM Cloud VPC 間で、DNS 照会を転送する。

DNS Services のダッシュボードから以下のワークフローを実行できます。 **「カスタム・リゾルバー (Custom resolver)」**タブに移動して、カスタム・リゾルバーを表示します。

カスタム・リゾルバーと転送ルールの作成

以下のワークフローに従って、カスタム・リゾルバーと転送ルールを作成します。

  1. リージョンおよび VPC を選択し、高可用性のために少なくとも 2 つのロケーションを追加して、カスタム・リゾルバーを作成します。
  2. すべての DNS 照会を DNS Services サーバーに転送するデフォルトの転送ルールが自動的に作成されます。
  3. 転送ルールを作成して、DNS ゾーンに対する DNS 照会がどこに転送するか、およびどの DNS サーバーに転送するかを指定します。
  4. カスタム・リゾルバーを有効にします。

デフォルトの転送ルールは必ず、先行するいずれの転送ルールにも照会名が一致しない場合に、最後に使用されます。

転送ルールを使用するカスタム・リゾルバーの例

例えば、ibmcloud.example.com として定義されたプライベート DNS ゾーンがあり、ダラス・リージョンにデプロイされた VPC appvpc として許可ネットワークを構成したとします。 ゾーン ibmcloud.example.com には、以下の A レコードがあります。

  • app.ibmcloud.example.com A 10.20.30.40
  • database.ibmcloud.example.com A 10.20.30.50

また、オンプレミス DNS サーバー 192.168.5.2 に定義されているゾーン onprem.example.com もあり、そのゾーンには以下の A レコードがあります。

  • w3.onprem.example.com A 192.168.4.10
  • customerdb.onprem.example.com A 192.168.4.40

リゾルバーのサーバー・インスタンスの IP アドレスは 10.20.30.5 です。

dns-svcs-cr.png
Diagram of a custom resolver with forwarding rules

図 1 の構成に基づいて、DNS 名前解決がどのように行われるかを以下に示します。

  • w3.onprem.example.com の仮想サーバー 2 の DNS 照会:
    • 仮想サーバー 2 のリゾルバーはカスタム・リゾルバーであるため、DNS 照会は 10.20.30.5 に送信されます。
    • カスタムリゾルバは、'onprem.example.com の転送ルールに基づき、'192.58.5.2 にクエリを送る。
    • オンプレミス DNS サーバーは、w3.onprem.example.com A 192.168.4.10 で応答します。
    • カスタム・リゾルバーは、返答を使用して仮想サーバー 2 に応答し、その応答をキャッシュします。
  • database.ibmcloud.example.com の仮想サーバー 1 の DNS 照会:
    • 仮想サーバー 1 のリゾルバーはオンプレミス DNS サーバーであるため、DNS 照会は 192.58.5.2 に送信されます。
    • DNS サーバーは転送ルールに基づいており、照会をカスタム・リゾルバー 10.20.30.5 に送信します。
    • カスタム・リゾルバーは転送ルールに基づいており、照会をプライベート DNS 161.26.0.7/8 に送信します。
    • プライベート DNS は database.ibmcloud.example.com A 10.20.30.50 で応答します。
    • カスタム・リゾルバーは照会に応答し、その応答をキャッシュします。
    • DNS サーバーは、仮想サーバー 1 への照会に応答し、その応答をキャッシュします。

この例では、Direct Link を使用して、VPC 内のカスタム・リゾルバーでオンプレミス DNS サービス/クライアントに接続します。 Direct Link を中継ゲートウェイに置き換えて、サブネット内の他の VPC またはパブリック・ゲートウェイをカスタム・リゾルバーに接続できます。

DNS Services サーバーへの DNS 照会の転送

特定の DNS ゾーンに対する DNS 照会を DNS Services サーバーに転送するには、転送 IP アドレス 161.26.0.7 および 161.26.0.8 を入力します。

DNSクエリをパブリック・リゾルバに転送する

特定の DNS ゾーンの DNS 照会をインターネット上のパブリック・リゾルバーに転送するには、パブリック・ゲートウェイを作成し、それをカスタム・リゾルバー・ロケーションに使用されるサブネットに接続します。 これは、転送 IP としてパブリック・リゾルバーの IP アドレスを入力する前に行います。

外部ネットワークへの接続について詳しくは、『外部接続』を参照してください。

VPC 間での DNS 照会の転送

複数の VPC に複数のカスタム・リゾルバーを作成し、ハブ・アンド・スポーク・パラダイムに従ってそれらのカスタム・リゾルバーを使用することができます。 この構成では、前もって、中継ゲートウェイを使用して VPC を相互接続する必要があります。

中継ゲートウェイを使用した VPC の相互接続について詳しくは、『中継ゲートウェイの管理』を参照してください。

異なる VPC にわたって存在する複数のカスタム・リゾルバーでハブ・アンド・スポーク・トポロジーを形成するには、カスタム・リゾルバーの 1 つをハブとして選択し、その転送ルールをハブ・カスタム・リゾルバーで管理します。 また、DNS 照会をハブ・カスタム・リゾルバーに転送するように、各スポーク・カスタム・リゾルバーのデフォルト転送ルールを編集する必要もあります。

カスタムリゾルバにセカンダリゾーンを追加する

次のセクションでは、カスタム リゾルバにセカンダリ ゾーンを追加する使用例をいくつか示します。

オンプレミスの DNS サーバーからカスタム リゾルバーの場所にゾーン レコードを複製する

この複製により、ゾーン レコードの可用性が向上します。 オンプレミス サーバーが何らかの理由で使用できなくなった場合は、カスタム リゾルバの場所に対して DNS クエリを実行し、オンプレミス サーバーと同じ応答を返すことができます。

ゾーンが構成されると、カスタム リゾルバの場所でレコードが自動的に更新され、オンプレミスのレコードに加えられた変更がカスタム リゾルバの場所に反映されます。

セカンダリゾーンレコードのDNSクエリは、VPC内でカスタムリゾルバの場所に直接実行できます。

DNS クエリの応答時間を長くするには、ソースに近い DNS サーバーを選択します。 たとえば、オンプレミス ネットワークでクエリが実行されている場合、そのクエリはオンプレミスの DNS サーバーに送信される可能性があります。 あるいは、クエリが VPC ネットワーク内で実行されている場合は、構成されたカスタム リゾルバの場所にクエリを送信できます。