VPC로 인바운드 DNS 쿼리 전달 - Amazon Route 53
인바운드 전달 구성인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC로 인바운드 DNS 쿼리 전달

네트워크에서 Resolver로 DNS 쿼리를 전달하려면 인바운드 엔드포인트를 생성합니다. 인바운드 엔드포인트는 네트워크의 DNS 해석기가 DNS 쿼리를 전달할 IP 주소(VPC에서 사용할 수 있는 IP 주소 범위)를 지정합니다. 이러한 IP 주소는 퍼블릭 IP 주소가 아니므로 각 인바운드 엔드포인트에 대해 연결 또는 VPN 연결을 사용하여 VPC를 네트워크에 연결해야 합니다. AWS Direct Connect

인바운드 전달 구성

인바운드 엔드포인트를 생성하려면 다음 절차를 수행하세요.

인바운드 엔드포인트를 생성하려면

  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/route53/ 에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 Inbound endpoints(인바운드 엔드포인트)를 선택합니다.

  3. 탐색 모음에서 인바운드 엔드포인트를 생성할 리전을 선택합니다.

  4. Create inbound endpoint(인바운드 엔드포인트 생성)를 선택합니다.

  5. 관련 값들을 입력합니다. 자세한 내용은 인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값 섹션을 참조하세요.

  6. 생성을 선택합니다.

  7. 해당 DNS 쿼리를 인바운드 엔드포인트의 IP 주소로 전달하도록 네트워크의 DNS 해석기를 구성합니다. 자세한 내용은 DNS 애플리케이션 설명서를 참조하세요.

인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값

인바운드 엔드포인트를 생성하거나 편집할 때 다음 값을 지정합니다.

Outpost ID

AWS Outposts VPC에서 리졸버의 엔드포인트를 생성하는 경우 이것이 ID입니다. AWS Outposts

엔드포인트 이름

기억하기 쉬운 이름을 사용하면 대시보드에서 인바운드 엔드포인트를 쉽게 찾을 수 있습니다.

region-name 리전에 있는 VPC

네트워크의 모든 인바운드 DNS 쿼리가 Resolver로 가는 중에 이 VPC를 통과합니다.

이 엔드포인트에 대한 보안 그룹

이 VPC에 대한 액세스를 제어하는 데 사용할 보안 그룹 하나 이상의 ID. 지정한 보안 그룹에는 인바운드 규칙이 하나 이상 포함되어야 합니다. 인바운드 규칙은 포트 53에서 TCP 및 UDP 액세스를 허용해야 합니다. 엔드포인트를 만든 후에는 이 값을 변경할 수 없습니다.

일부 보안 그룹 규칙으로 인해 연결이 추적되며 인바운드 엔드포인트의 IP 주소당 초당 총 최대 쿼리는 1,500개까지 낮아질 수 있습니다. 보안 그룹으로 인한 연결 추적을 방지하려면 추적되지 않은 연결을 참조하십시오.

참고

여러 보안 그룹을 추가하려면 명령을 사용합니다. AWS CLI create-resolver-endpoint 자세한 내용은 을 참조하십시오. create-resolver-endpoint

자세한 내용은 Amazon VPC 사용 설명서VPC의 보안 그룹을 참조하세요.

[엔드포인트 유형]

엔드포인트 유형은 IPv4, IPv6 또는 듀얼 스택 IP 주소일 수 있습니다. 듀얼 스택 엔드포인트의 경우, 엔드포인트는 네트워크의 DNS 해석기가 DNS 쿼리를 전달할 수 있는 IPv4 및 IPv6 주소를 모두 갖게 됩니다.

참고

보안상의 이유로 모든 이중 스택 및 IPv6 IP 주소에 대해 공용 인터넷으로부터의 직접 IPv6 트래픽 액세스를 거부하고 있습니다.

IP 주소

네트워크에 있는 DNS 해석기가 DNS 쿼리를 전달할 IP 주소입니다. 중복성을 위해 최소 두 개의 IP 주소를 지정해야 합니다. 다음을 참조하세요.

복수 가용 영역

최소한 2개의 가용 영역에 IP 주소를 지정하는 것이 좋습니다. 선택적으로 그러한 가용 영역 또는 다른 가용 영역에 추가 IP 주소를 지정할 수 있습니다.

