Route 53 Resolver とハイブリッド DNS(インバウンド/アウトバウンド)
VPC とオンプレミス双方で名前を解決するためのインバウンド/アウトバウンドエンドポイント、条件付きフォワーディング、試験で選ぶべき組み合わせを整理します。
なぜ Resolver が必要か
Amazon Route 53 Resolver は、VPC 内からの DNS クエリを処理するマネージド DNS リゾルバです。プライベートホストゾーンを VPC に関連付けていれば、Resolver が 権威への問い合わせを代行し、内部サービス名を解決します。
一方、オンプレミスの Active Directory や社内 DNS が握っている名前や、逆に VPC 側の名前をオンプレから解決したいといった ハイブリッドでは、**VPC とオンプレの DNS の「境界」**に インバウンド/アウトバウンドエンドポイント が登場します。
インバウンドとアウトバウンドの向き(試験の核心)
| 種類 | トラフィックの向き | 何を達成するか |
|---|---|---|
| インバウンドエンドポイント | オンプレ →(ネットワーク経由)→ VPC 内の Resolver | オンプレの DNS サーバが、VPC 側の Resolver にクエリを転送し、プライベートホストゾーンや VPC 内の名前を解決できる |
| アウトバウンドエンドポイント | VPC → オンプレの DNS | VPC からのクエリを ルールに従ってフォワードし、社内ドメインなどをオンプレの DNS で解決 |
混乱しやすいので、**「誰がクライアントで誰が権威か」**ではなく、**エンドポイント名が示す“窓口の方向”**で覚えます。
- Inbound … 外から VPC の Resolver に入ってくる窓口。
- Outbound … VPC から外の DNS に出ていく窓口。
条件付きフォワーディングルール
アウトバウンドでは、どのドメインサフィックスをどの DNS に送るかを フォワーディングルールで定義します。例: corp.example.com はオンプレの DNS、amazonaws.com はデフォルトに任せる、など。
試験の選択肢では、「VPC 内リソースがオンプレの名前を解決したい」→ アウトバウンド+ルール、「オンプレから VPC のプライベート名を解決したい」→ インバウンド+(オンプレ側のフォワーディング設定)、というセットが正解になりやすいです。
サンプル論点(誤答パターン)
- インバウンドとアウトバウンドを逆に説明する誤答 … 上表で向きを固定しておく。
- **「VPC エンドポイントがあれば Resolver は不要」**系の短絡 … Resolver と VPC エンドポイントは別目的。問題文をよく読む。
- セキュリティグループと ENI … Resolver エンドポイントは VPC 内のインターフェイスとして現れ、適切な SG とルートが必要、という文脈が出ます。
ネットワーク前提
Site-to-Site VPN や Direct Connect など、オンプレと VPC が DNS パケットをやり取りできることが前提です。DNS だけ設定してもルーティングが無いと動きません。SAA では 接続手段+DNS の二段構えが一文にまとまることがあります。
あわせて読む(サイト内)
公式ドキュメント(短い導線)
重要ポイント
- ▸インバウンドはオンプレなどから VPC の Resolver へ DNS を届け、プライベートホストゾーンや VPC 内名を解決させる
- ▸アウトバウンドは VPC からオンプレの DNS サーバへフォワードし、社内名やレガシー名を解決する
- ▸ルールの優先順位とフォワーディング先の組み合わせが、問題文の正解を決める
- ▸VPC のデフォルト Resolver はゾーンに関連付けたプライベート名を解決—ハイブリッドではエンドポイントが橋渡し
- ▸セキュリティは DNS Firewall(別トピック)やネットワーク経路(VPN/DX)と一体で論じられる
このトピックの学習を完了しますか?
完了状態はいつでも切り替えられます
この試験ドメイン内で次の学習に進む
同じサービスの関連トピック
VPC とネットワーク設計 に関連するトピックを続けて確認できます。