VPCs와 네트워크 간의 DNS 쿼리 해결 - Amazon Route 53
네트워크의 DNS 해석기가 DNS 쿼리를 Route 53 Resolver 엔드포인트로 전달하는 방법Route 53 Resolver 엔드포인트가에서 네트워크VPCs로 DNS 쿼리를 전달하는 방법인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPCs와 네트워크 간의 DNS 쿼리 해결

해석기에는 온프레미스 환경과의 DNS 쿼리에 응답하도록 구성하는 엔드포인트가 포함되어 있습니다.

참고

온프레미스 DNS 서버에서 VPC CIDR + 2 주소로 프라이빗 DNS 쿼리를 전달하는 것은 지원되지 않으며 불안정한 결과를 초래할 수 있습니다. 대신 Resolver 인바운드 엔드포인트를 사용할 것을 권장합니다.

또한 전달 규칙을 구성하여 네트워크의 해석기와 DNS 해석기 간에 DNS 해석을 통합할 수 있습니다. 네트워크에는 다음과 VPC같이에서 연결할 수 있는 모든 네트워크가 포함될 수 있습니다.

  • VPC 자체

  • 피어링된 다른 VPC

  • VPN에 연결된 온프레미스 네트워크 AWS AWS Direct Connect, 또는 네트워크 주소 변환(NAT) 게이트웨이

쿼리 전달을 시작하기 전에 연결된에서 Resolver 인바운드 및/또는 아웃바운드 엔드포인트를 생성합니다VPC. 이러한 엔드포인트는 인바운드 또는 아웃바운드 쿼리에 대한 경로를 제공합니다.

인바운드 엔드포인트: 네트워크의 DNS 해석기는이 엔드포인트를 통해 DNS 쿼리를 Route 53 Resolver로 전달할 수 있습니다.

이를 통해 DNS 해석기는 Route 53 프라이빗 호스팅 영역의 EC2 인스턴스 또는 레코드와 같은 AWS 리소스의 도메인 이름을 쉽게 확인할 수 있습니다. 자세한 내용은 네트워크의 DNS 해석기가 DNS 쿼리를 Route 53 Resolver 엔드포인트로 전달하는 방법 단원을 참조하십시오.

아웃바운드 엔드포인트: Resolver가 이 엔드포인트를 통해 쿼리를 네트워크의 해석기에게 조건부로 전달합니다.

선택한 쿼리를 전달하려면 전달하려는 DNS 쿼리의 도메인 이름(예: example.com)과 쿼리를 전달하려는 네트워크에 있는 해석기의 IP 주소를 지정하는 DNS 해석기 규칙을 생성합니다. 쿼리가 여러 규칙(example.com, acme.example.com)과 일치하는 경우 Resolver는 가장 확실히 일치하는 규칙(acme.example.com)을 선택하고 해당 규칙에 지정한 IP 주소에 쿼리를 전달합니다. 자세한 내용은 Route 53 Resolver 엔드포인트가에서 네트워크VPCs로 DNS 쿼리를 전달하는 방법 단원을 참조하십시오.

Amazon와 마찬가지로 VPCResolver는 리전에 있습니다. 가 있는 각 리전에서 VPCs에서 VPCs 네트워크로 쿼리를 전달할지(아웃바운드 쿼리), 네트워크에서 로 쿼리를 전달할지VPCs(인바운드 쿼리) 또는 둘 다를 선택할 수 있습니다.

소유하지 VPC 않은 에서는 Resolver 엔드포인트를 생성할 수 없습니다. VPC 소유자만 인바운드 엔드포인트와 같은 VPC수준 리소스를 생성할 수 있습니다.

참고

Resolver 엔드포인트를 생성할 때 인스턴스 테넌시 속성VPC이 로 설정된를 지정할 수 없습니다dedicated. 자세한 내용은 전용 인스턴스 테넌시용으로 구성된 VPCs에서 Resolver 사용 단원을 참조하십시오.

인바운드 또는 아웃바운드 전달을 사용하려면에서 Resolver 엔드포인트를 생성합니다VPC. 엔드포인트 정의의 일부로 인바운드 DNS 쿼리를 전달할 IP 주소 또는 아웃바운드 쿼리를 시작할 IP 주소를 지정합니다. 지정한 각 IP 주소에 대해 Resolver는 VPC 탄력적 네트워크 인터페이스를 자동으로 생성합니다.

