기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다중 계정 AWS 환경에서 하이브리드 네트워크에 대한 DNS 확인 설정
작성자: Anvesh Koganti(AWS)
요약
이 패턴은 여러 Amazon Web Services(AWS) 계정이 포함된 하이브리드 네트워크 환경에서 DNS 확인을 설정하기 위한 포괄적인 솔루션을 제공합니다. 엔드포인트를 통해 온프레미스 네트워크와 AWS 환경 간의 양방향 DNS 확인을 지원합니다 Amazon Route 53 Resolver . 이 패턴은 다중 계정 중앙 집중식 아키텍처에서 DNS 확인을 활성화하는 두 가지 솔루션을 제공합니다.
기본 설정은 Route 53 Profiles를 사용하지 않습니다. 복잡성이 낮은 중소 규모 배포에 대한 비용을 최적화하는 데 도움이 됩니다.
향상된 설정은 Route 53 Profiles를 사용하여 작업을 간소화합니다. 더 크거나 복잡한 DNS 배포에 가장 적합합니다.
참고
구현 전에 제한 사항 섹션에서 서비스 제한 사항 및 할당량을 검토합니다. 결정을 내릴 때 관리 오버헤드, 비용, 운영 복잡성, 팀 전문성과 같은 요소를 고려합니다.
사전 조건 및 제한 사항
사전 조건
공유 서비스 및 워크로드 계정에 Amazon Virtual Private Cloud(VPC)가 배포된 AWS 다중 계정 환경(계정 구조에 대한 AWS 모범 사례를 따라 AWS Control Tower를 통해 설정되는 것이 바람직함).
온프레미스 네트워크와 AWS 환경 간의 기존 하이브리드 연결(AWS Direct Connect 또는 AWS Site-to-Site VPN).
Amazon VPC 피어링 AWS Transit Gateway또는 VPC 간 계층 3 네트워크 연결을 위한 AWS 클라우드 WAN. VPCs (이 연결은 애플리케이션 트래픽에 필요합니다. DNS 확인이 작동하는 데는 필요하지 않습니다. DNS 확인은 VPCs.)
온프레미스 환경에서 실행되는 DNS 서버입니다.
제한 사항
Route 53 Resolver 엔드포인트, 규칙 및 프로필은 리전 구성 요소이며 글로벌 조직의 AWS 리전 경우 여러에서 복제가 필요할 수 있습니다.
Route 53 Resolver, 프라이빗 호스팅 영역 및 프로파일에 대한 서비스 할당량의 전체 목록은 Route 53 설명서의 할당량을 참조하세요.
아키텍처
대상 기술 스택
Route 53 아웃바운드 및 인바운드 엔드포인트
조건부 전달을 위한 Route 53 Resolver 규칙
AWS Resource Access Manager (AWS RAM)
Route 53 프라이빗 호스팅 영역
대상 아키텍처
아웃바운드 및 인바운드 엔드포인트
다음 다이어그램은에서 온프레미스 AWS 로의 DNS 확인 흐름을 보여줍니다. 도메인이 온프레미스에서 호스팅되는 아웃바운드 확인을 위한 연결 설정입니다. 다음은이 설정과 관련된 프로세스에 대한 개략적인 개요입니다. 자세한 내용은에픽 섹션을 참조하세요.
공유 서비스 VPC에 아웃바운드 Route 53 Resolver 엔드포인트를 배포합니다.
온프레미스에서 호스팅되는 도메인의 공유 서비스 계정에서 Route 53 Resolver 규칙(전달 규칙)을 생성합니다.
온프레미스 호스팅 도메인을 해결해야 하는 리소스를 호스팅하는 다른 계정의 VPCs와 규칙을 공유하고 연결합니다. 이 섹션의 뒷부분에서 설명한 대로 사용 사례에 따라 다양한 방식으로이 작업을 수행할 수 있습니다.
연결을 설정한 후 아웃바운드 확인과 관련된 단계는 다음과 같습니다.
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스는 VPC+2 주소
db.onprem.example.com의 VPC의 Route 53 Resolver로에 대한 DNS 확인 요청을 보냅니다.Route 53 Resolver는 Resolver 규칙을 확인하고 아웃바운드 엔드포인트를 사용하여 요청을 온프레미스 DNS 서버 IPs로 전달합니다.
