Cloud Firewall:プライベート DNS

制限事項

プライベート DNS 解決結果の同期は、ドメイン名識別モードが DNS ベースの動的解決 または FQDN および DNS ベースの動的解決 に設定されているアクセス制御ポリシーが適用されるシナリオのみに適用されます。

概要

手順

開始する前に、DNS サーバーの種類を確認し、以下の準備が完了していることを確認してください。

• DNS サーバーが Alibaba Cloud DNS プライベート DNS サーバーの場合は、解決レコードが構成されていることを確認してください。

• DNS サーバーが自己管理型 DNS サーバーの場合は、自己管理型 DNS サーバーのドメイン名と IP アドレス間のマッピングが構成されていることを確認してください。

プライベート DNS 解決設定を構成するには、次の手順を実行します。

ステップ 1: プライベート DNS 解決の同期ノードを作成する

同期ノードには、エンドポイント、vSwitch、エンドポイント ENI などのリソースが含まれます。

1. Cloud Firewall コンソール にログオンします。 左側のナビゲーションウィンドウで、[防御設定] > [同期ノード] を選択します。

   

2. [プライベート DNS] タブで、[作成] をクリックします。

3. [作成] パネルで、次のパラメーターを構成します。

   パラメーター	説明
   同期ノード名	同期ノードの名前を入力します。
   プライベート DNS タイプ	[PrivateZone] を選択した場合、DNS サーバーのデフォルト IP アドレスは 100.100.2.136 と 100.100.2.138 です。
   	[自己管理型 DNS サーバー] を選択した場合は、プライマリ DNS サーバーの IP アドレスを指定する必要があります。ビジネス要件に基づいて、セカンダリ DNS サーバーの IP アドレスも指定できます。 システムは、ドメイン名解決に優先的にプライマリ DNS サーバーを使用します。プライマリ DNS サーバーでドメイン名を解決できない場合、システムはセカンダリ DNS サーバーを使用してドメイン名を解決します。 DNS サーバーがパブリック IP アドレスを使用している場合は、作成された同期ノードが DNS サーバーにアクセスできるように、ビジネス VPC に NAT ゲートウェイがあることを確認してください。 DNS サーバーがプライベート IP アドレスを使用している場合は、作成された同期ノードが DNS サーバーにアクセスできるように、ビジネス VPC と DNS サーバーが相互に通信できることを確認してください。
   リージョン	同期ノードが属する VPC のリージョンを選択します。ドメイン名解決結果は、選択したリージョンに適用されます。ワークロードが 2 つのリージョンで実行されている場合は、各リージョンに同期ノードを作成し、各同期ノードにドメイン名を構成する必要があります。これにより、プライベート DNS サーバーの解決結果が両方のリージョンのアクセス制御ポリシーに適用されます。
   VPC	同期ノードの VPC を選択します。 VPC は、プライベート DNS サーバーへのアクセスに使用されます。 VPC ファイアウォールまたは NAT ファイアウォールで使用されている VPC は選択しないことをお勧めします。
   ゾーンと VSwitch	同期ノードの vSwitch を選択します。同期ノードの ENI の IP アドレスを指定することもできます。選択した vSwitch の CIDR ブロック内で、使用されていない IP アドレスを選択する必要があります。 IP アドレスを指定しない場合、Cloud Firewall は自動的に IP アドレスを割り当てます。 次のタイプのゾーンと vSwitch 設定を構成できます。 デュアルゾーンシナリオ (推奨): 2 つの異なるゾーンの vSwitch に 2 つの同期ノードを作成できます。ディザスタリカバリシナリオでは、このタイプの構成をお勧めします。 シングルゾーンシナリオ: 1 つのゾーンの vSwitch に 1 つの同期ノードのみを作成できます。シングルゾーンシナリオでは、ディザスタリカバリはサポートされていません。
   DNS 解決プロトコル	プライベート DNS サーバーが Alibaba Cloud DNS プライベート DNS サーバーの場合、このパラメーターは UDP に設定されます。 プライベート DNS サーバーが自己管理型 DNS サーバーの場合、プロトコルを選択する必要があります。 UDP と TCP がサポートされています。
   DNS 解決ポート	プライベート DNS サーバーが Alibaba Cloud DNS プライベート DNS サーバーの場合、このパラメーターは 53 に設定されます。 プライベート DNS サーバーが自己管理型 DNS サーバーの場合、サーバーのポートを指定する必要があります。デフォルト値は 53 です。
   ファイアウォール境界	解決結果を有効にするファイアウォール境界を選択します。1 つの同期ノードは複数のファイアウォール境界で有効にすることができます。ただし、1 つのファイアウォール境界は 1 つの同期ノードのみをサポートします。少なくとも 1 つのファイアウォール境界を選択する必要があります。有効な値: インターネット境界 NAT 境界 VPC 境界
   DNS 解決同期サイクル	このパラメーターは 5 分ごとに設定されます。

4. [次へ] をクリックします。

ステップ 2: プライベート DNS 解決のドメイン名を追加する

1. [同期ノード] ページで、作成した同期ノードを見つけ、[操作] 列の [ドメイン名の構成] をクリックします。

2. [ドメイン名の構成] パネルで、[追加] をクリックしてドメイン名を追加します。

   合計で最大 10,000 ドメイン名、バッチで最大 1,000 ドメイン名を追加できます。ワイルドカードドメイン名はサポートされていません。

3. [解決の詳細を表示] をクリックして、ドメイン名解決後に取得された IP アドレスが、ドメイン名にマップされている実際の IP アドレスと同じであるかどうかを確認します。

   

4. [OK] をクリックします。

ステップ 3: ドメイン名ベースのアクセス制御ポリシーを構成する

• インターネットに接続されたアセットからインターネットへのトラフィックを管理するアクセス制御ポリシーを構成します。詳細については、「インターネットファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。

• VPC 内の ECS インスタンスやエラスティックコンテナインスタンスなどのリソースから NAT ゲートウェイ経由でインターネットへのトラフィックを管理するアクセス制御ポリシーを構成します。詳細については、「NAT ファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。

• Cloud Enterprise Network ( CEN ) インスタンスの転送ルーターまたは Express Connect 回線を使用して接続されているネットワークインスタンス間のトラフィックを管理するアクセス制御ポリシーを構成します。詳細については、「VPC ファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。

その他の操作

• 同期ノードの変更: 同期ノードの名前または関連する自己管理型 DNS サーバーの IP アドレスを変更する場合は、[同期ノード] ページで同期ノードを見つけて [インスタンスの編集] をクリックします。

• 同期ノードの削除: プライベート DNS サーバに接続するために同期ノードが不要になった場合は、[同期ノード] ページで同期ノードを探し、[削除] をクリックします。同期ノードを削除する前に、構成済みのドメイン名を削除する必要があります。

  重要

  同期ノードを削除すると、システムはデフォルトの DNS サーバの解決結果を自動的に使用し、解決結果は構成済みのアクセスの制御ポリシーに適用されます。これにより、ビジネスリスクが発生する可能性があります。注意して進めてください。