AWS Client VPN 엔드포인트를 생성하고 있습니다. 최종 사용자(클라이언트 VPN에 연결된 클라이언트)가 Amazon Route 53 프라이빗 호스팅 영역에 호스팅된 리소스 레코드를 쿼리하도록 허용해야 합니다. 어떻게 해야 합니까?
해결 방법
최종 사용자가 클라이언트 VPN을 사용하여 프라이빗 호스팅 영역의 레코드를 쿼리하도록 허용하려면 다음을 수행합니다.
- Amazon VPC(Amazon Virtual Private Cloud)에서 "DNS 확인" 및 "DNS 호스트 이름"을 활성화했는지 확인합니다. 프라이빗 호스팅 영역에 액세스하려면 이러한 설정을 활성화해야 합니다. 자세한 내용은 VPC의 DNS 속성 보기 및 업데이트를 참조하세요.
- 아직 생성하지 않은 경우 클라이언트 VPN 엔드포인트를 생성합니다. DNS 확인 쿼리를 위해 최종 사용자가 연결할 수 있는 DNS 서버 IP 주소로 "DNS 서버 IP 주소" 파라미터를 구성해야 합니다. 또는 기존 클라이언트 VPN 엔드포인트를 수정하여 DNS 서버 설정을 업데이트할 수 있습니다.
서버 구성 및 "DNS 서버 IP 주소" 파라미터에 지정하는 값에 따라 프라이빗 호스팅 영역 도메인의 확인은 다음과 같이 달라집니다.
- Amazon DNS 서버(VPC IPv4 네트워크 범위 + 2)의 경우 – 최종 사용자는 VPC와 연결된 프라이빗 호스팅 영역의 리소스 레코드를 확인할 수 있습니다.
- 클라이언트 VPN 엔드포인트의 연결된 VPC와 동일한 VPC에 사용자 지정 DNS 서버가 위치하는 경우 – 필요에 따라 DNS 쿼리를 지원하도록 사용자 지정 DNS 서버를 구성할 수 있습니다. 리소스 레코드를 확인하려면 사용자 지정 DNS 서버를 전달자로 구성하여 프라이빗 호스팅 도메인에 대한 DNS 쿼리를 기본 VPC DNS 해석기로 전달합니다. VPC의 모든 리소스에 사용자 지정 DNS 서버를 사용하려면 적절히 DHCP 옵션을 구성해야 합니다.
참고: 사용자 지정 DNS 서버는 피어링된 VPC에 상주할 수도 있습니다. 이 경우 사용자 지정 DNS 서버 구성은 위와 동일합니다. 프라이빗 호스팅 영역을 두 VPC 모두에 연결했는지 확인하십시오.
- 사용자 지정 DNS 서버가 온프레미스에 있고 클라이언트 VPN의 "DNS 서버 IP 주소" 파라미터가 비활성화되었거나 비어 있는 경우 – 프라이빗 호스팅 영역 도메인에 대한 DNS 쿼리가 Route 53 인바운드 해석기로 전달됩니다. AWS Direct Connect 또는 AWS Site-to-Site VPN을 통해 VPC에 있는 Route 53 인바운드 해석기의 IP 주소로 쿼리를 전달하도록 온프레미스 사용자 지정 DNS 서버에 조건부 전달 규칙을 생성해야 합니다.
**참고:**클라이언트 VPN 연결이 설정될 때 클라이언트 디바이스에 로컬 DNS 서버에 대한 루트가 없는 경우 DNS 쿼리가 실패합니다. 이 경우 클라이언트 디바이스의 라우팅 테이블에 사용자 지정 온프레미스 DNS 서버에 대한 기본 정적 루트를 수동으로 추가해야 합니다.
- "DNS 서버 IP 주소" 파라미터가 비활성화된 경우 – 클라이언트 디바이스가 로컬 DNS 해석기를 사용하여 DNS 쿼리를 확인합니다. 로컬 해석기가 퍼블릭 DNS 해석기로 설정된 경우, 프라이빗 호스팅 영역의 레코드를 확인할 수 없습니다.
**참고:**다음은 네 가지 유형의 DNS 서버 구성 모두에 해당합니다.
- 전체 터널 모드가 활성화된 경우, VPN 터널을 통과하는 모든 트래픽에 대한 루트가 클라이언트 디바이스의 라우팅 테이블에 추가됩니다. 클라이언트 VPN 엔드포인트의 연결된 서브넷 라우팅 테이블에 권한 부여 규칙과 해당 경로가 추가된 경우, 최종 사용자가 인터넷에 연결할 수 있습니다.
- 분할 터널 모드가 활성화된 경우, 클라이언트 VPN 엔드포인트의 라우팅 테이블에 있는 루트가 클라이언트 디바이스의 라우팅 테이블에 추가됩니다.
관련 정보
DNS가 내 AWS Client VPN 엔드포인트와 어떻게 작동합니까?