IBM Cloud Docs
計画関連事項

計画関連事項

VPE ゲートウェイの DNS 共有を構成する前に、以下の考慮事項を確認してください。

ハブに関する考慮事項

ハブ VPC の計画に関する以下の考慮事項を確認してください。

  • ハブ VPC と DNS 共有 VPC は同じリージョンになければなりません。
  • ハブ VPC と DNS 共有 VPC の間の接続を確立することが重要です。 IBM Cloud は、接続の管理も検証も行いません。
  • VPC の作成時または作成後の任意の時点で、VPC をハブとして指定できます。 VPC をハブとして指定する場合、その VPC に DNS 解決バインディングを含めることはできません。
  • 重複する DNS 共有 VPC がない限り、1 つのアカウント内に複数のハブ VPC を作成できます。
  • VPC に DNS 共有 VPC への DNS 解決バインディングがある場合、VPC 上のハブの指定をキャンセルしたり削除したりすることはできません。
  • DNS 共有 VPC から開始できるのは、DNS 解決バインディングの作成のみです。
  • 許可されたユーザーのみが、ハブ VPC および DNS 共有 VPC から DNS 解決バインディングを削除できます。 ハブ VPC から DNS 解決バインディングを削除するには、ユーザーに is.vpc.dns-resolution-binding.delete アクションと is.vpc.dns-resolution-binding.disconnect IAM アクションが割り当てられている必要があります。 DNSBindingConnector アクセス・ポリシーおよび管理者またはエディターのプラットフォーム役割を持つユーザーを割り当てることができます。

DNS 共有 VPC に関する考慮事項

DNS 共有 VPC に関する以下の計画上の考慮事項を確認してください。

  • ハブ VPC のリストから DNS 解決バインディングを選択するか (ハブ VPC が同じアカウントに存在する場合)、ハブ VPC のクラウド・リソース名 (CRN) を入力して (ハブ VPC が別のアカウントに存在する場合)、ハブ VPC に DNS 解決バインディングを割り当てることができます。

  • DNS 共有 VPC に、DNS ハブ VPE、または既存の DNS 共有 VPC と共有されているいずれかの VPE と競合する VPE ゲートウェイが含まれている場合、DNS 共有 VPC は、その VPE を作成する前に、その VPE の DNS 解決バインディングを無効にする必要があります。 DNS 解決バインディングが既に作成された後に、競合する VPE を作成しようとすると、同様の問題が発生します。

  • DNS 共有 VPC のリゾルバーが DNS ハブ VPC のカスタム・リゾルバーに委任されている場合、DNS 共有 VPC 内の個々のエンドポイント・ゲートウェイで DNS 共有を無効にすると、このエンドポイント・ゲートウェイの DNS 共有 VPC で DNS 解決が失敗する可能性があります。

  • DNS 共有 VPC に対して複数の DNS 解決バインディングを作成することはできません。

  • DNS 解決バインディングの詳細を表示して、ハブ VPC に関する情報と、DNS 共有 VPC 内のどのエンドポイント・ゲートウェイで DNS 共有が有効になっているかを確認できます。

  • DNS リゾルバー・タイプが「代行」に設定されている場合、DNS 共有 VPC 上の DNS 解決バインディングを削除することはできません。 最初に DNS リゾルバー・タイプを「システム」または「手動」に更新してから、DNS 解決バインディングを削除する必要があります。

  • DNS 共有 VPC がハブ VPC 上の委任 DNS サーバーを使用するには、ハブ VPC がそのネットワーク上でカスタム・リゾルバーを実行する必要があります。

  • DNS 共有 VPC 内の個々のエンドポイント・ゲートウェイで DNS 共有を有効または無効にすることができます。

  • ハブ VPC 上のカスタム・リゾルバーに対して、DNS 共有 VPC の DNS リゾルバーを構成することができます。

  • DNS 共有 VPC 許可ユーザーは、その DNS リゾルバーをハブ VPC 上のカスタム・リゾルバーに変更することができます。 これは、DNS 共有 VPC が、同じハブに対して DNS ネットワークを共有するハブ VPC またはその他の DNS 共有 VPC 上のエンドポイント・ゲートウェイへの接続を試行する場合に不可欠です。

  • DNS 共有 VPC 許可ユーザーは、DNS 解決バインディングを作成または削除できます。 DNS 共有の許可ユーザーは、両方の VPC で適切な許可レベルを持っている必要があります。

    DNS ハブ VPC と DNS 共有 VPC が異なるアカウントにあるかどうかに関係なく、サービス間ポリシーを作成するには委任プロセスが必要です。これにより、DNS 共有から DNS ハブ VPC への DNSBinding サービス役割が許可されます。

    • ユーザーは、dns-shared vpc に対する binding-create 許可を持っている必要があります。
    • ユーザーは、dns-hub vpc に対する binding-connect および read 権限を持っている必要があります。

    DNS 共有 VPC の DNS リゾルバーをカスタム・リゾルバーに変更するには、許可ユーザーは、DNS 共有 VPC に対するオペレーター役割 (最小) と、DNS ハブ VPC に対するビューアー役割を持っている必要があります。

  • ハブ VPC 上のカスタム・リゾルバー許可ユーザーは、個別にカスタム・リゾルバーを操作できます。 その結果、カスタム・リゾルバーの IP アドレスが更新されると、すべての代行 DNS 共有 VPC に自動的に伝搬されます。

お客様は、複数の VPC およびアカウント間で独自のアーキテクチャーを設計および管理する責任があります。