네트워크로 아웃바운드 DNS 쿼리 전달 - Amazon Route 53
아웃바운드 전달 구성아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값규칙을 생성 또는 편집할 때 지정하는 값

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

네트워크로 아웃바운드 DNS 쿼리 전달

하나 이상의 VPC에 있는 Amazon EC2 인스턴스에서 시작된 DNS 쿼리를 네트워크에 전달하려면, 하나의 아웃바운드 엔드포인트 및 하나 이상의 규칙을 생성합니다.

아웃바운드 엔드포인트

VPC에서 네트워크로 DNS 쿼리를 전달하려면 아웃바운드 엔드포인트를 생성합니다. 아웃바운드 엔드포인트는 쿼리가 시작되는 IP 주소를 지정합니다. VPC에서 사용할 수 있는 IP 주소 범위에서 선택하는 IP 주소는 퍼블릭 IP 주소가 아닙니다. 즉, 각 아웃바운드 엔드포인트에 대해 AWS Direct Connect 연결, VPC 연결 또는 NAT(네트워크 주소 변환) 게이트웨이를 사용하여 VPC를 네트워크에 연결해야 합니다. 동일한 리전에서 여러 VPC에 대해 동일한 아웃바운드 엔드포인트를 사용하거나 여러 아웃바운드 엔드포인트를 생성할 수 있습니다. 아웃바운드 엔드포인트에서 DNS64를 사용하하기를 원하는 경우, Amazon Virtual Private Cloud를 사용하여 DNS64를 활성화할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서DNS64 및 NAT64를 참조하십시오.

Route 53 확인자 규칙의 대상 IP는 해석기에 의해 무작위로 선택되며 특정 대상 IP를 다른 IP보다 선택하는 것을 선호하지 않습니다. 대상 IP가 전달된 DNS 요청에 응답하지 않는 경우 확인자는 대상 IP 중 임의의 IP 주소로 재시도합니다.

규칙

네트워크에 있는 DNS 해석기에 전달할 쿼리의 도메인 이름을 지정하려면 규칙을 한 개 이상 생성합니다. 각 규칙은 도메인 이름 하나를 지정합니다. 그런 다음 쿼리를 네트워크에 전달할 VPC에 규칙을 연결합니다.

자세한 정보는 다음 주제를 참조하세요.

아웃바운드 전달 구성

VPC에서 시작된 DNS 쿼리를 네트워크에 전달하도록 Resolver를 구성하려면 다음 절차를 수행하세요.

중요

아웃바운드 엔드포인트를 생성한 후 규칙을 한 개 이상 만들고 VPC 한 개 이상에 연결해야 합니다. 규칙은 네트워크에 전달할 DNS 쿼리의 도메인 이름을 지정합니다.

아웃바운드 엔드포인트를 생성하려면

  1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/route53/ 에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 Outbound endpoints(아웃바운드 엔드포인트)를 선택합니다.

  3. 탐색 모음에서 아웃바운드 엔드포인트를 생성할 리전을 선택합니다.

  4. Create outbound endpoint(아웃바운드 엔드포인트 생성)를 선택합니다.

  5. 관련 값들을 입력합니다. 자세한 내용은 아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값 섹션을 참조하세요.

  6. 생성을 선택합니다.

    참고

    아웃바운드 엔드포인트를 생성하는 데 1~2분이 걸립니다. 첫 번째 아웃바운드 엔드포인트가 생성될 때까지는 다른 아웃바운드 엔드포인트를 생성할 수 없습니다.

  7. 규칙을 한 개 이상 생성하여 네트워크에 전달할 DNS 쿼리의 도메인 이름을 지정합니다. 자세한 내용은 다음 절차를 참조하세요.

전달 규칙을 한 개 이상 생성하려면 다음 절차를 수행하세요.

전달 규칙을 생성하고 VPC 한 개 이상에 규칙을 연결하려면

  1. https://console.aws.amazon.com/route53/ 에서 Route 53 콘솔에 AWS Management Console 로그인하고 엽니다.

  2. 탐색 창에서 규칙(Rules)을 선택합니다.

  3. 탐색 모음에서 규칙을 생성하려는 리전을 선택합니다.

  4. Create rule을 선택합니다.

  5. 관련 값들을 입력합니다. 자세한 내용은 규칙을 생성 또는 편집할 때 지정하는 값 섹션을 참조하세요.

  6. 저장을 선택합니다.

  7. 다른 규칙을 추가하려면 4-6단계를 반복합니다.

아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값

아웃바운드 엔드포인트를 생성하거나 편집할 때 다음 값을 지정합니다.

