다중 계정 AWS 환경에서 하이브리드 네트워크를 위한 DNS 확인 설정 - AWS 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구에픽관련 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 계정 AWS 환경에서 하이브리드 네트워크를 위한 DNS 확인 설정

작성자: Amir Durrani

환경: 프로덕션

기술: 인프라, 네트워킹

AWS 서비스: AWS RAM, Amazon Route 53; AWS Control Tower

요약

이 패턴은 Amazon Route 53 Resolver 규칙 및 아웃바운드 확인자 엔드포인트와 함께 온프레미스 도메인 이름 시스템(DNS) 서비스를 사용하여 이름 확인을 수행하는 방법을 설명합니다.

DNS는 네트워크 환경 전반에서 통신을 설정하고 유지 관리하는 데 필수적입니다. 하이브리드 네트워크 연결 환경을 사용하는 경우 여러 계정과 Virtual Private Cloud(VPC)에 분산된 환경을 관리하는 운영상의 부담 없이 DNS 및 Active Directory와 같은 중요한 네트워크 서비스를 공유할 수 있습니다. 이 접근 방식은 많은 계정을 포괄하는 애플리케이션을 구축하고 지원하는 데 도움이 됩니다. 예를 들어 하이브리드 연결 요구 사항이 있는 멀티 리전 계정이 수백 또는 수천 개 있는 경우 AWS 조직 내의 모든 연결된 환경 전반에서 DNS 서비스를 안전하고 효율적으로 공유할 수 있습니다.

DNS는 애플리케이션의 모든 계층(웹, 애플리케이션 및 데이터베이스) 간의 IP 네트워킹에 매우 중요합니다. DNS 전문가로 구성된 팀에게만 이 리소스를 구성, 운영 및 지원할 수 있는 전체 액세스 권한을 부여하는 것이 좋습니다. 하이브리드 연결 환경에서는 조건부 전달을 사용하여 다른 계정에 있는 리소스에서 발생하는 이름 확인 요청에 온프레미스 DNS를 계속 사용할 수 있습니다.

이 패턴은 AWS 다중 계정 환경의 하이브리드 DNS 확인을 다룹니다. 단일 계정의 경우 단일 계정 AWS 환경에서 하이브리드 네트워크를 위한 DNS 확인 설정 패턴을 참조하세요.

사전 조건 및 제한 사항

사전 조건

  • 모범 사례를 기반으로 하고 AWS Control Tower를 사용하여 구축된 AWS 다중 계정 환경. 다음 섹션의 다이어그램은 이러한 환경의 일반적인 아키텍처를 보여줍니다.

  • AWS Transit Gateway를 사용한 계정과 VPC 간에 확장 가능한 라우팅 인프라.

  • Amazon Route 53를 사용한 아웃바운드 확인자 엔드포인트 및 확인자 규칙.

  • AWS Resource Access Manager(AWS RAM)를 사용한 아웃바운드 확인자 규칙의 리소스 공유.

아키텍처

AWS 다중 계정 아키텍처

AWS의 다중 계정 아키텍처

대상 기술 스택  

  • 다수의 AWS 보안 주체 전반에서 아웃바운드 이름 확인을 위한 기존 온프레미스 DNS 인프라 

  • Route 53 Resolver 규칙 및 아웃바운드 확인자 엔드포인트

  • Route 53 Resolver 규칙을 AWS 조직 내부 및 외부의 다른 AWS 보안 주체와 공유하기 위한 AWS RAM

대상 아키텍처 

다음 다이어그램은 end-to-end 하이브리드 DNS 해상도를 구성하는 단계를 보여줍니다. AWS RAM은 중앙 Shared Services 계정에서 구성 및 관리되는 Route 53 Resolver 규칙 및 확인자 엔드포인트를 공유하는 데 사용됩니다. Route 53 Resolver 엔드포인트는 각 가용 영역에 대해 온프레미스 데이터 센터에 있는 리소스에 대한 아웃바운드 이름 확인 요청을 수신한 다음에 이러한 요청을 온프레미스 DNS 확인자로 전달하도록 구성됩니다. 온프레미스 DNS 확인자는 이름 확인 응답을 아웃바운드 엔드포인트로 보내고, 아웃바운드 엔드포인트는 응답을 VPC 확인자에 전달합니다. 이 단계는 IP 주소 대신 호스트 이름을 사용하여 end-to-end 통신을 설정합니다.