아웃바운드 엔드포인트는 요청을 온프레미스 DNS IPs로 전달합니다. 트래픽은 공유 서비스 VPC와 온프레미스 데이터 센터 간에 설정된 하이브리드 네트워크 연결을 거칩니다.
온프레미스 DNS 서버는 아웃바운드 엔드포인트에 다시 응답한 다음 응답을 VPC의 Route 53 Resolver로 다시 전달합니다. Resolver는 EC2 인스턴스에 응답을 반환합니다.
다음 다이어그램은 온프레미스 환경의 DNS 확인 흐름을 보여줍니다 AWS. 도메인이 호스팅되는 인바운드 확인에 대한 연결 설정입니다 AWS. 다음은이 설정과 관련된 프로세스에 대한 개략적인 개요입니다. 자세한 내용은에픽 섹션을 참조하세요.
공유 서비스 VPC에 인바운드 Resolver 엔드포인트를 배포합니다.
공유 서비스 계정에서 프라이빗 호스팅 영역을 생성합니다(중앙 집중식 접근 방식).
프라이빗 호스팅 영역을 공유 서비스 VPC와 연결합니다. VPCs 간 DNS 확인을 위해 이러한 영역을 교차 계정 VPC-to-VPC와 공유하고 연결합니다. 이 섹션의 뒷부분에서 설명한 대로 사용 사례에 따라 다양한 방식으로이 작업을 수행할 수 있습니다.
연결을 설정한 후 인바운드 확인과 관련된 단계는 다음과 같습니다.
온프레미스 리소스는에 대한 DNS 확인 요청을 온프레미스 DNS 서버
ec2.prod.aws.example.com로 보냅니다.온프레미스 DNS 서버는 하이브리드 네트워크 연결을 통해 공유 서비스 VPC의 인바운드 Resolver 엔드포인트로 요청을 전달합니다.
인바운드 Resolver 엔드포인트는 VPC Route 53 Resolver의 도움을 받아 연결된 프라이빗 호스팅 영역에서 요청을 조회하고 적절한 IP 주소를 가져옵니다.
이러한 IP 주소는 온프레미스 DNS 서버로 다시 전송되어 온프레미스 리소스에 응답을 반환합니다.
이 구성을 통해 온프레미스 리소스는 인바운드 엔드포인트를 통해 쿼리를 적절한 AWS 프라이빗 호스팅 영역으로 라우팅하여 프라이빗 도메인 이름을 확인할 수 있습니다. 이 아키텍처에서 프라이빗 호스팅 영역은 공유 서비스 VPC에서 중앙 집중화되므로 단일 팀이 중앙 DNS를 관리할 수 있습니다. 이러한 영역은 VPCs 간 DNS 확인 사용 사례를 해결하기 위해 많은 VPC-to-VPC와 연결할 수 있습니다. 또는 DNS 도메인 소유권 및 관리를 각각에 위임할 수 있습니다 AWS 계정. 이 경우 각 계정은 자체 프라이빗 호스팅 영역을 관리하고 각 영역을 중앙 공유 서비스 VPC와 연결하여 온프레미스 환경과의 통합 해상도를 제공합니다. 이 분산형 접근 방식은이 패턴의 범위를 벗어납니다. 자세한 내용은 Amazon VPCs의 여러 계정 및 VPC에서 DNS 관리 조정을 참조하세요.
Resolver 엔드포인트를 사용하여 기본 DNS 확인 흐름을 설정할 때에서 Resolver 규칙과 프라이빗 호스팅 영역의 공유 및 연결을 관리하는 방법을 결정해야 합니다 AWS 계정. 기본 설정 섹션에 설명된 대로 AWS RAM 를 사용하여 해석기 규칙을 공유하고 프라이빗 호스팅 영역 연결을 직접 공유하거나 향상된 설정 섹션에 설명된 대로 Route 53 Profiles를 통해 자체 관리형 공유를 통해 이에 액세스할 수 있습니다. 선택 사항은 조직의 DNS 관리 기본 설정 및 운영 요구 사항에 따라 달라집니다. 다음 아키텍처 다이어그램은 일반적인 엔터프라이즈 배포를 나타내는 다양한 계정의 여러 VPCs를 포함하는 확장 환경을 보여줍니다.
