Cloud Service
OCI DNS
OCI のマネージド権威 DNS。Anycast によるパブリック解決に加え、VCN 内専用のプライベート DNS、ヘルスチェック連動のトラフィック管理ステアリングまで担う。AWS の Amazon Route 53 に相当。
- 1.ドメイン名から接続先を返す権威 DNS をマネージド提供。
- 2.グローバル Anycast で低遅延応答、VCN 内専用の private DNS も。
- 3.ヘルスチェック連動のステアリングで障害時に自動フェイルオーバー。
解決する課題
- ドメイン名でサービスに繋ぎたい(権威 DNS のホスティング)
- 障害時に別リージョン/別エンドポイントへ自動で切り替えたい(フェイルオーバー)
- ユーザーを最も近い/速いリージョンへ誘導したい(ジオロケーション・レイテンシ系)
- VCN 内部のリソース名前解決を自前 DNS サーバーなしで実現したい
主要概念と用語
- ゾーン(Zone): ドメインの DNS 設定の入れ物。プライマリ(OCI で権威を持つ)とセカンダリ(外部マスタからゾーン転送 AXFR/IXFR で受信)がある
- レコード(RRSet): A / AAAA / CNAME / ALIAS / MX / NS / TXT / SRV / CAA など。同名・同型のレコードは RRSet 単位で管理
- ALIAS レコード: ゾーン頂点(apex)でも使える特別なレコードで、OCI のロードバランサ等を指せる(CNAME が置けない apex の代替)
- プライベート DNS / プライベートゾーン: VCN 内だけで解決される名前空間。DNS リゾルバと**ビュー(View)**で構成
- ビュー(View): プライベートゾーンの集合。リゾルバにアタッチして名前解決のスコープを定義
- リゾルバ(Resolver): VCN に1つ。リスナー/フォワーディング エンドポイントを持ち、オンプレや他 VCN とのハイブリッド解決を仲介
- Traffic Management ステアリングポリシー: ヘルスチェック連動で応答を出し分ける仕組み(フェイルオーバー/ロードバランサ/ジオロケーション/ASN/IP プレフィックス)
- ヘルスチェック(Health Checks): HTTP/HTTPS/TCP/ICMP でエンドポイントを監視し、ステアリングに反映
仕様・制限・クォータ
- グローバル/リージョンの二層: パブリック権威 DNS はグローバル Anycast で応答。プライベート DNS はリージョン+ VCN スコープ
- ゾーン・レコードは IAM ポリシーとコンパートメントで管理(テナンシ内でリソースを論理分割)
- DNSSEC をプライマリゾーンで有効化可能(KSK/ZSK の自動鍵管理に対応)
- TTL によりリゾルバ側キャッシュ時間を制御。フェイルオーバー想定なら短め推奨
- セカンダリゾーンは外部 TSIG 認証付きのゾーン転送に対応
内部の仕組み
OCI DNS は権威 DNS として、ゾーン内の RRSet に基づいて問い合わせに応答します。パブリックゾーンの応答は世界中のエッジに分散した Anycast ネットワークから返るため、地理的に近いノードが処理し低遅延・高可用になります。
ALIAS レコードは CNAME と違い、ゾーンの頂点(apex: example.com)でも使え、OCI ロードバランサなどのターゲットを指せます。Traffic Management のステアリングポリシーを割り当てると、同じ問い合わせに対してもヘルスチェック結果・送信元の地理/ASN・重み付けに応じて応答そのものを動的に変えられます。
プライベート DNS は VCN ごとのリゾルバが中核です。リゾルバにアタッチしたビュー内のプライベートゾーンを解決し、フォワーディング/リスニング エンドポイントを介してオンプレ DNS や別 VCN と条件付き転送でき、ハイブリッド名前解決を実現します。
example.com(apex)には RFC 上 CNAME を置けない。OCI ロードバランサ等へ apex を向けるなら ALIAS レコードを使うのが鉄則。
設計パターン / ベストプラクティス
- apex は ALIAS でロードバランサ(Flexible Load Balancer)へ向ける
- Traffic Management のフェイルオーバー ポリシー+ヘルスチェックでDR(プライマリ異常時にセカンダリ リージョンへ自動切替)
- ロードバランサ/重み付けステアリングで多リージョン分散・カナリアリリース
- ジオロケーション ステアリングで規制・データレジデンシ要件に応じた出し分け
- VCN 内はプライベートゾーンで内部名を解決し、オンプレ連携はリゾルバのフォワーディング エンドポイントで条件付き転送
運用・監視
- ヘルスチェックのステータスを監視し、OCI Monitoring のメトリクス/Alarms で異常を検知
- クエリ/ゾーン操作は Logging と監査ログ(Audit)で追跡し、変更履歴を可視化
- 反映が遅い場合は TTL を確認(切替前は短くしておく)
- 名前解決の確認は
dig/nslookup。プライベート解決は VCN 内のホストから検証
