Alibaba Cloud DNS は、主に Alibaba Cloud の仮想プライベートクラウド (VPC) 内の、企業のイントラネットシナリオ向けに完全な DNS 解決サービスを提供します。
概要
プライベートドメイン名解決 (Private Hosted Zone) サービスは、従来の Alibaba Cloud DNS PrivateZone プロダクトを包括的にアップグレードしたものです。このサービスは、主に Alibaba Cloud VPC 内の企業のイントラネットシナリオ向けに、完全な DNS 解決を提供します。これには、イントラネットドメイン名の解決、キャッシュ、転送、再帰などの機能モジュールが含まれます。このサービスを使用すると、VPC 環境内の Elastic Compute Service (ECS) インスタンスやコンテナなどのさまざまなクライアントに対して、ドメイン名の解決、プライベートドメイン名解決の高速化、プライベート権限ドメイン名の定義、クラウドとオンプレミスデータセンター (IDC) 間の解決トラフィックの転送、およびプライベート解決トラフィックログの分析を行うことができます。
プロダクトの機能
Alibaba Cloud DNS は、世界中の Alibaba Cloud データセンターに独自の DNS ソフトウェアをデプロイすることにより、VPC 環境向けの完全なプライベート DNS 解決サービスを提供します。このサービスには、以下の機能モジュールが含まれています:
イントラネットドメイン名の解決
このモジュールは、従来の Alibaba Cloud DNS PrivateZone サービスに基づいています。これは、Alibaba Cloud VPC などの企業のイントラネット環境に組み込まれたプライベート権限 DNS モジュールです。このサービスを使用すると、企業の VPC 内でのみアクセス可能なプライベート権限ドメイン名を作成し、それらを IP アドレスに解決できます。プライベート権限ドメイン名レコードを使用して、VPC 内の ECS ホスト名、SLB インスタンス、OSS バケットなどの Alibaba Cloud リソースを管理できます。これらのプライベート権限ドメイン名は、VPC の外部からはアクセスできません。また、専用線や VPN などの方法を使用して、VPC をオンプレミスデータセンターに接続することもできます。この接続により、オンプレミスデータセンターと Alibaba Cloud VPC のリソースが、プライベート権限ドメイン名を使用して相互にアクセスできるようになります。
サービスデプロイの場所に基づいて、イントラネットドメイン名の解決 サービスはアクセラレーションリージョンと標準リージョンに分かれています。従来の Alibaba Cloud DNS PrivateZone サービスで作成されたプライベート権限ドメイン名は、標準リージョンに保存されます。アクセラレーションリージョンの権限サービスは、解決リクエストのソースに近くなります。アクセラレーションリージョンの権限ドメイン名の DNS レコードは、DNS サーバーの高速メモリに保存されます。この設計により、アクセラレーションリージョンでのプライベート権限ドメイン名の解決における遅延が最小限に抑えられます。これにより、アクセラレーションリージョンは、低い解決遅延と高い安定性を必要とするドメイン名に最適です。アクセラレーションリージョンは スプリットゾーン DNS と 加重解決 をサポートしています。標準リージョンは、これら 2 つの機能をサポートしていません。
キャッシュ
プライベート DNS 解決サービスのキャッシュモジュールは、主に企業の VPC 内でのドメイン名解決を高速化するために使用されます。通常、VPC 内のすべてのドメイン名解決リクエストの解決結果は、DNS サーバーの高速キャッシュメモリに保存されます。これにより、同じドメイン名に対する後続のリクエストの結果を迅速に取得できます。Time to Live (TTL) 値は、解決結果がキャッシュに保存される期間を決定します。キャッシュされた結果は、TTL の有効期限が切れると自動的に削除されます。キャッシュ保持機能を有効にすると、キャッシュサービスに特定のキードメイン名の解決結果を DNS サーバーのメモリに強制的に保持させることができます。TTL の有効期限が切れた後に解決リクエストが到着した場合、まずキャッシュされた結果が返され、その後バックグラウンドで解決結果が更新されます。キャッシュ保持機能は、VPC 環境におけるキードメイン名の解決速度を向上させます。また、ドメインのパブリック権限 DNS サービスの停止など、インターネット上の解決障害によるサービス中断を防ぐこともできます。詳細については、「キャッシュ管理」をご参照ください。