기본 설정
기본 설정에서 다중 계정 AWS 환경에서 하이브리드 DNS 확인을 위한 구현은 AWS RAM 를 사용하여 해석기 전달 규칙과 프라이빗 호스팅 영역 연결을 공유하여 온프레미스와 AWS 리소스 간의 DNS 쿼리를 관리합니다. 이 방법은 온프레미스 네트워크에 연결된 공유 서비스 VPC의 중앙 집중식 Route 53 Resolver 엔드포인트를 사용하여 인바운드 및 아웃바운드 DNS 확인을 효율적으로 처리합니다.
아웃바운드 해결을 위해 Resolver 전달 규칙은 공유 서비스 계정에 생성된 다음 AWS 계정 를 사용하여 다른와 공유됩니다 AWS RAM. 이 공유는 동일한 리전 내의 계정으로 제한됩니다. 그러면 대상 계정은 이러한 규칙을 VPCs와 연결하고 해당 VPCs의 리소스가 온프레미스 도메인 이름을 확인할 수 있습니다.
인바운드 해결을 위해 프라이빗 호스팅 영역은 공유 서비스 계정에 생성되고 공유 서비스 VPC와 연결됩니다. 그런 다음 Route 53 API, AWS SDKs 또는 AWS Command Line Interface ()를 사용하여 다른 계정의 VPCs에 이러한 영역을 연결할 수 있습니다AWS CLI. 그러면 연결된 VPCs의 리소스가 프라이빗 호스팅 영역에 정의된 DNS 레코드를 해석하여 AWS 환경 전체에 통합 DNS 보기를 생성할 수 있습니다.
다음 다이어그램은이 기본 설정의 DNS 확인 흐름을 보여줍니다.
이 설정은 제한된 규모로 DNS 인프라를 사용할 때 잘 작동합니다. 그러나 환경이 성장함에 따라 관리가 어려울 수 있습니다. 프라이빗 호스팅 영역 및 해석기 규칙이 공유되고 VPCs와 개별적으로 연결되는 방식을 관리하는 운영 오버헤드는 규모에 따라 크게 증가합니다. 또한 프라이빗 호스팅 영역당 300개의 VPC 연결 한도와 같은 서비스 할당량은 대규모 배포에서 제약 요인이 될 수 있습니다. 향상된 설정은 이러한 문제를 해결합니다.
향상된 설정
Route 53 Profiles는 여러 하이브리드 네트워크에서 DNS 확인을 관리하기 위한 간소화된 솔루션을 제공합니다 AWS 계정. 프라이빗 호스팅 영역과 해석기 규칙을 개별적으로 관리하는 대신 DNS 구성을 단일 컨테이너로 그룹화하여 리전의 여러 VPCs 및 계정에 쉽게 공유하고 적용할 수 있습니다. 이 설정은 공유 서비스 VPC에서 중앙 집중식 Resolver 엔드포인트 아키텍처를 유지하는 동시에 DNS 구성 관리를 크게 간소화합니다.
다음 다이어그램은 향상된 설정의 DNS 확인 흐름을 보여줍니다.
Route 53 Profiles를 사용하면 프라이빗 호스팅 영역 연결, Resolver 전달 규칙 및 DNS 방화벽 규칙을 공유 가능한 단일 유닛으로 패키징할 수 있습니다. 공유 서비스 계정에서 프로필을 생성하고를 사용하여 멤버 계정과 공유할 수 있습니다 AWS RAM. 프로필을 공유하여 대상 VPCs에 적용하면 필요한 모든 연결 및 구성이 서비스에서 자동으로 처리됩니다. 이렇게 하면 DNS 관리의 운영 오버헤드가 크게 줄어들고 성장하는 환경에 뛰어난 확장성을 제공합니다.
자동화 및 규모 조정
AWS CloudFormation 또는 Terraform과 같은 코드형 인프라(IaC) 도구를 사용하여 Route 53 Resolver 엔드포인트, 규칙, 프라이빗 호스팅 영역 및 프로파일을 자동으로 프로비저닝하고 관리합니다. DNS 구성을 지속적 통합 및 지속적 전송(CI/CD) 파이프라인과 통합하여 일관성, 반복성 및 빠른 업데이트를 제공합니다.
도구
AWS 서비스
AWS Resource Access Manager (AWS RAM)를 사용하면에서 리소스를 안전하게 공유 AWS 계정 하여 운영 오버헤드를 줄이고 가시성 및 감사 가능성을 제공할 수 있습니다.