다음 다이어그램은 네트워크의 DNS 해석기에서 Route 53 Resolver 엔드포인트로의 DNS 쿼리 경로를 보여줍니다.

네트워크의 DNS 해석기에서 Route 53 Resolver 엔드포인트로의 DNS 쿼리 경로를 보여주는 개념적 그래픽입니다.

다음 다이어그램은의 EC2 인스턴스에서 네트워크의 DNS 해석기로VPCs의 DNS 쿼리 경로를 보여줍니다.

네트워크에서 Route 53 Resolver로의 DNS 쿼리 경로를 보여주는 개념적 그래픽입니다.

VPC 네트워크 인터페이스에 대한 개요는 Amazon VPC 사용 설명서탄력적 네트워크 인터페이스를 참조하세요.

주제

네트워크의 DNS 해석기가 DNS 쿼리를 Route 53 Resolver 엔드포인트로 전달하는 방법

네트워크에서 리전의 Route 53 Resolver 엔드포인트로 DNS 쿼리를 AWS 전달하려면 다음 단계를 수행합니다.

  1. 에서 Route 53 Resolver 인바운드 엔드포인트를 생성하고 네트워크의 해석기가 DNS 쿼리를 전달하는 IP 주소를 VPC 지정합니다.

    인바운드 엔드포인트에 지정하는 각 IP 주소에 대해 Resolver는 인바운드 엔드포인트를 생성한 VPC에 VPC 탄력적 네트워크 인터페이스를 생성합니다.

  2. 인바운드 엔드포인트에서 지정한 IP 주소로 해당 도메인 이름에 대한 DNS 쿼리를 전달하도록 네트워크에서 해석기를 구성합니다. 자세한 내용은 인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항 단원을 참조하십시오.

Resolver가 네트워크에서 시작된 DNS 쿼리를 해결하는 방법은 다음과 같습니다.

  1. 네트워크의 웹 브라우저 또는 다른 애플리케이션이 Resolver에 전달한 도메인 이름에 대한 DNS 쿼리를 제출합니다.

  2. 네트워크에 있는 해석기가 인바운드 엔드포인트의 IP 주소로 쿼리를 전달합니다.

  3. 인바운드 엔드포인트가 Resolver로 쿼리를 전달합니다.

  4. Resolver는 내부적으로 또는 퍼블릭 이름 서버에 대해 재귀적 조회를 수행하여 DNS 쿼리의 도메인 이름에 해당하는 값을 가져옵니다.

  5. 해석기는 인바운드 엔드포인트에 값을 반환합니다.

  6. 인바운드 엔드포인트가 네트워크에 있는 해석기에 값을 반환합니다.

  7. 네트워크에 있는 해석기가 애플리케이션으로 값을 반환합니다.

  8. Resolver에서 반환한 값을 사용하여 애플리케이션은 Amazon S3 버킷의 객체에 대한 HTTP 요청과 같은 요청을 제출합니다.

인바운드 엔드포인트를 생성해도 Resolver의 동작은 변경되지 않으며, AWS 네트워크 외부의 위치에서 Resolver로 가는 경로만 제공합니다.

Route 53 Resolver 엔드포인트가에서 네트워크VPCs로 DNS 쿼리를 전달하는 방법

AWS 리전의 하나 이상의 EC2 인스턴스에서 네트워크VPCs로 DNS 쿼리를 전달하려면 다음 단계를 수행합니다.

  1. 에서 Route 53 Resolver 아웃바운드 엔드포인트를 생성하고 여러 값을 VPC지정합니다.

    • DNS 쿼리VPC가 네트워크의 해석기로 가는 도중 전달되도록 하려는 입니다.

    • Resolver가 DNS 쿼리VPC를 전달할의 IP 주소입니다. 네트워크에서를 호스팅하려면 DNS 쿼리가 시작되는 IP 주소입니다.

    • VPC 보안 그룹

    아웃바운드 엔드포인트에 지정하는 각 IP 주소에 대해 Resolver는 VPC 지정한에 Amazon VPC 탄력적 네트워크 인터페이스를 생성합니다. 자세한 내용은 인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항 단원을 참조하십시오.

