TIL

08. Route 53 DNS 해석기 (DNS Resolver)

8.1 VPC DNS

8.1.1 프라이빗 호스팅 영역 (Private Hosted Zones)

AWS VPC 서비스로 생성한 도메인과 그 하위 도메인에 대하여 AWS Route 53의 DNS 쿼리 응답 정보가 담긴 일종의 컨테이너

8.1.2 VPC DNS 옵션

• DNS resolution (DNS 확인)
  • AWS 제공 DNS 해석기 사용
  • 비활성화 시 AWS 제공 DNS 해석기를 사용할 수 없다.
• DNS hostnames (DNS 이름)
  • AWS 제공 Public과 Private Hostname을 사용한다.
  • 비활성화 시 사용할 수 없다.

8.1.3 VPC DHCP 옵션 세트 (Option Sets)

• 도메인 네임과 도메인 네임 서버의 정보를 제공한다.
• 사용자가 원하는 도메인 네임과 도메인 네임 서버 정보를 지정한 DHCP 옵션 세트를 생성하여 VPC에 적용 가능하다.

8.1.4 프라이빗 호스팅 영역 DNS 쿼리 과정

프라이빗 호스팅 영역이 존재 시 AWS 제공 DNS 해석기는 해당 영역에 DNS를 쿼리한다.

8.1.5 다수 VPC가 1개 프라이빗 호스팅 영역에 연결

• 프라이빗 호스팅 영역과 여러 VPC와 연결하여 DNS 질의를 할 수 있다.
• 타 계정 VPC 연결언 AWS CLI, AWS SDK, Windows PowerShell, AWS Route 53 API를 통해 가능하다.

8.1.6 VPC DNS 고려 사항

• 퍼블릭 호스팅 영역 DNS 쿼리 보다 프라이빗 호스팅 영역 DNS 쿼리를 우선한다.
• EC2는 Route 53 해석기에 초당 1024개 요청을 보낼 수 있다.

8.2 Route 53 해석기 (Resolver)

• Route 53 해석기와 전달 규칙을 통해 온프레미스와 VPC 간 DNS 쿼리를 가능하게 한다.
  • 원래 하이브리드 환경에선 불가능
• VPC DNS 옵션인 DNBS Hostname과 DNS Resolution을 활성화해야 한다.

8.2.1 Route 53 해석기 관련 용어

• Route 53 Resolver (Inbound/Outbound)
  • Route 53 해석기
• Forwarding Rule
  • 전달 규칙
  • 다른 네트워크 환경에 도메인 쿼리를 하기 위한 정보
• Inbound Endpoint
  • AWS VPC에 DNS 쿼리를 받을 수 있는 네트워크 인터페이스
• Outbound Endpoint
  • 전달 규칙을 다른 네트워크로 쿼리를 할 수 있는 네트워크 인터페이스

8.2.2 하이브리드 환경에서 Route 53 Resolver 동작

• 온프레미스에서 AWS로 DNS 쿼리를 할 경우
  • 인바운드 엔드포인트 생성하여 DNS 쿼리 가능
• AWS에서 온프레미스로 DNS 쿼리를 할 경우
  • 아웃바운드 엔드포인트 생성하여 DNS 쿼리 가능
  • 반드시 전달 규칙을 생성하여 VPC를 연결해야 한다.
  • 다른 계정의 VPC 경우에는 AWS RAM을 이용하여 연결이 가능하다.

8.2.3 Route 53 해석기 규칙 유형

• 전달 규칙 (Conditional forwarding rules)
  • 특정 도메인에 대한 쿼리를 지정한 IP (DNS 서버)로 전달
• 시스템 규칙
  • 프라이빗 호스팅 영역, Auto defined VPC DNS, Amazon 제공 외부 DNS 서버 등
  • 전달 규칙보다 우선시 된다.

8.3 Route 53 해석기 - Query Logs

• Route 53 Resolver Query Logs 기능으로 VPC 내 모든 자원에서 DNS 쿼리를 보내는 경우에도 로깅이 가능하다.
  • 기존에는 퍼블릭 영역에 대한 DNS 쿼리만 로깅이 가능했다.
• CloudWatch Logs, S3, Kinesis Data Firehose에 보낼 수 있다.