AD
※Active Directory
Windowsのサーバーに搭載されている(GUI)機能で、ネットワークにつないでいるクライアント端末やサーバー、プリンター、アプリケーションなどの情報を収集し、一元管理できるディレクトリサービス。
※Windows2000から導入されておりWindows Server標準機能であるため、特別なソフトのインストールは不要。
ADサーバをもとに、ユーザー認証・アクセス管理・ソフトウェア管理・接続機器の管理・操作ログの管理など可能。
●LDAP
ADのプロトコル。ネットワーク機器やユーザーID、パスワードを管理する「ディレクトリサービス」の維持やアクセスを行うプロトコル。
Simple AD
【AWS上に別のAD】
Samba 4 Active Directory Compatible Serverを使用するスタンドアロンのマネージド型ディレクトリ。
社内のActive DirectoryとIAMを連携するのではなく、AWS上に別のADサービスを構成する。
・ユーザーアカウントやグループメンバーシップの管理
・グループポリシーの作成および適用
・EC2 インスタンスへの安全な接続を提供
・Kerberos ベースのシングルサインオン (SSO) を使用できる
AD Connecter
【オンプレへの接続】 ※信頼関係なし
IAMとオンプレミス環境のADとを連携するのに利用するディレクトリゲートウェイ。ディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用。
・AWSとオンプレミス Microsoft AD の間で信頼関係を設定する方式を利用していない。
・クラウドの情報をキャッシュしない
[仕組み]
既存オンプレミスの Microsoft Active Directory のユーザーやグループにロールを割り当てる。ロールに割り当てられた IAM ポリシーに基づいてユーザーの AWS サービスへのアクセスを制御する。
[多要素認証]
オンプレミスまたは Amazon EC2 インスタンスで Active Directory を実行している場合は、AD Connector の多要素認証を有効にすることができる。
[引用元サイト]
Managed Microsoft AD
【オンプレへの接続】 ※信頼関係あり
AWS側にMicrosoft Active Directoryとの互換性があるフルマネージド型のADを作成する。自分でADサーバーを構築・管理する手間なく、可用性・スケーラビリティ・保守性が高いAD環境を簡単に構築できる。(基盤は Windows Server 2012 R2)
・高可用性構成のドメインコントローラーが、自動で複数のアベイラビリティーゾーンにまたがって作成される。
・モニタリング、復旧、データのレプリケーション、スナップショット、ソフトウェア更新などはすべてAWSが自動管理。
・オンプレミス Microsoft AD とAWS との間で信頼関係(ルート)を設定。AWS SSOと連携したシングルサインオンが可能。
・VPCと統合可能で、既存のAWSリソースとの連携がスムーズ。
DNS
※Domain Name System
IPアドレスとドメイン名(インターネットやメールなどで使われる住所)を紐づけて管理する。
| ※DNSの伝播とは… DNSレコードの変更がインターネット上のすべてのDNSサーバーに反映されるまでの時間を指す。たとえば、ドメインのIPアドレスを変更した場合、その情報が世界中のDNSサーバーに行き渡るまでに時間がかかる。 |
DNSの仕組み
①再起問い合わせ:クライアント から DNSキャッシュサーバ に送られる問い合わせ
②非再起問い合わせ:DNSサーバ から 権威サーバ に送る問い合わせ
③反復問い合わせ:非再帰問い合わせ を上位の権威サーバから下位の権威サーバまで繰り返して問い合わせを行う
| 権威DNS サーバ | 【調査】DNSコンテンツサーバ。フルサービスリゾルバからの問い合わせに「ゾーンファイル」を参照して対応する。 [ゾーンファイルの記載内容] ●NSレコード 管理を委託しているDNSサーバの名前が書いてある行。どこに行けばドメインのIPアドレスを見つけられるかをインターネットに知らせる。 ※下記ドメイン名に関する情報を格納 ・ドメイン名 ・ターゲットIPアドレス ・TTL(Time To Live)……など [引用元サイト] |
