원격 네트워크에서 프라이빗 호스팅 영역의 DNS 레코드를 확인하도록 Route 53 Resolver 인바운드 엔드포인트를 구성하려면 어떻게 해야 하나요?

4분 분량
0

Amazon Route 53 Resolver 인바운드 엔드포인트를 구성하여 원격 네트워크에서 프라이빗 호스팅 영역의 레코드를 확인하려고 합니다.

간략한 설명

Amazon Virtual Private Cloud(VPC)를 사용하면 VPC가 Route 53 Resolver에서 자동 DNS 확인을 받을 수 있습니다. VPC의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스는 해석기로 DNS 쿼리를 보낼 수 있습니다. 이를 위해 인스턴스는 VPC CIDR IPv4 네트워크 범위의 기본 IP 주소에 2를 더한 예약 IP 주소를 사용합니다. 원격 네트워크와 VPC 간에 네트워크 연결이 있는 경우, 원격 네트워크의 DNS 해석기가 DNS 쿼리를 VPC의 해석기에 전달할 수 있습니다. AWS Direct Connect 또는 VPN 연결을 통해 이 연결을 수행할 수 있습니다. 그러나 해석기는 VPC 네트워크 범위를 벗어나는 IP 주소의 DNS 쿼리를 허용하지 않습니다. 이 문제를 해결하려면 VPC에 인바운드 엔드포인트를 생성하세요. 이 인바운드 엔드포인트는 수신된 DNS 쿼리를 해석기에 전달합니다. 이러한 쿼리의 처리는 VPC 내에서 시작되는 쿼리의 처리와 같습니다.

해결 방법

사전 요구 사항 완료

먼저, 인바운드 엔드포인트를 만들려는 VPC의 DNS 지원 속성에서 DNS 호스트 이름 및 DNS 확인을 활성화합니다.

그런 다음, 해당 프라이빗 호스팅 영역을 해당 VPC와 연결합니다.

프라이빗 호스팅 영역과 VPC가 같은 계정에 있는 경우 다음 단계를 완료하세요.

  1. Route 53 콘솔을 엽니다.
  2. 탐색 창에서 호스팅 영역을 선택합니다.
  3. 쿼리하려는 레코드가 포함된 프라이빗 호스팅 영역을 선택합니다.
  4. 검색 창에서 VPC를 검색합니다. 그런 다음 새 VPC 연결을 선택합니다.

프라이빗 호스팅 영역과 VPC가 다른 계정에 있는 경우 AWS Command Line Interface(AWS CLI)를 사용하여 계정 간 연결을 수행합니다.

참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

온프레미스 DNS 서버가 재귀 쿼리만을 보내는지 확인합니다. Route 53 인바운드 해석기는 반복 쿼리를 지원하지 않습니다.

인바운드 엔드포인트 해석기를 생성한 서브넷과 연결된 라우팅 테이블에 온프레미스 네트워크로의 경로가 포함되어 있는지 확인합니다.

인바운드 엔드포인트를 생성한 서브넷과 함께 사용자 지정 네트워크 액세스 제어 목록(네트워크 ACL)을 사용하는 경우 특정 트래픽을 허용해야 합니다. 네트워크 ACL이 다음 포트의 트래픽을 허용하는지 확인합니다.

  • 대상 포트 범위 1,024~65,535의 온프레미스 DNS 서버로의 UDP 및 TCP 트래픽(아웃바운드 NACL 규칙).
  • 포트 53의 온프레미스 DNS 서버로부터의 UDP 및 TCP 트래픽(인바운드 NACL 규칙).
  • 인바운드와 연결된 모든 보안 그룹은 온프레미스 DNS 서버 IP 주소로부터의 TCP 및 UDP 포트 53의 트래픽을 허용해야 합니다.

온프레미스 네트워크와 AWS 간에 방화벽이 있는 경우 방화벽은 특정 트래픽을 허용해야 합니다. 방화벽이 온프레미스 DNS 서버 IP 주소의 TCP 및 UDP 포트 53에 트래픽을 허용해야 합니다.

또한 AWS Direct Connect 연결을 통해 인바운드 해석기 엔드포인트 IP 주소에 대한 연결도 설정해야 합니다.

인바운드 엔드포인트 구성

1.    Route 53 콘솔을 엽니다.

2.    탐색 창에서 인바운드 엔드포인트를 연결합니다.