Amazon Route 53 Resolver는 AWS 리소스의 DNS 쿼리에 재귀적으로 응답하며 기본적으로 모든 VPCs. 해석기 엔드포인트 및 조건부 전달 규칙을 생성하여 온프레미스 데이터 센터와 VPCs 간의 DNS 네임스페이스를 확인할 수 있습니다.
Amazon Route 53 프라이빗 호스팅 영역은 Route 53가 도메인 및 하위 도메인에 대한 DNS 쿼리에 응답하는 방법에 대한 정보를 포함하는 컨테이너입니다.
Amazon Route 53 Profiles를 사용하면 여러 VPCs에 걸쳐 DNS 관련 Route 53 구성을 간소화된 방식으로 적용하고 관리할 AWS 계정 수 있습니다.
모범 사례
이 섹션에서는 Route 53 Resolver 최적화를 위한 몇 가지 모범 사례를 제공합니다. 이는 Route 53 모범 사례의 하위 집합을 나타냅니다. 전체 목록은 Amazon Route 53 모범 사례를 참조하세요.
Resolver 엔드포인트를 사용하여 루프 구성 방지
VPC 연결을 신중하게 계획하여 재귀 라우팅을 방지하도록 DNS 아키텍처를 설계합니다. VPC가 인바운드 엔드포인트를 호스팅하는 경우 순환 참조를 생성할 수 있는 Resolver 규칙과 연결하지 마세요.
계정 간에 DNS 리소스를 공유할 때를 AWS RAM 전략적으로 사용하여 라우팅 경로를 정리합니다.
자세한 내용은 Route 53 설명서의 Resolver 엔드포인트를 사용한 루프 구성 방지를 참조하세요.
스케일 해석기 엔드포인트
초당 쿼리 수(QPS)가 많은 환경의 경우 엔드포인트에서 ENI당 10,000QPS의 제한이 있다는 점에 유의하세요. 엔드포인트에 더 많은 ENIs를 추가하여 DNS QPS를 확장할 수 있습니다.
Amazon CloudWatch는
InboundQueryVolume및OutboundQueryVolume지표를 제공합니다(CloudWatch 설명서 참조). 임계값이 특정 값(예: 10,000QPS의 80%)을 초과하는 경우 알림을 보내는 모니터링 규칙을 설정하는 것이 좋습니다.대용량 트래픽 중에 연결 추적 제한으로 인해 DNS 쿼리 제한이 발생하지 않도록 Resolver 엔드포인트에 대한 상태 저장 보안 그룹 규칙을 구성합니다. 연결 추적이 보안 그룹에서 작동하는 방식에 대한 자세한 내용은 Amazon EC2 설명서의 Amazon EC2 보안 그룹 연결 추적을 참조하세요. Amazon EC2
자세한 내용은 Route 53 설명서의 Resolver 엔드포인트 조정을 참조하세요.
Resolver 엔드포인트에 고가용성 제공
중복을 위해 두 개 이상의 가용 영역에 IP 주소를 사용하여 인바운드 엔드포인트를 구성합니다.
추가 네트워크 인터페이스를 프로비저닝하여 유지 관리 또는 트래픽 급증 중에 가용성을 보장합니다.
자세한 내용은 Route 53 설명서의 Resolver 엔드포인트의 고가용성을 참조하세요.
