Route 53 규칙 및 아웃바운드 엔드포인트의 역방향 DNS 문제를 해결하려면 어떻게 해야 하나요?

해결 방법

예상 및 실제 DNS 응답 식별

dig 또는 nslookup을 사용하여 온프레미스 DNS 서버의 IP 주소로 직접 쿼리를 실행할 수 있습니다. 이러한 도구는 올바른 레코드 이름을 확인하려고 합니다.

dig를 사용하여 역방향 DNS 확인을 수행하려면 \ -x 파라미터를 사용하세요. 이 파라미터를 사용하면 dig에서 자동으로 이름, 클래스, 형식 인수를 자동으로 추가합니다. 질문 섹션을 참조하여 dig가 자동으로 올바른 이름, 클래스 및 레코드 유형을 쿼리했는지 확인하세요.

예를 들어, 다음 값을 사용하여 IP 주소 172.31.2.23을 확인하려고 합니다.

이름: 23.2.31.172.in-addr.arpa.
클래스: IN
레코드 유형: PTR

이 예제에서 dig -x 172.31.2.23 명령은 다음과 같은 출력을 반환합니다.

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> -x 172.31.2.23;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58812
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;;
OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;23.2.31.172.in-addr.arpa.    IN    PTR

;;
ANSWER SECTION:
23.2.31.172.in-addr.arpa. 60    IN    PTR    example.com.

nslookup의 경우 nslookup 172.31.2.23 명령은 다음과 같은 출력을 반환합니다.

23.2.31.172.in-addr.arpa.   name = example.com.

참고: 예상치 못한 응답 코드가 나와도 규칙이나 엔드포인트 구성에는 문제가 없을 수 있습니다.

• NXDOMAIN은 예상하지 못했지만 유효한 DNS 응답일 수 있습니다. 이 응답은 쿼리된 서버에 요청된 레코드가 없음을 나타냅니다.
• SERVFAIL은 쿼리 경로에 시간 초과나 기타 문제가 있음을 나타냅니다. 이 응답에는 추가 조사가 필요합니다.
• ANSWER SECTION에서 예상치 못한 응답이 나오면 다른 규칙을 사용했을 수 있습니다.

쿼리가 VPC DNS 확인자에 도달했는지 확인

VPC 규칙과 쿼리가 일치하려면 쿼리가 VPC DNS 확인자에 도달해야 합니다. VPC 설정을 확인하여 DNS 지원을 활성화했는지 확인합니다.
리졸버 IP 주소를 확인하려면 dig 또는 nslookup의 서버 필드를 참조하세요.

dig

;; SERVER: 172.16.0.2#53(172.16.0.2)

nslookup

Server:        172.16.0.2

참고: VPC의 경우 VPC DNS는 VPC CIDR에 2를 더한 값입니다. 이 예제에서 VPC의 IP 주소는 171.16.0.2입니다.

일치하는 가장 구체적인 규칙 찾기

쿼리가 VPC DNS 확인자에 도달하면 해당 VPC의 규칙과 일치해야 합니다. 규칙을 평가할 때 가장 구체적인 규칙이 일치해야 합니다. 이 규칙을 찾으려면 다음 단계를 완료하세요.

1. VPC 및 연결된 VPC에서 자동 정의된 규칙을 확인합니다. 피어링된 VPC 또는 트랜짓 게이트웨이(DNS 지원 포함)를 통해 연결하는 VPC의 경우 연결된 각 CIDR의 역방향 해상도에 대한 모든 규칙을 기록해 두세요.
   참고: DNS 호스트 이름이 true로 설정되면 확인기는 이러한 자동 정의된 규칙을 생성합니다. 자동 정의된 규칙을 재정의하려는 경우 동일한 도메인 이름에 대해 조건부 전달 규칙을 생성하세요. 자동 정의된 규칙을 비활성화할 수도 있습니다.
2. DNSSupport 및 DNSHostnames를 활성화한 경우 VPC와 연결된 모든 프라이빗 호스팅 영역을 기록해 두세요.
   참고: 확인자 전달자 규칙과 프라이빗 호스팅 영역이 중복되는 경우 확인자 규칙이 우선합니다. 이 경우 쿼리는 온프레미스 서버로 전달됩니다.
3. 어떤 규칙을 선택하고 쿼리를 어디로 보내는지 결정하려면 규칙 목록과 관련 프라이빗 호스팅 영역을 쿼리와 비교하세요.

아웃바운드 엔드포인트 문제 해결

아웃바운드 엔드포인트 문제를 해결하려면 다음 구성을 확인하세요.

• 아웃바운드 엔드포인트는 규칙이 지정하는 대상 IP 주소로 쿼리를 보내야 합니다. 확인자 규칙에 온프레미스 DNS 서버의 IP가 올바른지 확인하세요.
• 아웃바운드 엔드포인트의 보안 그룹은 온프레미스 DNS 서버의 IP 주소 및 포트에 대한 아웃바운드 TCP 및 UDP 트래픽을 허용해야 합니다.
• 액세스 제어 목록(ACL)은 온프레미스 DNS 서버의 IP 주소 및 포트에 대한 TCP 및 UDP 트래픽을 허용해야 합니다. 또 ACL에서는 임시 포트(1024-65535)로 트래픽을 허용해야 합니다.
• 아웃바운드 엔드포인트의 서브넷 라우팅 테이블에는 온프레미스 서버의 IP 주소를 VPN 또는 AWS Direct Connect 연결로 연결하는 경로가 있어야 합니다.

자세한 내용 및 문제 해결 단계는 Route 53 해석기 엔드포인트의 DNS 확인 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.

아웃바운드 엔드포인트가 라우팅 테이블에 지정된 연결을 통해 쿼리를 전송할 수 있는지 확인

VPN 또는 Direct Connect 연결이 통신을 허용하는지 확인합니다. 이렇게 하려면 온프레미스 DNS 확인자의 IP 주소로 dig 또는 nslookup 명령을 직접 실행합니다. 연결 문제를 추가로 해결하려면 인터넷 제어 메시지 프로토콜(ICMP)을 허용하는 온프레미스 호스트에 핑을 보내세요.

참고: 이 테스트는 아웃바운드 엔드포인트와 동일한 서브넷에 있는 EC2 인스턴스에서 수행해야 합니다.