  2. 해석기가 네트워크의 해석기에 전달할 DNS 쿼리의 도메인 이름을 지정하는 규칙을 하나 이상 생성합니다. 또한 해석기의 IP 주소를 지정합니다. 자세한 내용은 규칙을 사용하여 네트워크에 전달할 쿼리 제어 단원을 참조하십시오.

  3. 각 규칙을 네트워크에 DNS 쿼리를 전달하려는 VPCs와 연결합니다.

규칙을 사용하여 네트워크에 전달할 쿼리 제어

규칙은 Route 53 Resolver 엔드포인트가 네트워크의 DNS 해석기에 전달하는 DNS 쿼리와 Resolver가 직접 응답하는 쿼리를 제어합니다.

다음 두 가지 방법으로 규칙을 분류할 수 있습니다. 한 가지 방법은 규칙을 생성하는 사람을 통한 제어입니다.

  • 자동 정의 규칙 - 해석기는 자동 정의 규칙을 자동으로 생성하고 규칙을와 연결합니다VPCs. 이러한 규칙의 대부분은 Resolver가 쿼리에 응답하는 AWS특정 도메인 이름에 적용됩니다. 자세한 내용은 Resolver가 자동 정의 시스템 규칙을 생성하는 도메인 이름 단원을 참조하십시오.

  • 사용자 지정 규칙 - 사용자 지정 규칙을 생성하고 규칙을와 연결합니다VPCs. 지금은 전달 규칙이라고도 하는 조건부 전달 규칙 한 가지만 사용자 지정 규칙으로 생성할 수 있습니다. 전달 규칙으로 인해 Resolver는의 DNS 쿼리를 네트워크의 DNS 해석기에 대한 VPCs IP 주소로 전달합니다.

    자동 정의된 규칙과 동일한 도메인에 대해 전달 규칙을 생성하는 경우 Resolver는 전달 규칙의 설정을 기반으로 네트워크의 DNS 해석기에 해당 도메인 이름에 대한 쿼리를 전달합니다.

또 다른 방법은 역할에 따라 규칙을 분류하는 것입니다.

  • 조건부 전달 규칙 - 지정된 도메인 이름에 대한 DNS 쿼리를 네트워크의 DNS 해석기에 전달하려는 경우 조건부 전달 규칙(전달 규칙이라고도 함)을 생성합니다.

  • 시스템 규칙 - 시스템 규칙을 사용하면 Resolver가 전달 규칙에 정의된 동작을 선택적으로 재정의합니다. 시스템 규칙을 생성할 때 Resolver는 지정된 하위 도메인에 대한 DNS 쿼리를 해결합니다. 그렇지 않으면 네트워크의 DNS 해석기가 해결합니다.

    기본적으로 전달 규칙은 도메인 이름과 모든 하위 도메인에 적용됩니다. 도메인에 대한 쿼리를 네트워크에 있는 해석기에 전달하되 일부 하위 도메인에 대한 쿼리는 제외하려면 하위 도메인에 대한 시스템 규칙을 생성합니다. 예를 들어 example.com의 전달 규칙을 생성하고 acme.example.com에 대한 쿼리를 전달하지 않으려면 시스템 규칙을 생성하고 도메인 이름에 acme.example.com을 지정합니다.

  • 재귀 규칙 - Resolver는 인터넷 해석기라는 재귀 규칙을 자동으로 만듭니다. 이 규칙은 Route 53 Resolver가 사용자 지정 규칙을 만들지 않고 Resolver가 자동 정의 규칙을 만들지 않은 모든 도메인 이름에 대해 재귀 해석기의 역할을 합니다. 이 동작을 재정의하는 방법은 이 주제 뒷부분의 "네트워크로 모든 쿼리 전달"을 참조하세요.

특정 도메인 이름(사용자 또는 대부분의 AWS 도메인 이름), 퍼블릭 도메인 이름 또는 모든 AWS 도메인 이름에 적용되는 사용자 지정 규칙을 생성할 수 있습니다.

