1.内容

オンプレシステムをAWSに移行する際のFQDNに関する注意点

• 社内ローカルシステムだが、標準では下記のようなFQDNになる。
  xxx-yyy-zzz.ap-northeast-1.elb.amazonaws.com

• 公開する必要が無いFQDNなので、本来はRoute 53 Resolverのプライベートホストゾーンを使用すべき。
  プライベートホストゾーンの使用 - Amazon Route 53

2.課題

(1) 名前解決にインターネットを利用する必要がある。

• DirectConnectが正常でも、インターネット回線障害時に名前解決できなくなり、障害点が増える。

(2) プロキシ除外設定が煩雑になる。

• 社内システムは「*.local」のような命名ルールが適用できなくなる。
• 「*.amazonaws.com」で除外するのは、実在サイトを除外するのでまずい。
• FQDN(xxx-yyy-zzz.ap-northeast-1.elb.amazonaws.com)で除外すれば安全だが面倒。

    if (shExpMatch(host, "*.local")) {
        return "DIRECT";
    } else if (shExpMatch(host, "xxx-yyy-zzz.ap-northeast-1.elb.amazonaws.com")) {
        return "DIRECT";
    } // サーバー毎に書いてらんねぇよ！ヽ(`Д´)ﾉ

3.暫定対策

• オンプレのDNSサーバーに別名(CNAMEレコード)を登録する。
  　例)xxx-yyy-zzz.local

• Webサーバー等で、SSL証明書を使用する場合は、サブジェクトの別名(SAN)にオンプレのCNAMEを登録する。