転送
プライベート DNS 解決サービスの転送モジュールは、従来の Alibaba Cloud DNS PrivateZone プロダクトの Resolver サービスに相当します。ドメイン転送ルールと DNS アウトバウンドエンドポイントを作成して、企業の VPC から特定のドメイン名の DNS クエリトラフィックを外部の DNS システムに転送できます。この機能は、ハイブリッドクラウドやクラウドとオンプレミス環境間でのサービス呼び出しを含むシナリオで役立ちます。詳細については、「転送管理」をご参照ください。
再帰
プライベート DNS 解決サービスの再帰モジュールは、企業の VPC 環境内の ECS インスタンスなどのさまざまなクライアントに対して、インターネット上のドメイン名の再帰解決を提供します。このサービスは、Alibaba Cloud VPC の内部解決シナリオに対してデフォルトで無料で提供されますが、サービスレベルアグリーメント (SLA) は付属していません。また、ご利用の ECS インスタンスのデフォルトの DNS サーバー IP アドレス (`100.100.2.136`/`100.100.2.138`) を変更して、他のプロバイダーの DNS サーバーを使用することもできます。これを行うと、ECS インスタンスは Alibaba Cloud DNS が提供するプライベート解決サービスを使用できなくなります。
インバウンドエンドポイント
インバウンドエンドポイントは、プライベート DNS 解決サービスの名前サーバーアドレスです。ECS インスタンスやコンテナなど、クラウド内のクライアントの DNS サービスアドレスとして設定できます。また、オンプレミスホストや外部 DNS サーバーなど、クラウド外のクライアントがプライベート DNS 解決サービスにアクセスするための宛先 IP アドレスとして設定することもできます。インバウンドエンドポイントは、システム割り当てとカスタムの 2 種類に分かれています。システム割り当てのデフォルトのプライベート DNS 解決サービスアドレスは 100.100.2.136 と 100.100.2.138 です。これらのアドレスは、エニーキャストを使用してすべてのリージョンのすべての VPC に DNS 解決サービスを提供します。これらのアドレスは無料で使用でき、追加料金は発生しません。
VPC 内で独自の計画されたプライベート IP アドレスを使用してプライベート DNS 解決サービスを提供したい場合は、インバウンドエンドポイントを作成してカスタムのプライベート DNS 解決サービスアドレスを割り当てることができます。これらのアドレスはオンデマンドで作成され、従量課金制で請求されます。詳細については、「インバウンドエンドポイント」をご参照ください。
トラフィック分析
プライベート DNS 解決サービスは、ドメイン名解決のためのエンドツーエンド、フルパス、かつ視覚的なネットワークトラフィック分析サービスを提供します。DNS クエリの受信から最終的な DNS 応答までの全プロセスを完全に再構築します。解決遅延、解決リクエスト数、キャッシュヒット率、ホットスポットドメイン名、ホットスポットリクエストソースなど、さまざまなディメンションからのデータ分析を提供します。このデータは、解決設定を最適化するためのリファレンスとなります。
プライベート DNS 解決サービスのルールは、**企業の VPC 内のクライアントからの解決リクエストで、DNS サーバーとして 100.100.2.136/100.100.2.138 またはインバウンドエンドポイントからのカスタム IP アドレスを使用している場合にのみ**適用されます。ECS クライアントの DNS 設定を別の IP アドレスに変更した場合、Alibaba Cloud DNS のプライベート解決サービスのルールはその ECS インスタンスには適用されません。
解決ルールの優先順位
企業の VPC シナリオでは、DNS サーバーが DNS クエリを受信すると、次の優先順位ルールに従ってドメイン名を解決します:
