VPCのDHCPとかRoute53 Resolverのインバウンドエンドポイントとか
はじめに
ちゃんとまとめようとすると筆が重くなるので、一旦メモレベルでアップしておく。
やりたかったこと
オンプレミスとクラウド(AWS)のハイブリッドな構成をとりたかった。
具体的にいうと、オンプレ→クラウドの名前解決を、クラウド側のフルリゾルバを使って名前解決要求をさばく構成。
詳細
オンプレ環境の容易が手間なので、異なる2つのリージョンの片方をオンプレ側、もう片方をクラウド側として実施。
その場合、それぞれの環境で以下を準備。
オンプレ側VPC
・接続元インスタンス
・オンプレ側ルーターインスタンス(Vyos)
・クラウド側のリゾルバを参照するためのDHCPオプションセット
クラウド側VPC
・カスタマーエンドポイント(オンプレ側ルーターを認識させるためのもの)
・Site to Site VPN接続
・接続先インスタンス
・Route53 Hosted Zoneによるプライベートホストドメイン
・Route53 Resolverによるインバウンドエンドポイント
実施手順
オンプレ側VPCの準備
・東京リージョンでVPC作成
・接続元インスタンス作成
・ソフトウェアルーターインスタンス作成
→適切なAMIを選ぶ
→EIPを付ける
・DHCPオプションセットはあとで
クラウド側VPCの準備
・シンガポールにVPC作成
・接続先インスタンスを作成
・カスタマーエンドポイントを作成
・VGWを作成
・Site to Site VPNを作成
・プライベートホストゾーンを作成
・インバウンドエンドポイントを作成
注意点
・Route53 Resolverの料金それなりに高い。検証とか個人使用の範囲で使うもんじゃない。
・VPN設定の際、ファイル編集は新しい情報を見る必要がある。文法変わってるところがある。
・どっちをオンプレ側に見立てるのか、そしてどっち側で何をする必要があるのかをイメージした方が良い。
・既存のDHCPオプションセットは編集不可。設定変更したい場合は新規作成する必要あり。
→作成したものをVPCに付け替えればVPC内のインスタンスには勝手に適用。
→リース更新のタイミングで設定は反映される。(数時間に1回とかのようだ)
参考:DHCP オプションセット - Amazon Virtual Private Cloud
参考
インバウンドエンドポイントを使用して、リモートネットワークからプライベートホストゾーンのレコードを解決する