Outpost ID

AWS Outposts VPC에서 리졸버의 엔드포인트를 생성하는 경우 이것이 ID입니다. AWS Outposts

엔드포인트 이름

기억하기 쉬운 이름을 사용하면 대시보드에서 아웃바운드 엔드포인트를 쉽게 찾을 수 있습니다.

region-name 리전에 있는 VPC

모든 아웃바운드 DNS 쿼리는 네트워크로 가는 도중 이 VPC를 통과합니다.

이 엔드포인트에 대한 보안 그룹

이 VPC에 대한 액세스를 제어하는 데 사용할 보안 그룹 하나 이상의 ID. 지정한 보안 그룹에는 아웃바운드 규칙이 하나 이상 포함되어야 합니다. 아웃바운드 규칙은 네트워크에 있는 DNS 쿼리에 사용하는 포트에서 TCP 및 UDP 액세스를 허용해야 합니다. 엔드포인트를 만든 후에는 이 값을 변경할 수 없습니다.

일부 보안 그룹 규칙으로 인해 연결이 추적되어 아웃바운드 엔드포인트에서 대상 이름 서버로의 초당 최대 쿼리 수에 영향을 미칠 수 있습니다. 보안 그룹으로 인한 연결 추적을 방지하려면 추적되지 않은 연결을 참조하십시오.

자세한 내용은 Amazon VPC 사용 설명서VPC의 보안 그룹을 참조하세요.

[엔드포인트 유형]

엔드포인트 유형은 IPv4, IPv6 또는 듀얼 스택 IP 주소일 수 있습니다. 듀얼 스택 엔드포인트의 경우, 엔드포인트는 네트워크의 DNS 해석기가 DNS 쿼리를 전달할 수 있는 IPv4 및 IPv6 주소를 모두 갖게 됩니다.

참고

보안상의 이유로 모든 이중 스택 및 IPv6 IP 주소에 대해 공용 인터넷에 대한 직접 IPv6 트래픽 액세스를 거부하고 있습니다.

IP 주소

Resolver가 네트워크에 있는 해석기로 가는 도중 DNS 쿼리를 전달할 VPC의 IP 주소입니다. 이 주소는 네트워크에 있는 DNS 해석기의 IP 주소가 아닙니다. VPC 하나 이상에 연결할 규칙을 생성할 때 해석기 IP 주소를 지정합니다. 중복성을 위해 최소 두 개의 IP 주소를 지정해야 합니다.

참고

Resolver 엔드포인트에는 프라이빗 IP 주소가 있습니다. 이러한 IP 주소는 엔드포인트의 수명 기간 동안 변경되지 않습니다.

유의할 사항:

복수 가용 영역

최소한 2개의 가용 영역에 IP 주소를 지정하는 것이 좋습니다. 선택적으로 그러한 가용 영역 또는 다른 가용 영역에 추가 IP 주소를 지정할 수 있습니다.

IP 주소 및 Amazon VPC 탄력적 네트워크 인터페이스

지정한 가용 영역, 서브넷 및 IP 주소의 각 조합에 대해 Resolver는 Amazon VPC 탄력적 네트워크 인터페이스를 생성합니다. 엔드포인트의 IP 주소별 초당 최대 동시 DNS 쿼리 수는 Route 53 Resolver의 할당량 섹션을 참조하세요. 각 탄력적 네트워크 인터페이스의 요금에 대한 정보는 Amazon Route 53 요금 페이지의 "Amazon Route 53"을 참조하십시오.

IP 주소 순서

IP 주소는 순서에 상관없이 지정할 수 있습니다. DNS 쿼리를 전달할 때 Resolver에서는 IP 주소가 나열되는 순서에 따라 IP 주소를 선택하지 않습니다.

IP 주소마다 다음 값을 지정하세요. VPC in the region-name Region(region-name 리전에 있는 VPC)에서 지정한 VPC의 가용 영역에 각 IP 주소가 있어야 합니다.

가용 영역

DNS 쿼리가 네트워크로 가는 도중 통과할 가용 영역. 지정한 가용 영역을 서브넷으로 구성해야 합니다.

서브넷

DNS 쿼리가 네트워크로 가는 도중 통과할 IP 주소가 포함된 서브넷입니다. 서브넷에는 사용 가능한 IP 주소가 있어야 합니다.

서브넷 IP 주소는 엔드포인트 유형과 일치해야 합니다.

IP 주소

네트워크로 가는 도중에 DNS 쿼리를 시작하려는 IP 주소입니다.