利点
豊富なプロダクト機能
スプリットゾーン DNS: プライベートドメイン名解決は、特定の IP アドレス範囲から発信された DNS クエリに対して特定の IP アドレスを返すことができます。この機能は、Alibaba Cloud DNS 回線とカスタム DNS 回線をサポートしています。
加重解決: 同じホスト名レコードとリクエストソースに対して複数の IP アドレスまたはドメイン名が設定されている場合、各レコード値に重みを設定できます。DNS クエリに応答する際、すべてのアドレスが事前に設定された重み比率に基づいて返されます。これにより、解決トラフィックが異なるサーバーに分散され、ロードバランシングが実現します。
キャッシュ保持: ホットスポットまたはキードメイン名に対してキャッシュ保持を有効にすることができます。これらのドメイン名の DNS レコードは常にキャッシュに保持されます。これにより、プライベート DNS でのドメイン名の解決速度が向上し、ドメインの権限 DNS プロバイダーの障害によるサービス中断を防ぎます。
キャッシュパージ: 内部サービスの緊急変更中に、プライベートドメイン名の最新の DNS レコードを迅速に更新する必要がある場合があります。ドメイン名でキャッシュ保持が有効になっている場合、キャッシュパージ機能を使用して、キャッシュルール範囲内のキャッシュサーバーからそのドメイン名のキャッシュデータをクリアできます。
転送管理: 企業の VPC 内の特定のドメイン名の DNS クエリトラフィックを外部の DNS システムに転送できます。この機能は、ハイブリッドクラウドやクラウドとオンプレミス環境間でのサービス呼び出しを含むシナリオで役立ちます。
トラフィック分析: この機能は、エンドツーエンド、フルパス、かつ視覚的なネットワークトラフィック分析サービスを提供します。DNS クエリの受信から最終的な DNS 応答までの全プロセスを再構築し、簡単に表示できるグラフィカルなレポートを提供します。解決トラフィックデータの変更に基づいて、サービスアーキテクチャを迅速に調整できます。
セキュリティ分離
プライベート DNS 解決は、異なる VPC に対して完全なデータ分離を提供し、以下のセキュリティ属性を含みます:
ドメイン名 (ゾーン) はインターネットからクエリできません。これにより、悪意のあるアクターが内部のビジネス情報やシステムアーキテクチャを探索するのを防ぎます。
ドメイン名 (ゾーン) は、その有効範囲外からはクエリできません。これにより、内部システムのアクセス境界が定義され、コアデータへのアクセスが可能な限り最小の範囲に制限されます。
ドメイン名 (ゾーン) データは、ネットワークトンネリング機能と組み合わせて安全に処理されます。これにより、ドメイン名 (ゾーン) 情報が悪意を持って侵害されるのを防ぎます。
柔軟なコントロール
プライベート DNS には、制限なくプライベートドメイン名 (ゾーン) ファイルを追加またはカスタマイズできます。
プライベート DNS には、
taobao.comなどの任意のドメイン名 (ゾーン) を追加できます。ドメイン名の有効範囲を設定すると、taobao.comはインターネットからのパブリック DNS 解決結果を上書きします。VPC 内で、
example.testやexample.abcdのように、パブリックインターネットで登録できないカスタムドメイン名を作成できます。同じ名前を持つドメイン名 (ゾーン) に異なる有効範囲を設定できます。これにより、異なるリージョンの VPC が同じドメイン名を使用して異なるクラウドリソースにアクセスし、最近接アクセスを実現できます。例えば、
test.example.comのクエリが中国 (華北 2) と中国 (杭州) の VPC から開始された場合、DNS はそれぞれ中国 (華北 2) と中国 (杭州) のクラウドリソースアドレスを返します。
システムアーキテクチャ
プライベートドメイン名解決は、コントロールレイヤーと解決レイヤーの 2 つの部分で構成されます。
コントロールレイヤー:コントロールレイヤーは、コンソールと OpenAPI を通じて外部サービスを提供します。主に、DNS レコードデータ、設定データ、ログデータの作成、取得、更新、削除 (CRUD) およびストレージ機能を実装します。コントロールレイヤーは、中国本土の中国 (張家口) および中国 (杭州) リージョンにあります。