네트워크에 특정 도메인 이름에 대한 쿼리 전달

example.com과 같은 특정 도메인 이름에 대한 쿼리를 네트워크에 전달하려면 규칙을 생성하고 도메인 이름을 지정합니다. 또한 쿼리를 전달할 네트워크에 있는 DNS 해석기의 IP 주소를 지정합니다. 그런 다음 DNS 쿼리를 네트워크에 전달하려는 VPCs에 각 규칙을 연결합니다. 예를 들어 example.com, example.org 및 example.net에 대해 별도의 규칙을 생성할 수 있습니다. 그런 다음 어떤 조합으로든 규칙을 AWS 리전VPCs의와 연결할 수 있습니다.

네트워크에 amazonaws.com에 대한 쿼리 전달

도메인 이름 amazonaws.com EC2 인스턴스 및 S3 버킷과 같은 AWS 리소스의 퍼블릭 도메인 이름입니다. amazonaws.com에 대한 쿼리를 네트워크에 전달하려면 규칙을 만들고 도메인 이름에 amazonaws.com을 지정하고 규칙 유형에 전달을 지정하세요.

참고

amazonaws.com 전달 규칙을 생성하더라도 Resolver는 일부 amazonaws.com 하위 도메인에 대한 DNS 쿼리를 자동으로 전달하지 않습니다. 자세한 내용은 Resolver가 자동 정의 시스템 규칙을 생성하는 도메인 이름 단원을 참조하십시오. 이 동작을 재정의하는 방법은 바로 다음에 나오는 "네트워크로 모든 쿼리 전달"을 참조하세요.

네트워크로 모든 쿼리 전달

모든 쿼리를 네트워크에 전달하려면 규칙을 생성하고 도메인 이름에 "."(점)을 지정하고 모든 DNS 쿼리를 네트워크에 전달VPCs하려는에 규칙을 연결합니다. 외부에서 해석기를 사용하면 일부 기능이 AWS 중단되므로 DNS 해석기는 여전히 모든 DNS 쿼리를 네트워크에 전달하지 않습니다. 예를 들어 일부 내부 AWS 도메인 이름에는 외부에서 액세스할 수 없는 내부 IP 주소 범위가 있습니다 AWS. "."에 대한 규칙을 만들 때 쿼리가 네트워크로 전달되지 않는 도메인 이름 목록은 Resolver가 자동 정의 시스템 규칙을 생성하는 도메인 이름를 참조하세요.

그러나 역방향에 대한 자동 정의된 시스템 규칙을 비활성화하여 "." 규칙이 모든 역방향 DNS 쿼리를 네트워크에 전달할 DNS 수 있습니다. 자동 정의 규칙을 해제하는 방법에 대한 자세한 내용은 Resolver에서 역방향 DNS 쿼리에 대한 규칙 전달 단원을 참조하십시오.

기본적으로 전달에서 제외되는 도메인 이름을 포함하여 모든 도메인 이름에 대한 DNS 쿼리를 네트워크에 전달하려는 경우 “.” 규칙을 생성하고 다음 중 하나를 수행할 수 있습니다.

중요

"." 규칙을 생성할 때 Resolver가 제외하는 도메인 이름을 포함한 모든 도메인 이름을 네트워크로 전달할 경우 일부 기능이 중단될 수 있습니다.

Resolver가 쿼리의 도메인 이름이 규칙과 일치하는지 확인하는 방법

Route 53 Resolver는 DNS 쿼리의 도메인 이름을 쿼리VPC가 시작된와 연결된 규칙의 도메인 이름과 비교합니다. Resolver는 다음과 같은 경우에 도메인 이름이 일치한다고 간주합니다.

  • 도메인 이름이 정확히 일치합니다.

  • 쿼리에 있는 도메인 이름이 규칙에 있는 도메인 이름의 하위 도메인입니다.

예를 들어 규칙의 도메인 이름이 acme.example.com인 경우 Resolver는 DNS 쿼리의 다음 도메인 이름을 일치 항목으로 간주합니다.

  • acme.example.com

  • zenith.acme.example.com

다음 도메인 이름은 일치하지 않습니다.

  • example.com

  • nadir.example.com

쿼리의 도메인 이름이 둘 이상의 규칙(예: example.com 및 www.example.com)의 도메인 이름과 일치하는 경우 Resolver는 가장 구체적인 도메인 이름(www.example.com)이 포함된 규칙을 사용하여 아웃바운드 DNS 쿼리를 라우팅합니다.