3.    탐색 모음에서 인바운드 엔드포인트를 생성하려는 VPC의 AWS 리전을 선택합니다.

4.    인바운드 엔드포인트 생성을 선택합니다.

5.    인바운드 엔드포인트 일반 설정을 완료합니다. 대상 포트 53의 원격 네트워크로부터의 인바운드 UDP 및 TCP 트래픽을 허용하는 이 엔드포인트의 보안 그룹을 선택합니다.

6.    DNS 쿼리에 대해 2~6개의 IP 주소를 선택합니다. 해석기가 서브넷의 사용 가능한 IP 주소 중에서 IP 주소를 선택하도록 할 수 있습니다. 또는, IP 주소를 직접 지정할 수 있습니다. 두 개 이상의 서로 다른 가용 영역에서 IP 주소를 선택하는 것이 좋습니다.

7.    각 IP 주소의 서브넷에 대해 다음의 값을 가진 서브넷을 선택합니다.
해당 라우팅 테이블: 이러한 라우팅 테이블은 AWS Direct Connect 또는 VPN을 통해 원격 네트워크에 있는 DNS 해석기의 IP 주소에 대한 경로를 포함해야 합니다.
네트워크 ACL: 대상 포트 53에서 원격 네트워크로부터의 UDP 및 TCP 트래픽을 모두 허용해야 합니다. 또한, 대상 포트 범위 1,024~65,535에서 원격 네트워크로의 UDP 및 TCP 트래픽을 모두 허용해야 합니다. 클라이언트 유형에 따라 네트워크 ACL에 다른 범위를 사용할 수 있습니다.

8.    (선택 사항) 태그 섹션을 완료합니다.

9.    인바운드 엔드포인트 생성을 선택합니다.

참고: 인바운드 해석기의 FQDN은 없습니다. 그러므로 인바운드 엔드포인트를 생성하면 Route 53은 선택한 서브넷에 탄력적 네트워크 인터페이스를 생성합니다. 이러한 네트워크 인터페이스의 IP 주소는 DNS 쿼리를 전달합니다.

구성 테스트

테스트 전에 해당 구성이 다음 조건을 충족하는지 확인하세요.

  • 원격 네트워크의 DNS 서버가 프라이빗 호스팅 영역의 도메인 이름에 대한 DNS 쿼리를 인바운드 엔드포인트의 IP 주소로 조건부로 전달하도록 구성합니다.
  • 원격 DNS 서버가 도메인 이름의 권한을 인바운드 엔드포인트에 위임하는 대신 도메인 이름에 대한 DNS 쿼리를 전달하도록 구성합니다.
  • 인바운드 엔드포인트는 재귀적 DNS 쿼리만 지원해야 합니다. 인바운드 엔드포인트로 전송되는 반복 DNS 쿼리는 시간 초과됩니다. 재귀 필요0(거짓)으로 설정된 상태에서 온프레미스 DNS 서버가 DNS 쿼리를 보내면 인바운드 엔드포인트는 응답을 제공하지 않습니다. 패킷 캡처에서 이 정보를 찾을 수 있습니다.
  • AWS Transit Gateway를 사용하는 경우 서브넷이 Transit Gateway Attachment와 연결되어 있는지 확인하세요. 이는 DNS 쿼리를 확인하는 데 필요합니다.

구성을 테스트하려면 원격 네트워크의 클라이언트에서 프라이빗 호스팅 영역의 레코드 중 하나에 대해 DNS 확인을 수행합니다. 다음 명령에서 RECORD_NAMERECORD_TYPE을 관련된 값으로 바꾸세요.

Linux 또는 MacOS의 경우 다음 예시와 같이 dig RECORD_NAME RECORD_TYPE을 실행합니다.

dig example.com A

Windows의 경우 다음 예시와 같이 nslookup RECORD_NAME RECORD_TYPE을 실행합니다.

nslookup example.com

관련 정보

VPC와 네트워크 간 DNS 쿼리 확인

아웃바운드 DNS 쿼리를 네트워크로 전달

아웃바운드 엔드포인트 관리

Route 53 해석기 엔드포인트의 DNS 확인 문제를 해결하려면 어떻게 해야 하나요?

AWS 공식
AWS 공식업데이트됨 2년 전