解決レイヤー:解決レイヤーは、世界中のリージョンにデプロイされたサーバークラスターを通じて外部サービスを提供します。解決レイヤーは、コントロールレイヤーから分散された DNS レコードデータを受信し、主にこのデータのクエリに応答する責任を負います。解決レイヤーは、Alibaba Cloud サービスが公開されているすべてのリージョンとゾーンをカバーしています。
シナリオ
ホスト名管理
ECS ホスト名の命名を標準化して、各マシンの目的を理解しやすくすることができます。プライベート解決サービスのホスト名レコード機能を使用して、ECS ホスト名解決レコードを自動的に同期および設定できます。これにより、ホスト名で ECS インスタンスにアクセスできます。
例えば、ある企業 (example.com) が中国 (華北 2) リージョンのゾーン E の VPC に 50 台の ECS インスタンスを所有しているとします。そのうち、20 台の ECS インスタンスは公式サイトのホームページ用、20 台はモバイルアプリ用、10 台は内部テスト環境用です。ホスト名は次のように計画できます:
ウェブサイト:web01.huabei2-e.example.com から web20.huabei2-e.example.com
アプリ: m01.huabei2-e.example.com から m20.huabei2-e.example.com
テスト:test01.huabei2-e.example.com から test10.huabei2-e.example.com
この設定後、イントラネットドメイン名の解決 サービスを使用してプライベートドメイン名を定義し、ECS ホスト名レコードの自動同期を有効にすることができます。これにより、特定の VPC ネットワーク内でホスト名によって ECS インスタンスにアクセスできるようになり、日常のホスト管理の利便性が向上します。
スプリットゾーン DNS
以前のバージョンの PrivateZone サービスは、スプリットゾーン DNS、カスタム回線、または Alibaba Cloud 回線をサポートしていません。アップグレードされたプライベートドメイン名解決 (PrivateZone) は スプリットゾーン DNS をサポートしています。訪問者のソースを判断し、異なる訪問者に対してインテリジェントに異なる IP アドレスを返します。これにより、訪問者はウェブサイトにアクセスする際にユーザー指定の IP アドレスを受け取ることができ、ウェブサイトのアクセス速度が向上します。イントラネットドメイン名の解決 のアクセラレーションリージョン内のプライベートドメイン名のみが、Alibaba Cloud 回線とカスタム DNS 回線を含むスプリットゾーン DNS をサポートします。
加重解像度
ドメイン名 (ゾーン) に同じホスト名レコードと DNS 回線を持つ複数の A、AAAA、または CNAME レコードがある場合、サービス移行中に異なる IP アドレス間でサービストラフィックを動的に切り替える必要がある場合があります。DNS レコードの重み値を設定できます。DNS クエリに応答する際、すべてのアドレスが事前に設定された重みに基づいて返されます。これにより、解決トラフィックが異なるサーバーに分散され、ロードバランシングが実現します。イントラネットドメイン名の解決 のアクセラレーションリージョン内のプライベートドメイン名のみが、加重解決 機能をサポートします。
クラウドサービスのインスタンス化
クラウド上にデプロイされたサービスは、しばしば相互にアクセスする必要があります。プライベート解決サービスを使用して、各クラウドサービスに対して VPC 内にプライベート権限ドメイン名を生成し、それを特定の内部サービス IP アドレスに解決できます。これにより、クラウドサービスがインスタンス化され、サービス IP アドレスが変更されたときに必要となる開発上の変更が大幅に削減されます。
例えば、API 管理シナリオで、ある企業 (example.com) のビジネスシステムが内部 API 操作を使用してアカウント認証情報を取得する必要があるとします。しかし、この API システムはプライベートデータを含んでおり、インターネットに公開できないため、API はプライベート IP アドレスを使用します。
