프로필사진

Go, Vantage point

가까운 곳을 걷지 않고 서는 먼 곳을 갈 수 없다.


Github | https://github.com/overnew/

Blog | https://everenew.tistory.com/





티스토리 뷰

반응형

 

 

 

Route 53 Resolver를 VPC 내부에서만 사용하는 경우

 

VPC 내에서는 외부로의 인터넷 접근을 차단해도 VPC의 내부 서비스의 DNS 쿼리 가능하다.

그 이유는 Route 53 Resolver가 VPC 내부에서의 DNS 서비스를 제공하기 때문이다.

 

 

Route 53 Resolver는 해당 VPC의 IP 주소에 0.0.0.2를 더한 IP로 정의된다. (VPC + 2라고 표현하는 듯하다.)

10.0.0.0/24라면 10.0.0.2가 해당 VPC의 Route 53 Resolver IP이다.

(이미 예약되어있으므로 다른 자원들 사용할 수 없다.)

 

IPv6의 경우 fd00:ec2: :253 주소를 사용한다.

 

 

VPC의 DNS resolution 기능이 활성화되면, VPC 내부에서 발생하는 DNS 쿼리 요청은 Route 53 Resolver IP를 가진 ENI로 전달된다. 이 Endpoint(일종의 ENI로 유추됨)가 VPC 외부의 AZ에 있는 Route 53 Resolver 서비스와 연결되어 있다.

따라서 Resolver에서쿼리를 진행하여 얻은 DNS 정보를 다시, 동일한 루트를 따라 전달한다.

 

(아래의 그림에서 빨간 화살표들)

 

출처: https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver.html

 

 

 

 

resolver 서비스는 가용성을 위해 아래처럼 AZ에 최소 2개의 Resolver 서버가 동기화를 진행하여 배치되는 것으로 보인다.

 

https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver-availability-scaling.html

 


Private Hosted Zone
은 이러한 VPC 내부에서 쿼리 할 DNS 레코드를 생성해 두는 것이다.

Resolver들은 해당 레코드를 알기 때문에 VPC에서 발생하는 Private 한 DNS 쿼리 요청에 응답할 수 있다.

 

 

 

 


외부(On-premise 혹은 타 VPC)에서 Route 53 Resolver를 사용하는 경

온프레미스(또는 다른 VPC)와 AWS의 하이브리드 환경에서 온프레미스 자원들이 AWS의 Route53의 Resolver를 사용해야 할 수 있다. (메인 DNS 서비스로 Route53을 사용할 경우)

이런 경우 VPC와 온프레미스 망이 연결되어 있을 것이다.

 

따라서 특정 subnet에 Route 53 Resolver의 Inbound endpoint를 생성하여 외부 네트워크에서 접글할 수 있도록 만들어 준다.

아래 그림의 빨간 화살표의 a~d 순서로 접근하며, 응답은 역순으로 진행된다.

 

 

출처: https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver.html

 

 

여기서 VPC + 2인 기존의 Route 53 Resolver Endpoint를 사용할 수는 없을까라는 생각이 들었다.

하지만 기존의 endpoint는 subnet에 속하지 않고 VPC에 배치되어 있다.

 

따라서 애초에 라우팅 테이블을 수정하여 다른 네트워크로 경로를 만들어 줄 수 없기 때문에, 외부에서는 사용할 수 없다.

그러므로 Inbound endpoint를 추가로 배치하는 방식이 필요하다.

 

 

 

 

 

 

 

Route 53 Resolver가 외부에서 쿼리를 해와야 하는 경우

반대로 메인 DNS 서비스를 온프레미스나 다른 VPC가 제공할 수 있다.

이런 경우 outbound endpoint가 배치되어, Route 53 Resolver가 외부 DNS resolver에게 쿼리를 할 수 있는 경로를 만들어준다.

 

 

 

아래의 그림처럼 VPC의 EC2에서 시작된 DNS 쿼리가 Route 53 Resolver로 전달된다.

 

출처: https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver.html

 

 

Route 53 Resolver가 모르는 모든 DNS 쿼리를 outbound를 통해 외부에 쿼리 하는 것은 아니고,

Resolver Rule에 설정해 둔 Domain Name에 대해서만 쿼리 하게 된다.

 

예를 들어 test.mydomain.com에 대한 Resolver Rule이 있을 때,

EC2에서 test.mydomain.com에 대해 쿼리하면, outbound를 통해 외부에 쿼리 하지만

test.example.com에 대해서는 rule에 존재하지 않기 때문에 외부에 쿼리하지 않는다.

(물론 이런 private Domain이 아닌, public Domain은 인터넷을 통해 상위 DNS 서버에는 Route 53 Resolver가 알아서 쿼리해올 것이다.)

 

 

 

 

 

 

 

 

 

참조 및 이미지 출처

 

https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver.html

 

무엇입니까? Amazon Route 53 Resolver - Amazon Route 53

이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.

docs.aws.amazon.com

 

https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver-availability-scaling.html

 

Route 53 리졸버 가용성 및 규모 조정 - Amazon Route 53

이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.

docs.aws.amazon.com

 

 

반응형
댓글
반응형
인기글
Total
Today
Yesterday
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함