기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Route 53 VPC Resolver란 무엇입니까?
Route 53 VPC Resolver는 퍼블릭 레코드, Amazon VPC별 DNS 이름 및 Amazon Route 53 프라이빗 호스팅 영역에 대한 AWS 리소스의 DNS 쿼리에 재귀적으로 응답하며 기본적으로 모든 VPCs.
**참고**
Route 53 VPC Resolver는 이전에 Route 53 Resolver라고 했지만 Route 53 Global Resolver가 도입될 때 이름이 변경되었습니다.
Amazon VPC는 VPC\$12 IP 주소로 VPC Resolver에 연결됩니다. 이 VPC\$12 주소는 가용 영역 내의 VPC 해석기에 연결됩니다.
VPC Resolver는 다음에 대한 DNS 쿼리에 자동으로 응답합니다.
+ EC2 인스턴스의 로컬 VPC 도메인 이름(예: ec2-192-0-2-44.compute-1.amazonaws.com).
+ 프라이빗 호스팅 영역의 기록(예: acme.example.com).
+ 퍼블릭 도메인 이름의 경우 VPC Resolver는 인터넷의 퍼블릭 이름 서버에 대해 재귀적 조회를 수행합니다.
VPC와 온프레미스 리소스를 모두 활용하는 워크로드가 있는 경우 온프레미스에서 호스팅되는 DNS 레코드도 확인해야 합니다. 마찬가지로 이러한 온프레미스 리소스는에서 호스팅되는 이름을 확인해야 할 수 있습니다 AWS. Resolver 엔드포인트 및 조건부 전달 규칙을 통해 온프레미스 리소스와 VPC 간의 DNS 쿼리를 확인하여 VPN 또는 Direct Connect(DX)를 통해 하이브리드 클라우드 설정을 생성할 수 있습니다. 구체적으로 설명하면 다음과 같습니다.
+ 인바운드 Resolver 엔드포인트를 사용하면 온프레미스 네트워크나 다른 VPC에서 귀하의 VPC로 DNS 쿼리를 보낼 수 있습니다.
+ 아웃바운드 Resolver 엔드포인트를 사용하면 귀하의 VPC에서 온프레미스 네트워크나 다른 VPC로 DNS 쿼리를 보낼 수 있습니다.
+ Resolver 규칙을 사용하면 각 도메인 이름에 대해 하나의 전달 규칙을 생성하고 DNS 쿼리를 VPC에서 온프레미스 DNS 해석기로, 온프레미스에서 VPC로 전달할 도메인의 이름을 지정할 수 있습니다. 규칙은 VPC에 직접 적용되며 복수의 계정에 걸쳐 공유될 수 있습니다.
다음 다이어그램은 Resolver 엔드포인트를 사용하는 하이브리드 DNS 확인을 보여줍니다. 다이어그램은 하나의 가용 영역만 표시하도록 간소화되어 있습니다.
![\[Route 53 VPC Resolver 아웃바운드 엔드포인트를 통해 VPC에서 온프레미스 데이터 스토리지로의 DNS 쿼리 경로와 네트워크 인바운드 엔드포인트의 DNS 해석기에서 VPC로의 경로를 보여주는 개념적 그래픽입니다.\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/images/Resolver-routing.png)
다이어그램은 다음 단계들을 보여줍니다.
**아웃바운드(실선 화살표 1–5):**
1. Amazon EC2 인스턴스는 도메인 internal.example.com에 대한 DNS 쿼리를 해결해야 합니다. 신뢰할 수 있는 DNS 서버는 온프레미스 데이터 센터에 있습니다. 이 DNS 쿼리는 VPC Resolver에 연결되는 VPC의 VPC\$12로 전송됩니다.
1. VPC Resolver 전달 규칙은 온프레미스 데이터 센터의 internal.example.com 쿼리를 전달하도록 구성됩니다.
1. 쿼리는 아웃바운드 엔드포인트로 전달됩니다.
1. 아웃바운드 엔드포인트는 AWS 와 데이터 센터 간의 프라이빗 연결을 통해 쿼리를 온프레미스 DNS 해석기로 전달합니다. 연결은 가상 프라이빗 게이트웨이로 AWS Site-to-Site VPN표시된 Direct Connect 또는 중 하나일 수 있습니다.
1. 온프레미스 DNS 해석기는 internal.example.com에 대한 DNS 쿼리를 해석하고 반대로 동일한 경로를 통해 Amazon EC2 인스턴스에 응답을 반환합니다.
**인바운드(점선 화살표 a–d):**
1. 온프레미스 데이터 센터의 클라이언트는 DNS 쿼리를 dev.example.com 도메인의 AWS 리소스로 확인해야 합니다. 이 항목은 쿼리를 온프레미스 DNS 해석기로 전송합니다.
1. 온프레미스 DNS 해석기에는 dev.example.com에 대한 쿼리를 인바운드 엔드포인트로 가리키는 전달 규칙이 있습니다.
1. 쿼리는 가상 게이트웨이로 AWS Site-to-Site VPN표시된 Direct Connect 또는와 같은 프라이빗 연결을 통해 인바운드 엔드포인트에 도착합니다.
1. 인바운드 엔드포인트는 쿼리를 VPC Resolver로 전송하고, VPC Resolver는 dev.example.com 대한 DNS 쿼리를 확인하고 동일한 경로를 통해 반대 방향으로 클라이언트에 응답을 반환합니다.
**Topics**
+ [
# VPC와 네트워크 간 DNS 쿼리 해석
](resolver-overview-DSN-queries-to-vpc.md)
+ [
# Route 53 VPC Resolver 가용성 및 규모 조정
](resolver-availability-scaling.md)
+ [
# Route 53 VPC Resolver 시작하기
](resolver-getting-started.md)
+ [
# VPC로 인바운드 DNS 쿼리 전달
](resolver-forwarding-inbound-queries.md)
+ [
# 네트워크로 아웃바운드 DNS 쿼리 전달
](resolver-forwarding-outbound-queries.md)
+ [
# Resolver 위임 규칙 자습서
](outbound-delegation-tutorial.md)
+ [
# Amazon Route 53에서 DNSSEC 검증 활성화
](resolver-dnssec-validation.md)
# VPC와 네트워크 간 DNS 쿼리 해석
VPC Resolver에는 온프레미스 환경과 주고받는 DNS 쿼리에 응답하도록 구성하는 엔드포인트가 포함되어 있습니다.
**참고**
온프레미스 또는 다른 VPC DNS 서버에서 VPC CIDR\$1 2 주소로 프라이빗 DNS 쿼리를 전달하는 것은 지원되지 않으므로 불안정한 결과가 발생할 수 있습니다. 대신 Resolver 인바운드 엔드포인트를 사용할 것을 권장합니다.
전달 규칙을 구성하여 네트워크의 VPC 해석기와 DNS 해석기 간에 DNS 확인을 통합할 수도 있습니다. *네트워크*에는 다음과 같이 VPC에서 연결할 수 있는 모든 네트워크가 포함될 수 있습니다.
+ VPC 자체
+ 피어링된 다른 VPC
+ 에 연결된 온프레미스 네트워크 AWS Direct Connect, VPN 또는 NAT(네트워크 주소 변환) 게이트웨이
쿼리 전달을 시작하기 전에, 연결된 VPC에 Resolver 인바운드 및/또는 아웃바운드 엔드포인트를 생성합니다. 이러한 엔드포인트는 인바운드 또는 아웃바운드 쿼리에 대한 경로를 제공합니다.
**인바운드 엔드포인트: 네트워크의 DNS 해석기는이 엔드포인트를 통해 DNS 쿼리를 Route 53 VPC Resolver로 전달할 수 있습니다.**
인바운드 엔드포인트에는 IP 주소로 전달하는 **기본 인바운드 엔드포인트**와 Route 53 프라이빗 호스팅 영역에서 호스팅되는 하위 도메인에 대한 권한을 Route 53 VPC Resolver에 위임하는 **위임 인바운드 엔드포인트**라는 두 가지 유형이 있습니다. 인바운드 엔드포인트를 사용하면 DNS 해석기가 Route 53 프라이빗 호스팅 영역의 EC2 인스턴스 또는 레코드와 같은 AWS 리소스의 도메인 이름을 쉽게 확인할 수 있습니다. 자세한 내용은 [네트워크의 DNS 해석기가 DNS 쿼리를 Resolver 엔드포인트로 전달하는 방법](resolver-overview-forward-network-to-vpc.md) 단원을 참조하십시오.
**아웃바운드 엔드포인트: VPC Resolver는이 엔드포인트를 통해 네트워크의 해석기에 조건부로 쿼리를 전달합니다.**
선택한 쿼리를 전달하려면 전달하려는 DNS 쿼리의 도메인 이름(예: example.com) 및 쿼리를 전달하려는 네트워크에 있는 DNS 해석기의 IP 주소를 지정하는 Resolver 규칙을 생성합니다. 쿼리가 여러 규칙(example.com, acme.example.com)과 일치하는 경우 VPC Resolver는 가장 확실히 일치하는 규칙(acme.example.com)을 선택하고 해당 규칙에 지정한 IP 주소에 쿼리를 전달합니다. 규칙의 세 가지 유형은 **전달**, **시스템**, **위임**입니다. 자세한 내용은 [Resolver 엔드포인트VPCs에서 네트워크로 DNS 쿼리를 전달하는 방법](resolver-overview-forward-vpc-to-network.md) 단원을 참조하십시오.
Amazon VPC와 마찬가지로 VPC Resolver는 리전별입니다. VPC가 있는 리전마다 쿼리를 VPC에서 네트워크로 전달하거나(아웃바운드 쿼리) 네트워크에서 VPC로 전달하거나(인바운드 쿼리) 둘 다로 전달하도록 선택할 수 있습니다.
소유하지 않은 VPC에서는 해석기 엔드포인트를 생성할 수 없습니다. VPC 소유자만 인바운드 엔드포인트와 같은 VPC 수준 리소스를 생성할 수 있습니다.
**참고**
Resolver 엔드포인트를 생성할 때 인스턴스 테넌시 속성이 `dedicated`로 설정된 VPC를 지정할 수 없습니다. 자세한 내용은 [전용 인스턴스 테넌시용으로 구성된 VPC에서 VPCs Resolver 사용](resolver-choose-vpc.md#resolver-considerations-dedicated-instance-tenancy) 섹션을 참조하세요.
인바운드 또는 아웃바운드 전달을 사용하려면 VPC에 Resolver 엔드포인트를 만듭니다. 엔드포인트 정의의 일부로 인바운드 DNS 쿼리를 전달할 IP 주소 또는 아웃바운드 쿼리를 시작할 IP 주소 또는 DNS 위임을 지정합니다. 지정한 각 IP 주소 및 위임에 대해 VPC Resolver는 VPC 탄력적 네트워크 인터페이스를 자동으로 생성합니다.
다음 다이어그램은 네트워크의 DNS 해석기에서 Route 53 Resolver 엔드포인트까지의 DNS 쿼리의 경로를 보여줍니다.
![\[네트워크의 DNS 해석기에서 Route 53 Resolver 엔드포인트까지의 DNS 쿼리의 경로를 보여주는 개념적 그래픽\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/images/Resolver-inbound-endpoint.png)
다음 다이어그램은 네트워크의 VPC 중 하나의 EC2 인스턴스에서 네트워크의 DNS 해석기까지의 DNS 쿼리의 경로를 보여줍니다. jyo.example.com 도메인은 전달 규칙을 사용하는 반면, ric.example.com 하위 도메인은 전달 권한을 VPC Resolver에 위임했습니다.
![\[네트워크에서 Route 53 VPC Resolver로의 DNS 쿼리 경로를 보여주는 개념적 그래픽입니다.\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/images/Resolver-outbound-endpoint.png)
VPC 네트워크 인터페이스에 대한 개요는 *Amazon VPC 사용 설명서*의 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)를 참조하세요.
**주제**
+ [네트워크의 DNS 해석기가 DNS 쿼리를 Resolver 엔드포인트로 전달하는 방법](resolver-overview-forward-network-to-vpc.md)
+ [Resolver 엔드포인트VPCs에서 네트워크로 DNS 쿼리를 전달하는 방법](resolver-overview-forward-vpc-to-network.md)
+ [인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항](resolver-choose-vpc.md)
# 네트워크의 DNS 해석기가 DNS 쿼리를 Resolver 엔드포인트로 전달하는 방법
네트워크에서 Route 53 VPC Resolver로 DNS 쿼리를 전달하려면 AWS 리전에 인바운드 엔드포인트를 생성합니다. 인바운드 엔드포인트에는 **기본**과 **위임**이라는 두 가지 범주가 있습니다.
**기본 인바운드 엔드포인트를 생성하는 단계**
1. VPC에서 기본 Resolver 인바운드 엔드포인트를 생성하고 네트워크의 해석기가 DNS 쿼리를 전달하는 IP 주소를 포트 53에서 TCP 및 UDP 액세스를 허용하는 인바운드 규칙을 포함하는 VPC 보안 그룹과 함께 지정합니다. 지침은 [인바운드 전달 구성](resolver-forwarding-inbound-queries-configuring.md) 섹션을 참조하세요.
인바운드 엔드포인트에 대해 지정하는 각 IP 주소에 대해 VPC Resolver는 인바운드 엔드포인트를 생성한 VPC에 VPC 탄력적 네트워크 인터페이스를 생성합니다.
1. 인바운드 엔드포인트에 지정한 IP 주소로 해당 도메인 이름의 DNS 쿼리를 전달하도록 네트워크의 해석기를 구성합니다. 자세한 내용은 [인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항](resolver-choose-vpc.md) 단원을 참조하십시오.
**VPC Resolver가 기본 인바운드 엔드포인트를 통해 네트워크에서 시작되는 DNS 쿼리를 해결하는 방법은 다음과 같습니다.**
1. 웹 브라우저 또는 네트워크의 다른 애플리케이션이 VPC Resolver에 전달한 도메인 이름에 대한 DNS 쿼리를 제출합니다.