| フルサービスリゾルバ | 【受付/回答】DNSキャッシュサーバ。パソコンからの問い合わせを受け付ける。権威DNSサーバに問い合わせ、ドメインの名前解決をおこなうDNSサーバー。解決したドメインの情報を一時的に保存する、DNSキャッシュサーバーを兼ねているのが一般的。 ※DNSリゾルバ―とは リゾルバは自分の知っているDNSサーバへ問い合わせを行い、IPアドレスの割り出し(名前解決)を行う機能。ドメイン名の対応付けを確認してくれる。 |
| 再帰的なDNS リゾルバー | ドメインに変更がないか再度問い合わせること。情報をキャッシュに保持することで、毎回リゾルバが名前解決しなくてもドメインの情報を把握することが可能であり、呼び出し数を減らせる。 ※DNSフォワーダとは フルサービスリゾルバが問い合わせを受けたけど答えが分からないときに、その問い合わせを別のDNSサーバ(フルサービスリゾルバ)に丸投げ(中継)する機能。 |
その他機能
●ROA(Route Origin Authorization)
【経路の電子証明書】利用している RIR を介して作成。
経路広告に関する電子署名付き証明書。IPアドレスの組み合わせが正しい組み合わせであることを示す電子署名が施されたデータ。
・アドレス範囲、そのアドレス範囲を公開することを許可された自律システム番号 (ASN)、および有効期限が含まれる。
※RIR(Regional Internet Registry)
特定地域内のIPアドレスの割り当て業務を行うレジストリ。
インターネットリソース(IPv4、IPv6の両IPアドレスとAS番号)の配分と登録を管理する組織。
●Zone APEX
【サブドメインなし】example.jp や example.co.jp など サブドメイン(wwwなど)を含まないドメイン名のこと。
APEXは頂点を意味し、ゾーンの頂点として意味するサブドメインを含まないドメインを意味する。
Route53
【AWSのDNSサービス】
サービスを提供するサーバーのIPアドレスを任意のドメイン名と対応づけて名前解決する。ドメイン名を、Route 53 に登録することで、””*****.jp”” のドメインを管理・運用できる。
・異常と判断した対象のIPアドレスをクエリ結果として返さない。すべて異常の場合はIPアドレスを返す仕様。
・S3と接続するときはリソースレコード名とバケット名が一致している必要がある。
※Route53はS3に直接ルーティングすることはできない。
・Route53のプライベートDNSレコードはオンプレミスの使用には拡張できず、発信元のリクエストがVPC内から行われた場合のみ機能する。
※ドメイン管理機能/DNS権威機能とは
WebコンソールやAPIから簡単にドメイン情報やゾーン情報を設定・管理。
●DNSルックアップ
DNS を用いて、ドメイン名やホスト名からIPアドレスを、あるいはその逆を調べること。
※通常はリゾルバと呼ばれるソフトウェアを用いる
[エンドポイントを利用した名前解決]
「プライベートDNSオプション」を有効にすることで実現可能
| Evaluate Target Health | 【ターゲットの正常性の評価】 一般に、ツリー内のすべてのエイリアスレコードに設定する。 [No (なし)]の場合:Route 53 はレコードのヘルスチェックが失敗した場合でも、エイリアスレコードが参照するレコードにトラフィックをルーティングし続ける。 [Yes (あり)]の場合:正常にヘルスチェックの結果を応答として返す。 |
Route53
●Route53 インバウンドリゾルバーエンドポイント
外部ドメイン(VPCの外部)から、Route53リゾルバ―を利用して、VPC内で作成されるインスタンスの名前解決ができる。
●Route53 リゾルバーアウトバウンドエンドポイント
外部ドメインに対する転送ルールを設定することで、VPCから外部ネットワークへDNSクエリを転送し、目的のホストと通信ができる。このエンドポイントにはVPC内のプライベートIPアドレスが使われ。同一リージョン内で複数のVPCが1つのエンドポイントを共有したり、複数作成したりすることも可能。
[ハイブリッドネットワークにおける統合 DNS 解決]
