[ 고지 사항 (Disclaimer) ]
본 컨텐츠는 고객의 편의를 위하여 AWS 서비스 설명을 위해 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우 AWS 사이트 (AWS.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
본 문서는 Hybrid Cloud DNS Options for Amazon VPC (2019년, 영문) 내용에 기반하여 작성 되었습니다.
이 문서는 정보 제공의 목적으로만 제공됩니다. 본 문서의 발행일 당시 AWS의 현재 제품 오퍼링 및 실행방법 등을 설명하며, 예고 없이 변경될 수 있습니다. 고객은 본 문서에 포함된 정보나 AWS 제품 또는 서비스의 사용을 독립적으로 평가할 책임이 있으며, 각 정보 및 제품은 명시적이든 묵시적이든 어떠한 종류의 보증 없이 “있는 그대로” 제공됩니다. 본 문서는 AWS, 그 자회사, 공급업체 또는 라이선스 제공자로부터 어떠한 보증, 표현, 계약 약속, 조건 또는 보장을 구성하지 않습니다. 고객에 대한 AWS의 책임 및 의무는 AWS 계약에 의해 관리되며 본 문서는 AWS와 고객 사이의 어떠한 계약에도 속하지 않으며 계약을 변경하지도 않습니다.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
본 문서는 총 4부로 구성되어 있으며 이 글은 2부입니다.
1부 링크 : Amazon VPC용 하이브리드 클라우드 DNS 옵션 1/4
솔루션
이 백서의 솔루션은 하이브리드 클라우드에서 DNS 솔루션을 설계하기 위한 옵션 및 모범 사례를 제시하며 구현 용이성, 관리 오버 헤드, 비용, 탄력성 및 Route 53 Resolver로 향한 DNS 쿼리 배포와 같은 기준을 염두하고 있습니다. 우리는 다음과 같은 솔루션을 다룹니다.
· Route 53 Resolver 엔드 포인트 및 전달 규칙 –이 솔루션은 Route 53 Resolver 엔드 포인트를 사용하여 AWS Direct Connect 및 Amazon VPN을 통해 Amazon VPC와 온 프레미스 데이터 센터 간의 트래픽을 전달하는 데 중점을 둡니다.
· Amazon VPC의 보조 DNS –이 솔루션은 Route 53을 사용하여 온-프레미스 DNS 영역을 미러링 한 다음 추가적인 DNS 전달 리소스없이 VPC 내에서 기본적으로 해결할 수 있습니다.
· 분산 조건부 전달자 –이 솔루션은 분산 조건부 전달자를 사용하며 효율적으로 사용하기 위한 두 가지 옵션을 제공합니다. 이러한 솔루션 중 일부에서는 언 바운드를 조건부 전달자로 사용하지만 유사한 기능으로 조건부 전달을 지원하는 모든 DNS 서버를 사용할 수 있습니다.
· 여러 계정 및 VPC에서 DNS 관리 확장 –이 솔루션은 하이브리드 DNS 솔루션을 확장 할 때 DNS 이름을 관리하기위한 옵션을 안내합니다.
Route 53 Resolver 엔드포인트 및 전달 규칙
2018 년 11 월 Route 53은 Route 53 Resolver 엔드 포인트 및 전달 규칙을 시작하여 추가 DNS 서버를 배포하지 않고도 Amazon VPC와 온 프레미스 데이터 센터간에 트래픽을 전달할 수 있습니다.
Amazon Route 53 Resolver에 대한 자세한 내용은 Amazon Route 53 Resolver 개발자 안내서를 참조하십시오.
이 솔루션에서 Route 53 리졸버의 다음 기능인 인바운드 엔드 포인트, 아웃 바운드 엔드 포인트 및 전달 규칙을 사용하여 온 프레미스와 AWS간에 하이브리드 해결이 가능합니다.
고려 사항 :
· 여러 계정에서 여러 VPC를 가질 수 있지만 Shared Services VPC에는 단일 가용 영역 중복 인바운드 엔드 포인트 세트 만 필요합니다.
· 여러 VPC에 대해 하나의 아웃 바운드 엔드 포인트 만 필요합니다. 각 VPC에 아웃 바운드 엔드 포인트를 만들 필요는 없습니다. 대신, 자원 액세스 관리자 (RAM)를 사용하여 추가 계정과 해당 엔드 포인트에 대해 작성된 규칙을 공유하여 아웃 바운드 엔드 포인트를 공유하십시오.