1. 네트워크에 있는 해석기가 인바운드 엔드포인트의 IP 주소로 쿼리를 전달합니다.
1. 인바운드 엔드포인트는 쿼리를 VPC Resolver로 전달합니다.
1. VPC Resolver는 내부적으로 또는 퍼블릭 이름 서버에 대해 재귀 조회를 수행하여 DNS 쿼리의 도메인 이름에 해당하는 값을 가져옵니다.
1. VPC Resolver는 인바운드 엔드포인트에 값을 반환합니다.
1. 인바운드 엔드포인트가 네트워크에 있는 해석기에 값을 반환합니다.
1. 네트워크에 있는 해석기가 애플리케이션으로 값을 반환합니다.
1. VPC Resolver에서 반환한 값을 사용하여 애플리케이션은 Amazon S3 버킷의 객체에 대한 요청과 같은 요청을 제출합니다.
**위임 인바운드 엔드포인트를 생성하는 단계**
1. VPC에서 위임 해석기 인바운드 엔드포인트를 생성합니다. 지침은 [인바운드 전달 구성](resolver-forwarding-inbound-queries-configuring.md) 섹션을 참조하세요.
인바운드 엔드포인트에 대해 지정하는 각 IP 주소에 대해 VPC Resolver는 인바운드 엔드포인트를 생성한 VPC에 VPC 탄력적 네트워크 인터페이스를 생성합니다.
1. 네트워크에서 해당 도메인 이름에 대한 DNS 쿼리를 VPC Resolver에 위임하도록 해석기를 구성합니다. 글루 레코드의 경우 인바운드 엔드포인트의 IP 주소를 입력해야 합니다. 자세한 내용은 [인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항](resolver-choose-vpc.md) 단원을 참조하십시오.
**VPC Resolver가 위임 인바운드 엔드포인트를 통해 네트워크에서 시작되는 DNS 쿼리를 해결하는 방법은 다음과 같습니다.**
1. 사전 조건으로 온프레미스에서 프라이빗 호스팅 영역에 호스팅된 하위 도메인을 위임해야 합니다. 인바운드 위임 엔드포인트를 통해 하위 도메인을 위임하는 것이므로 인바운드 엔드포인트 IP 주소를 위임되는 하위 도메인의 글루 레코드로 사용합니다.
**참고**
DNS 쿼리가 해석 가능하도록 하기 위해 글루 레코드를 반드시 포함해야 할 수도 있습니다. 하위 도메인을 상위 도메인과 동일한 영역에 있는 이름 서버에 위임할 경우 글루 레코드는 필수입니다.
1. 웹 브라우저 또는 네트워크의 다른 애플리케이션이 VPC Resolver에 위임한 도메인 이름에 대한 DNS 쿼리를 제출합니다.
1. 네트워크에 있는 해석기가 인바운드 엔드포인트의 IP 주소로 쿼리를 전달합니다.
1. 인바운드 엔드포인트는 쿼리를 VPC Resolver에 위임합니다.
1. VPC Resolver는 프라이빗 호스팅 영역에서 인바운드 엔드포인트로 AWS 리소스에 주소를 반환합니다.
1. 인바운드 엔드포인트가 네트워크에 있는 해석기에 값을 반환합니다.
1. 네트워크에 있는 해석기가 애플리케이션으로 값을 반환합니다.
1. VPC Resolver에서 반환한 값을 사용하여 애플리케이션은 Amazon S3 버킷의 객체에 대한 요청과 같은 요청을 제출합니다.
인바운드 엔드포인트를 생성해도 VPC Resolver의 동작은 변경되지 않으며, AWS 네트워크 외부 위치에서 VPC Resolver로 가는 경로만 제공합니다.
# Resolver 엔드포인트VPCs에서 네트워크로 DNS 쿼리를 전달하는 방법
AWS 리전의 하나 이상의 VPCs에 있는 EC2 인스턴스에서 네트워크로 DNS 쿼리를 전달하려면 다음 단계를 수행합니다.
1. VPC에서 Resolver 아웃바운드 엔드포인트를 생성하고 여러 값을 지정합니다.
+ 네트워크에 있는 해석기로 가는 도중 DNS 쿼리가 통과할 VPC
+ 포트 53(또는 네트워크에서 DNS 쿼리에 사용하는 포트)에서 TCP 및 UDP 액세스를 허용하는 아웃바운드 규칙을 포함한 [VPC 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
아웃바운드 엔드포인트에 지정하는 각 IP 주소에 대해 VPC Resolver는 지정한 VPC에 Amazon VPC 탄력적 네트워크 인터페이스를 생성합니다. 자세한 내용은 [인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항](resolver-choose-vpc.md) 단원을 참조하십시오.
1. VPC Resolver에 위임하여 전달하거나 VPC Resolver가 네트워크의 해석기에 전달하도록 하려는 DNS 쿼리의 도메인 이름을 지정하는 규칙을 하나 이상 생성합니다. 전달 규칙의 경우 해석기의 IP 주소도 지정합니다. 자세한 내용은 [규칙을 사용하여 네트워크에 전달할 쿼리 제어](resolver-overview-forward-vpc-to-network-using-rules.md) 단원을 참조하십시오.
1. DNS 쿼리를 네트워크에 전달할 VPC에 각 규칙을 연결합니다.
# 규칙을 사용하여 네트워크에 전달할 쿼리 제어
규칙은 Resolver 엔드포인트가 네트워크의 DNS 해석기에 전달하는 DNS 쿼리와 VPC Resolver가 자체적으로 응답하는 쿼리를 제어합니다.
다음 두 가지 방법으로 규칙을 분류할 수 있습니다. 한 가지 방법은 규칙을 생성하는 사람을 통한 제어입니다.
+ **자동 정의 규칙** - VPC Resolver는 자동 정의 규칙을 자동으로 생성하고 규칙을 VPCs와 연결합니다. 이러한 규칙의 대부분은 VPC Resolver가 쿼리에 응답하는 AWS특정 도메인 이름에 적용됩니다. 자세한 내용은 [VPC Resolver가 자동 정의된 시스템 규칙을 생성하는 도메인 이름](resolver-overview-forward-vpc-to-network-autodefined-rules.md) 단원을 참조하십시오.
+ **사용자 지정 규칙** - 사용자 지정 규칙을 만들어 VPC와 연결합니다. 지금은 전달 규칙이라고도 하는 **조건부 전달 규칙**과 **위임 규칙**이라는 두 가지 사용자 지정 규칙을 생성할 수 있습니다. **전달** 규칙을 사용하면 VPC ResolverVPCs의 DNS 쿼리를 네트워크의 DNS 해석기에 대한 IP 주소로 전달합니다.
자동 정의된 규칙과 동일한 도메인에 대한 전달 규칙을 생성하는 경우 VPC Resolver는 전달 규칙의 설정에 따라 해당 도메인 이름에 대한 쿼리를 네트워크의 DNS 해석기로 전달합니다.
**위임 규칙**은 네트워크의 해석기에 대한 응답으로 NS 레코드와 일치하는 위임 규칙의 위임 레코드를 사용하여 DNS 쿼리를 전달합니다.
또 다른 방법은 역할에 따라 규칙을 분류하는 것입니다.
+ **조건부 전달 규칙** - 지정된 도메인 이름의 DNS 쿼리를 네트워크의 DNS 해석기로 전달하려는 경우 조건부 전달 규칙(또는 전달 규칙)을 생성합니다.
+ **시스템 규칙** - 시스템 규칙으로 인해 VPC Resolver는 전달 규칙에 정의된 동작을 선택적으로 재정의합니다. 시스템 규칙을 생성하면 VPC Resolver는 지정된 하위 도메인에 대한 DNS 쿼리를 해결합니다. 그렇지 않으면 네트워크의 DNS 해석기가 이를 해결합니다.
기본적으로 전달 규칙은 도메인 이름과 모든 하위 도메인에 적용됩니다. 도메인에 대한 쿼리를 네트워크에 있는 해석기에 전달하되 일부 하위 도메인에 대한 쿼리는 제외하려면 하위 도메인에 대한 시스템 규칙을 생성합니다. 예를 들어 example.com의 전달 규칙을 생성하고 acme.example.com에 대한 쿼리를 전달하지 않으려면 시스템 규칙을 생성하고 도메인 이름에 acme.example.com을 지정합니다.
+ **재귀 규칙** - VPC Resolver는 **Internet Resolver**라는 재귀 규칙을 자동으로 생성합니다. 이 규칙으로 인해 Route 53 VPC Resolver는 사용자 지정 규칙을 생성하지 않았고 VPC Resolver가 자동 정의된 규칙을 생성하지 않은 모든 도메인 이름에 대해 재귀 해석기 역할을 합니다. 이 동작을 재정의하는 방법은 이 주제 뒷부분의 "네트워크로 모든 쿼리 전달"을 참조하세요.
특정 도메인 이름(사용자 또는 대부분의 AWS 도메인 이름), 퍼블릭 도메인 이름 또는 모든 AWS 도메인 이름에 적용되는 사용자 지정 규칙을 생성할 수 있습니다.
**네트워크에 특정 도메인 이름에 대한 쿼리 전달**
example.com과 같은 특정 도메인 이름에 대한 쿼리를 네트워크에 전달하려면 규칙을 생성하고 도메인 이름을 지정합니다. **전달** 규칙의 경우 쿼리를 전달할 네트워크에 있는 DNS 해석기의 IP 주소도 지정합니다. 또는 **위임** 규칙의 경우 권한을 온프레미스 해석기에 위임하기 위한 위임 레코드를 생성합니다. 그런 다음 네트워크에 DNS 쿼리를 전달할 VPC에 각 규칙을 연결합니다. 예를 들어 example.com, example.org 및 example.net에 대해 별도의 규칙을 생성할 수 있습니다. 그런 다음 어떤 조합으로든 규칙을 AWS 리전의 VPCs와 연결할 수 있습니다.
**네트워크에 amazonaws.com에 대한 쿼리 전달**
도메인 이름 amazonaws.com EC2 인스턴스 및 S3 버킷과 같은 AWS 리소스의 퍼블릭 도메인 이름입니다. amazonaws.com에 대한 쿼리를 네트워크에 전달하려면 규칙을 만들고, 도메인 이름에 amazonaws.com을 지정하고, 사용하려는 방식에 따라 규칙 유형에 **전달** 또는 **위임**을 지정합니다.
VPC Resolver는 amazonaws.com 전달 규칙을 생성하더라도 일부 amazonaws.com 하위 도메인에 대한 DNS 쿼리를 자동으로 전달하지 않습니다. 자세한 내용은 [VPC Resolver가 자동 정의된 시스템 규칙을 생성하는 도메인 이름](resolver-overview-forward-vpc-to-network-autodefined-rules.md) 단원을 참조하십시오. 이 동작을 재정의하는 방법은 바로 다음에 나오는 "네트워크로 모든 쿼리 전달"을 참조하세요.
**네트워크로 모든 쿼리 전달**
모든 쿼리를 네트워크로 전달하려면, 규칙을 만들고 도메인 이름에 "."(점)을 지정하고 모든 DNS 쿼리를 네트워크로 전달하기 위한 규칙을 VPC에 연결합니다. 외부에서 DNS 해석기를 사용하면 일부 기능이 AWS 중단되므로 VPC 해석기는 여전히 모든 DNS 쿼리를 네트워크에 전달하지 않습니다. 예를 들어 일부 내부 AWS 도메인 이름에는 외부에서 액세스할 수 없는 내부 IP 주소 범위가 있습니다 AWS. "."에 대한 규칙을 만들 때 쿼리가 네트워크로 전달되지 않는 도메인 이름 목록은 [VPC Resolver가 자동 정의된 시스템 규칙을 생성하는 도메인 이름](resolver-overview-forward-vpc-to-network-autodefined-rules.md)를 참조하세요.
그러나 역방향 DNS에 대한 자동 정의 시스템 규칙을 비활성화할 수 있으므로 “.” 규칙이 모든 역방향 DNS 쿼리를 네트워크로 전달할 수 있습니다. 자동 정의 규칙을 해제하는 방법에 대한 자세한 내용은 [VPC Resolver에서 역방향 DNS 쿼리에 대한 전달 규칙](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns) 단원을 참조하십시오.
기본적으로 전달에서 제외되는 도메인 이름을 포함하여 모든 도메인 이름에 대한 DNS 쿼리를 네트워크로 전달하려면 "." 규칙을 생성하고 다음 중 하나를 수행하면 됩니다.
+ VPC의 `enableDnsHostnames` 플래그를 `false`로 설정
+ [VPC Resolver가 자동 정의된 시스템 규칙을 생성하는 도메인 이름](resolver-overview-forward-vpc-to-network-autodefined-rules.md)에 나온 도메인 이름의 규칙 생성
"." 규칙을 생성할 때 VPC Resolver가 제외하는 도메인 이름을 포함하여 모든 도메인 이름을 네트워크에 전달하면 일부 기능이 작동하지 않을 수 있습니다.
# VPC Resolver가 쿼리의 도메인 이름이 규칙과 일치하는지 여부를 결정하는 방법
Route 53 VPC Resolver는 DNS 쿼리의 도메인 이름을 쿼리가 시작된 VPC와 연결된 규칙의 도메인 이름과 비교합니다. VPC Resolver는 다음과 같은 경우 도메인 이름이 일치하는 것으로 간주합니다.
+ 도메인 이름이 정확히 일치합니다.
+ 쿼리에 있는 도메인 이름이 규칙에 있는 도메인 이름의 하위 도메인입니다.
예를 들어 규칙의 도메인 이름이 acme.example.com 있는 경우 VPC Resolver는 DNS 쿼리의 다음 도메인 이름을 일치로 간주합니다.
