다중 계정 AWS 환경에서 하이브리드 네트워크에 대한 DNS 해상도 설정 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 계정 AWS 환경에서 하이브리드 네트워크에 대한 DNS 해상도 설정

작성자: Amir Durrani

환경: 프로덕션

기술: 인프라, 네트워킹

AWS 서비스: AWS RAM, Amazon Route 53, AWS Control Tower

요약

이 패턴은 이름 확인을 위해 Amazon Route 53 Resolver 규칙 및 아웃바운드 Resolver 엔드포인트와 함께 온프레미스 도메인 이름 시스템(DNS) 서비스를 사용하는 방법을 설명합니다.

DNS 는 네트워크 환경 간 통신을 설정하고 유지하는 데 필수적입니다. 하이브리드 네트워크 연결 환경이 있는 경우 계정 및 가상 프라이빗 클라우드() 간에 분산 환경을 관리하는 운영 부담 없이 DNS 및 Active Directory와 같은 중요한 네트워크 서비스를 공유할 수 있습니다VPCs. 이 접근 방식은 많은 계정을 포괄하는 애플리케이션을 구축하고 지원하는 데 도움이 됩니다. 예를 들어 하이브리드 연결 요구 사항이 있는 수십 또는 수천 개의 다중 리전 계정이 있는 경우 AWS 조직 내 연결된 모든 환경에서 DNS 서비스를 안전하고 효율적으로 공유할 수 있습니다.

DNS 는 애플리케이션의 모든 계층(웹, 애플리케이션 및 데이터베이스)에서 IP 네트워킹에 매우 중요합니다. DNS 전문가 팀에게만 이 리소스를 구성, 운영 및 지원할 수 있는 모든 액세스 권한을 부여하는 것이 가장 좋습니다. 하이브리드 연결 환경에서는 조건부 전달을 사용하여 다른 계정에 있는 리소스에서 발생하는 DNS 이름 확인 요청에 온프레미스를 계속 사용할 수 있습니다.

이 패턴은 AWS 다중 계정 환경의 하이브리드 DNS 해상도를 다룹니다. 단일 계정의 경우 단일 계정 AWS 환경의 하이브리드 네트워크에 대한 DNS 해상도 설정 패턴을 참조하세요.

사전 조건 및 제한 사항

사전 조건 

아키텍처

AWS 다중 계정 아키텍처

의 다중 계정 아키텍처 AWS

대상 기술 스택  

  • 다수의 AWS 보안 주체에 걸쳐 아웃바운드 이름 확인을 위한 기존 온프레미스 DNS 인프라 

  • Route 53 Resolver 규칙 및 아웃바운드 확인자 엔드포인트

  • AWS RAM AWS 조직 내외부의 다른 AWS 보안 주체와 Route 53 Resolver 규칙을 공유하기 위한 용도

대상 아키텍처 

다음 다이어그램은 하이브리드 DNS 해상도를 구성하는 end-to-end 단계를 보여줍니다. AWS RAM 는 중앙 공유 서비스 계정에서 구성 및 관리되는 Route 53 Resolver 규칙 및 Resolver 엔드포인트를 공유하는 데 사용됩니다. Route 53 Resolver 엔드포인트는 온프레미스 데이터 센터에 있는 리소스에 대한 아웃바운드 이름 확인 요청을 수신한 다음 이러한 요청을 온프레미스 DNS 확인자에게 전달하도록 각 가용 영역에 대해 구성됩니다. 온프레미스 DNS 해석기는 아웃바운드 엔드포인트에 이름 확인 응답을 전송한 다음 응답을 VPC 해석기에 전달합니다. 이 단계는 IP 주소 대신 호스트 이름을 사용하여 통신을 설정합니다 end-to-end.

AWS 보안 주체와 Resolver 엔드포인트 공유

다음의 다이어그램은 아키텍처를 더 자세히 보여줍니다.

AWS network architecture diagram showing shared services, accounts, VPCs, and connections to on-premises infrastructure.

자동화 및 규모 조정

AWS CloudFormation 템플릿을 사용하여 를 AWS RAM 통해 Route 53 Resolver 규칙을 구성하고 공유할 수 있습니다. 

도구

AWS 서비스

  • AWS Control Tower는 규정 모범 사례를 따라 AWS 다중 계정 환경을 설정하고 관리하는 데 도움이 됩니다.

  • AWS Resource Access Manager(AWS RAM)를 사용하면 AWS 계정 간에 리소스를 안전하게 공유하여 운영 오버헤드를 줄이고 가시성 및 감사 가능성을 제공할 수 있습니다.

  • Amazon Route 53은 가용성과 확장성이 뛰어난 DNS 웹 서비스입니다.

추가 도구

  • nslookupdig는 DNS 레코드를 쿼리하기 위한 유틸리티입니다.

에픽

작업설명필요한 기술

Route 53 아웃바운드 확인자 엔드포인트 및 규칙을 구성합니다.

  1. Route 53 아웃바운드 해석기 규칙을 구성하고 공유할 AWS 계정의 AWS Management Console에 로그인합니다.

  2. 에서 Route 53 콘솔을 엽니다https://console.aws.amazon.com/route53/.

  3. 탐색 모음에서 확인자 엔드포인트를 구성하고 싶은 리전을 선택합니다.

  4. 탐색 창에서 아웃바운드 엔드포인트를 선택하고 엔드포인트 구성을 선택합니다.

  5. 일반 설정, IP 주소, 선택적 태그 정보를 제공하고 다음을 선택합니다.

  6. 하나 이상의 규칙을 생성하여 네트워크에 전달할 DNS 쿼리의 도메인 이름을 지정한 다음 저장을 선택합니다.

자세한 내용은 Route 53 설명서의 네트워크에 아웃바운드 DNS 쿼리 전달을 참조하세요.

일반 AWS

Route 53 아웃바운드 해석기 규칙을 생성하고 AWS 보안 주체와 공유합니다.

  1. 에서 AWS RAM 콘솔을 엽니다https://console.aws.amazon.com/ram/.

  2. 탐색 창에서 리소스 공유를 선택한 다음 리소스 공유 생성을 선택합니다.

  3. 공유 이름을 입력합니다.

  4. 리소스 유형으로는 확인자 규칙을 선택합니다.

  5. 공유하려는 확인자 규칙을 선택하고 선택적 태그 키 및 값 정보를 제공한 후 다음을 선택합니다.

  6. 확인자 규칙 리소스를 공유할 보안 주체를 선택합니다. 보안 주체는 AWS 조직의 내부 또는 외부에 있을 수 있습니다. 예를 들어 조직, AWS 조직 내 특정 조직 단위(OU) 또는 특정 계정을 선택할 수 있습니다.

  7. 리소스 공유 검토 및 생성합니다.

    리소스가 생성되고 공유되면 공유되는 보안 주체에 대한 탐색 창의 나와 공유됨 섹션에 해당 리소스가 나타납니다.

  8. (기본) 계정VPCs의 를 공유 서비스 또는 네트워킹 계정에서 공유한 Resolver 규칙과 연결합니다.

자세한 내용은 AWS RAM 설명서의 AWS 리소스 공유를 참조하세요.

일반 AWS

아웃바운드 DNS 이름 확인을 테스트합니다.

Resolver 규칙을 공유한 계정의 인스턴스VPC에 대해 nslookup 또는 dig 유틸리티를 사용하여 이름 확인을 테스트합니다.

쿼리는 온프레미스 데이터 센터 내에 있는 리소스의 IP 주소로 확인되어야 합니다.

일반 AWS

관련 리소스