この API にドメイン名 account.inner.example.com を割り当て、それを 10.23.45.67 に解決できます。API サービスアドレスが 10.45.67.89 に変更された場合、account.inner.example.com の解決を新しい IP アドレスに変更するだけで済みます。
ドメイン名解決の高速化とディザスタリカバリ
インターネットの発展に伴い、企業間でのドメイン名へのアクセスがより一般的になりました。これは間接的にサービスの依存関係を生み出します。インターネット上の依存ドメイン名の解決が不安定な場合、例えば、ドメインが使用する DNS サービスにグローバルノードがないために解決遅延が高い場合や、DNS サービスがダウンしている場合、依存サービスも影響を受けます。
プライベート解決サービスの キャッシュ管理 機能を使用すると、VPC 環境でのドメイン名の解決速度を大幅に向上させ、ドメイン名の解決がドメインの DNS サービスプロバイダーの安定性の影響を受けないようにすることができます。キャッシュ保持を有効にすると、ドメイン名の解決キャッシュは自動的にクリアされません。これにより、プライベート VPC でのドメイン名解決が 100% のキャッシュヒット率を達成し、解決速度が大幅に向上します。キャッシュ TTL の有効期限が切れた後、DNS クエリがシステムにドメインの解決結果の更新をトリガーします。この時点でドメインのパブリック権限 DNS サービスが異常な場合でも、システムは古いキャッシュされた解決結果を使用して応答します。これにより、通常の解決応答が保証され、ドメインの DNS サービスが異常な場合にディザスタリカバリ保護が提供されます。
クラウド環境とオンプレミス環境間での解決のためのデータ交換
大企業グループが段階的にクラウドを導入する過程で、クラウド VPC とオンプレミスデータセンターを含む企業イントラネットでのドメイン名解決のスムーズな移行は、しばしば課題となります。クラウド導入前、企業は独自のオンプレミス DNS サービスを持ち、内部サービスアクセス用に多くのプライベートドメイン名を定義している場合があります。クラウド導入後、移行されたサービスは、オンプレミスデータセンターの元のプライベートドメイン名を解決し、アクセスできる必要があります。
プライベート解決サービスの 転送管理 機能 (Resolver) を使用して、VPC 内の特定のドメイン名の DNS クエリを特定の DNS サービスに転送して解決することができます。企業のクラウド VPC 内のサービスが元のプライベートドメイン名にアクセスすると、これらのプライベートドメイン名の解決リクエストは、解決のために元のオンプレミス DNS に転送されます。これにより、これらのプライベートドメイン名の解決ロジックが変更されないことが保証され、サービスのスムーズなクラウド移行が保証されます。
プライベートドメイン名解決サービスの インバウンドエンドポイント 機能を使用すると、オンプレミスデータセンターからの DNS クエリをインバウンドエンドポイント経由で対応する VPC に転送して解決できます。また、クラウド内の DNS 解決サービスの宛先 IP アドレスをカスタマイズして、ローカルのオンプレミスデータセンターのアドレス範囲との競合を避けることもできます。これにより、クラウド環境とオンプレミス環境の両方で 1 つの DNS 解決システムを維持するだけでよくなり、運用保守 (O&M) のワークロードが削減されます。
トラフィック分析
現在、多くの Alibaba Cloud プロダクトがプライベート DNS 解決サービスと統合されています。しかし、このサービスは以前はブラックボックスであり、ユーザーはプライベート DNS 解決の状況について限られた情報しか得られませんでした。ユーザーは、ドメイン名解決の状況に基づいてサービスアーキテクチャを迅速に調整することができませんでした。新しいプライベートドメイン名解決サービスは、ドメイン名解決のためのエンドツーエンド、フルパス、かつ視覚的なネットワークトラフィック分析サービスを提供します。DNS クエリの受信から最終的な DNS 応答までの全プロセスを再構築します。解決遅延、解決リクエスト数、キャッシュヒット率、ホットスポットドメイン名、ホットスポットリクエストソースなど、さまざまなディメンションからのデータ分析を提供します。このデータは、解決設定を最適化するためのリファレンスとなります。