Contents
AD(Active Directory)とは
Windowsのサーバーに搭載されている(GUI)機能で、ネットワークにつないでいるクライアント端末やサーバー、プリンター、アプリケーションなどの情報を収集し、一元管理できるディレクトリサービス。
※Windows 2000から導入されており、Windows Serverの標準機能であるため、特別なソフトのインストールは必要ない。
ADサーバをもとに、“ユーザー認証”・“アクセス管理”・“ソフトウェア管理”・“接続機器の管理”・“操作ログの管理”など可能。
- LDAP
【ADのプロトコル】
ネットワーク機器やユーザーID、パスワードを管理する「ディレクトリサービス」の維持やアクセスを行うプロトコル。
Simple AD
【AWS上に別のAD】
Samba 4 Active Directory Compatible Serverを使用するスタンドアロンのマネージド型ディレクトリ。
社内のActive DirectoryとIAMを連携するのではなく、AWS上に別のADサービスを構成する。
・ユーザーアカウントやグループメンバーシップの管理
・グループポリシーの作成および適用
・EC2 インスタンスへの安全な接続を提供
・Kerberos ベースのシングルサインオン (SSO) を使用できる
AD Connecter
【オンプレへの接続】
※信頼関係なし
IAMとオンプレミス環境のADとを連携するのに利用するディレクトリゲートウェイ。
ディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用。
・AWSとオンプレミス Microsoft AD の間で信頼関係を設定する方式を利用していない。
・クラウドの情報をキャッシュしない
【仕組み】
既存オンプレミスの Microsoft Active Directory のユーザーやグループにロールを割り当てる。ロールに割り当てられた IAM ポリシーに基づいてユーザーの AWS サービスへのアクセスを制御する。
Managed Microsoft AD
【オンプレへの接続】
※信頼関係あり
AWS側にMicrosoft Active Directoryとの互換性があるフルマネージド型のADを作成する。
オンプレミス Microsoft AD とAWS との間で信頼関係(ルート)を設定し、 AWS SSOと連携したシングルサインオンが可能。
・SQL Serverベースのアプリケーションとの連携にはAWS Managed Microsoft ADを利用することが必要。
DNS(Domain Name System)とは
IPアドレスとドメイン名(インターネットやメールなどで使われる住所)を紐づけて管理する。
〇DNSの仕組み
①再起問い合わせ
クライアント から DNSキャッシュサーバ に送られる問い合わせ
②非再起問い合わせ
DNSサーバ から 権威サーバ に送る問い合わせ
③反復問い合わせ
非再帰問い合わせ を上位の権威サーバから下位の権威サーバまで繰り返して問い合わせを行う
- フルサービスリゾルバ
【受付/回答】
DNSキャッシュサーバ。
パソコンからの問い合わせを受け付ける。権威DNSサーバに問い合わせ、ドメインの名前解決をおこなうDNSサーバー。
解決したドメインの情報を一時的に保存する、DNSキャッシュサーバーを兼ねているのが一般的。
※(参考)DNSリゾルバ―とは
リゾルバは自分の知っているDNSサーバへ問い合わせを行い、IPアドレスの割り出し(名前解決)を行う機能。ドメイン名の対応付けを確認してくれる。
●再帰的な DNS リゾルバー
ドメインに変更がないか再度問い合わせること。情報をキャッシュに保持することで、毎回リゾルバが名前解決しなくてもドメインの情報を把握することが可能であり、呼び出し数を減らせる。
※(参考)DNSフォワーダとは
フルサービスリゾルバが問い合わせを受けたけど答えが分からないときに、その問い合わせを別のDNSサーバ(フルサービスリゾルバ)に丸投げ(中継)する機能。 - 権威DNSサーバ
【調査】
DNSコンテンツサーバ。フルサービスリゾルバからの問い合わせに「ゾーンファイル」を参照して対応する。
【ゾーンファイルの記載内容】
●NSレコード
管理を委託しているDNSサーバの名前が書いてある行。どこに行けばドメインのIPアドレスを見つけられるかをインターネットに知らせる。
※下記ドメイン名に関する情報を格納
・ドメイン名
・ターゲットIPアドレス
・TTL(Time To Live)……など
※[参考] DNSサーバーの動き
〇その他機能
- ROA(Route Origin Authorization)
【経路の電子証明書】
利用している RIR を介して作成。