Resolver가 DNS 쿼리를 전달할 위치를 결정하는 방법

의 EC2 인스턴스에서 실행되는 애플리케이션이 DNS 쿼리를 VPC 제출하면 Route 53 Resolver는 다음 단계를 수행합니다.

  1. Resolver가 규칙에 도메인 이름이 있는지 확인합니다.

    쿼리의 도메인 이름이 규칙의 도메인 이름과 일치하면 Resolver는 아웃바운드 엔드포인트를 생성할 때 지정한 IP 주소로 쿼리를 전달합니다. 그러면 아웃바운드 엔드포인트가 네트워크에 있는 해석기의 IP 주소로 쿼리를 전달합니다. 이 주소는 규칙을 생성할 때 지정된 주소입니다.

    자세한 내용은 Resolver가 쿼리의 도메인 이름이 규칙과 일치하는지 확인하는 방법 단원을 참조하십시오.

  2. 해석기 엔드포인트는 "." 규칙의 설정에 따라 DNS 쿼리를 전달합니다.

    쿼리의 도메인 이름이 다른 규칙의 도메인 이름과 일치하지 않으면 Resolver가 자동 정의된 "."(점) 규칙의 설정에 따라 쿼리를 전달합니다. 점 규칙은 프라이빗 호스팅 영역의 일부 AWS 내부 도메인 이름 및 레코드 이름을 제외한 모든 도메인 이름에 적용됩니다. 이 규칙은 DNS 쿼리의 도메인 이름이 사용자 지정 전달 규칙의 이름과 일치하지 않는 경우 Resolver가 퍼블릭 이름 서버에 쿼리를 전달합니다. 네트워크의 DNS 해석기에 모든 쿼리를 전달하려면 사용자 지정 전달 규칙을 생성하고 도메인 이름에 "."를 지정하고, 유형에 대한 전달을 지정하고, 해당 해석기의 IP 주소를 지정할 수 있습니다.

  3. Resolver가 쿼리를 제출한 애플리케이션에 응답을 반환합니다.

여러 리전에서 규칙 사용

Route 53 Resolver는 리전 서비스이므로 한 AWS 리전에서 생성한 객체는 해당 리전에서만 사용할 수 있습니다. 2개 이상 리전에서 동일한 규칙을 사용하려면 각 리전에서 규칙을 생성해야 합니다.

규칙을 생성한 AWS 계정은 규칙을 다른 AWS 계정과 공유할 수 있습니다. 자세한 내용은 해석기 규칙을 다른 AWS 계정과 공유하고 공유 규칙을 사용 단원을 참조하십시오.

Resolver가 자동 정의 시스템 규칙을 생성하는 도메인 이름

Resolver가 자동 정의 시스템 규칙을 자동으로 생성합니다. 이 규칙은 선택한 도메인의 쿼리가 기본적으로 해석되는 방법을 정의합니다.

  • 프라이빗 호스팅 영역 및 Amazon EC2특정 도메인 이름(예: compute.amazonaws.com 및 compute.internal)의 경우, "."(점) 또는 "com"과 같이 덜 구체적인 도메인 이름에 대한 조건부 전달 규칙을 생성하는 경우 자동 정의된 규칙을 통해 프라이빗 호스팅 영역 및 EC2 인스턴스가 계속 확인됩니다.

  • 공개적으로 예약된 도메인 이름(예: localhost 및 10.in-addr.arpa)의 경우, 퍼블릭 이름 서버로 전달되는 대신 로컬에서 쿼리에 응답하는 것이 DNS 좋습니다. RFC 6303, 로컬로 제공되는 DNS 영역을 참조하세요.

참고

"."(점) 또는 "com"에 대해 조건부 전달 규칙을 생성하는 경우에는 amazonaws.com에서도 시스템 규칙을 생성하는 것이 좋습니다 (시스템 규칙으로 인해 Resolver는 특정 도메인 및 하위 도메인에 대한 DNS 쿼리를 로컬로 해결합니다.) 이러한 시스템 규칙을 생성하면 성능을 개선하고, 네트워크에 전달되는 쿼리 수를 줄이며, Resolver 요금을 줄일 수 있습니다.

