5.4. AWS PrivateLink DNS 転送の設定
AWS PrivateLink クラスターを使用すると、パブリックホストゾーンとプライベートホストゾーンが Route53 に作成されます。プライベートホストゾーンでは、ゾーン内のレコードは、割り当てられている VPC 内からのみ解決できます。
Let's Encrypt DNS-01 検証では、ドメインに対して有効で公的に信頼されている証明書を発行できるように、パブリックゾーンが必要です。Let's Encrypt の検証が完了すると、検証レコードは削除されます。ただし、これらの証明書を発行および更新するには、ゾーンが引き続き必要です。これらの証明書は通常、60 日ごとに必要です。これらのゾーンは通常空のように見えますが、検証プロセスで重要なロールを果たしています。
プライベートホストゾーンの詳細は、AWS プライベートホストゾーンのドキュメント を参照してください。パブリックホストゾーンの詳細は、AWS パブリックホストゾーンのドキュメント を参照してください。
前提条件
- 企業ネットワークまたは他の VPC に接続性がある。
- UDP ポート 53 と TCP ポート 53 は、DNS クエリーを可能にするためにネットワーク全体で有効になっている。
- Red Hat OpenShift Service on AWS を使用して AWS PrivateLink クラスターを作成している。
手順
-
api.<cluster_domain>
、*.apps.<cluster_domain>
などのレコードが VPC の外部で解決できるようにするには、Route 53 Resolver Inbound Endpoint を設定 します。 - インバウンドエンドポイントを設定するときは、クラスターの作成時に使用された VPC とプライベートサブネットを選択します。
-
エンドポイントが動作可能になり、関連付けられたら、DNS クエリーを
drow-pl-01.htno.p1.openshiftapps.com
などの最上位クラスタードメインの IP アドレスに転送するように企業ネットワークを設定します。 - ある VPC から別の VPC に DNS クエリーを転送する場合は、転送ルールを設定 します。
- リモートネットワーク DNS サーバーを設定している場合は、特定の DNS サーバーのドキュメントを参照して、インストールされているクラスタードメインの選択的 DNS 転送を設定してください。