+ acme.example.com
+ zenith.acme.example.com
다음 도메인 이름은 일치하지 않습니다.
+ example.com
+ nadir.example.com
쿼리의 도메인 이름이 둘 이상의 규칙(예: example.com 및 www.example.com)의 도메인 이름과 일치하는 경우 VPC Resolver는 가장 구체적인 도메인 이름(www.example.com)이 포함된 규칙을 사용하여 아웃바운드 DNS 쿼리를 라우팅합니다.
# VPC Resolver가 DNS 쿼리를 전달할 위치를 결정하는 방법
VPC의 EC2 인스턴스에서 실행되는 애플리케이션이 DNS 쿼리를 제출하면 Route 53 VPC Resolver는 다음 단계를 수행합니다.
1. Resolver가 규칙에 도메인 이름이 있는지 확인합니다.
쿼리의 도메인 이름이 기본 전달 규칙의 도메인 이름과 일치하는 경우 VPC Resolver는 아웃바운드 엔드포인트를 생성할 때 지정한 IP 주소로 쿼리를 전달합니다. 그러면 아웃바운드 엔드포인트가 네트워크에 있는 해석기의 IP 주소로 쿼리를 전달합니다. 이 주소는 규칙을 생성할 때 지정된 주소입니다.
응답의 위임 레코드가 위임 규칙과 일치하면 Resolver는 위임 규칙과 연결된 아웃바운드 엔드포인트를 통해 온프레미스 해석기에 권한을 위임합니다.
자세한 내용은 [VPC Resolver가 쿼리의 도메인 이름이 규칙과 일치하는지 여부를 결정하는 방법](resolver-overview-forward-vpc-to-network-domain-name-matches.md) 단원을 참조하십시오.
1. Resolver 엔드포인트가 "." 규칙의 설정에 따라 DNS 쿼리를 전달합니다.
쿼리의 도메인 이름이 다른 규칙의 도메인 이름과 일치하지 않는 경우 VPC Resolver는 자동 정의된 "."(점) 규칙의 설정을 기반으로 쿼리를 전달합니다. 점 규칙은 프라이빗 호스팅 영역의 일부 AWS 내부 도메인 이름 및 레코드 이름을 제외한 모든 도메인 이름에 적용됩니다. 이 규칙은 쿼리의 도메인 이름이 사용자 지정 전달 규칙의 이름과 일치하지 않는 경우 VPC Resolver가 퍼블릭 이름 서버에 DNS 쿼리를 전달합니다. 네트워크에 있는 DNS로 모든 쿼리를 전달하려면 사용자 지정 전달 규칙을 생성하고 도메인 이름에 "."을 지정하며 **유형**에 **전달**을 지정하고 해당 해석기의 IP 주소를 지정하면 됩니다.
1. VPC Resolver는 쿼리를 제출한 애플리케이션에 응답을 반환합니다.
# 여러 리전에서 규칙 사용
Route 53 VPC Resolver는 리전 서비스이므로 한 AWS 리전에서 생성한 객체는 해당 리전에서만 사용할 수 있습니다. 2개 이상 리전에서 동일한 규칙을 사용하려면 각 리전에서 규칙을 생성해야 합니다.
규칙을 생성한 AWS 계정은 규칙을 다른 AWS 계정과 공유할 수 있습니다. 자세한 내용은 [Resolver 규칙을 다른 AWS 계정과 공유 및 공유 규칙 사용](resolver-rules-managing.md#resolver-rules-managing-sharing) 단원을 참조하십시오.
# VPC Resolver가 자동 정의된 시스템 규칙을 생성하는 도메인 이름
Resolver가 자동 정의 시스템 규칙을 자동으로 생성합니다. 이 규칙은 선택한 도메인의 쿼리가 기본적으로 해석되는 방법을 정의합니다.
+ 프라이빗 호스팅 영역 및 Amazon EC2 특정 도메인 이름(예: compute.amazonaws.com 및 compute.internal)에 대해 자동 정의 규칙을 사용하면 "."(점) 또는 "com"과 같이 구체적이지 않은 도메인 이름에 대한 조건부 전달 규칙을 생성할 경우 프라이빗 호스팅 영역과 EC2 인스턴스를 계속 해석할 수 있습니다.
+ 공개적으로 예약된 도메인 이름(예: localhost 및 10.in-addr.arpa)의 경우 DNS 모범 사례에 따라 쿼리가 퍼블릭 이름 서버로 전달되는 것이 아니라 로컬로 응답되는 것이 좋습니다. [RFC 6303, Locally Served DNS Zones](https://tools.ietf.org/html/rfc6303) 섹션을 참조하세요.
**참고**
"."(점) 또는 "com"에 대해 조건부 전달 규칙을 생성하는 경우에는 amazonaws.com에서도 시스템 규칙을 생성하는 것이 좋습니다 (시스템 규칙으로 인해 VPC Resolver는 특정 도메인 및 하위 도메인에 대한 DNS 쿼리를 로컬에서 해결합니다.) 이 시스템 규칙을 생성하면 성능이 향상되고, 네트워크에 전달되는 쿼리 수가 줄어들고, VPC Resolver 요금이 줄어듭니다.
자동 정의 규칙을 재정의하고 싶은 경우에는 동일한 도메인 이름에 대해 조건부 전달 규칙을 생성할 수 있습니다.
자동 정의 규칙의 일부를 비활성화할 수도 있습니다. 자세한 내용은 [VPC Resolver에서 역방향 DNS 쿼리에 대한 전달 규칙](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns) 단원을 참조하십시오.
VPC Resolver는 다음과 같은 자동 정의 규칙을 생성합니다.
**프라이빗 호스팅 영역을 위한 규칙**
VPC와 연결하는 각 프라이빗 호스팅 영역에 대해 VPC Resolver는 규칙을 생성하고 VPC와 연결합니다. 프라이빗 호스팅 영역을 여러 VPCs와 연결하는 경우 VPC Resolver는 규칙을 동일한 VPCs와 연결합니다.
규칙에는 **전달** 유형이 있습니다.
**다양한 AWS 내부 도메인 이름에 대한 규칙**
이 단원에 나오는 내부 도메인 이름에 대한 모든 규칙에는 **전달(Forward)** 유형이 있습니다. VPC Resolver는 이러한 도메인 이름에 대한 DNS 쿼리를 VPC의 신뢰할 수 있는 이름 서버로 전달합니다.
VPC Resolver는 VPC에 대한 `enableDnsHostnames` 플래그를 로 설정할 때 이러한 규칙의 대부분을 생성합니다`true`. Resolver 엔드포인트를 사용하지 않더라도 VPC Resolver는 규칙을 생성합니다.
VPC Resolver는 `true`다음과 같은 자동 정의 규칙을 생성하고 VPC에 대한 `enableDnsHostnames` 플래그를 로 설정할 때 VPC와 연결합니다.
+ 예를 들어 *Region-name*.compute.internal의 경우 eu-west-1.compute.internal입니다. us-east-1 리전에서는 이 도메인 이름을 사용하지 않습니다.
+ 예를 들어 *Region-name*.compute.*amazon-domain-name*의 경우 eu-west-1.compute.amazonaws.com 또는 cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn입니다. us-east-1 리전에서는 이 도메인 이름을 사용하지 않습니다.
+ ec2.internal. us-east-1 리전에서만 이 도메인 이름을 사용합니다.
+ compute-1.internal. us-east-1 리전에서만 이 도메인 이름을 사용합니다.
+ compute-1.amazonaws.com. us-east-1 리전에서만 이 도메인 이름을 사용합니다.
다음 자동 정의 규칙은 VPC에 대한 `enableDnsHostnames` 플래그를 로 설정할 때 VPC Resolver가 생성하는 규칙에 대한 역방향 DNS 조회를 위한 것입니다`true`.
+ 10.in-addr.arpa
+ 16.172.in-addr.arpa through 31.172.in-addr.arpa
+ 168.192.in-addr.arpa
+ 254.169.254.169.in-addr.arpa
+ VPC의 각 CIDR 범위에 대한 규칙입니다. 예를 들어 CIDR 범위가 10.0.0.0/23인 VPC의 경우 VPC Resolver는 다음 규칙을 생성합니다.
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
또한 localhost 관련 도메인에 사용되는 다음의 자동 정의 규칙이 생성되고, VPC의 `enableDnsHostnames` 플래그를 `true`로 설정할 경우 VPC에 연결됩니다.
+ localhost
+ localdomain
+ 127.in-addr.arpa
+ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
+ 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
VPC Resolver는 전송 게이트웨이 또는 VPC 피어링을 통해 VPC를 다른 VPC와 연결하고 DNS 지원이 활성화된 경우 다음과 같은 자동 정의 규칙을 생성하고 VPC와 연결합니다.
+ 피어 VPC의 IP 주소 범위에 대한 역방향 DNS 조회(예: 0.192.in-addr.arpa)
VPC에 IPv4 CIDR 블록을 추가하는 경우 VPC Resolver는 새 IP 주소 범위에 대한 자동 정의 규칙을 추가합니다.
+ 다른 VPC가 다른 리전에 있을 경우 다음과 같은 도메인 이름이 사용됩니다.
+ *Region-name*.compute.internal. us-east-1 리전에서는 이 도메인 이름을 사용하지 않습니다.
+ *Region-name*.compute.*amazon-domain-name*. us-east-1 리전에서는 이 도메인 이름을 사용하지 않습니다.
+ ec2.internal. us-east-1 리전에서만 이 도메인 이름을 사용합니다.
+ compute-1.amazonaws.com. us-east-1 리전에서만 이 도메인 이름을 사용합니다.
**다른 모든 도메인에 대한 규칙**
VPC Resolver는이 주제의 앞부분에서 지정하지 않은 모든 도메인 이름에 적용되는 "."(점) 규칙을 생성합니다. "." 규칙에는 **재귀** 유형이 있습니다. 즉, 규칙으로 인해 VPC 해석기가 재귀 해석기 역할을 합니다.
# 인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항
AWS 리전에서 인바운드 및 아웃바운드 Resolver 엔드포인트를 생성하기 전에 다음 문제를 고려하세요.
**Topics**
+ [
## 각 리전의 인바운드 및 아웃바운드 엔드포인트 수
](#resolver-considerations-number-of-endpoints)
+ [
## 인바운드 및 아웃바운드 엔드포인트에 동일한 VPC 사용
](#resolver-considerations-same-vpc-inbound-outbound)
+ [
## 인바운드 엔드포인트 및 프라이빗 호스팅 영역
](#resolver-considerations-inbound-endpoint-private-zone)
+ [
## VPC 피어링
](#resolver-considerations-vpc-peering)
+ [
## 공유 서브넷의 IP 주소
](#resolver-considerations-shared-subnets)
+ [
## 네트워크와 엔드포인트를 생성한 VPC 간의 연결
](#resolver-considerations-connection-between-network-and-vpcs)
+ [
## 규칙을 공유하면 아웃바운드 엔드포인트도 공유됨
](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [
## 엔드포인트 프로토콜 선택
](#resolver-endpoint-protocol-considerations)
+ [
## 전용 인스턴스 테넌시용으로 구성된 VPC에서 VPCs Resolver 사용
](#resolver-considerations-dedicated-instance-tenancy)
## 각 리전의 인바운드 및 아웃바운드 엔드포인트 수
AWS 리전의 VPCs에 대한 DNS를 네트워크의 DNS와 통합하려면 일반적으로 하나의 Resolver 인바운드 엔드포인트(VPCs)와 하나의 아웃바운드 엔드포인트(VPC에서 네트워크로 전달하는 쿼리VPCs 경우)가 필요합니다. 여러 개의 인바운드 엔드포인트와 여러 개의 아웃바운드 엔드포인트를 생성할 수 있지만 하나의 인바운드 또는 아웃바운드 엔드포인트로 각 방향의 DNS 조회를 충분히 처리할 수 있습니다. 다음 사항에 유의하세요.
+ 각 Resolver 엔드포인트의 경우 서로 다른 가용 영역에 두 개 이상의 IP 주소를 지정합니다. 엔드포인트의 각 IP 주소는 초당 많은 수의 DNS 쿼리를 처리할 수 있습니다. 엔드포인트의 IP 주소별 초당 최대 동시 쿼리 수는 [Route 53 VPC Resolver의 할당량](DNSLimitations.md#limits-api-entities-resolver) 섹션을 참조하세요. VPC Resolver가 더 많은 쿼리를 처리해야 하는 경우 다른 엔드포인트를 추가하는 대신 기존 엔드포인트에 더 많은 IP 주소를 추가할 수 있습니다.
+ VPC Resolver 요금은 엔드포인트의 IP 주소 수와 엔드포인트가 처리하는 DNS 쿼리 수를 기준으로 합니다. 각 엔드포인트는 최소 두 개의 IP 주소를 포함합니다. VPC Resolver 요금에 대한 자세한 내용은 [Amazon Route 53 요금을](https://aws.amazon.com/route53/pricing/) 참조하세요.
+ 각 규칙은 DNS 쿼리가 전달되는 아웃바운드 엔드포인트를 지정합니다. AWS 리전에 여러 개의 아웃바운드 엔드포인트를 만들고 일부 또는 모든 Resolver 규칙을 모든 VPC와 연결하려면 이러한 규칙의 사본을 여러 개 만들어야 합니다.
## 인바운드 및 아웃바운드 엔드포인트에 동일한 VPC 사용
동일한 VPC 또는 동일한 리전의 다른 VPC에서 인바운드 및 아웃바운드 엔드포인트를 생성할 수 있습니다.
자세한 내용은 [Amazon Route 53 모범 사례](best-practices.md) 섹션을 참조하세요.