経路広告に関する電子署名付き証明書。IPアドレスの組み合わせが正しい組み合わせであることを示す電子署名が施されたデータ。
・アドレス範囲、そのアドレス範囲を公開することを許可された自律システム番号 (ASN)、および有効期限が含まれる。
※RIR(Regional Internet Registry)
特定地域内のIPアドレスの割り当て業務を行うレジストリ。
インターネットリソース(IPv4、IPv6の両IPアドレスとAS番号)の配分と登録を管理する組織。
- Zone APEX
【サブドメインなし】
example.jp や example.co.jp など サブドメイン(wwwなど)を含まないドメイン名のこと。
APEXは頂点を意味し、ゾーンの頂点として意味するサブドメインを含まないドメインを意味する。
Route53
【AWSのDNSサービス】
サービスを提供するサーバーのIPアドレスを任意のドメイン名と対応づけて名前解決する。
ドメイン名を、Route 53 に登録することで、””*****.jp”” のドメインを管理・運用できる。
・異常と判断した対象のIPアドレスをクエリ結果として返さない。すべて異常の場合はIPアドレスを返す仕様。
・S3と接続するときはリソースレコード名とバケット名が一致している必要がある。
・Route53のプライベートDNSレコードはオンプレミスの使用には拡張できず、発信元のリクエストがVPC内から行われた場合のみ機能する。
※ドメイン管理機能/DNS権威機能とは
WebコンソールやAPIから簡単にドメイン情報やゾーン情報を設定・管理。
- Evaluate Target Health
【ターゲットの正常性の評価】
一般に、ツリー内のすべてのエイリアスレコードに設定する。
●[No (なし)]の場合
Route 53 はレコードのヘルスチェックが失敗した場合でも、エイリアスレコードが参照するレコードにトラフィックをルーティングし続ける。
●[Yes (あり)]の場合
正常にヘルスチェックの結果を応答として返す。
〇Route53リゾルバー
- Route53 インバウンドリゾルバーエンドポイント
外部ドメイン(VPCの外部)から、Route53リゾルバ―を利用して、VPC内で作成されるインスタンスの名前解決ができる。
- Route53 リゾルバーアウトバウンドエンドポイント
外部ドメインに対する転送ルールを設定することで、外部ドメインのリゾルバに転送し、目的のホストと通信ができる。
〇ホストゾーン
【ルート設定】
ホストゾーンはレコードのコンテナであり、レコードにはドメイン名やサブドメインの特定のドメインのトラフィックをどのようにルーティングするか情報を保持。
ホストゾーンの名前と対応するドメインの名前は同じ。
・ヘルスチェックで利用するプロトコルは、HTTP、HTTPS、TCP。
・Zone ApexレコードをELBに関連付けるには、Aレコードを使用。
- パブリックホストゾーン
トラフィックをインターネットでどのようにルーティングするかを指定するレコードが含まれている。インターネット上に公開されたDNSドメインのレコードを管理するコンテナ。
- プライベートホストゾーン
トラフィックをVPCでどのようにルーティングするかを指定するレコードが含まれている。
VPCに閉じたプライベートネットワーク内のDNSドメインのレコードを管理するコンテナ。
〇ルーティング方法
【ルーティング方法】
| ホストベース | HTTPヘッダーのHostフィールドに基づいてクライアント要求をルーティングでき、同じロードバランサーから複数のドメインにルーティングする。 |
| パスベース | HTTPヘッダーのURLパスに基づいてクライアント要求をルーティングできる。 |
| HTTPヘッダーベース | 標準またはカスタムのHTTPヘッダーの値に基づいてクライアント要求をルーティングできる。 |
| HTTPメソッドベース | 標準またはカスタムのHTTPメソッドに基づいてクライアントリクエストをルーティングできる。 |
| クエリ文字列パラメータベース | クエリ文字列またはクエリパラメータに基づいてクライアントリクエストをルーティングできる。 |
| 送信元IPアドレスCIDRベース | リクエストの発信元の送信元IPアドレスCIDRに基づいてクライアントリクエストをルーティングできる。 |
〇ルーティングポリシー
【ポリシー】
| シンプル | 設定されたレコード情報に沿ってルーティングする、標準的な1対1のルーティング。 |
| フェイルオーバー | ヘルスチェックを行い、無事なところにルーティングする(アクティブ / アクティブ , アクティブ / スタンバイ) ※本番システム障害時にSorryサーバのIPアドレスをセカンダリコードとして登録すると自動的に表示できる |
