仮想プライベートクラウド (VPC) 内では、通信にプライベートドメイン名を使用できます。これにより、IP アドレスを使用せずに ECS インスタンス上のサービスにアクセスでき、セキュリティが強化され、パブリックインターネットからの隔離が向上します。この機能を使用すると、インスタンスにプライベートドメイン名を簡単に割り当て、DNS 解決レコードを自動的に管理できるため、手動更新が不要になります。
ECS インスタンスのプライベートドメイン名
ECS インスタンスのプライベートドメイン名は、VPC 内のインスタンスに割り当てられる内部ドメイン名です。これは、VPC 内でインスタンスを識別し、アクセスするために使用されます。DNS 解決サービスはこれらのドメイン名を生成および解決し、IP アドレスに変換します。この機能は Alibaba Cloud の Private DNS に依存しています。Private DNS のサービスアドレスはシステムによって割り当てられ、100.100.2.136 と 100.100.2.138 です。
ユースケース
ホスト名管理:プライベート DNS 解決サービスを使用し、ECS インスタンスのホスト名タイプを IP アドレスベースまたはインスタンス ID ベースに設定することで、特定の VPC 内でホスト名によってインスタンスにアクセスできます。これにより、日常的なホスト管理が簡素化されます。
クラウドでのサービスインスタンス化:クラウド内のサービスは、互いに通信することがよくあります。プライベート DNS 解決を使用することで、各クラウドサービスに対して VPC 内で権限のあるドメイン名を生成し、特定の ECS インスタンスのプライベート IP アドレスに解決できます。このプロセスにより、変化する IP アドレスではなく、一貫した名前でサービスを参照できます。
より高度な DNS 設定 (DNS フォワーディングや再帰など) が必要な場合は、Private DNS を使用できます。パブリック DNS 解決が必要な場合は、Alibaba Cloud が安全で高速かつ安定した権威 DNS サービスである Alibaba Cloud DNS を提供しています。
プライベートドメイン名の構造
ECS インスタンスのプライベートドメイン名は、各レベルがピリオド (.) で区切られた 4 レベルドメインです。例:i-8ps2h6dsc74cuktb****.ap-southeast-3.ecs.internal または ip-172-16-0-89.ap-southeast-3.ecs.internal。構造は以下の部分で構成されます。
トップレベルドメイン (.internal):ECS の内部ドメインで、プライベートネットワーク内で使用されます。
セカンドレベルドメイン (.ecs):ECS のプロダクト識別子です。
サブドメイン (.[regionID]):インスタンスが配置されているリージョンの ID です。たとえば、マレーシア (クアラルンプール) リージョンを選択した場合、リージョン ID は
ap-southeast-3です。リージョン ID の詳細については、「リージョンとゾーン」をご参照ください。ホスト識別子:特定の ECS インスタンスを指します。ECS は、IP アドレスベースとインスタンス ID ベースのホスト名をサポートしています。
IP アドレスベースのホスト名:ECS インスタンスのプライマリプライベート IPv4 アドレスに基づくホスト名です。例:
ip-172-16-0-89(インスタンスのプライマリプライベート IPv4 アドレスが 172.16.0.89 の場合)。インスタンス ID ベースのホスト名:ECS インスタンスのインスタンス ID に基づくホスト名です。例:
i-8ps2h6dsc74cuktb****(インスタンス ID がi-8ps2h6dsc74cuktb****の場合)。IPv6 通信を使用する場合は、インスタンス ID ベースのホスト名を選択できます。
プライベート DNS レコードタイプ
ECS インスタンスのプライベートドメイン名は、以下の 4 種類の DNS 解決をサポートしています。
タイプ | 説明 | 生成されるドメイン名 | 例 | ユースケース |
IP アドレスベースのホスト名からプライマリプライベート IPv4 アドレスへの DNS 解決 (A レコード) | 生成された IP アドレスベースのプライベートドメイン名を、インスタンスのプライマリプライベート IPv4 アドレスにマッピングします。 |
|
| サービスアクセス検証:インスタンスの IP アドレスベースのホスト名を対応する IPv4 アドレスにマッピングすることで、IP アドレスがドメイン名に視覚的に含まれます。これはテストシナリオに適しています。 |