AWS 보안 주체와 확인자 엔드포인트 공유

다음의 다이어그램은 아키텍처를 더 자세히 보여줍니다.

AWS network architecture diagram showing shared services, accounts, VPCs, and connections to on-premises infrastructure.

자동화 및 규모 조정

AWS 템플릿을 사용하여 AWS RAM을 통해 Route 53 리졸버 규칙을 구성하고 공유할 수 있습니다. CloudFormation  

도구

서비스

  • AWS Control Tower는 권장 모범 사례에 따라 AWS 다중 계정 환경을 설정하고 관리할 수 있도록 지원합니다.

  • AWS Resource Access Manager(AWS RAM)를 이용하면 AWS 계정 간에 리소스를 안전하게 공유하여 운영 오버헤드를 줄이고 가시성과 감사 가능성을 제공할 수 있습니다.

  • Amazon Route 53는 가용성과 확장성이 뛰어난 DNS 웹 서비스입니다.

추가 도구

  • nslookupdig는 DNS 레코드를 쿼리하기 위한 유틸리티입니다.

에픽

작업설명필요한 기술

Route 53 아웃바운드 확인자 엔드포인트 및 규칙을 구성합니다.

  1. Route 53 아웃바운드 확인자 규칙을 구성하고 공유할 AWS 계정의 AWS Management Console에 로그인합니다.

  2. https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  3. 탐색 모음에서 확인자 엔드포인트를 구성하고 싶은 리전을 선택합니다.

  4. 탐색 창에서 아웃바운드 엔드포인트를 선택하고 엔드포인트 구성을 선택합니다.

  5. 일반 설정, IP 주소, 선택적 태그 정보를 제공하고 다음을 선택합니다.

  6. 규칙을 한 개 이상 생성하여 네트워크에 전달할 DNS 쿼리의 도메인 이름을 지정한 다음에 저장을 선택합니다.

자세한 내용은 Route 53 설명서의 네트워크로 아웃바운드 DNS 쿼리 전달을 참조하세요.

일반 AWS

Route 53 아웃바운드 확인자 규칙을 생성하여 AWS 보안 주체와 공유합니다.

  1. https://console.aws.amazon.com/ram/ 에서 AWS RAM 콘솔을 엽니다.

  2. 탐색 창에서 리소스 공유를 선택한 다음 리소스 공유 생성을 선택합니다.

  3. 공유 이름을 입력합니다.

  4. 리소스 유형으로는 확인자 규칙을 선택합니다.

  5. 공유하려는 확인자 규칙을 선택하고 선택적 태그 키 및 값 정보를 제공한 후 다음을 선택합니다.

  6. 확인자 규칙 리소스를 공유할 보안 주체를 선택합니다. 보안 주체는 AWS 조직 내부 또는 외부에 있을 수 있습니다. 예를 들어 AWS 조직, 조직 내 특정 조직 단위(OU) 또는 특정 계정을 선택할 수 있습니다.

  7. 리소스 공유 검토 및 생성합니다.

    리소스가 생성되고 공유되면 공유되는 보안 주체에 대한 탐색 창의 나와 공유됨 섹션에 해당 리소스가 나타납니다.

  8. (보안 주체)계정의 VPC를 공유된 서비스 또는 네트워킹 계정에서 공유한 확인자 규칙에 연결합니다.

자세한 내용은 AWS RAM 설명서의 AWS 리소스 공유를 참조하세요.

일반 AWS

아웃바운드 DNS 이름 확인을 테스트합니다.

확인자 규칙을 공유한 계정의 VPC 인스턴스에서 nslookup 또는 dig 유틸리티를 사용하여 이름 확인을 테스트합니다.

쿼리는 온프레미스 데이터 센터 내에 있는 리소스의 IP 주소로 확인되어야 합니다.

일반 AWS

관련 리소스