| 位置情報 | 地理的に近いところへルーティングする。 |
| 地理的近接性 | リソースの場所に基づいてトラフィックをルーティングし、必要に別の場所のリソースに移動する。 |
| レイテンシーベース | 最もレイテンシーが低いリソースへルーティングする(静的ウェブサイトのみ) |
| 加重 | 複数のリソースへ指定した加重比率でルーティング分散する |
| マルチバリュー (複数値回答) | 別々のレコードにIPアドレスを設定、IPアドレス単位でヘルスチェックを実施してルーティングする。1つのレコードを異なるIPアドレスを複数登録して、ランダムに返却されたIPアドレスに接続する。 |
〇レコードタイプ
※CNAMEの振る舞い:yyy.sample.com → AWSリソースのドメイン名 → IPアドレス
※ALIASの振る舞い:yyy.sample.com → IPアドレス
| A レコード | ドメイン名を(静的な)IPアドレスにマッピングする。(例:example.com -> 192.168.0.1) IPv4アドレスとドメイン名を1対1で紐づける。ウェブサーバーなどのリソースにトラフィックをルーティング。 |
| AAAA レコード | IPv6アドレスとドメイン名を1対1で紐づける。ウェブサーバーなどのリソースにトラフィックをルーティング。 |
| CAA レコード | 間違った CA(認証機関) がドメインの証明書を発行することを防止できる。 |
| CNAME レコード | CNAMEレコードは正規ホスト名に対する別名を定義するレコード。特定のホスト名を別のドメイン名に転送する時などに利用する。 【例】ドメイン名:abc.comの場合【設定可能】 ホスト名:www VALUE:www.onamae.com と入力⇒http://www.abc.com/にアクセスするとhttp://www.onamae.com/に転送される。 |
| DS レコード | 委任署名者 (DS) レコードは、委任サブドメインゾーンのゾーンキーを参照します。DNSSEC 署名を設定するときに、信頼チェーンを確立するときに DS レコードを作成できます。 |
| MX レコード | メールサーバーの名前を指定。複数のメールサーバーがある場合は、優先順位を指定。 |
| NAPTR レコード | 名前付け権限ポインタ (NAPTR) は、動的委任発見システム (DDDS) アプリケーションで、1 つの値を別の値に変換または置き換えるために使用されるレコードのタイプです。 |
| NS レコード | ホストゾーンのネームサーバーを識別 |
| PTR レコード | IP アドレスを対応するドメイン名にマッピング |
| SOA レコード | ドメインおよび対応する Amazon Route 53 のホストゾーンに関する情報を提供。 |
| SPF レコード | メールの送信者の身元を確認するために SPF レコードが使用されていた(非推奨) |
| SRV レコード | E メールや通信のサービスなどのサービスにアクセスするために使用。 |
| TXT レコード | ホスト名に関連付けるテキスト情報(文字列)を定義するレコード。送信+C8ドメイン認証の認証情報などを記述。 [参考] |
- Aliasレコード
【高処理CNAME】
Route 53の内部で扱う特殊なタイプ。外から見たら単なるAレコードに見える。一言で言ってしまえば「各AWSプロダクトで利用するDNS名専用の、CNAMEレコード風の挙動を実現するレコード」。
・CNAME レコードと同様に、エイリアスレコードを使用すると、選択した AWS リソース (CloudFront ディストリビューションやAmazon S3 バケットなど) にトラフィックをルーティングできる。
※CNAMEはDNSクエリが2回発生するのに対して、1回で処理できる
【Route 53にALBのDNS名を設定】
・エイリアスターゲットの IP アドレスを伴う A レコード (IPv4 アドレス)
・エイリアスターゲットの IP アドレスをAAAA レコード (IPv6 アドレス)
【エラー事例】
●Route53 APIリクエスト
AWSアカウントごとに1秒あたり5件を超えるリクエストを送信すると、Route53は「HTTP 400エラー(Bad request)」を返す。
レスポンスヘッダーには、Throttllingの値を持つCode要素と、Rate exceededの値を持つMessage要素も含まれている。
●ChangeResourceRecordSets
Route53で次のリクエストが到着するまでにリクエストを処理できない場合、同じホストゾーンの後続のリクエストが却下され、HTTP400エラー(Bad Request)が返される。
No responses yet