Amazon VPCにプライベート向けDNS権威サーバー(BIND)をEC2で起動する

2021/07/19 2021/07/19

オンプレミス想定の検証で使うために、Amazon VPCにプライベート向けDNS権威サーバーをBINDで起動しました。

【BIND】権威DNSサーバの構築
こちらを参考にしました。

環境はAmazon Linux2です。

BINDのインストール

sudo suでrootユーザーでコマンドを実行しました。

 yum install -y bind

1 2	yum install -y bind

BINDをインストールしました。

/etc/named.conf

デフォルトのnamed.confで変更したのは以下2行とzone追加しました。
192.168.0.70はEC2インスタンスのプライベートIPアドレスです。

listen-on port 53 { 127.0.0.1; 192.168.0.70;};
allow-query     { any; };

zone "bind.yamamugi.com" {
        type master;
        file "/etc/bind.yamamugi.com.zone";
};

listen-on port 53 { 127.0.0.1; 192.168.0.70;};

allow-query { any; };

zone "bind.yamamugi.com" {

type master;

file "/etc/bind.yamamugi.com.zone";

};

/etc/bind.yamamugi.com.zone

$TTL 900
@       IN      SOA     ns.bind.yamamugi.com. sample.bind.yamamugi.com. (
                        20210717         ; Serial
                        3600               ; Refresh
                        900                ; Retry
                        1814400            ; Expire
                        900 )              ; Minimum
        IN      NS      ns.bind.yamamugi.com.
ns      IN      A       192.168.0.70
demo    IN      A       192.168.0.95

$TTL 900

@ IN SOA ns.bind.yamamugi.com. sample.bind.yamamugi.com. (

20210717 ; Serial

3600 ; Refresh

900 ; Retry

1814400 ; Expire

900 ) ; Minimum

IN NS ns.bind.yamamugi.com.

ns IN A 192.168.0.70

demo IN A 192.168.0.95

BINDの起動

systemctl start named

1 2	systemctl start named

DHCPオプションセットの設定

VPCコンソールでDHCPオプションセットを作成しました。

対象のVPCでDHCPオプションセットを作成したものに変更しました。

確認

確認用EC2インスタンスで確認

$ cat /etc/resolv.conf
; generated by /usr/sbin/dhclient-script
search ap-northeast-1.compute.internal
options timeout:2 attempts:5
nameserver 192.168.0.2

$ cat /etc/resolv.conf

; generated by /usr/sbin/dhclient-script

search ap-northeast-1.compute.internal

options timeout:2 attempts:5

nameserver 192.168.0.2

確認用EC2インスタンスはDHCPオプションセット変更前に起動していたEC2インスタンスで、AmazonProvidedDNSのネームサーバーがresolv.confに設定されています。

$ sudo service network restart
Restarting network (via systemctl):                        [  OK  ]
$ cat /etc/resolv.conf
options timeout:2 attempts:5
; generated by /usr/sbin/dhclient-script
search bind.yamamugi.com ap-northeast-1.compute.internal
nameserver 192.168.0.70

$ sudo service network restart

Restarting network (via systemctl): [ OK ]

$ cat /etc/resolv.conf

options timeout:2 attempts:5

; generated by /usr/sbin/dhclient-script

search bind.yamamugi.com ap-northeast-1.compute.internal

nameserver 192.168.0.70

即時反映させたいので、ネットワークサービスを再起動しました。
無事DHCPオプションで設定したとおり、bindサーバーを向いてくれました。

$ dig demo.bind.yamamugi.com

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> demo.bind.yamamugi.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31678
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;demo.bind.yamamugi.com.                IN      A

;; ANSWER SECTION:
demo.bind.yamamugi.com. 900     IN      A       192.168.0.95

;; AUTHORITY SECTION:
bind.yamamugi.com.      900     IN      NS      ns.bind.yamamugi.com.

;; ADDITIONAL SECTION:
ns.bind.yamamugi.com.   900     IN      A       192.168.0.70

;; Query time: 0 msec
;; SERVER: 192.168.0.70#53(192.168.0.70)
;; WHEN: Sun Jul 18 09:36:23 UTC 2021
;; MSG SIZE  rcvd: 100