IP 주소 및 Amazon VPC 탄력적 네트워크 인터페이스

지정한 가용 영역, 서브넷 및 IP 주소의 각 조합에 대해 Resolver는 Amazon VPC 탄력적 네트워크 인터페이스를 생성합니다. 엔드포인트의 IP 주소별 초당 최대 동시 DNS 쿼리 수는 Route 53 Resolver의 할당량 섹션을 참조하세요. 각 탄력적 네트워크 인터페이스의 요금에 대한 정보는 Amazon Route 53 요금 페이지의 "Amazon Route 53"을 참조하십시오.

참고

Resolver 엔드포인트에는 프라이빗 IP 주소가 있습니다. 이러한 IP 주소는 엔드포인트의 수명 기간 동안 변경되지 않습니다.

IP 주소마다 다음 값을 지정하세요. VPC in the region-name Region(region-name 리전에 있는 VPC)에서 지정한 VPC의 가용 영역에 각 IP 주소가 있어야 합니다.

가용 영역

DNS 쿼리가 VPC로 가는 도중 통과할 가용 영역. 지정한 가용 영역을 서브넷으로 구성해야 합니다.

서브넷

Resolver 엔드포인트 ENI에 할당하려는 IP 주소가 포함된 서브넷입니다. DNS 쿼리를 보낼 주소는 다음과 같습니다. 서브넷에는 사용 가능한 IP 주소가 있어야 합니다.

서브넷 IP 주소는 엔드포인트 유형과 일치해야 합니다.

IP 주소

DNS 쿼리를 전달하려는 IP 주소입니다.

Resolver가 지정된 서브넷의 사용 가능한 IP 주소 중에서 자동으로 IP 주소를 선택하도록 할지, 아니면 직접 IP 주소를 지정할지 선택합니다.

IP 주소를 직접 지정하려면 IPv4 또는 IPv6 주소 중 하나를 입력하거나 둘 다 입력합니다.

프로토콜

엔드포인트 프로토콜은 데이터를 인바운드 엔드포인트로 전송하는 방식을 결정합니다. 필요한 보안 수준에 따라 프로토콜을 하나 이상 선택합니다.

  • Do53: (기본값) 추가 암호화 없이 Route 53 Resolver를 사용하여 데이터가 릴레이됩니다. 외부 당사자가 데이터를 읽을 수는 없지만 AWS 네트워크 내에서는 볼 수 있습니다.

  • DoH: 데이터는 암호화된 HTTPS 세션을 통해 전송됩니다. DoH는 권한 없는 사용자가 데이터를 해독할 수 없고 의도한 수신자 외에는 누구도 읽을 수 없도록 보안 수준을 강화합니다.

  • DoH-FIPS: 데이터를 FIPS 140-2 암호화 표준을 준수하는 암호화된 HTTPS 세션을 통해 전송합니다. 인바운드 엔드포인트에서만 지원됩니다. 자세한 내용은 FIPS PUB 140-2를 참조하세요.

인바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.

  • Do53과 DoH를 함께 사용합니다.

  • Do53과 DoH-FIP를 함께 사용합니다.

  • Do53을 단독으로 사용합니다.

  • DoH를 단독으로 사용합니다.

  • DoH FIPS를 단독으로 사용합니다.

  • 없음. Do53으로 취급됩니다.

중요

인바운드 엔드포인트의 프로토콜을 Do53 전용에서 DoH 전용 또는 DoH-FIPS 전용으로 직접 변경할 수 없습니다. 이는 Do53을 사용하는 수신 트래픽이 갑자기 중단되는 것을 방지하기 위한 것입니다. 프로토콜을 Do53에서 DoH 또는 DoH-FIP로 변경하려면 먼저 Do53과 DoH 또는 Do53과 DoH-FIP를 모두 활성화하여 모든 수신 트래픽이 DoH 프로토콜 또는 DoH-FIP를 사용하도록 전송되었는지 확인한 다음 Do53을 제거해야 합니다.

Tags

한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 Cost center를 지정하고 456을 지정할 수 있습니다.