## 인바운드 엔드포인트 및 프라이빗 호스팅 영역
VPC Resolver가 프라이빗 호스팅 영역의 레코드를 사용하여 인바운드 DNS 쿼리를 해결하도록 하려면 프라이빗 호스팅 영역을 인바운드 엔드포인트를 생성한 VPC와 연결합니다. 프라이빗 호스팅 영역과 VPC를 연결하는 방법에 대한 자세한 내용은 [프라이빗 호스팅 영역 사용](hosted-zones-private.md) 섹션을 참조하세요.
## VPC 피어링
선택한 VPC가 다른 VPC와 피어링되는지 여부에 관계없이 AWS 리전의 모든 VPC를 인바운드 또는 아웃바운드 엔드포인트에 사용할 수 VPCs. 자세한 내용은 [Amazon Virtual Private Cloud(VPC) 피어링](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)을 참조하세요.
## 공유 서브넷의 IP 주소
인바운드 또는 아웃바운드 엔드포인트를 생성할 때 현재 계정에서 VPC를 생성한 경우에만 공유 서브넷에 IP 주소를 지정할 수 있습니다. 다른 계정이 VPC를 생성하고 VPC의 서브넷을 사용자 계정과 공유하는 경우 해당 서브넷에 IP 주소를 지정할 수 없습니다. 공유 서브넷에 대한 자세한 내용은 *Amazon VPC 사용 설명서*의 [공유 VPC 작업](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)을 참조하세요.
## 네트워크와 엔드포인트를 생성한 VPC 간의 연결
네트워크와 엔드포인트를 생성한 VPC 사이에 다음 연결 중 하나가 있어야 합니다.
+ **인바운드 엔드포인트** - 인바운드 엔드포인트를 생성하는 각 VPC와 네트워크 사이에 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 연결 또는 [VPN 연결](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)을 설정해야 합니다.
+ **아웃바운드 엔드포인트** - 아웃바운드 엔드포인트를 생성하는 각 VPC와 네트워크 사이에 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 연결, [VPN 연결](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) 또는 [NAT(네트워크 주소 변환) 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)를 설정해야 합니다.
## 규칙을 공유하면 아웃바운드 엔드포인트도 공유됨
규칙을 생성할 때 VPC Resolver가 네트워크로 DNS 쿼리를 전달하는 데 사용할 아웃바운드 엔드포인트를 지정합니다. 규칙을 다른 AWS 계정과 공유하는 경우 규칙에 지정한 아웃바운드 엔드포인트도 간접적으로 공유합니다. 하나 이상의 AWS 계정을 사용하여 AWS 리전에서 VPCs를 생성한 경우 다음을 수행할 수 있습니다.
+ 리전에 하나의 아웃바운드 엔드포인트를 생성합니다.
+ 하나의 AWS 계정을 사용하여 규칙을 생성합니다.
+ 리전에서 VPCs를 생성한 모든 AWS 계정과 규칙을 공유합니다.
이렇게 하면 VPCs 경우에도 리전의 아웃바운드 엔드포인트 하나를 사용하여 여러 VPCs에서 네트워크로 DNS 쿼리를 전달할 수 있습니다. AWS
## 엔드포인트 프로토콜 선택
엔드포인트 프로토콜은 데이터를 인바운드 엔드포인트로 전송하는 방식과 아웃바운드 엔드포인트에서 데이터를 전송하는 방식을 결정합니다. VPC 트래픽에 대한 DNS 쿼리를 암호화할 필요는 없습니다. 네트워크의 모든 패킷 흐름은 전송 및 전달되기 전에 올바른 소스와 대상을 검증하는 규칙에 따라 개별적으로 승인되기 때문입니다. 송신 엔터티와 수신 엔터티 모두에 의해 특별히 승인되지 않은 상태에서 정보가 개체 간에 임의로 전달되는 것은 거의 불가능합니다. 일치하는 규칙 없이 패킷이 대상으로 라우팅되는 경우 패킷을 삭제합니다. 자세한 내용은 [VPC 기능](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html)을 참조하세요.
사용 가능한 프로토콜은 다음과 같습니다:
+ **Do53:** 포트 53를 통한 DNS 입니다. 데이터는 추가 암호화 없이 VPC Resolver를 사용하여 릴레이됩니다. 외부 당사자가 데이터를 읽을 수는 없지만 AWS 네트워크 내에서 데이터를 볼 수 있습니다. UDP 또는 TCP를 사용하여 패킷을 전송합니다. Do53는 주로 Amazon VPC 내부 및 Amazon VPC 간의 트래픽에 사용합니다. 현재는 이것이 위임 인바운드 엔드포인트에 사용할 수 있는 유일한 프로토콜입니다.
+ **DoH:** 데이터는 암호화된 HTTPS 세션을 통해 전송됩니다. DoH는 권한 없는 사용자가 데이터를 해독할 수 없고 의도한 수신자 외에는 누구도 읽을 수 없도록 보안 수준을 강화합니다. 위임 인바운드 엔드포인트에는 사용할 수 없습니다.
+ **DoH-FIPS:** 데이터를 FIPS 140-2 암호화 표준을 준수하는 암호화된 HTTPS 세션을 통해 전송합니다. 인바운드 엔드포인트에서만 지원됩니다. 자세한 내용은 [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)를 참조하세요. 위임 인바운드 엔드포인트에는 사용할 수 없습니다.
**전달** 유형의 인바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.
+ Do53과 DoH를 함께 사용합니다.
+ Do53과 DoH-FIP를 함께 사용합니다.
+ Do53를 단독으로 사용합니다.
+ DoH를 단독으로 사용합니다.
+ DoH FIPS를 단독으로 사용합니다.
+ 없음. Do53으로 취급됩니다.
아웃바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.
+ Do53과 DoH를 함께 사용합니다.
+ Do53를 단독으로 사용합니다.
+ DoH를 단독으로 사용합니다.
+ 없음. Do53으로 취급됩니다.
[인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값](resolver-forwarding-inbound-queries-values.md) 및 [아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값](resolver-forwarding-outbound-queries-endpoint-values.md)도 참조하십시오.
## 전용 인스턴스 테넌시용으로 구성된 VPC에서 VPCs Resolver 사용
Resolver 엔드포인트를 생성하는 경우 [인스턴스 테넌시 속성](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)이 `dedicated`로 설정된 VPC는 지정할 수 없습니다. VPC Resolver는 단일 테넌트 하드웨어에서 실행되지 않습니다.
VPC Resolver를 사용하여 VPC에서 시작된 DNS 쿼리를 해결할 수 있습니다. 인스턴스 테넌시 속성이 `default`로 설정된 VPC를 최소한 하나 이상 생성하고, 인바운드 및 아웃바운드 엔드포인트를 생성할 때 해당 VPC를 지정합니다.
전달 규칙을 생성할 때 인스턴스 테넌시 속성 설정과 상관없이 규칙을 어떠한 VPC에든 연결할 수 있습니다.
# Route 53 VPC Resolver 가용성 및 규모 조정
Amazon VPC CIDR \$1 2 주소 및 fd00:ec2::253에서 실행되는 Route 53 VPC Resolver는 기본적으로 모든 VPCs에서 사용할 수 있으며 퍼블릭 레코드, Amazon VPC별 DNS 이름 및 Route 53 프라이빗 호스팅 영역에 대한 DNS 쿼리에 재귀적으로 응답합니다. Route 53 VPC Resolver에는 Nitro Resolver 서비스와 영역 해석기 플릿이라는 두 가지 고가용성 구성 요소가 있으며, 이는 사용자에게 투명합니다. Nitro Resolver Service는 Nitro 인스턴스의 Nitro 카드와 이전 세대 인스턴스의 Dom0에서 실행되며 호스트 서버의 로컬에서 Route 53 VPC Resolver로 주소 지정된 패킷을 사용하는 서비스입니다. 자세한 내용은 [AWS Nitro 시스템의 보안 설계를 참조하세요](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html).
Nitro Resolver 서비스는 인스턴스가 단기간에 수행하는 반복 쿼리에 응답하여 지연 시간을 줄이는 데 도움이 되는 로컬 캐시를 제공합니다. Nitro Resolver 서비스가 캐시된 응답이 없는 쿼리를 수신하면 일반적으로 인스턴스와 동일한 가용 영역에 있는 고가용성 Resolver 플릿인 Zonal Resolver 플릿에 쿼리를 전달합니다. 업스트림 이름 서버 또는 경로의 다른 구성 요소에 의한 쿼리를 처리하는 데 실패하는 경우 Nitro Resolver 서비스는 인스턴스에서 실행되는 워크로드에 영향을 주지 않고 이러한 실패를 투명하게 처리할 수 있는 경우가 많습니다. 또한 Resolver가 도메인 이름 서버에서 쿼리 제한 시간, 거부된 연결 또는 SERVFAILS가 발생하는 경우 가용성을 개선하기 위해 TTL(Time-To-Live) 값을 초과하는 캐시된 응답으로 응답할 수 있습니다. Nitro Resolver 서비스와 Zonal Resolver 플릿 간의 쿼리는 고객 VPC 외부에서 엄격하게 제어되는 네트워크로 제한되며, 이는 고객이 액세스할 수 없고 엄격한 보안 제어가 적용됩니다. Nitro Resolver 서비스와 VPC 외부의 Zonal Resolver 플릿 간의 쿼리를 처리하면 고객은 VPC 내에서 DNS 쿼리를 가로채지 못합니다. 외부의 이름 서버로 향하는 쿼리 AWS 는 영역 해석기 플릿에 속하는 퍼블릭 IP 주소에서 시작되는 퍼블릭 인터넷을 통과합니다. 현재 EDNS0-Client 서브넷 속성은 지원되지 않습니다. 즉, 퍼블릭 DNS 이름 서버로 향하는 모든 쿼리에는 원래 고객 IP 주소에 대한 정보가 포함되지 않습니다.
Nitro Resolver 서비스는 인스턴스의 Link-Local 서비스의 일부입니다. Link-Local 서비스에는 Route 53 VPC Resolver, Amazon Time Service(NTP), Instance Metadata Service(IMDS) 및 Windows Licensing Service(Windows 인스턴스용)가 포함됩니다. 이 서비스는 VPC에서 생성하는 각 탄력적 네트워크 인터페이스에 따라 확장되며, 각 네트워크 인터페이스는 Link-Local 서비스로 향하는 초당 1,024개의 패킷(PPS)을 허용합니다. 이 제한을 초과하는 패킷은 거부됩니다. ethtool에서 반환한 `linklocal_allowance_exceeded` 값에서 이 제한을 초과했는지 확인할 수 있습니다. ethtool에 대한 자세한 내용은 *Amazon EC2 사용 설명서*의 [Amazon EC2 인스턴스의 네트워크 성능 모니터링](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html)을 참조하세요. 이 지표는 CloudWatch Agent에서 CloudWatch 지표에 보고할 수도 있습니다. Route 53 VPC Resolver는 네트워크 인터페이스별로 구현되므로 더 많은 가용 영역에 인스턴스를 추가할수록 확장되고 더 안정적입니다. 쿼리 수에는 VPC당 집계 제한이 없으므로 Route 53 VPC Resolver는 기본적으로 네트워크 주소 사용량(NAU)을 기반으로 하는 VPC의 범위 내에서 확장할 수 있습니다. 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC의 네트워크 주소 사용량](https://docs.aws.amazon.com/vpc/latest/userguide/network-address-usage.html)을 참조하세요.
다음 다이어그램은 Route 53 VPC Resolver가 가용 영역 내에서 DNS 쿼리를 해결하는 방법에 대한 개요를 보여줍니다.
![\[Route 53 VPC Resolver가 가용 영역 내에서 DNS 쿼리를 해결하는 방법을 보여주는 개념적 그래픽입니다.\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/images/Resolver-scale-availability2.png)
# Route 53 VPC Resolver 시작하기
Route 53 VPC Resolver 콘솔에는 VPC Resolver를 시작하기 위한 다음 단계를 안내하는 마법사가 포함되어 있습니다.
+ 엔드포인트 생성: 인바운드, 아웃바운드 또는 둘 다
+ 아웃바운드 엔드포인트에 대해, DNS 쿼리를 네트워크로 라우팅하려는 도메인 이름을 지정하는 전달 규칙을 하나 이상 생성합니다.
+ 아웃바운드 엔드포인트를 생성한 경우 규칙을 연결하려는 VPC를 선택합니다.
**마법사를 사용하여 Route 53 VPC Resolver를 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/) VPC Resolver 콘솔을 엽니다.
1. **Route 53 VPC Resolver 시작** 페이지에서 **엔드포인트 구성을** 선택합니다.
1. 탐색 모음에서 해석기 엔드포인트를 생성할 리전을 선택합니다.
1. **기본 구성**에서 DNS 쿼리를 전달할 방향을 선택합니다.
+ **인바운드 및 아웃바운드**: 마법사는 네트워크의 해석기에서 VPC의 VPC 해석기로 DNS 쿼리를 전달하고 VPC에서 네트워크의 해석기로 지정된 쿼리(예: example.com 또는 example.net)를 전달할 수 있는 설정을 안내합니다.
+ **인바운드 전용**: 마법사는 네트워크의 해석기에서 VPC의 VPC 해석기로 DNS 쿼리를 전달할 수 있는 설정을 안내합니다.
+ **Outbound only(아웃바운드 전용)**: VPC에서 네트워크에 있는 해석기로 지정된 쿼리를 전달할 수 있는 설정을 마법사가 안내합니다.
1. **다음**을 선택합니다.
1. **Inbound and outbound(인바운드 및 아웃바운드)**나 **Inbound only(인바운드 전용)**를 선택할 경우 인바운드 엔드포인트를 구성하기 위한 해당 값을 입력합니다. 그런 다음 7단계로 진행합니다. 자세한 내용은 [인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값](resolver-forwarding-inbound-queries-values.md) 섹션을 참조하세요.
**Outbound only(아웃바운드 전용)**를 선택할 경우 7단계로 건너뜁니다.
1. 아웃바운드 엔드포인트를 구성하기 위한 해당 값을 입력합니다. 자세한 내용은 [아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값](resolver-forwarding-outbound-queries-endpoint-values.md) 섹션을 참조하세요.
