Route 53 Resolver 엔드포인트의 DNS 확인 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

인바운드 엔드포인트 문제 해결

네트워크의 DNS 해석기가 인바운드 엔드포인트를 사용하여 DNS 쿼리를 Route 53 Resolver로 전달할 수 있도록 하려면 다음 단계를 수행합니다.

• 도메인에 대한 인바운드 엔드포인트로 DNS 쿼리를 전달하기 위해 온프레미스 DNS 서버가 필요한 경우 온프레미스 DNS 서버에 조건부 전달 규칙을 만들어야 합니다. 이 구성은 프라이빗 호스팅 영역 및 퍼블릭 도메인에 적용됩니다.
• AWS Direct Connect 연결 또는 VPN을 통해 인바운드 해석기 엔드포인트 IP 주소에 연결되어 있는지 확인합니다. 이 단계는 온프레미스 네트워크에서 인바운드 해석기 엔드포인트 IP 주소에 연결할 수 있는지 여부를 확인합니다. 다음 telnet 명령을 사용하여 포트 53의 인바운드 엔드포인트 해석기 IP 주소 간의 연결을 테스트합니다. telnet <인바운드 엔드포인트 해석기 IP 주소> 53
• 인바운드 해석기 엔드포인트와 연결된 보안 그룹을 확인합니다. 보안 그룹은 온프레미스 DNS 서버 IP 주소에서 TCP 및 UDP 포트 53의 트래픽을 허용해야 합니다.
• 인바운드 엔드포인트가 생성된 서브넷과 함께 사용자 지정 네트워크 액세스 제어 목록(네트워크 ACL)을 사용하는 경우 네트워크 ACL이 다음을 허용하는지 확인합니다.
  • 포트 53의 온프레미스 DNS 서버에서 들어오는 인바운드 UPD 및 TCP 트래픽입니다.
  • 대상 포트의 온프레미스 DNS 서버에 대한 아웃바운드 UDP 및 TCP 트래픽은 1024-65535 범위입니다.
• 인바운드 엔드포인트 해석기가 생성된 서브넷과 연결된 라우팅 테이블에 온프레미스 네트워크에 대한 경로가 포함되어 있는지 확인합니다. Direct Connect 연결 또는 VPN을 통해 경로를 구성할 수 있습니다. 이 경로를 사용하면 인바운드 엔드포인트 해석기가 DNS 쿼리 응답을 반환할 수 있습니다.
• 도메인 확인을 확인하려면 온프레미스 DNS 서버 또는 로컬 호스트에서 도메인 이름 조회를 완료합니다.
  • Windows의 경우: nslookup <프라이빗 호스팅 영역 도메인 이름>
  • Linux 또는 macOS의 경우: dig <프라이빗 호스팅 영역 도메인 이름>
• 이전 명령이 레코드를 반환하지 못하면 온프레미스 DNS 서버를 무시할 수 있습니다. 다음 명령을 사용하여 DNS 쿼리를 인바운드 해석기 엔드포인트 IP 주소로 직접 보냅니다.
  • Windows의 경우: nslookup <프라이빗 호스팅 영역 도메인 이름> @ <인바운드 엔드포인트 IP 주소>
  • Linux 또는 macOS의 경우: dig <프라이빗 호스팅 영역 도메인 이름> @ <인바운드 엔드포인트 IP 주소>
• 온프레미스 DNS 서버가 재귀 쿼리만 전송하는지 확인합니다. Route 53 인바운드 해석기는 반복 쿼리를 지원하지 않습니다.
• 프라이빗 호스팅 영역의 레코드를 확인하는 경우 인바운드 해석기 엔드포인트 및 프라이빗 호스팅 영역이 올바른 VPC와 연결되어 있는지 확인합니다.

아웃바운드 엔드포인트 문제 해결

Route 53 Resolver가 아웃바운드 엔트포인트를 사용하여 네트워크의 해석기에게 조건부로 쿼리를 전달하도록 하려면 다음 단계를 수행합니다.

• Amazon에서 제공한 DNS를 사용하고 있는지 확인합니다. VPC의 인스턴스에서 사용자 지정 DNS 서버를 사용하는 경우 프라이빗 DNS 쿼리를 VPC의 Amazon 제공 DNS 서버의 IP 주소로 라우팅하도록 DNS 서버를 구성해야 합니다. 이 IP 주소는 VPC 네트워크 범위의 기본 IP 주소에 2를 더한 값입니다.
• 아웃바운드 해석기 엔드포인트와 연결된 보안 그룹의 송신 규칙이 온프레미스 DNS 서버의 IP 주소에 대한 UDP 및 TCP 포트 53 트래픽을 허용하는지 확인합니다.
• 아웃바운드 엔드포인트 인터페이스가 생성된 서브넷에 해당하는 네트워크 ACL에 대한 사용자 지정 규칙이 있는 경우 규칙이 다음을 허용하는지 확인합니다.

• 포트 53의 온프레미스 DNS 서버에 대한 아웃바운드 UDP 및 TCP 트래픽입니다.
• 임시 포트에서 온프레미스 DNS 서버의 인바운드 UDP 및 TCP 트래픽 범위는 1024-65535입니다.

• 아웃바운드 해석기 엔드포인트의 서브넷과 연결된 라우팅 테이블에 온프레미스 DNS 서버에 대한 경로가 있는지 확인합니다. 경로는 Direct Connect 연결 또는 VPN을 통해 구성할 수 있습니다.
• 온프레미스 DNS 서버가 방화벽에 의해 보호되는지 여부를 확인합니다. 서버가 방화벽에 의해 보호되는 경우 방화벽이 아웃바운드 해석기 엔드포인트 IP 주소로부터의 트래픽을 허용하는지 확인합니다.
• 프라이빗 호스팅 영역과 동일한 도메인 이름의 네트워크로 트래픽을 라우팅하는 해석기 규칙이 있는 경우 해석기 규칙이 우선합니다.
• 해석기는 가장 구체적인 도메인 이름을 포함하는 규칙을 사용하여 아웃바운드 DNS 쿼리를 라우팅합니다. 자세한 내용은 해석기가 쿼리의 도메인 이름이 규칙과 일치하는지 여부를 결정하는 방법을 참조하세요.
• 공유 규칙을 사용하는 경우 공유 규칙이 VPC와 연결되어 있는지 확인합니다.
• VPC 흐름 로그를 사용하여 해석기가 사용하는 네트워크 인터페이스의 흐름 정보를 캡처합니다. 해석기 이름을 기준으로 필터링하여 해석기의 탄력적 네트워크 인터페이스에 대한 로그를 봅니다.

---