자동 정의 규칙을 재정의하고 싶은 경우에는 동일한 도메인 이름에 대해 조건부 전달 규칙을 생성할 수 있습니다.

자동 정의 규칙의 일부를 비활성화할 수도 있습니다. 자세한 내용은 Resolver에서 역방향 DNS 쿼리에 대한 규칙 전달 단원을 참조하십시오.

해석기가 다음과 같은 자동 정의 규칙을 생성합니다.

프라이빗 호스팅 영역을 위한 규칙

와 연결하는 각 프라이빗 호스팅 영역에 대해 VPCResolver는 규칙을 생성하고 이를와 연결합니다VPC. 프라이빗 호스팅 영역을 여러에 연결하면 VPCsResolver는 규칙을 동일한에 연결합니다VPCs.

규칙에는 전달 유형이 있습니다.

다양한 AWS 내부 도메인 이름에 대한 규칙

이 단원에 나오는 내부 도메인 이름에 대한 모든 규칙에는 전달(Forward) 유형이 있습니다. Resolver는 이러한 도메인 이름에 대한 DNS 쿼리를의 신뢰할 수 있는 이름 서버에 전달합니다VPC.

참고

해석기는에 대한 enableDnsHostnames 플래그를 로 설정할 때 이러한 규칙의 대부분VPC을 생성합니다true. Resolver 엔드포인트를 사용하지 않는 경우에도 Resolver가 규칙을 만듭니다.

Resolver는 true다음과 같은 자동 정의 규칙을 생성하고에 대한 enableDnsHostnames 플래그를 로 설정할 VPC 때와 연결합니다VPC.

  • Region-name.compute.internal, 예: eu-west-1.compute.internal. us-east-1 리전에서는 이 도메인 이름을 사용하지 않습니다.

  • Region-name.compute.amazon-domain-name, 예: eu-west-1.compute.amazonaws.com 또는 cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. us-east-1 리전에서는 이 도메인 이름을 사용하지 않습니다.

  • ec2.internal. us-east-1 리전에서만 이 도메인 이름을 사용합니다.

  • compute-1.internal. us-east-1 리전에서만 이 도메인 이름을 사용합니다.

  • compute-1.amazonaws.com. us-east-1 리전에서만 이 도메인 이름을 사용합니다.

다음 자동 정의 규칙은에 대한 enableDnsHostnames 플래그를 로 설정할 때 Resolver가 생성하는 규칙을 역DNS방향으로 조회VPC하는 것입니다true.

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa through 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • 의 각 CIDR 범위에 대한 규칙입니다VPC. 예를 들어 범위가 CIDR 10.0.0.0/23VPC인의 경우 Resolver는 다음 규칙을 생성합니다.

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

에 대한 enableDnsHostnames 플래그를 로 설정할 VPC 때 localhost 관련 도메인에 대해 다음과 같은 자동 정의된 규칙도 생성되고와 연결됩니다VPC. true

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver는 다음과 같은 자동 정의 규칙을 생성하고 전송 게이트웨이 또는 VPC 피어링을 VPC 통해를 다른 VPC와 연결할 VPC 때와 연결하며 DNS 지원이 활성화된 상태로 연결합니다.

  • 피어VPC의 IP 주소 범위에 대한 역DNS방향 조회. 예: 0.192.in-addr.arpa

    에 IPv4 CIDR 블록을 추가하는 경우 VPCResolver는 새 IP 주소 범위에 대한 자동 정의 규칙을 추가합니다.

  • 다른 VPC가 다른 리전에 있는 경우 다음 도메인 이름입니다.

    • Region-name.compute.internal. us-east-1 리전에서는 이 도메인 이름을 사용하지 않습니다.

    • Region-name.compute.amazon-domain-name. us-east-1 리전에서는 이 도메인 이름을 사용하지 않습니다.

    • ec2.internal. us-east-1 리전에서만 이 도메인 이름을 사용합니다.

    • compute-1.amazonaws.com. us-east-1 리전에서만 이 도메인 이름을 사용합니다.

다른 모든 도메인에 대한 규칙

Resolver가 이 주제 앞부분에서 지정하지 않은 모든 도메인 이름에 적용되는 "."(점) 규칙을 생성합니다. "." 규칙의 유형은 재귀(Recursive)이므로 이 규칙을 사용하면 Resolver가 재귀 해석기로 사용됩니다.