1. **Inbound and outbound(인바운드 및 아웃바운드)**나 **Outbound only(아웃바운드 전용)**를 선택할 경우 규칙을 생성하기 위한 해당 값을 입력합니다. 자세한 내용은 [규칙을 생성 또는 편집할 때 지정하는 값](resolver-forwarding-outbound-queries-rule-values.md) 섹션을 참조하세요.
1. **Review and create(검토 및 생성)** 페이지에서 이전 단계에서 지정한 설정이 올바르다는 것을 확인합니다. 필요한 경우 해당 섹션에 대해 **편집**을 선택하고 설정을 업데이트합니다. 설정에 만족하면 **제출**을 클릭합니다.
**참고**
아웃바운드 엔드포인트를 생성하는 데 1\$12분이 걸립니다. 첫 번째 아웃바운드 엔드포인트가 생성될 때까지는 다른 아웃바운드 엔드포인트를 생성할 수 없습니다.
1. 규칙을 더 생성하려면 [전달 규칙 관리](resolver-rules-managing.md) 섹션을 참조하세요.
1. 인바운드 엔드포인트를 만들었으면 해당 DNS 쿼리를 인바운드 엔드포인트의 IP 주소로 전달하도록 네트워크의 DNS 해석기를 구성합니다. 자세한 내용은 DNS 애플리케이션 설명서를 참조하세요.
# VPC로 인바운드 DNS 쿼리 전달
네트워크에서 VPC Resolver로 DNS 쿼리를 전달하려면 인바운드 엔드포인트를 생성합니다. 인바운드 엔드포인트는 네트워크의 DNS 해석기가 DNS 쿼리를 전달할 IP 주소(VPC에서 사용할 수 있는 IP 주소 범위)를 지정합니다. 이러한 IP 주소는 퍼블릭 IP 주소가 아니므로 각 인바운드 엔드포인트에 대해 Direct Connect 연결 또는 VPN 연결을 사용하여 VPC를 네트워크에 연결해야 합니다.
인바운드 위임을 구현할 때 온프레미스 DNS 인프라의 하위 도메인에 대한 DNS 권한을 VPC Resolver로 위임합니다. 이 위임을 올바르게 구성하려면 위임되는 하위 도메인에 대해 온프레미스 이름 서버에 인바운드 엔드포인트의 IP 주소를 글루 레코드(NS 레코드)로 사용해야 합니다. 예를 들어 IP 주소가 10.0.1.100 및 10.0.1.101인 인바운드 위임 엔드포인트를 통해 하위 도메인 "aws.example.com"을 VPC Resolver에 위임하는 경우 이러한 IP 주소를 "aws.example.com"을 가리키는 온프레미스 DNS 서버에 NS 레코드를 생성합니다. 이렇게 하면 위임된 하위 도메인에 대한 DNS 쿼리가 인바운드 엔드포인트를 통해 VPC Resolver로 올바르게 라우팅되어 VPC Resolver가 연결된 프라이빗 호스팅 영역의 레코드로 응답할 수 있습니다.
# 인바운드 전달 구성
인바운드 엔드포인트를 생성하려면 다음 절차를 수행하세요.
**인바운드 엔드포인트를 생성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Inbound endpoints(인바운드 엔드포인트)**를 선택합니다.
1. 탐색 모음에서 인바운드 엔드포인트를 생성할 리전을 선택합니다.
1. **Create inbound endpoint(인바운드 엔드포인트 생성)**를 선택합니다.
1. 관련 값들을 입력합니다. 자세한 내용은 [인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값](resolver-forwarding-inbound-queries-values.md) 섹션을 참조하세요.
1. **생성**을 선택합니다.
1. 해당 DNS 쿼리를 인바운드 엔드포인트의 IP 주소로 전달하도록 네트워크의 DNS 해석기를 구성합니다. 자세한 내용은 DNS 애플리케이션 설명서를 참조하세요.
# 인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값
인바운드 엔드포인트를 생성하거나 편집할 때 다음 값을 지정합니다.
**Outpost ID**
VPC에서 VPC Resolver에 대한 엔드포인트를 생성하는 경우 AWS Outposts ID입니다 AWS Outposts .
**엔드포인트 이름**
기억하기 쉬운 이름을 사용하면 대시보드에서 인바운드 엔드포인트를 쉽게 찾을 수 있습니다.
**엔드포인트 범주**
**기본** 또는 **위임**을 선택합니다. 범주가 **기본**인 경우 네트워크의 해석기는 인바운드 엔드포인트의 IP 주소로 DNS 요청을 전달합니다. 범주가 **위임**인 경우 도메인에 대한 권한이 VPC Resolver에 위임됩니다.
***region-name* 리전에 있는 VPC**
네트워크의 모든 인바운드 DNS 쿼리는 VPC Resolver로 가는 도중에이 VPC를 통과합니다.
**이 엔드포인트에 대한 보안 그룹**
이 VPC에 대한 액세스를 제어하는 데 사용할 보안 그룹 하나 이상의 ID. 지정한 보안 그룹에는 인바운드 규칙이 하나 이상 포함되어야 합니다. 인바운드 규칙은 포트 53에서 TCP 및 UDP 액세스를 허용해야 합니다. DoH 프로토콜을 사용하는 경우 보안 그룹에서 포트 443도 허용해야 합니다. 엔드포인트를 생성한 후에는 이 값을 변경할 수 없습니다.
일부 보안 그룹 규칙으로 인해 연결이 추적되고 인바운드 엔드포인트에 대한 IP 주소별 초당 최대 쿼리 수는 최소 1,500개가 될 수 있습니다. 보안 그룹으로 인한 연결 추적을 방지하려면 [추적되지 않은 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)을 참조하세요.
여러 보안 그룹을 추가하려면 AWS CLI 명령을 사용합니다`create-resolver-endpoint`. 자세한 내용은 [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)를 참조하세요.
자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC의 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)을 참조하세요.
**엔드포인트 유형**
엔드포인트 유형은 IPv4, IPv6 또는 듀얼 스택 IP 주소일 수 있습니다. 듀얼 스택 엔드포인트의 경우, 엔드포인트는 네트워크의 DNS 해석기가 DNS 쿼리를 전달할 수 있는 IPv4 및 IPv6 주소를 모두 갖게 됩니다.
보안상의 이유로 모든 듀얼 스택 및 IPv6 IP 주소에 대한 퍼블릭 인터넷의 직접 IPv6 트래픽 액세스를 거부합니다.
**IP 주소**
네트워크에 있는 DNS 해석기가 DNS 쿼리를 전달할 IP 주소입니다. 중복성을 위해 최소 두 개의 IP 주소를 지정해야 합니다. 위임 인바운드 엔드포인트를 생성한 경우 이러한 IP 주소를 VPC Resolver에 권한을 위임하려는 하위 도메인의 글루 NS 레코드로 사용합니다. 다음 사항에 유의하세요.
**복수 가용 영역**
최소한 2개의 가용 영역에 IP 주소를 지정하는 것이 좋습니다. 선택적으로 그러한 가용 영역 또는 다른 가용 영역에 추가 IP 주소를 지정할 수 있습니다.
**IP 주소 및 Amazon VPC 탄력적 네트워크 인터페이스**
지정한 가용 영역, 서브넷 및 IP 주소의 각 조합에 대해 VPC Resolver는 Amazon VPC 탄력적 네트워크 인터페이스를 생성합니다. 엔드포인트의 IP 주소별 초당 최대 동시 DNS 쿼리 수는 [Route 53 VPC Resolver의 할당량](DNSLimitations.md#limits-api-entities-resolver) 섹션을 참조하세요. 각 탄력적 네트워크 인터페이스의 요금에 대한 정보는 [Amazon Route 53 요금 페이지](https://aws.amazon.com/route53/pricing/)의 "Amazon Route 53"을 참조하십시오.
Resolver 엔드포인트에는 프라이빗 IP 주소가 있습니다. 이러한 IP 주소는 엔드포인트의 수명 기간 동안 변경되지 않습니다.
IP 주소마다 다음 값을 지정하세요. **VPC in the *region-name* Region(region-name 리전에 있는 VPC)**에서 지정한 VPC의 가용 영역에 각 IP 주소가 있어야 합니다.
**가용 영역**
DNS 쿼리가 VPC로 가는 도중 통과할 가용 영역. 지정한 가용 영역을 서브넷으로 구성해야 합니다.
**서브넷**
Resolver 엔드포인트 ENI에 할당하려는 IP 주소가 포함된 서브넷입니다. 이 주소로 DNS 쿼리가 전송됩니다. 서브넷에는 사용 가능한 IP 주소가 있어야 합니다.
서브넷 IP 주소는 **엔드포인트 유형**과 일치해야 합니다.
**IP 주소**
인바운드 엔드포인트에 할당하려는 IP 주소입니다.
VPC Resolver가 지정된 서브넷의 사용 가능한 IP 주소 중에서 IP 주소를 선택할지 아니면 IP 주소를 직접 지정할지 선택합니다.
IP 주소를 직접 지정하기로 선택할 경우 IPv4 주소나 IPv6 주소 또는 두 주소를 모두 입력합니다.
**프로토콜**
엔드포인트 프로토콜은 데이터를 인바운드 엔드포인트로 전송하는 방식을 결정합니다. 필요한 보안 수준에 따라 프로토콜 또는 프로토콜을 선택합니다.
+ **Do53:** (기본값) 데이터는 추가 암호화 없이 Route 53 VPC Resolver를 사용하여 릴레이됩니다. 외부 당사자가 데이터를 읽을 수는 없지만 AWS 네트워크 내에서 데이터를 볼 수 있습니다. 현재는 이것이 **위임** 인바운드 엔드포인트 범주에 사용할 수 있는 유일한 프로토콜입니다.
+ **DoH:** 데이터는 암호화된 HTTPS 세션을 통해 전송됩니다. DoH는 권한 없는 사용자가 데이터를 해독할 수 없고 의도한 수신자 외에는 누구도 읽을 수 없도록 보안 수준을 강화합니다.
+ **DoH-FIPS:** 데이터를 FIPS 140-2 암호화 표준을 준수하는 암호화된 HTTPS 세션을 통해 전송합니다. 인바운드 엔드포인트에서만 지원됩니다. 자세한 내용은 [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)를 참조하세요.
**참고**
DoH/DoH-FIPS 인바운드 엔드포인트의 경우 VPC Resolver 쿼리 로깅에 잘못된 소스 IP가 게시되는 것으로 알려진 문제가 있습니다.
인바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.
+ Do53과 DoH를 함께 사용합니다.
+ Do53과 DoH-FIP를 함께 사용합니다.
+ Do53를 단독으로 사용합니다.
+ DoH를 단독으로 사용합니다.
+ DoH FIPS를 단독으로 사용합니다.
+ 없음. Do53으로 취급됩니다.
인바운드 엔드포인트의 프로토콜을 Do53 전용에서 DoH 전용 또는 DoH-FIPS 전용으로 직접 변경할 수 없습니다. 이는 Do53를 사용하는 수신 트래픽이 갑자기 중단되는 것을 방지하기 위한 것입니다. 프로토콜을 Do53에서 DoH 또는 DoH-FIP로 변경하려면 먼저 Do53과 DoH 또는 Do53과 DoH-FIP를 모두 활성화하여 모든 수신 트래픽이 DoH 프로토콜 또는 DoH-FIP를 사용하도록 전송되었는지 확인한 다음 Do53를 제거해야 합니다.
**Tags**
한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 **키**에 **Cost center**를 지정하고 **값**에 **456**을 지정할 수 있습니다.
# 인바운드 엔드포인트 관리
인바운드 엔드포인트를 관리하려면 해당 절차를 수행하세요.
**Topics**
+ [
## 인바운드 엔드포인트 보기 및 편집
](#resolver-forwarding-inbound-queries-managing-viewing)
+ [
## 인바운드 엔드포인트의 상태 보기
](#resolver-forwarding-inbound-queries-managing-viewing-status)
+ [
## 인바운드 엔드포인트 삭제
](#resolver-forwarding-inbound-queries-managing-deleting)
## 인바운드 엔드포인트 보기 및 편집
인바운드 엔드포인트의 설정을 보고 편집하려면 다음 절차를 수행하세요.
**인바운드 엔드포인트의 설정을 보고 편집하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Inbound endpoints(인바운드 엔드포인트)**를 선택합니다.
1. 탐색 모음에서 인바운드 엔드포인트를 생성한 리전을 선택합니다.
1. 설정을 보거나 편집할 엔드포인트의 옵션을 선택합니다.
1. **세부 정보 보기** 또는 **편집**을 선택합니다.
인바운드 엔드포인트의 값에 대한 자세한 내용은 [인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값](resolver-forwarding-inbound-queries-values.md)을 참조하세요.
1. **편집**을 선택한 경우 해당 값을 입력하고 **저장**을 선택합니다.
## 인바운드 엔드포인트의 상태 보기
인바운드 엔드포인트의 상태를 보려면 다음 절차를 수행합니다.
**인바운드 엔드포인트의 상태를 보려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Inbound endpoints(인바운드 엔드포인트)**를 선택합니다.
1. 탐색 모음에서 인바운드 엔드포인트를 생성한 리전을 선택합니다. **상태** 열에는 다음 값 중 하나가 포함됩니다.
**생성 중**
VPC Resolver가이 엔드포인트에 대해 하나 이상의 Amazon VPC 네트워크 인터페이스를 생성하고 구성하고 있습니다.
**Operational(작동)**
이 엔드포인트에 대한 Amazon VPC 네트워크 인터페이스가 올바르게 구성되었으며 네트워크와 VPC Resolver 간에 인바운드 또는 아웃바운드 DNS 쿼리를 전달할 수 있습니다.