下記構成により、ハイブリッドクラウド環境においても 柔軟かつ効率的な名前解決戦略が可能になる。
①Route 53 Resolver 転送ルールを使用して、ドメイン名ベースで DNS クエリの送信先を制御。
②AWS から発信される DNS クエリは、転送ルールに基づいて適切なリゾルバーへルーティングされる。
⇒オンプレミス向けのクエリ:オンプレミスの DNS リゾルバーへ転送。
⇒AWS 内/インターネット向け:Route 53 Resolver が直接解決。
●Route53 ARC
※Route53 Application Recovery Controller
マルチAZやマルチリージョンを利用している環境において障害や不具合が発生した際の高速復旧に利用される。具体的には、障害や不具合の起きているAZやリージョンを使用しないよう分離して、サービスを継続するための仕組みである。
- 安全対策の必要性
誤ってすべてのルーティングコントロールをオフにすると、フェイルオープン(意図しない切り替え)になる可能性がある。 - マスターオン/オフスイッチの導入
一連のルーティングコントロールを一括で無効化する仕組みを設けることで、自動化による誤動作を防止。
[安全ルール]
ルールを組み合わせることで、意図しないフェイルオーバーや自動化による誤動作を防ぎ、より堅牢なトラフィック制御が可能になる。
| ルール種別 | 主な用途 | 制御方法 |
|---|---|---|
| アサーションルール | 最低限の可用性を保証(常に1つはOn) | 状態変更時に基準を満たす必要あり |
| ゲートルール | 一括制御のスイッチとして機能(On/Off) | ゲートの状態に応じて変更を許可/拒否 |
ホストゾーン
ルート設定機能。ホストゾーンはレコードのコンテナであり、レコードにはドメイン名やサブドメインの特定のドメインのトラフィックをどのようにルーティングするか情報を保持。ホストゾーンの名前と対応するドメインの名前は同じ。
・ヘルスチェックで利用するプロトコルは、HTTP、HTTPS、TCP。
・Zone ApexレコードをELBに関連付けるには、Aレコードを使用。
| パブリックホストゾーン | トラフィックをインターネットでどのようにルーティングするかを指定するレコードが含まれている。インターネット上に公開されたDNSドメインのレコードを管理するコンテナ。 |
| プライベートホストゾーン | トラフィックをVPCでどのようにルーティングするかを指定するレコードが含まれている。 VPCに閉じたプライベートネットワーク内のDNSドメインのレコードを管理するコンテナ。 |
ルーティング
[ルーティング方法]
| ホストベース | HTTPヘッダーのHostフィールドに基づいてクライアント要求をルーティングでき、同じロードバランサーから複数のドメインにルーティングする。 |
| パスベース | HTTPヘッダーのURLパスに基づいてクライアント要求をルーティングできる。 |
| HTTPヘッダーベース | 標準またはカスタムのHTTPヘッダーの値に基づいてクライアント要求をルーティングできる。 |
| HTTPメソッドベース | 標準またはカスタムのHTTPメソッドに基づいてクライアントリクエストをルーティングできる。 |
| クエリ文字列パラメータベース | クエリ文字列またはクエリパラメータに基づいてクライアントリクエストをルーティングできる。 |
| 送信元IPアドレスCIDRベース | リクエストの発信元の送信元IPアドレスCIDRに基づいてクライアントリクエストをルーティングできる。 |
[ルーティングポリシー]
| シンプル | 設定されたレコード情報に沿ってルーティングする、標準的な1対1のルーティング。 |
| フェイルオーバー | ヘルスチェックを行い、無事なところにルーティングする(アクティブ / アクティブ , アクティブ / スタンバイ) ※本番システム障害時にSorryサーバのIPアドレスをセカンダリコードとして登録すると自動的に表示できる |
| 位置情報 | 地理的に近いところへルーティングする。(待ち時間の削減には適さない) |
| 地理的近接性 | リソースの場所に基づいてトラフィックをルーティングし、必要に別の場所のリソースに移動する。 |
| レイテンシーベース | トラフィックを最もレイテンシーが低いリソース(リージョンなど)へルーティングする(静的ウェブサイトのみ) |