인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항

AWS 리전에서 인바운드 및 아웃바운드 Resolver 엔드포인트를 생성하기 전에 다음 문제를 고려하세요.

각 리전의 인바운드 및 아웃바운드 엔드포인트 수

AWS 리전VPCs의에 DNS 대해를 DNS 네트워크의와 통합하려면 일반적으로 Resolver 인바운드 엔드포인트(로 전달하는 DNS 쿼리의 경우VPCs) 하나와 아웃바운드 엔드포인트(에서 네트워크VPCs로 전달하는 쿼리의 경우) 하나가 필요합니다. 여러 인바운드 엔드포인트와 여러 아웃바운드 엔드포인트를 생성할 수 있지만, 하나의 인바운드 또는 아웃바운드 엔드포인트는 각 방향에 대한 DNS 쿼리를 처리하기에 충분합니다. 다음 사항에 유의하세요.

  • 각 Resolver 엔드포인트의 경우 서로 다른 가용 영역에 두 개 이상의 IP 주소를 지정합니다. 엔드포인트의 각 IP 주소는 초당 많은 수의 DNS 쿼리를 처리할 수 있습니다. 엔드포인트의 IP 주소별 초당 최대 동시 쿼리 수는 Route 53 Resolver의 할당량 섹션을 참조하세요. Resolver가 추가 쿼리를 처리하게 하려는 경우 다른 엔드포인트를 추가하는 대신 기존 엔드포인트에 IP 주소를 추가할 수 있습니다.

  • 해석기 요금은 엔드포인트의 IP 주소 수와 엔드포인트가 처리하는 DNS 쿼리 수를 기준으로 합니다. 각 엔드포인트는 최소 두 개의 IP 주소를 포함합니다. Resolver 요금에 대한 자세한 내용은 Amazon Route 53 요금을 참조하세요.

  • 각 규칙은 DNS 쿼리가 전달되는 아웃바운드 엔드포인트를 지정합니다. 리전에 여러 아웃바운드 엔드포인트를 AWS 생성하고 일부 또는 모든 Resolver 규칙을 모든와 연결하려면 해당 규칙의 사본을 여러 개 생성VPC해야 합니다.

인바운드 및 아웃바운드 엔드포인트VPC에 동일한 사용

동일한 리전에서 동일하거나 다른 VPC에서 인바운드 및 아웃바운드 엔드포인트를 생성할 수 VPCs 있습니다.

자세한 내용은 Amazon Route 53 모범 사례 단원을 참조하십시오.

인바운드 엔드포인트 및 프라이빗 호스팅 영역

Resolver가 프라이빗 호스팅 영역의 레코드를 사용하여 인바운드 DNS 쿼리를 해결하도록 하려면 프라이빗 호스팅 영역을 인바운드 엔드포인트를 생성한 VPC와 연결합니다. 프라이빗 호스팅 영역을와 연결하는 방법에 대한 자세한 내용은 섹션을 VPCs참조하세요프라이빗 호스팅 영역 사용.

VPC 피어링

선택한이 다른와 피어링되는지 여부에 관계없이 AWS 리전VPC의를 인바운드 또는 아웃바운드 엔드포인트에 사용할 수 VPC 있습니다VPCs. 자세한 내용은 Amazon Virtual Private Cloud VPC 피어링을 참조하세요.

공유 서브넷의 IP 주소

인바운드 또는 아웃바운드 엔드포인트를 생성할 때 현재 계정이를 생성한 경우에만 공유 서브넷에서 IP 주소를 지정할 수 있습니다VPC. 다른 계정이를 생성하고 VPC에서 서브넷을 사용자 계정VPC과 공유하는 경우 해당 서브넷에서 IP 주소를 지정할 수 없습니다. 공유 서브넷에 대한 자세한 내용은 Amazon VPC 사용 설명서공유 작업을 VPCs 참조하세요.

네트워크와 엔드포인트VPCs를 생성하는 간의 연결

네트워크와 엔드포인트를 VPCs 생성하는 간에 다음 연결 중 하나가 있어야 합니다.

