기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다중 계정 AWS 환경에서 하이브리드 네트워크를 위한 DNS 확인 설정
작성자: Amir Durrani
환경: 프로덕션 | 기술: 인프라, 네트워킹 | AWS 서비스: AWS RAM, Amazon Route 53; AWS Control Tower |
요약
이 패턴은 Amazon Route 53 Resolver 규칙 및 아웃바운드 확인자 엔드포인트와 함께 온프레미스 도메인 이름 시스템(DNS) 서비스를 사용하여 이름 확인을 수행하는 방법을 설명합니다.
DNS는 네트워크 환경 전반에서 통신을 설정하고 유지 관리하는 데 필수적입니다. 하이브리드 네트워크 연결 환경을 사용하는 경우 여러 계정과 Virtual Private Cloud(VPC)에 분산된 환경을 관리하는 운영상의 부담 없이 DNS 및 Active Directory와 같은 중요한 네트워크 서비스를 공유할 수 있습니다. 이 접근 방식은 많은 계정을 포괄하는 애플리케이션을 구축하고 지원하는 데 도움이 됩니다. 예를 들어 하이브리드 연결 요구 사항이 있는 멀티 리전 계정이 수백 또는 수천 개 있는 경우 AWS 조직 내의 모든 연결된 환경 전반에서 DNS 서비스를 안전하고 효율적으로 공유할 수 있습니다.
DNS는 애플리케이션의 모든 계층(웹, 애플리케이션 및 데이터베이스) 간의 IP 네트워킹에 매우 중요합니다. DNS 전문가로 구성된 팀에게만 이 리소스를 구성, 운영 및 지원할 수 있는 전체 액세스 권한을 부여하는 것이 좋습니다. 하이브리드 연결 환경에서는 조건부 전달을 사용하여 다른 계정에 있는 리소스에서 발생하는 이름 확인 요청에 온프레미스 DNS를 계속 사용할 수 있습니다.
이 패턴은 AWS 다중 계정 환경의 하이브리드 DNS 확인을 다룹니다. 단일 계정의 경우 단일 계정 AWS 환경에서 하이브리드 네트워크를 위한 DNS 확인 설정 패턴을 참조하세요.
사전 조건 및 제한 사항
사전 조건
모범 사례를 기반으로 하고 AWS Control Tower를 사용하여 구축된 AWS 다중 계정 환경. 다음 섹션의 다이어그램은 이러한 환경의 일반적인 아키텍처를 보여줍니다.
AWS Transit Gateway를 사용한 계정과 VPC 간에 확장 가능한 라우팅 인프라.
Amazon Route 53를 사용한 아웃바운드 확인자 엔드포인트 및 확인자 규칙.
AWS Resource Access Manager(AWS RAM)를 사용한 아웃바운드 확인자 규칙의 리소스 공유.
아키텍처
AWS 다중 계정 아키텍처
대상 기술 스택
다수의 AWS 보안 주체 전반에서 아웃바운드 이름 확인을 위한 기존 온프레미스 DNS 인프라
Route 53 Resolver 규칙 및 아웃바운드 확인자 엔드포인트
Route 53 Resolver 규칙을 AWS 조직 내부 및 외부의 다른 AWS 보안 주체와 공유하기 위한 AWS RAM
대상 아키텍처
다음 다이어그램은 end-to-end 하이브리드 DNS 해상도를 구성하는 단계를 보여줍니다. AWS RAM은 중앙 Shared Services 계정에서 구성 및 관리되는 Route 53 Resolver 규칙 및 확인자 엔드포인트를 공유하는 데 사용됩니다. Route 53 Resolver 엔드포인트는 각 가용 영역에 대해 온프레미스 데이터 센터에 있는 리소스에 대한 아웃바운드 이름 확인 요청을 수신한 다음에 이러한 요청을 온프레미스 DNS 확인자로 전달하도록 구성됩니다. 온프레미스 DNS 확인자는 이름 확인 응답을 아웃바운드 엔드포인트로 보내고, 아웃바운드 엔드포인트는 응답을 VPC 확인자에 전달합니다. 이 단계는 IP 주소 대신 호스트 이름을 사용하여 end-to-end 통신을 설정합니다.
다음의 다이어그램은 아키텍처를 더 자세히 보여줍니다.
자동화 및 규모 조정
AWS 템플릿을 사용하여 AWS RAM을 통해 Route 53 리졸버 규칙을 구성하고 공유할 수 있습니다. CloudFormation
도구
서비스
AWS Control Tower는 권장 모범 사례에 따라 AWS 다중 계정 환경을 설정하고 관리할 수 있도록 지원합니다.
AWS Resource Access Manager(AWS RAM)를 이용하면 AWS 계정 간에 리소스를 안전하게 공유하여 운영 오버헤드를 줄이고 가시성과 감사 가능성을 제공할 수 있습니다.
Amazon Route 53는 가용성과 확장성이 뛰어난 DNS 웹 서비스입니다.
추가 도구
nslookup 및 dig는 DNS 레코드를 쿼리하기 위한 유틸리티입니다.
에픽
작업 | 설명 | 필요한 기술 |
---|---|---|
Route 53 아웃바운드 확인자 엔드포인트 및 규칙을 구성합니다. |
자세한 내용은 Route 53 설명서의 네트워크로 아웃바운드 DNS 쿼리 전달을 참조하세요. | 일반 AWS |
Route 53 아웃바운드 확인자 규칙을 생성하여 AWS 보안 주체와 공유합니다. |
자세한 내용은 AWS RAM 설명서의 AWS 리소스 공유를 참조하세요. | 일반 AWS |
아웃바운드 DNS 이름 확인을 테스트합니다. | 확인자 규칙을 공유한 계정의 VPC 인스턴스에서 nslookup 또는 dig 유틸리티를 사용하여 이름 확인을 테스트합니다. 쿼리는 온프레미스 데이터 센터 내에 있는 리소스의 IP 주소로 확인되어야 합니다. | 일반 AWS |
관련 리소스
네트워크로 아웃바운드 DNS 쿼리 전달(Route 53 설명서)
AWS 리소스 공유(AWS RAM 설명서)