| 加重 | 複数のリソースへ指定した加重比率でルーティング分散する |
| マルチバリュー (複数値回答) | 別々のレコードにIPアドレスを設定、IPアドレス単位でヘルスチェックを実施してルーティングする。1つのレコードを異なるIPアドレスを複数登録して、ランダムに返却されたIPアドレスに接続する。 |
レコードタイプ
※CNAMEの振る舞い:yyy.sample.com → AWSリソースのドメイン名 → IPアドレス
※ALIASの振る舞い:yyy.sample.com → IPアドレス
| A | ドメイン名を(静的な)IPアドレスにマッピングする。(例:example.com -> 192.168.0.1) IPv4アドレスとドメイン名を1対1で紐づける。ウェブサーバーなどのリソースにトラフィックをルーティング。 |
| AAAA | IPv6アドレスとドメイン名を1対1で紐づける。ウェブサーバーなどのリソースにトラフィックをルーティング。 |
| CAA | 間違った CA(認証機関) がドメインの証明書を発行することを防止できる。 |
| CNAME | CNAMEレコードは正規ホスト名に対する別名を定義するレコード。特定のホスト名を別のドメイン名に転送する時などに利用する。 【例】ドメイン名:abc.comの場合【設定可能】 ホスト名:www VALUE:www.onamae.com と入力⇒http://www.abc.com/にアクセスするとhttp://www.onamae.com/に転送される。 |
| DS | 委任署名者 (DS) レコードは、委任サブドメインゾーンのゾーンキーを参照します。DNSSEC 署名を設定するときに、信頼チェーンを確立するときに DS レコードを作成できます。 |
| MX | メールサーバーの名前を指定。複数のメールサーバーがある場合は、優先順位を指定。 |
| NAPTR | 名前付け権限ポインタ (NAPTR) は、動的委任発見システム (DDDS) アプリケーションで、1 つの値を別の値に変換または置き換えるために使用されるレコードのタイプです。 |
| NS | ホストゾーンのネームサーバーを識別 |
| PTR | IP アドレスを対応するドメイン名にマッピング |
| SOA | ドメインおよび対応する Amazon Route 53 のホストゾーンに関する情報を提供。 |
| SPF | メールの送信者の身元を確認するために SPF レコードが使用されていた(非推奨) |
| SRV | E メールや通信のサービスなどのサービスにアクセスするために使用。 |
| TXT | ホスト名に関連付けるテキスト情報(文字列)を定義するレコード。送信+C8ドメイン認証の認証情報などを記述。 [参考] |
●Aliasレコード
【高処理CNAME】
Route 53の内部で扱う特殊なタイプ。外から見たら単なるAレコードに見える。一言で言ってしまえば「各AWSプロダクトで利用するDNS名専用の、CNAMEレコード風の挙動を実現するレコード」。
・CNAME レコードと同様に、エイリアスレコードを使用すると、選択した AWS リソース (CloudFront ディストリビューションやAmazon S3 バケットなど) にトラフィックをルーティングできる。
※CNAMEはDNSクエリが2回発生するのに対して、1回で処理できる
[Route 53にALBのDNS名を設定]
・エイリアスターゲットの IP アドレスを伴う A レコード (IPv4 アドレス)
・エイリアスターゲットの IP アドレスをAAAA レコード (IPv6 アドレス)
エラー事例
[Route53 APIリクエスト]
AWSアカウントごとに1秒あたり5件を超えるリクエストを送信すると、Route53は「HTTP 400エラー(Bad request)」を返す。レスポンスヘッダーには、Throttllingの値をCode要素と、Rate exceededの値を持つMessage要素も含まれている。
[ChangeResourceRecordSets]
Route53で次のリクエストが到着するまでにリクエストを処理できない場合、同じホストゾーンの後続のリクエストが却下され、HTTP400エラー(Bad Request)が返される。