インスタンス ID ベースのホスト名からプライマリプライベート IPv4 アドレスへの DNS 解決 (A レコード) | 生成されたインスタンス ID ベースのプライベートドメイン名を、インスタンスのプライマリプライベート IPv4 アドレスにマッピングします。 |
|
| 自動デプロイと管理:ECS インスタンスの IP アドレスは、頻繁な操作により変更される場合があります。DNS 解決にインスタンス ID ベースのホスト名を使用すると、最新の IP アドレスがホスト名に自動的にバインドされ、構成管理と操作が簡素化されます。 |
インスタンス ID ベースのホスト名からプライマリプライベート IPv6 アドレスへの DNS 解決 (AAAA レコード) 注:このオプションは、IPv6 アドレスがインスタンスに割り当てられている場合にのみ利用可能です。 | 生成されたインスタンス ID ベースのプライベートドメイン名を、インスタンスの IPv6 アドレスにマッピングします。 |
|
| IPv6 ネットワーク接続:ホストまたはサービスが IPv4 と IPv6 の両方をサポートしている場合、AAAA レコードを使用すると、IPv6 対応クライアントは IPv6 アドレスを使用して接続を確立できます。これにより、IPv6 ネットワークのより大きなアドレス空間と通信効率の向上を活用できます。 |
プライマリプライベート IPv4 アドレスから IP アドレスベースのホスト名への逆引き DNS 解決 (PTR レコード) | インスタンスのプライマリプライベート IPv4 アドレスを、生成された IP アドレスベースのプライベートドメイン名にマッピングします。 |
|
| スパムフィルタリング:多くのメールサーバーは、送信サーバーの正当性を検証するために逆引き DNS 解決を使用します。IP アドレスがドメイン名に正しく解決されない場合、メールは潜在的なスパムとしてフラグ付けされるか、拒否される可能性があります。 ログ分析と追跡:ネットワークセキュリティとシステム管理において、逆引き参照は IP アドレスをより理解しやすいドメイン名に変換できるため、ログファイル内のソースの分析と追跡が容易になります。 |
制限事項
ECS インスタンスのプライベートドメイン名はシステム生成です。カスタムドメイン名を設定することはできません。
プライベートドメイン名は、単一 VPC 内でのみ有効です。プライベートドメイン名を使用した VPC 間通信はサポートされていません。
プライベートドメイン名は、プライマリ弾性ネットワークインターフェースのプライマリプライベート IP アドレスにのみ解決できます。セカンダリプライベート IP アドレスはサポートされていません。
VPC 内の各 ECS インスタンスに対する DNS クエリの最大数は、1 秒あたり 5,000 です。1 秒あたりの DNS リクエストのピーク数がこの制限を超えると、速度制限がトリガーされる可能性があり、99.99% の可用性サービスレベル契約 (SLA) は保証されません。
プライベートドメイン名を使用した通信
ステップ 1: DNS ホスト名機能の有効化
VPC の DNS ホスト名機能を有効にすることは、プライベート DNS 解決の主要な制御です。VPC 内の ECS インスタンスのプライベートドメイン名は、この機能を有効にした後にのみアクティブになります。DNS ホスト名機能を有効にすると、DNS 解決サービスは [regionID].ecs.internal のフォーマットで組み込みの権威ゾーンを作成します。たとえば、マレーシア (クアラルンプール) リージョンで VPC を作成し、この機能を有効にすると、ap-southeast-3.ecs.internal という名前のゾーンが作成されます。このドメインは、その VPC 内でのみ有効です。詳細については、「VPC のプライベートドメイン名」をご参照ください。
ECS インスタンス用に設定するプライベート DNS 解決設定は、VPC の DNS ホスト名機能を有効にした後にのみ有効になります。
VPC コンソールにログインしてください。 VPC コンソール。
上部のナビゲーションバーで、対象 VPC が配置されているリージョンを選択します。
[VPC] ページで、対象の VPC の ID をクリックします。[基本情報] セクションで、DNS ホスト名を有効にします。
ステップ 2: プライベート DNS 解決の設定
ECS インスタンスのプライベートドメイン名とその IP アドレス間のマッピング (DNS レコード) は、インスタンス用に設定する必要があります。これらのマッピングは、インスタンス作成時または後で変更する際に設定できます。以下のセクションでは、これらの操作について説明します。
インスタンス作成時
複数のインスタンスを作成し、プライベートドメイン名解決を設定するために RunInstances API オペレーションを呼び出す際に、PrivateDnsNameOptions 関連パラメーターを指定することもできます。