コスト
課金軸は「ゾーン数」「クエリ数」「ヘルスチェック/ステアリング」に分かれます。
| 課金対象 | 考え方 | コスト最適化のヒント |
|---|---|---|
| パブリックゾーン | ゾーン管理+クエリ数で課金 | 不要ゾーンを整理、TTL を伸ばしクエリ削減 |
| プライベート DNS | リゾルバ/クエリ規模に応じる | VCN 内解決に限定し外部クエリを避ける |
| Traffic Management | ステアリング ポリシー単位 | 本当に出し分けが要る FQDN だけに適用 |
| ヘルスチェック | 監視対象(モニター)数で課金 | 重要エンドポイントに絞り頻度を調整 |
セキュリティ
- プライベートゾーンで VCN 内部だけの名前解決にし、内部名を外部公開しない
- DNSSEC を有効化し、応答の改ざん・キャッシュポイズニングを防止
- IAM ポリシー+コンパートメントでゾーン/レコード変更権限を最小化
- セカンダリゾーン転送は TSIG で認証
内部ホスト名やプライベート IP をパブリックゾーンに登録してしまうのは NG。内部構成が外部から DNS で丸見えになり、攻撃の足がかりになります。内部名は必ず**プライベート DNS(プライベートゾーン)**に置きましょう。
関連サービス・比較(AWS との対応)
| 観点 | OCI DNS | Amazon Route 53 |
|---|---|---|
| 位置づけ | マネージド権威 DNS | マネージド権威 DNS |
| パブリック配信 | グローバル Anycast | グローバル Anycast |
| 内部名前解決 | プライベートゾーン + リゾルバ/ビュー | Private Hosted Zone + Resolver |
| apex 指定 | ALIAS レコード | Alias レコード |
| 賢いルーティング | Traffic Management ステアリングポリシー | ルーティングポリシー |
| 死活監視 | Health Checks | ヘルスチェック |
| 改ざん対策 | DNSSEC | DNSSEC |
ハンズオン / CLI例
# パブリックなプライマリゾーンを作成
oci dns zone create \
--compartment-id ocid1.compartment.oc1..xxxx \
--name example.com \
--zone-type PRIMARY
# apex を ロードバランサに向ける ALIAS レコードを RRSet で投入
oci dns record rrset update \
--zone-name-or-id example.com \
--domain example.com \
--rtype ALIAS \
--items '[{"domain":"example.com","rtype":"ALIAS","rdata":"lb.example.com OCI 1","ttl":300}]'
# A レコードを追加(パッチ更新)
oci dns record domain patch \
--zone-name-or-id example.com \
--domain www.example.com \
--items '[{"domain":"www.example.com","rtype":"A","rdata":"203.0.113.10","ttl":300,"operation":"ADD"}]'
# Traffic Management ステアリングポリシー(フェイルオーバー)を一覧
oci dns steering-policy list \
--compartment-id ocid1.compartment.oc1..xxxx
# ヘルスチェック モニターの一覧を確認
oci health-checks http-monitor list \
--compartment-id ocid1.compartment.oc1..xxxx
OCI Service
OCI DNSを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: OCI / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
グローバル Anycast で低遅延応答、VCN 内専用の private DNS も。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- OCI
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- reliability / performance / security / operational
判断チェックリスト
- 自社の用途が「ネットワーキング / reliability」に近いか確認する。
- 強みである「ドメイン名から接続先を返す権威 DNS をマネージド提供。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。
他クラウドの同等サービス
役割が近いサービスです。設計の置き換えや比較検討の参考に。