규칙을 공유하면 아웃바운드 엔드포인트도 공유됨

규칙을 생성할 때 Resolver가 DNS 쿼리를 네트워크에 전달하는 데 사용할 아웃바운드 엔드포인트를 지정합니다. 규칙을 다른 AWS 계정과 공유하는 경우 규칙에 지정한 아웃바운드 엔드포인트도 간접적으로 공유합니다. 한 AWS 리전VPCs에서 하나 이상의 AWS 계정을 사용하여 생성한 경우 다음을 수행할 수 있습니다.

  • 리전에 하나의 아웃바운드 엔드포인트를 생성합니다.

  • 하나의 AWS 계정을 사용하여 규칙을 생성합니다.

  • VPCs 리전에서 생성한 모든 AWS 계정과 규칙을 공유합니다.

이렇게 하면가 다른 AWS 계정을 사용하여 VPCs 생성된 VPCs 경우에도 리전의 아웃바운드 엔드포인트 하나를 사용하여 여러에서 네트워크에 DNS 쿼리를 전달할 수 있습니다.

엔드포인트 프로토콜 선택

엔드포인트 프로토콜은 데이터를 인바운드 엔드포인트로 전송하는 방식과 아웃바운드 엔드포인트에서 데이터를 전송하는 방식을 결정합니다. 네트워크의 모든 패킷 흐름은 전송 및 전송 전에 올바른 소스 및 대상을 검증할 수 있는 규칙에 대해 개별적으로 승인되므로 VPC 트래픽에 대한 DNS 쿼리를 암호화할 필요가 없습니다. 송신 엔터티와 수신 엔터티 모두에 의해 특별히 승인되지 않은 상태에서 정보가 개체 간에 임의로 전달되는 것은 거의 불가능합니다. 일치하는 규칙 없이 패킷이 대상으로 라우팅되는 경우 패킷을 삭제합니다. 자세한 내용은 VPC 기능을 참조하세요.

사용 가능한 프로토콜은 다음과 같습니다:

  • Do53: 포트 53DNS을 통해. 데이터는 추가 암호화 없이 Route 53 Resolver를 사용하여 릴레이됩니다. 외부 당사자가 데이터를 읽을 수는 없지만 AWS 네트워크 내에서 데이터를 볼 수 있습니다. UDP 또는 TCP를 사용하여 패킷을 전송합니다. Do53은 주로 Amazon 내 및 Amazon 간의 트래픽에 사용됩니다VPCs.

  • DoH: 암호화된 HTTPS 세션을 통해 데이터가 전송됩니다. DoH는 권한 없는 사용자가 데이터를 해독할 수 없고 의도한 수신자 외에는 누구도 읽을 수 없도록 보안 수준을 강화합니다.

  • DoH-FIPS: 데이터는 FIPS140-2 암호화 표준을 준수하는 암호화된 HTTPS 세션을 통해 전송됩니다. 인바운드 엔드포인트에서만 지원됩니다. 자세한 내용은 FIPS PUB 140-2를 참조하세요.

인바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.

  • Do53과 DoH를 함께 사용합니다.

  • Do53과 DoH-FIPS를 함께 사용합니다.

  • Do53를 단독으로 사용합니다.

  • DoH를 단독으로 사용합니다.

  • DoH만FIPS.

  • 없음. Do53으로 취급됩니다.

아웃바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.

  • Do53과 DoH를 함께 사용합니다.

  • Do53를 단독으로 사용합니다.

  • DoH를 단독으로 사용합니다.

  • 없음. Do53으로 취급됩니다.

인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값도 참조하십시오.

전용 인스턴스 테넌시용으로 구성된 VPCs에서 Resolver 사용

Resolver 엔드포인트를 생성할 때 인스턴스 테넌시 속성VPC이 로 설정된를 지정할 수 없습니다dedicated. Resolver는 단일 테넌트 하드웨어에서 실행되지 않습니다.

Resolver를 사용하여에서 시작된 DNS 쿼리를 해결할 수 있습니다VPC. 인스턴스 테넌시 속성VPC이 로 설정된를 하나 이상 생성하고 인바운드 default및 아웃바운드 엔드포인트를 생성할 VPC 때를 지정합니다.

전달 규칙을 생성할 때 인스턴스 테넌시 속성의 설정에 VPC관계없이 모든와 연결할 수 있습니다.