操作手順
ECS インスタンス購入ページに移動します。
[カスタム購入] タブをクリックします。
課金方法、リージョン、インスタンスタイプ、イメージなどのパラメーターを設定します。
カスタム起動タブの各パラメーターの詳細については、「パラメーター」をご参照ください。
ページの下部で、[詳細設定(オプション)] を展開し、プライベート DNS 名前解決 を設定します。
シナリオに基づいて、プライベートドメイン名と IP アドレス間の目的のマッピングを選択します。複数のオプションを選択できます。レコードタイプの詳細については、「プライベート DNS レコードタイプ」をご参照ください。
インスタンス変更時
インスタンス属性を変更するために ModifyInstanceAttribute API オペレーションを呼び出す際に、PrivateDnsNameOptions 関連パラメーターを指定することもできます。
操作手順
ECS コンソール - インスタンス に移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
対象のECS インスタンスを見つけ、そのIDをクリックしてインスタンス詳細ページに移動します。すべての操作 列で ... インスタンスのプロパティ > 情報の変更 を選択します。インスタンス属性の変更ダイアログボックスが表示されます。
シナリオに基づいて、プライベートドメイン名と IP アドレス間の目的のマッピングを選択します。複数のオプションを選択できます。レコードタイプの詳細については、「プライベート DNS レコードタイプ」をご参照ください。
構成を保存するには、OK をクリックします。
ステップ 3: 構成の検証
プライベート DNS 解決が正しく機能していることを検証するには、ECS インスタンス自体、または同じ VPC 内の内部ネットワーク経由で通信できる別の ECS インスタンスでコマンドを実行します。DNS 情報をクエリするコマンドは、オペレーティングシステムによって異なります。
Linux インスタンス
host コマンドは、Linux でドメインネームシステム (DNS) 情報をクエリするためのユーティリティです。このコマンドを使用すると、ドメイン名と IP アドレス間のマッピングをクエリしたり、逆引き参照を実行して指定された IP アドレスに対応するドメイン名を見つけたりできます。
host コマンドのインストール:デフォルトでは、Linux インスタンスは host コマンドをサポートしていません。
sudo yum install bind-utilsを実行してインストールする必要があります。クエリ例:
説明この例では、以下の詳細を持つインスタンスを使用しています。IP アドレスとインスタンス ID は実際の値に置き換えてください。
インスタンス ID:
i-8psi44j4o4yqoh2b****リージョン ID:
ap-southeast-3IPv4 アドレス:
172.16.0.89IPv6 アドレス:
240b:XXXX:41:b200:1ca9:f9bb:ae4:1ea0Linux インスタンスに接続します。
詳細については、「パスワードまたはキーを使用して Linux インスタンスに接続」をご参照ください。
有効になっているプライベートドメイン名解決レコードに基づいて、
hostコマンドを実行して DNS 情報をクエリします。IP アドレスベースのドメイン名([A レコード])の IP アドレスを検索するには:
host ip-172-16-0-89.ap-southeast-3.ecs.internal
インスタンス ID をベースとしたドメイン名([A レコード])の IP アドレスを検索するには:
host i-8psi44j4o4yqoh2b****.ap-southeast-3.ecs.internal
ドメイン名の IPv6 アドレス ([AAAA レコード]) を検索するには:
host -t AAAA i-8psi44j4o4yqoh2b****.ap-southeast-3.ecs.internal
逆引きを行い、IP アドレスに関連付けられたドメイン名([PTR レコード])を見つけるには:
host 172.16.0.89
Windows インスタンス
nslookup は、Windows にプリインストールされているツールです。これを使用して DNS レコードをクエリできます。
クエリ例:
説明この例では、以下の詳細を持つインスタンスを使用しています。IP アドレスとインスタンス ID は実際の値に置き換えてください。
インスタンス ID:
i-8ps2h6dsc74cfy02****リージョン ID:
ap-southeast-3IPv4 アドレス:
172.16.0.91IPv6 アドレス:
240b:XXXX:41:b200:1ca9:f9bb:ae4:1e9aWindows インスタンスに接続します。
詳細については、「パスワードまたはキーを使用して Windows インスタンスに接続」をご参照ください。
有効にしたプライベート DNS 解決レコードに基づいて、適切な
nslookupコマンドを実行します。IP アドレスベースのドメイン名([A レコード])の IP アドレスを照会するには:
nslookup ip-172-16-0-91.ap-southeast-3.ecs.internal
インスタンス ID をベースとしたドメイン名([A レコード])の IP アドレスを照会するには:
nslookup i-8ps2h6dsc74cfy02****.ap-southeast-3.ecs.internal
ドメイン名の IPv6 アドレス([AAAA レコード])を検索するには:
nslookup -type=AAAA i-8ps2h6dsc74cfy02****.ap-southeast-3.ecs.internal
IP アドレス([PTR レコード])の逆引きを行い、関連付けられたドメイン名を検索するには:
nslookup 172.16.0.91
検証が成功した後、プライベートドメイン名解決用に設定された ECS インスタンスは、同じ VPC 内の他の ECS インスタンスからアクセスできます。これらのインスタンスで ping <プライベートドメイン名> コマンドを実行して接続をテストできます。たとえば、ping ip-172-16-0-91.ap-southeast-3.ecs.internal を実行します。
IPv6 接続性をテストするには、ソースインスタンスと宛先インスタンスの両方に IPv6 アドレスを割り当てる必要があります。詳細については、「IPv6 通信」をご参照ください。
その他の操作
操作の影響
インスタンスの VPC の変更
ECS インスタンスでプライベート DNS 解決が有効になっている場合、宛先 VPC でも DNS ホスト名機能が有効になっていることを確認する必要があります。詳細については、「ECS インスタンスの VPC の変更」をご参照ください。
インスタンスのプライマリプライベート IP アドレスの変更
自動再マッピング:ご利用のインスタンスのプライマリプライベート IPv4 または IPv6 アドレスが変更された場合 (たとえば、プライマリプライベート IPv4 アドレスを変更した場合など)、プライベート DNS 解決サービスは古いレコードを自動的に削除し、IP アドレスベースのホスト名を新しい IP アドレスにマッピングする新しいレコードを作成します。
インスタンスのリリース
インスタンスがリリースされると、インスタンスの VPC の組み込み権威ゾーンにあるすべての関連 DNS レコードが削除されます。インスタンスとそのサービスは、プライベートドメイン名を使用してアクセスできなくなります。
プライベート DNS 設定の表示
このセクションでは、この操作の実行方法を示します。
インスタンスの詳細情報をクエリするために DescribeInstances API オペレーションを呼び出すこともできます。応答の PrivateDnsNameOptions パラメーターには、プライベート DNS 解決設定が含まれています。
ECS コンソール - インスタンス に移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
インスタンスリストで、対象の ECS インスタンスを見つけ、その ID をクリックしてインスタンス詳細ページに移動します。プライベート DNS 名前解決 フィールドには、設定されているプライベート DNS レコードの数が表示されます。
番号にカーソルを合わせると、インスタンスの現在のプライベートドメイン名と IP アドレス間のマッピングが表示されます。
プライベート DNS 解決の無効化
特定の ECS インスタンスのプライベート DNS 解決を無効にするには、ECS コンソールで設定済みのオプションを選択解除します。詳細については、「ステップ 2: プライベート DNS 解決の設定」をご参照ください。
VPC 内のすべての ECS インスタンスのプライベート DNS 解決を無効にする場合は、VPC の DNS ホスト名機能を無効にできます。この機能が無効になると、VPC に関連付けられた組み込みの権威ゾーンが削除されます。その結果、VPC 内のすべての ECS インスタンスのプライベートドメイン名が無効になり、対応する IP アドレスに解決できなくなります。詳細については、「VPC のプライベートドメイン名」をご参照ください。
アプリケーションが IP アドレスの代わりにプライベートドメイン名を使用してリソースにアクセスする場合、DNS ホスト名機能を無効にするとアクセスエラーが発生する可能性があります。