에픽
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
인바운드 엔드포인트를 배포합니다. | Route 53 Resolver는 인바운드 엔드포인트를 사용하여 온프레미스 DNS 확인자에서 DNS 쿼리를 받습니다. 자세한 지침은 Route 53 설명서의 인바운드 DNS 쿼리를 VPC에 전달을 참조하세요. 인바운드 엔드포인트 IP 주소를 기록해 둡니다. | AWS 관리자, 클라우드 관리자 |
아웃바운드 엔드포인트를 배포합니다. | Route 53 Resolver는 아웃바운드 엔드포인트를 사용하여 온프레미스 DNS 확인자에 DNS 쿼리를 보냅니다. 지침은 Route 53 설명서의 네트워크로 아웃바운드 DNS 쿼리 전달을 참조하세요. 출력 엔드포인트 ID를 기록해 둡니다. | AWS 관리자, 클라우드 관리자 |
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
호스팅되는 도메인의 프라이빗 호스팅 영역을 생성합니다 AWS. | 이 영역에는 온프레미스 환경에서 확인되어야 하는 AWS호스팅 도메인(예: 프라이빗 호스팅 영역을 생성할 때 VPC를 동일한 계정이 소유한 호스팅 영역과 연결해야 합니다. 이를 위해 공유 서비스 VPC를 선택합니다. | AWS 관리자, 클라우드 관리자 |
기본 설정: 프라이빗 호스팅 영역을 다른 계정의 VPCs와 연결합니다. | 기본 설정을 사용하는 경우(아키텍처 섹션 참조): 멤버 계정 VPCs의 리소스가이 프라이빗 호스팅 영역의 DNS 레코드를 확인하도록 하려면 VPCs를 호스팅 영역과 연결해야 합니다. 연결에 권한을 부여한 다음 프로그래밍 방식으로 연결해야 합니다. 지침은 Route 53 설명서의 다른 로 생성한 Amazon VPC와 프라이빗 호스팅 영역 연결을 참조하세요 AWS 계정. | AWS 관리자, 클라우드 관리자 |
향상된 설정: Route 53 Profiles를 구성하고 공유합니다. | 향상된 설정을 사용하는 경우(아키텍처 섹션 참조):
참고조직의 구조 및 DNS 요구 사항에 따라 여러 계정 또는 워크로드에 대해 여러 프로파일을 생성하고 관리해야 할 수 있습니다. | AWS 관리자, 클라우드 관리자 |
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
온프레미스에서 호스팅되는 도메인에 대한 전달 규칙을 생성합니다. | 이 규칙은 Route 53 Resolver에 온프레미스 도메인(예: | AWS 관리자, 클라우드 관리자 |
기본 설정: 전달 규칙을 다른 계정의 VPCs와 공유하고 연결합니다. | 기본 설정을 사용하는 경우: 전달 규칙을 적용하려면 규칙을 공유하고 다른 계정의 VPCs와 연결해야 합니다. 그런 다음 Route 53 Resolver는 도메인을 해결할 때 규칙을 고려합니다. 지침은 Route 53 설명서의 Resolver 규칙을 다른와 공유하고 공유 규칙을 AWS 계정 사용 및 전달 규칙을 VPC와 연결을 참조하세요. | AWS 관리자, 클라우드 관리자 |
향상된 설정: Route 53 Profiles를 구성하고 공유합니다. | 향상된 설정을 사용하는 경우:
참고조직의 구조 및 DNS 요구 사항에 따라 여러 계정 또는 워크로드에 대해 여러 프로파일을 생성하고 관리해야 할 수 있습니다. | AWS 관리자, 클라우드 관리자 |
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
온프레미스 DNS 해석기에서 조건부 전달을 구성합니다. | 확인을 위해 온프레미스 환경에서 로 DNS 쿼리 AWS 를 전송하려면 인바운드 엔드포인트 IP 주소를 가리키도록 온프레미스 DNS 해석기에서 조건부 전달을 구성해야 합니다. 이렇게 하면 DNS 해석기가 Route AWS 53 Resolver에서 확인할 수 있도록 호스팅된 도메인(예:의 경우 | 네트워크 관리자 |
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
에서 온프레미스 환경 AWS 으로 DNS 확인을 테스트합니다. | 전달 규칙이 연결된 VPC의 인스턴스에서 온프레미스 호스팅 도메인(예: )에 대한 DNS 쿼리를 수행합니다 | 네트워크 관리자 |
온프레미스 환경에서 로 DNS 확인을 테스트합니다 AWS. | 온프레미스 서버에서 AWS호스팅된 도메인에 대한 DNS 확인을 수행합니다(예:의 경우 | 네트워크 관리자 |
관련 리소스
Amazon VPC용 하이브리드 클라우드 DNS 옵션(AWS 백서)
프라이빗 호스팅 영역 작업(Route 53 설명서)
Route 53 Resolver 시작하기(Route 53 설명서)
Route 53 Resolver를 사용하여 다중 계정 환경에서 DNS 관리 간소화
(AWS 블로그 게시물) 여러 VPCs 및가 있는 Amazon Route 53 Profiles를 사용하여 DNS 관리 통합 AWS 계정
(AWS 블로그 게시물) 다중 계정 DNS 환경을 Amazon Route 53 Profiles로 마이그레이션
(AWS 블로그 게시물) 확장 가능한 다중 계정 AWS 환경에 Amazon Route 53 Profiles 사용
(AWS 블로그 게시물)