Resolver가 지정된 서브넷의 사용 가능한 IP 주소 중에서 자동으로 IP 주소를 선택하도록 할지, 아니면 직접 IP 주소를 지정할지 선택합니다.

IP 주소를 직접 지정하려면 IPv4 또는 IPv6 주소를 입력하거나 둘 다 입력하십시오.

프로토콜

엔드포인트 프로토콜은 아웃바운드 엔드포인트에서 데이터를 전송하는 방식을 결정합니다. 필요한 보안 수준에 따라 프로토콜을 하나 이상 선택합니다.

  • Do53: (기본값) 추가 암호화 없이 Route 53 Resolver를 사용하여 데이터가 릴레이됩니다. 외부 당사자가 데이터를 읽을 수는 없지만 AWS 네트워크 내에서는 볼 수 있습니다.

  • DoH: 데이터는 암호화된 HTTPS 세션을 통해 전송됩니다. DoH는 권한 없는 사용자가 데이터를 해독할 수 없고 의도한 수신자 외에는 누구도 읽을 수 없도록 보안 수준을 강화합니다.

아웃바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.

  • Do53과 DoH를 함께 사용합니다.

  • Do53을 단독으로 사용합니다.

  • DoH를 단독으로 사용합니다.

  • 없음. Do53으로 취급됩니다.

현재 아웃바운드 엔드포인트를 통한 DoH 쿼리를 위한 TLS SNI 확장은 지원되지 않습니다.

Tags

한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 Cost center를 지정하고 456을 지정할 수 있습니다.

규칙을 생성 또는 편집할 때 지정하는 값

전달 규칙을 생성하거나 편집할 때 다음 값을 지정합니다.

규칙 이름

기억하기 쉬운 이름을 사용하면 대시보드에서 규칙을 쉽게 찾을 수 있습니다.

규칙 타입

해당되는 값을 선택합니다.

  • 전달 - 지정된 도메인 이름의 DNS 쿼리를 네트워크의 해석기에 전달하려는 경우 이 옵션을 선택합니다.

  • 시스템 - Resolver가 전달 규칙에 정의된 동작을 선택적으로 재정의하게 하려는 경우 이 옵션을 선택합니다. 시스템 규칙을 생성할 때 Resolver가 지정된 하위 도메인의 DNS 쿼리를 해석합니다. 그렇지 않을 경우 네트워크의 DNS 해석기가 해석합니다.

기본적으로 전달 규칙은 도메인 이름과 모든 하위 도메인에 적용됩니다. 도메인에 대한 쿼리를 네트워크에 있는 해석기에 전달하되 일부 하위 도메인에 대한 쿼리는 제외하려면 하위 도메인에 대한 시스템 규칙을 생성합니다. 예를 들어 example.com의 전달 규칙을 생성하고 acme.example.com에 대한 쿼리를 전달하지 않으려면 시스템 규칙을 생성하고 도메인 이름에 acme.example.com을 지정합니다.

이 규칙을 사용하는 VPC

이 규칙을 사용하여 지정된 도메인 이름에 대한 DNS 쿼리를 전달하는 VPC. 원하는 만큼 VPC에 규칙을 적용할 수 있습니다.

도메인 이름

이 도메인 이름에 대한 DNS 쿼리는 대상 IP 주소에 지정한 IP 주소로 전송됩니다. 자세한 내용은 Resolver가 쿼리의 도메인 이름이 규칙과 일치하는지 확인하는 방법 섹션을 참조하세요.

아웃바운드 엔드포인트

Resolver는 여기에 지정한 아웃바운드 엔드포인트를 통해 대상 IP 주소에서 지정된 IP 주소로 DNS 쿼리를 전달합니다.

대상 IP 주소

DNS 쿼리가 도메인 이름에 지정된 이름과 일치하면 아웃바운드 엔드포인트가 여기에 지정된 IP 주소로 쿼리를 전달합니다. 일반적으로 네트워크에 있는 DNS 해석기의 IP 주소입니다.

Target IP addresses(대상 IP 주소)규칙 유형 값이 전달일 경우에만 사용할 수 있습니다.

IPv4 또는 IPv6 주소와 엔드포인트에 사용할 프로토콜을 지정합니다.

Tags

한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 Cost center를 지정하고 456을 지정할 수 있습니다.

다음은 청구서 정리를 위해 AWS Billing and Cost Management 제공하는 태그입니다. AWS 비용 할당 태그 사용에 대한 자세한 내용은 AWS Billing 사용 설명서비용 할당 태그 사용을 참조하세요.