**업데이트 중**
VPC Resolver가 하나 이상의 네트워크 인터페이스를이 엔드포인트와 연결하거나 연결 해제하고 있습니다.
**Auto recovering(자동 복구 중)**
VPC Resolver가이 엔드포인트와 연결된 하나 이상의 네트워크 인터페이스를 복구하려고 합니다. 복구 프로세스 중 IP 주소당(네트워크 인터페이스당) DNS 쿼리 수의 제한 때문에 엔드포인트가 제한된 용량으로 작동합니다. 현재 제한은 [Route 53 VPC Resolver의 할당량](DNSLimitations.md#limits-api-entities-resolver) 섹션을 참조하세요.
**작업 필요**
이 엔드포인트는 비정상이며 VPC Resolver는 자동으로 복구할 수 없습니다. 문제를 해결하려면 엔드포인트와 연결된 각 IP 주소를 점검하는 것이 좋습니다. 사용할 수 없는 각 IP 주소에 대해 다른 IP 주소를 추가한 다음 사용할 수 없는 IP 주소를 삭제하세요. (엔드포인트에는 항상 두 개 이상의 IP 주소가 포함되어야 합니다.) **작업 필요** 상태에는 다양한 원인이 있을 수 있습니다. 다음은 두 가지 일반적인 원인입니다.
+ 엔드포인트와 연결된 하나 이상의 네트워크 인터페이스가 Amazon VPC를 사용하여 삭제되었습니다.
+ VPC Resolver의 제어를 벗어난 어떤 이유로 인해 네트워크 인터페이스를 생성할 수 없습니다.
**삭제 중**
VPC Resolver가이 엔드포인트와 연결된 네트워크 인터페이스를 삭제하고 있습니다.
## 인바운드 엔드포인트 삭제
인바운드 엔드포인트를 삭제하려면 다음 절차를 수행하세요.
**중요**
인바운드 엔드포인트를 삭제하면 네트워크의 DNS 쿼리가 엔드포인트에서 지정한 VPC의 VPC Resolver로 더 이상 전달되지 않습니다.
**인바운드 엔드포인트를 삭제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Inbound endpoints(인바운드 엔드포인트)**를 선택합니다.
1. 탐색 모음에서 인바운드 엔드포인트를 생성한 리전을 선택합니다.
1. 삭제할 엔드포인트의 옵션을 선택합니다.
1. **삭제**를 선택합니다.
1. 엔드포인트를 삭제하도록 확인하려면 엔드포인트 이름을 입력하고 **제출**을 선택합니다.
# 네트워크로 아웃바운드 DNS 쿼리 전달
하나 이상의 VPC에 있는 Amazon EC2 인스턴스에서 시작된 DNS 쿼리를 네트워크에 전달하려면, 하나의 아웃바운드 엔드포인트 및 하나 이상의 규칙을 생성합니다.
**아웃바운드 엔드포인트**
VPC에서 네트워크로 DNS 쿼리를 전달하려면 아웃바운드 엔드포인트를 생성합니다. 아웃바운드 엔드포인트는 쿼리가 시작되는 IP 주소를 지정합니다. VPC에서 사용할 수 있는 IP 주소 범위에서 선택하는 IP 주소는 퍼블릭 IP 주소가 아닙니다. 즉, 각 아웃바운드 엔드포인트에 대해 Direct Connect 연결, VPC 연결 또는 NAT(네트워크 주소 변환) 게이트웨이를 사용하여 VPC를 네트워크에 연결해야 합니다. 동일한 리전에서 여러 VPC에 대해 동일한 아웃바운드 엔드포인트를 사용하거나 여러 아웃바운드 엔드포인트를 생성할 수 있습니다. 아웃바운드 엔드포인트에서 DNS64를 사용하하기를 원하는 경우, Amazon Virtual Private Cloud를 사용하여 DNS64를 활성화할 수 있습니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [DNS64 및 NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-nat64-dns64)를 참조하십시오.
VPC Resolver 규칙의 대상 IP는 VPC Resolver에서 무작위로 선택하며, 다른 대상 IP보다 특정 대상 IP를 선택하는 것을 선호하지 않습니다. 대상 IP가 전달된 DNS 요청에 응답하지 않으면 VPC Resolver는 대상 IP 중 임의의 IP 주소로 재시도IPs.
Resolver 엔드포인트에서 모든 대상 IP 주소에 연결할 수 있는지 확인합니다. VPC Resolver가 아웃바운드 DNS 쿼리를 대상 IP로 전달할 수 없는 경우 DNS 확인 시간이 길어질 수 있습니다.
**규칙**
네트워크에 있는 DNS 해석기에 전달할 쿼리의 도메인 이름을 지정하려면 규칙을 한 개 이상 생성합니다. 각 전달 규칙은 도메인 이름 하나를 지정합니다. 그런 다음 쿼리를 네트워크에 전달할 VPC에 규칙을 연결합니다.
아웃바운드 위임 규칙은 표준 전달 규칙과 다른 특정 위임 원칙을 따릅니다. 위임 규칙을 생성할 때 VPC Resolver는 DNS 응답의 NS 레코드와 비교하여 규칙의 위임 레코드를 평가하여 위임이 발생해야 하는지 여부를 결정합니다. VPC 해석기는 위임 규칙 구성과 DNS 응답에 반환된 실제 NS 레코드가 일치하는 경우에만 온프레미스 해석기에 권한을 위임합니다. 도메인 이름 일치에 기반해 쿼리를 리디렉션하는 전달 규칙과 달리 위임 규칙은 DNS 위임 체인을 준수하며 응답의 신뢰할 수 있는 이름 서버가 위임 구성과 일치하는 경우에만 활성화됩니다.
자세한 내용은 다음 항목을 참조하세요.
+ [Private hosted zones that have overlapping namespaces](hosted-zone-private-considerations.md#hosted-zone-private-considerations-private-overlapping)
+ [Private hosted zones and Route 53 VPC Resolver rules](hosted-zone-private-considerations.md#hosted-zone-private-considerations-resolver-rules)
# 아웃바운드 전달 구성
VPC에서 시작된 DNS 쿼리를 네트워크로 전달하도록 VPC Resolver를 구성하려면 다음 절차를 수행합니다.
**중요**
아웃바운드 엔드포인트를 생성한 후 규칙을 한 개 이상 만들고 VPC 한 개 이상에 연결해야 합니다. 규칙은 네트워크에 전달할 DNS 쿼리의 도메인 이름을 지정합니다.
**아웃바운드 엔드포인트를 생성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Outbound endpoints(아웃바운드 엔드포인트)**를 선택합니다.
1. 탐색 모음에서 아웃바운드 엔드포인트를 생성할 리전을 선택합니다.
1. **Create outbound endpoint(아웃바운드 엔드포인트 생성)**를 선택합니다.
1. 관련 값들을 입력합니다. 자세한 내용은 [아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값](resolver-forwarding-outbound-queries-endpoint-values.md) 섹션을 참조하세요.
1. **생성(Create)**을 선택합니다.
**참고**
아웃바운드 엔드포인트를 생성하는 데 1\$12분이 걸립니다. 첫 번째 아웃바운드 엔드포인트가 생성될 때까지는 다른 아웃바운드 엔드포인트를 생성할 수 없습니다.
1. 규칙을 한 개 이상 생성하여 네트워크에 전달할 DNS 쿼리의 도메인 이름을 지정합니다. 자세한 내용은 다음 절차를 참조하세요.
전달 규칙을 한 개 이상 생성하려면 다음 절차를 수행하세요.
**전달 규칙을 생성하고 VPC 한 개 이상에 규칙을 연결하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **규칙(Rules)**을 선택합니다.
1. 탐색 모음에서 규칙을 생성하려는 리전을 선택합니다.
1. **규칙 생성**을 선택합니다.
1. 관련 값들을 입력합니다. 자세한 내용은 [규칙을 생성 또는 편집할 때 지정하는 값](resolver-forwarding-outbound-queries-rule-values.md) 섹션을 참조하세요.
1. **저장**을 선택합니다.
1. 다른 규칙을 추가하려면 4-6단계를 반복합니다.
# 아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값
아웃바운드 엔드포인트를 생성하거나 편집할 때 다음 값을 지정합니다.
**Outpost ID**
VPC에서 VPC Resolver에 대한 엔드포인트를 생성하는 경우 AWS Outposts ID입니다 AWS Outposts .
**엔드포인트 이름**
기억하기 쉬운 이름을 사용하면 대시보드에서 아웃바운드 엔드포인트를 쉽게 찾을 수 있습니다.
***region-name* 리전에 있는 VPC**
모든 아웃바운드 DNS 쿼리는 네트워크로 가는 도중 이 VPC를 통과합니다.
**이 엔드포인트에 대한 보안 그룹**
이 VPC에 대한 액세스를 제어하는 데 사용할 보안 그룹 하나 이상의 ID. 지정한 보안 그룹에는 아웃바운드 규칙이 하나 이상 포함되어야 합니다. 아웃바운드 규칙은 네트워크에 있는 DNS 쿼리에 사용하는 포트에서 TCP 및 UDP 액세스를 허용해야 합니다. 엔드포인트를 만든 후에는 이 값을 변경할 수 없습니다.
일부 보안 그룹 규칙으로 인해 연결이 추적되고 아웃바운드 엔드포인트에서 대상 이름 서버까지 초당 최대 쿼리에 영향을 미칠 수 있습니다. 보안 그룹으로 인한 연결 추적을 방지하려면 [추적되지 않은 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)을 참조하세요.
자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC의 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)을 참조하세요.
**엔드포인트 유형**
엔드포인트 유형은 IPv4, IPv6 또는 듀얼 스택 IP 주소일 수 있습니다. 듀얼 스택 엔드포인트의 경우, 엔드포인트는 네트워크의 DNS 해석기가 DNS 쿼리를 전달할 수 있는 IPv4 및 IPv6 주소를 모두 갖게 됩니다.
보안상의 이유로 모든 듀얼 스택 및 IPv6 IP 주소에 대해 퍼블릭 인터넷으로의 직접 IPv6 트래픽 액세스를 거부합니다.
**IP 주소**
네트워크의 해석기로 가는 도중 VPC Resolver가 DNS 쿼리를 전달할 VPC의 IP 주소입니다. 이 주소는 네트워크에 있는 DNS 해석기의 IP 주소가 아닙니다. VPC 하나 이상에 연결할 규칙을 생성할 때 해석기 IP 주소를 지정합니다. 중복성을 위해 최소 두 개의 IP 주소를 지정해야 합니다.
Resolver 엔드포인트에는 프라이빗 IP 주소가 있습니다. 이러한 IP 주소는 엔드포인트의 수명 기간 동안 변경되지 않습니다.
다음 사항에 유의하세요.
**복수 가용 영역**
최소한 2개의 가용 영역에 IP 주소를 지정하는 것이 좋습니다. 선택적으로 그러한 가용 영역 또는 다른 가용 영역에 추가 IP 주소를 지정할 수 있습니다.
**IP 주소 및 Amazon VPC 탄력적 네트워크 인터페이스**
지정한 가용 영역, 서브넷 및 IP 주소의 각 조합에 대해 VPC Resolver는 Amazon VPC 탄력적 네트워크 인터페이스를 생성합니다. 엔드포인트의 IP 주소별 초당 최대 동시 DNS 쿼리 수는 [Route 53 VPC Resolver의 할당량](DNSLimitations.md#limits-api-entities-resolver) 섹션을 참조하세요. 각 탄력적 네트워크 인터페이스의 요금에 대한 정보는 [Amazon Route 53 요금 페이지](https://aws.amazon.com/route53/pricing/)의 "Amazon Route 53"을 참조하십시오.
**IP 주소 순서**
IP 주소는 순서에 상관없이 지정할 수 있습니다. DNS 쿼리를 전달할 때 VPC Resolver는 IP 주소가 나열된 순서에 따라 IP 주소를 선택하지 않습니다.
IP 주소마다 다음 값을 지정하세요. **VPC in the *region-name* Region(region-name 리전에 있는 VPC)**에서 지정한 VPC의 가용 영역에 각 IP 주소가 있어야 합니다.
**가용 영역**
DNS 쿼리가 네트워크로 가는 도중 통과할 가용 영역. 지정한 가용 영역을 서브넷으로 구성해야 합니다.
**서브넷**
DNS 쿼리가 네트워크로 가는 도중 통과할 IP 주소가 포함된 서브넷입니다. 서브넷에는 사용 가능한 IP 주소가 있어야 합니다.
서브넷 IP 주소는 **엔드포인트 유형**과 일치해야 합니다.
**IP 주소**
네트워크로 가는 도중에 DNS 쿼리를 시작하려는 IP 주소입니다.
VPC Resolver가 지정된 서브넷의 사용 가능한 IP 주소 중에서 IP 주소를 선택할지 아니면 IP 주소를 직접 지정할지 선택합니다.
IP 주소를 직접 지정하기로 선택할 경우 IPv4 주소나 IPv6 주소 또는 두 주소를 모두 입력합니다.
**프로토콜**
엔드포인트 프로토콜은 아웃바운드 엔드포인트에서 데이터를 전송하는 방식을 결정합니다. 필요한 보안 수준에 따라 프로토콜 또는 프로토콜을 선택합니다.
+ **Do53:** (기본값) 데이터는 추가 암호화 없이 Route 53 VPC Resolver를 사용하여 릴레이됩니다. 외부 당사자가 데이터를 읽을 수는 없지만 AWS 네트워크 내에서는 볼 수 있습니다.
+ **DoH:** 데이터는 암호화된 HTTPS 세션을 통해 전송됩니다. DoH는 권한 없는 사용자가 데이터를 해독할 수 없고 의도한 수신자 외에는 누구도 읽을 수 없도록 보안 수준을 강화합니다.
아웃바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.
+ Do53과 DoH를 함께 사용합니다.
+ Do53를 단독으로 사용합니다.
+ DoH를 단독으로 사용합니다.