· 리전마다 엔드 포인트를 사용할 수 없습니다.
모범 사례:
· 리졸버가 서브넷에서 임의의 IP 주소를 선택하도록하는 것과 달리 인바운드 Route 53 리졸버 엔드 포인트의 프라이빗 IP 주소를 수동으로 지정합니다. 이렇게 하면 실수로 엔드 포인트를 삭제 한 경우 해당 IP 주소를 재사용 할 수 있습니다.
· 인바운드 또는 아웃 바운드 엔드 포인트를 생성 할 때는 고 가용성을 위해 서로 다른 가용 영역에서 두 개 이상의 서브넷을 사용하는 것이 좋습니다. 인바운드 확인 자의 경우 온-프레미스 DNS 확인자에서 두 끝점 IP 주소를 모두 사용하여로드가 사용 가능한 모든 IP 주소에 분산되도록 하십시오.
· 초당 많은 수의 쿼리가 필요한 환경의 경우 엔드 포인트에서 탄력적 네트워크 인터페이스 당 초당 10,000 개의 쿼리가 제한됩니다. QPS를 확장하기 위해 더 많은 ENI를 엔드 포인트에 추가 할 수 있습니다.
· CloudWatch를 통해 InboundQueryVolume 및 OutboundQueryVolume 지표를 게시하고 임계 값이 특정 값 (예 : 10,000 QPS의 80 %)을 초과 할 경우 경고하는 모니터링 규칙을 설정하는 것이 좋습니다.
Amazon VPC의 보조 DNS
또는 EC2 인스턴스에서 실행되는 추가 DNS 인프라를 배포하고 관리하여 VPC 또는 온 프레미스의 DNS 요청을 처리 할 수 있습니다. 이 경우 AWS Managed Services를 사용하면 이점을 얻을 수 있습니다.
이 방식은 AWS Lambda 및 Amazon CloudWatch Events와 함께 Route 53 프라이빗 호스팅 영역을 사용하여 온 프레미스 DNS 영역을 미러링합니다. 그러면 조건부 전달없이 그리고 온-프레미스 DNS 서버에 대한 실시간 종속성없이 VPC 내에서 기본적으로 해결할 수 있습니다.
전체 솔루션은 AWS Compute 블로그에서 AWS Lambda 및 Amazon Route 53 프라이빗 호스팅 영역을 사용하여 VPC에서 보조 DNS 강화를 참조하십시오.
다음 표는이 솔루션을 간략하게 설명합니다.
이 방법을 사용하면 몇 가지 이점이 있습니다. 초기 솔루션 설정 외에도 수동 개입없이 솔루션이 계속 작동하므로 환경을 설정 한 후 관리 오버 헤드가 거의 없습니다. 또한 설정 한 DHCP 옵션이 기본적으로 Route 53 Resolver (일명 AmazonProvidedDNS)를 사용하도록 각 인스턴스를 구성하기 때문에 클라이언트 측 설정이 없습니다.
모든 도메인에 대한 쿼리는 각 인스턴스에서 Route 53 Resolver로 직접 이동 한 다음 Amazon Route 53 인프라로 이동하기 때문에 이 솔루션은 VPC에서보다 확장 가능한 하이브리드 DNS 솔루션 중 하나 일 수 있습니다. 이를 통해 각 인스턴스는 네트워크 인터페이스 당 자체 PPS 제한을 사용합니다. Route 53 호스팅 영역을 여러 VPC와 연결하도록 선택하면 하나 이상의 VPC에서이 솔루션을 구현할 때의 상관 관계 및 영향이 없습니다. 가용성이 높고 안정적인 Amazon Route 53 인프라로 인해 DNS 구성 요소의 장애 가능성이 낮습니다. 그러나 1,000 개의 개인 호스팅 영역 연결에는 제한이 있습니다.
이 솔루션의 가장 큰 단점은 AXFR (전역 전송 쿼리)이 필요하므로 AXFR을 지원하지 않는 DNS 서버를 실행하는 고객에게는 적합하지 않다는 것입니다. 또한 이 솔루션에는 Route 53 API 작업이 포함되므로 Route 53 API 제한 내에 있어야합니다.
이 솔루션은 온-프레미스에서 직접 EC2 레코드를 해결하는 방법을 제공하지 않습니다.
빌드업웍스에서 AWS 무료 컨설팅을 진행합니다.
AWS에 대하여 궁금하신 내용이 있으시거나, 도입을 검토 중이시라면 편하게 신청해주세요.