+ 없음. Do53으로 취급됩니다.
**Tags**
한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 **키**에 **Cost center**를 지정하고 **값**에 **456**을 지정할 수 있습니다.
# 규칙을 생성 또는 편집할 때 지정하는 값
전달 규칙을 생성하거나 편집할 때 다음 값을 지정합니다.
**규칙 이름**
기억하기 쉬운 이름을 사용하면 대시보드에서 규칙을 쉽게 찾을 수 있습니다.
**규칙 타입**
해당되는 값을 선택합니다.
+ **전달** - 지정된 도메인 이름의 DNS 쿼리를 네트워크의 해석기에 전달하려는 경우 이 옵션을 선택합니다.
+ **위임** - 프라이빗 호스팅 영역에서 호스팅되는 하위 도메인에 대한 권한을 온프레미스 해석기(또는 다른 VPC의 VPC 해석기)에 위임하려면이 옵션을 선택합니다.
+ **시스템** - VPC Resolver가 전달 규칙에 정의된 동작을 선택적으로 재정의하도록 하려면이 옵션을 선택합니다. 시스템 규칙을 생성하면 VPC Resolver는 지정된 하위 도메인에 대한 DNS 쿼리를 해결합니다. 그렇지 않으면 네트워크의 DNS 해석기가 이를 해결합니다.
기본적으로 전달 규칙은 도메인 이름과 모든 하위 도메인에 적용됩니다. 도메인에 대한 쿼리를 네트워크에 있는 해석기에 전달하되 일부 하위 도메인에 대한 쿼리는 제외하려면 하위 도메인에 대한 시스템 규칙을 생성합니다. 예를 들어 example.com의 전달 규칙을 생성하고 acme.example.com에 대한 쿼리를 전달하지 않으려면 시스템 규칙을 생성하고 도메인 이름에 acme.example.com을 지정합니다.
**위임 레코드 - 위임 규칙 전용**
이 도메인과 일치하는 DNS 쿼리는 네트워크의 해석기로 전달됩니다.
위임 규칙의 사전 조건으로서, 프라이빗 호스팅 영역을 사용하여 아웃바운드 위임을 수행할 때 프라이빗 호스팅 영역에서 NS 레코드를 생성해야 합니다. 이 레코드는 위임 규칙으로 Resolver 아웃바운드 엔드포인트를 통해 위임할 NS - 네임서버입니다. 자세한 내용은 [NS 레코드 유형](ResourceRecordTypes.md#NSFormat) 단원을 참조하십시오.
**이 규칙을 사용하는 VPC**
이 규칙을 사용하여 지정된 도메인 이름에 대한 DNS 쿼리를 전달하는 VPC. 원하는 만큼 VPC에 규칙을 적용할 수 있습니다.
**도메인 이름 - 전달 규칙 전용**
이 도메인 이름에 대한 DNS 쿼리는 **대상 IP 주소**에 지정한 IP 주소로 전송됩니다. 예를 들어 특정 도메인(example.com), 최상위 도메인(com) 또는 점(.)을 지정하여 모든 DNS 쿼리를 전달할 수 있습니다. 자세한 내용은 [VPC Resolver가 쿼리의 도메인 이름이 규칙과 일치하는지 여부를 결정하는 방법](resolver-overview-forward-vpc-to-network-domain-name-matches.md) 단원을 참조하십시오.
**아웃바운드 엔드포인트**
VPC Resolver는 여기에서 지정하는 아웃바운드 엔드포인트를 통해 **대상 IP 주소에 지정하는 IP 주소로** DNS 쿼리를 전달합니다.
**대상 IP 주소**
DNS 쿼리가 **도메인 이름**에 지정된 이름과 일치하면 아웃바운드 엔드포인트가 여기에 지정된 IP 주소로 쿼리를 전달합니다. 일반적으로 네트워크에 있는 DNS 해석기의 IP 주소입니다.
**Target IP addresses(대상 IP 주소)**는 **규칙 유형** 값이 **전달**일 경우에만 사용할 수 있습니다.
IPv4 또는 IPv6 주소, 프로토콜, 엔드포인트에 사용할 ServerNameIndication을 지정합니다. ServerNameIndication은 선택한 프로토콜이 DoH인 경우에만 적용됩니다.
아웃바운드 엔드포인트를 통해 네트워크에 있는 DoH Resolver FQDN의 대상 IP 주소 확인은 지원되지 않습니다. 아웃바운드 엔드포인트는 DoH 쿼리를 전달할 네트워크에 있는 DoH Resolver의 대상 IP 주소가 필요합니다. 네트워크의 DoH Resolver에서 TLS SNI 및 HTTP 호스트 헤더에 FQDN이 필요한 경우 ServerNameIndication을 제공해야 합니다.
**ServerNameIndication**
쿼리를 전달할 DoH 서버의 Server Name Indication입니다. 이는 프로토콜이 DoH인 경우에만 사용됩니다.
**Tags**
한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 **키**에 **Cost center**를 지정하고 **값**에 **456**을 지정할 수 있습니다.
다음은가 AWS 청구서를 구성하기 위해 AWS 결제 및 비용 관리 제공하는 태그입니다. 비용 할당 태그 사용에 대한 자세한 내용은 *AWS Billing 사용 설명서*의 [비용 할당 태그 사용](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)을 참조하십시오.
# 아웃바운드 엔드포인트 관리
아웃바운드 엔드포인트를 관리하려면 해당 절차를 수행하세요.
**Topics**
+ [
## 아웃바운드 엔드포인트 보기 및 편집
](#resolver-forwarding-outbound-queries-managing-viewing)
+ [
## 아웃바운드 엔드포인트의 상태 보기
](#resolver-forwarding-outbound-queries-managing-viewing-status)
+ [
## 아웃바운드 엔드포인트 삭제
](#resolver-forwarding-outbound-queries-managing-deleting)
## 아웃바운드 엔드포인트 보기 및 편집
아웃바운드 엔드포인트의 설정을 보고 편집하려면 다음 절차를 수행하세요.
**아웃바운드 엔드포인트의 설정을 보고 편집하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Outbound endpoints(아웃바운드 엔드포인트)**를 선택합니다.
1. 탐색 모음에서 아웃바운드 엔드포인트를 생성한 리전을 선택합니다.
1. 설정을 보거나 편집할 엔드포인트의 옵션을 선택합니다.
1. **세부 정보 보기** 또는 **편집**을 선택합니다.
아웃바운드 엔드포인트의 값에 대한 자세한 내용은 [아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값](resolver-forwarding-outbound-queries-endpoint-values.md) 섹션을 참조하세요.
1. **편집**을 선택한 경우 해당 값을 입력한 후 **저장**을 선택합니다.
## 아웃바운드 엔드포인트의 상태 보기
아웃바운드 엔드포인트의 상태를 보려면 다음 절차를 수행합니다.
**아웃바운드 엔드포인트의 상태를 보려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Outbound endpoints(아웃바운드 엔드포인트)**를 선택합니다.
1. 탐색 모음에서 아웃바운드 엔드포인트를 생성한 리전을 선택합니다. **상태** 열에는 다음 값 중 하나가 포함됩니다.
**생성 중**
VPC Resolver가이 엔드포인트에 대해 하나 이상의 Amazon VPC 네트워크 인터페이스를 생성하고 구성하고 있습니다.
**Operational(작동)**
이 엔드포인트에 대한 Amazon VPC 네트워크 인터페이스가 올바르게 구성되었으며 네트워크와 VPC Resolver 간에 인바운드 또는 아웃바운드 DNS 쿼리를 전달할 수 있습니다.
**업데이트 중**
VPC Resolver가 하나 이상의 네트워크 인터페이스를이 엔드포인트와 연결하거나 연결 해제하고 있습니다.
**Auto recovering(자동 복구 중)**
VPC Resolver가이 엔드포인트와 연결된 하나 이상의 네트워크 인터페이스를 복구하려고 합니다. 복구 프로세스 중 IP 주소당(네트워크 인터페이스당) DNS 쿼리 수의 제한 때문에 엔드포인트가 제한된 용량으로 작동합니다. 현재 제한은 [Route 53 VPC Resolver의 할당량](DNSLimitations.md#limits-api-entities-resolver) 섹션을 참조하세요.
**작업 필요**
이 엔드포인트는 비정상이며 VPC Resolver는 자동으로 복구할 수 없습니다. 문제를 해결하려면 엔드포인트와 연결된 각 IP 주소를 점검하는 것이 좋습니다. 사용할 수 없는 각 IP 주소에 대해 다른 IP 주소를 추가한 다음 사용할 수 없는 IP 주소를 삭제하세요. (엔드포인트에는 항상 두 개 이상의 IP 주소가 포함되어야 합니다.) **작업 필요** 상태에는 다양한 원인이 있을 수 있습니다. 다음은 두 가지 일반적인 원인입니다.
+ 엔드포인트와 연결된 하나 이상의 네트워크 인터페이스가 Amazon VPC를 사용하여 삭제되었습니다.
+ VPC Resolver의 제어를 벗어난 어떤 이유로 인해 네트워크 인터페이스를 생성할 수 없습니다.
**삭제 중**
VPC Resolver가이 엔드포인트와 연결된 네트워크 인터페이스를 삭제하고 있습니다.
## 아웃바운드 엔드포인트 삭제
엔드포인트를 삭제하려면 VPC와 연결된 모든 규칙부터 먼저 삭제해야 합니다.
아웃바운드 엔드포인트를 삭제하려면 다음 절차를 수행하세요.
**중요**
아웃바운드 엔드포인트를 삭제하면 VPC Resolver는 삭제된 아웃바운드 엔드포인트를 지정하는 규칙에 대해 VPC에서 네트워크로 DNS 쿼리 전달을 중지합니다.
**아웃바운드 엔드포인트를 삭제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **Outbound endpoints(아웃바운드 엔드포인트)**를 선택합니다.
1. 탐색 모음에서 아웃바운드 엔드포인트를 생성한 리전을 선택합니다.
1. 삭제할 엔드포인트의 옵션을 선택합니다.
1. **삭제**를 선택합니다.
1. 엔드포인트를 삭제하도록 확인하려면 엔드포인트 이름을 입력하고 **제출**을 선택합니다.
# 전달 규칙 관리
VPC Resolver가 지정된 도메인 이름에 대한 쿼리를 네트워크에 전달하도록 하려면 각 도메인 이름에 대해 하나의 전달 규칙을 생성하고 쿼리를 전달할 도메인의 이름을 지정합니다.
**Topics**
+ [
## 전달 규칙 보기 및 편집
](#resolver-rules-managing-viewing)
+ [
## 전달 규칙 생성
](#resolver-rules-managing-creating-rules)
+ [
## 역방향 조회에 대한 규칙 추가
](#add-reverse-lookup)
+ [
## VPC와 전달 규칙 연결
](#resolver-rules-managing-associating-rules)
+ [
## VPC에서 전달 규칙 연결 해제
](#resolver-rules-managing-disassociating-rules)
+ [
## Resolver 규칙을 다른 AWS 계정과 공유 및 공유 규칙 사용
](#resolver-rules-managing-sharing)
+ [
## 전달 규칙 삭제
](#resolver-rules-managing-deleting)
+ [
## VPC Resolver에서 역방향 DNS 쿼리에 대한 전달 규칙
](#resolver-automatic-forwarding-rules-reverse-dns)
## 전달 규칙 보기 및 편집
전달 규칙의 설정을 보고 편집하려면 다음 절차를 수행하세요.
**전달 규칙에 대한 설정을 보거나 편집하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **규칙(Rules)**을 선택합니다.
1. 탐색 모음에서 규칙을 생성한 리전을 선택합니다.
1. 설정을 보거나 편집할 규칙의 옵션을 선택합니다.
1. **세부 정보 보기** 또는 **편집**을 선택합니다.
전달 규칙의 값에 대한 자세한 내용은 [규칙을 생성 또는 편집할 때 지정하는 값](resolver-forwarding-outbound-queries-rule-values.md)을 참조하세요.
1. **편집**을 선택한 경우 해당 값을 입력한 후 **저장**을 선택합니다.
## 전달 규칙 생성
전달 규칙을 한 개 이상 생성하려면 다음 절차를 수행하세요.
**전달 규칙을 생성하고 VPC 한 개 이상에 규칙을 연결하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **규칙(Rules)**을 선택합니다.
1. 탐색 모음에서 규칙을 생성하려는 리전을 선택합니다.
1. **규칙 생성**을 선택합니다.
1. 관련 값들을 입력합니다. 자세한 내용은 [규칙을 생성 또는 편집할 때 지정하는 값](resolver-forwarding-outbound-queries-rule-values.md) 섹션을 참조하세요.
1. **저장**을 선택합니다.
1. 다른 규칙을 추가하려면 4-6단계를 반복합니다.
## 역방향 조회에 대한 규칙 추가
VPC에서 역방향 조회를 제어해야 하는 경우 아웃바운드 해석기 엔드포인트에 규칙을 추가할 수 있습니다.
**역방향 조회 규칙을 생성하려면**
1. 이전 절차의 단계에 따라 5단계까지 수행합니다.
1. 규칙을 지정하는 경우 역방향 조회 전달 규칙을 적용할 단일 또는 복수 IP 주소에 대해 PTR 레코드를 입력합니다.
예를 들어 10.0.0.0/23 범위의 주소에 대한 조회를 전달해야 하는 경우 다음 두 가지 규칙을 입력합니다.
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
이러한 서브넷의 모든 IP 주소는 해당 PTR 레코드의 하위 도메인으로 참조됩니다. 예를 들어, 10.0.1.161은 1.0.10.in-addra.arpa의 하위 도메인인 161.1.0.10.in-addr.arpa의 역방향 조회 주소를 가집니다.
1. 이러한 조회를 전달할 서버를 지정합니다.
1. 아웃바운드 해석기 엔드포인트에 이러한 규칙을 추가합니다.
참고: VPC에 대해 `enableDNSHostNames`를 켜면 PTR 레코드가 자동으로 추가됩니다. [Route 53 VPC Resolver란 무엇입니까?](resolver.md) 섹션을 참조하세요. 이전 절차는 지정된 IP 범위에 대해 해석기를 명시적으로 지정하려는 경우에만 필요합니다(예: Active Directory 서버에 쿼리를 전달하는 경우).
## VPC와 전달 규칙 연결
전달 규칙을 생성한 후 하나 이상의 VPC에 규칙을 연결해야 합니다. 규칙은 VPC와 연결된 후에만 작동합니다. 규칙을 VPC와 연결하면 VPC Resolver는 규칙에 지정된 도메인 이름에 대한 DNS 쿼리를 규칙에서 지정한 DNS 해석기로 전달하기 시작합니다. 쿼리는 규칙을 만들 때 지정한 아웃바운드 엔드포인트를 통과합니다.
**전달 규칙을 하나 이상의 VPC에 연결하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **규칙(Rules)**을 선택합니다.
1. 탐색 모음에서 규칙을 생성한 리전을 선택합니다.
1. 하나 이상의 VPC에 연결할 규칙의 이름을 선택합니다.
1. **VPC 연결**을 선택합니다.
1. **VPCs that use this rule(이 규칙을 사용하는 VPC)**에서 규칙을 연결할 VPC를 선택합니다.
1. **추가**를 선택합니다.
## VPC에서 전달 규칙 연결 해제
다음과 같은 경우 VPC에서 전달 규칙의 연결을 해제합니다.
+ 이 VPC에서 시작된 DNS 쿼리의 경우 VPC Resolver가 규칙에 지정된 도메인 이름에 대한 쿼리를 네트워크에 전달하지 않도록 해야 합니다.
+ 전달 규칙을 삭제합니다. 규칙이 현재 하나 이상의 VPC에 연결된 경우 규칙을 삭제하기 전에 모든 VPC에서 규칙의 연결을 해제해야 합니다.
하나 이상의 VPC에서 전달 규칙의 연결을 해제하려면 다음 절차를 수행하세요.
**VPC에서 전달 규칙의 연결을 해제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **규칙(Rules)**을 선택합니다.
1. 탐색 모음에서 규칙을 생성한 리전을 선택합니다.
1. 하나 이상의 VPC에서 연결을 해제할 규칙의 이름을 선택합니다.
1. 규칙의 연결을 해제할 VPC의 옵션을 선택합니다.
1. **연결 해제**를 선택합니다.
1. **disassociate**를 입력하여 확인합니다.
1. **제출**을 선택합니다.
## Resolver 규칙을 다른 AWS 계정과 공유 및 공유 규칙 사용
한 AWS 계정을 사용하여 생성한 Resolver 규칙을 다른 계정과 공유할 수 AWS 있습니다. 규칙을 공유하기 위해 Route 53 VPC Resolver 콘솔은 AWS Resource Access Manager와 통합됩니다. Resource Access Manager에 대한 자세한 내용은 [Resource Access Manager 사용 설명서](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 섹션을 참조하세요.
다음을 참조하세요.
**공유된 규칙을 VPC에 연결**
다른 AWS 계정이 하나 이상의 규칙을 계정과 공유한 경우 생성한 규칙을 VPCs와 연결하는 것과 동일한 방식으로 규칙을 VPCs와 연결할 수 있습니다. 자세한 내용은 [VPC와 전달 규칙 연결](#resolver-rules-managing-associating-rules) 단원을 참조하십시오.
**규칙 삭제 또는 공유 해제**
규칙을 다른 계정과 공유한 다음 규칙을 삭제하거나 공유를 중지하고 규칙이 하나 이상의 VPCs와 연결된 경우 Route 53 VPC Resolver는 나머지 규칙을 기반으로 해당 VPCs에 대한 DNS 쿼리를 처리하기 시작합니다. VPC에서 규칙을 연결 해제하는 경우와 동작은 동일합니다.
규칙을 조직 구성 단위(OU)에 공유하고 해당 OU의 계정을 다른 OU로 이동하면 계정 내 VPC 대한 공유 규칙과의 모든 연결이 삭제됩니다. 그러나 VPC Resolver 규칙이 대상 OU와 이미 공유된 경우 VPC 연결은 그대로 유지되고 연결 해제되지 않습니다.
**최대 규칙 및 연결 수**
계정이 규칙을 생성하여 하나 이상의 다른 계정과 공유하면 규칙을 생성한 계정에 AWS 리전당 최대 규칙 수가 적용됩니다.
규칙을 공유받은 계정에서 그 규칙을 하나 이상의 VPC와 연결할 때는 규칙과 VPC 사이의 리전당 최대 연결 수가 그 규칙을 공유한 계정에 적용됩니다.
현재 VPC Resolver 할당량은 섹션을 참조하세요[Route 53 VPC Resolver의 할당량](DNSLimitations.md#limits-api-entities-resolver).
**권한**
규칙을 다른 AWS 계정과 공유하려면 [PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html) 작업을 사용할 수 있는 권한이 있어야 합니다.
**규칙이 공유되는 AWS 계정에 대한 제한 사항**
규칙이 공유되는 계정은 규칙을 변경하거나 삭제할 수 없습니다.
**태그 지정**
규칙을 생성한 계정만 규칙의 태그를 추가하거나 삭제하거나 볼 수 있습니다.
규칙의 현재 공유 상태를 보고(규칙을 공유한 계정 또는 규칙이 공유되는 계정 포함) 규칙을 다른 계정과 공유하려면 다음 절차를 수행하세요.
**공유 상태를 보고 다른 AWS 계정과 규칙을 공유하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **규칙(Rules)**을 선택합니다.
1. 탐색 모음에서 규칙을 생성한 리전을 선택합니다.
현재 계정이 생성하거나 현재 계정과 공유되는 규칙의 현재 공유 상태가 **공유 상태** 열에 표시됩니다.
+ **공유되지 않음**: 현재 AWS 계정이 규칙을 생성했으며 규칙은 다른 계정과 공유되지 않습니다.
+ **나와 공유됨**: 현재 계정이 규칙을 생성하고 하나 이상의 계정과 공유했습니다.
+ **나와 공유 상태**: 다른 계정이 규칙을 생성하고 현재 계정과 공유했습니다.
1. 공유 정보를 표시하거나 다른 계정과 공유할 규칙의 이름을 선택합니다.
**규칙: *규칙 이름*** 페이지에서 **소유자** 아래의 값은 규칙을 생성한 계정의 ID를 나타냅니다. **Sharing status(공유 상태)**의 값이 **나와 공유 상태**가 아닐 경우 현재 계정입니다. 이 경우 **소유자**는 규칙을 생성하고 현재 계정과 공유한 계정입니다.
1. **공유**를 선택하여 추가 정보를 보거나 규칙을 다른 계정과 공유합니다. **공유 상태** 값에 따라 Resource Access Manager 콘솔의 페이지가 표시됩니다.
+ **공유하지 않음**: **리소스 공유 생성** 페이지가 표시됩니다. 다른 계정, OU 또는 조직과 규칙을 공유하는 방법은 보려면 6단계로 건너뜁니다.
+ **나와 공유됨**: **공유 리소스** 페이지에 현재 계정이 소유하고 다른 계정과 공유한 규칙 및 다른 리소스가 표시됩니다.
+ **나와 공유 상태**: **공유 리소스** 페이지에 ㄷ른 계정이 소유하고 현재 계정과 공유한 규칙 및 다른 리소스가 표시됩니다.
1. 규칙을 다른 AWS 계정, OU 또는 조직과 공유하려면 다음 값을 지정합니다.
**참고**
공유 설정을 업데이트할 수 없습니다. 다음 설정 중 하나로도 변경하려면 규칙을 새로운 설정과 다시 공유한 후 이전 공유 설정을 제거해야 합니다.
**설명**
규칙을 공유한 이유를 기억나게 해주는 간단한 설명을 입력합니다.
**리소스**
공유할 규칙의 확인란을 선택합니다.
**보안 주체**
AWS 계정 번호, OU 이름 또는 조직 이름을 입력합니다.
**Tags**
한 개 이상의 키와 해당 값을 지정합니다. 예를 들어 **키**에 **Cost center**를 지정하고 **값**에 **456**을 지정할 수 있습니다.
에서 AWS 청구서를 구성하기 위해 AWS 결제 및 비용 관리 제공하는 태그입니다. 다른 용도로도 태그를 사용할 수 있습니다. 비용 할당 태그 사용에 대한 자세한 내용은 *AWS Billing 사용 설명서*의 [비용 할당 태그 사용](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)을 참조하세요.
## 전달 규칙 삭제
전달 규칙을 삭제하려면 다음 절차를 수행하세요.
다음을 참조하세요.
+ 전달 규칙이 VPC와 연결되어 있으면 규칙을 삭제하기 전에 VPC에서 규칙의 연결을 해제해야 합니다. 자세한 내용은 [VPC에서 전달 규칙 연결 해제](#resolver-rules-managing-disassociating-rules) 섹션을 참조하세요.
+ **유형(Type)** 값이 **재귀(Recursive)**인 기본 **인터넷 해석기(Internet Resolver)** 규칙은 삭제할 수 없습니다. 이 규칙으로 인해 Route 53 VPC Resolver는 사용자 지정 규칙을 생성하지 않았고 VPC Resolver가 자동 정의된 규칙을 생성하지 않은 모든 도메인 이름에 대해 재귀 해석기 역할을 합니다. 규칙 분류 방법에 대한 자세한 내용은 [규칙을 사용하여 네트워크에 전달할 쿼리 제어](resolver-overview-forward-vpc-to-network-using-rules.md) 섹션을 참조하세요.
**전달 규칙을 삭제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **규칙(Rules)**을 선택합니다.
1. 탐색 모음에서 규칙을 생성한 리전을 선택합니다.
1. 삭제할 규칙의 옵션을 선택합니다.
1. **삭제**를 선택합니다.
1. 규칙을 삭제하도록 확인하려면 규칙 이름을 입력하고 **제출**을 선택합니다.
## VPC Resolver에서 역방향 DNS 쿼리에 대한 전달 규칙
Amazon VPC의 Virtual Private Cloud(VPC)에 `true` 대해 `enableDnsHostnames` 및 `enableDnsSupport`를 로 설정하면 VPC Resolver는 역방향 DNS 쿼리에 대한 자동 정의 시스템 규칙을 자동으로 생성합니다. 이러한 설정에 대한 자세한 내용은 *Amazon VPC 개발자 가이드*의 [VPC의 DNS 속성](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)을 참조하십시오.
역방향 DNS 쿼리에 대한 전달 규칙은 SSH 또는 Active Directory와 같은 서비스에 특히 유용합니다. 이러한 서비스에는 고객이 리소스에 연결을 시도하는 IP 주소에 대한 역방향 DNS 조회를 수행하여 사용자를 인증하는 옵션이 있습니다. 자동 정의된 시스템 규칙에 대한 자세한 내용은 [VPC Resolver가 자동 정의된 시스템 규칙을 생성하는 도메인 이름](resolver-overview-forward-vpc-to-network-autodefined-rules.md) 단원을 참조하십시오.
이러한 규칙을 끄고 모든 역방향 DNS 쿼리를 수정하여 확인을 위해 온프레미스 네임 서버로 전달되도록 할 수 있습니다.
자동 규칙을 끄고 나서 필요에 따라 온프레미스 리소스로 쿼리를 전달하는 규칙을 생성합니다. 전달 규칙을 관리하는 방법에 대한 자세한 내용은 [전달 규칙 관리](#resolver-rules-managing) 단원을 참조하세요.
**자동 정의 규칙을 끄려면 다음을 수행합니다.**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창의 **VPC Resolver**에서 **VPCs** 선택한 다음 VPC ID를 선택합니다.
1. **역방향 DNS 확인을 위한 자동 정의 규칙(Autodefined rules for reverse DNS resolution)**에서 확인란을 선택 취소합니다. 확인란이 이미 선택 취소되어 있는 경우 확인란을 선택하여 자동 정의된 역방향 DNS 확인을 켤 수 있습니다.
관련 APIs는 [VPC Resolver 구성 APIs](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration).
# Resolver 위임 규칙 자습서
위임 규칙을 사용하면 VPC Resolver가 지정된 아웃바운드 엔드포인트를 통해 위임 영역을 호스팅하는 이름 서버에 도달할 수 있습니다. 전달 규칙은 아웃바운드 엔드포인트를 통해 지정된 도메인과 일치하는 이름 서버에 DNS 쿼리를 전달하도록 VPC Resolver에 알리는 반면, 위임 규칙은 위임된 NS 레코드가 반환될 때 지정된 아웃바운드 엔드포인트를 통해 위임된 이름 서버에 도달하도록 VPC Resolver에 알립니다. DNS 응답의 NS 레코드가 위임 레코드에 지정된 도메인 이름과 일치하면 VPC Resolver는 위임된 이름 서버에 쿼리를 보냅니다.
## Resolver 엔드포인트 아웃바운드 위임을 사용하는 단계
1. DNS 쿼리를 시작하려는 VPC에서 네트워크의 해석기로 Resolver 아웃바운드 엔드포인트를 생성합니다.
다음 API 또는 CLI 명령을 사용할 수 있습니다.
+ [`CreateResolverEndpoint` API](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html)
+ [`create-resolver-endpoint` CLI](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
1. 지정된 아웃바운드 엔드포인트를 통해 쿼리를 네트워크에 위임하기 위한 도메인 이름을 지정하는 위임 규칙을 하나 이상 생성합니다.
CLI를 사용한 위임 규칙 생성 예제:
```
aws route53resolver create-resolver-rule \
--region REGION \
--creator-request-id delegateruletest \
--delegation-record example.com \
--name delegateruletest \
--rule-type DELEGATE \
--resolver-endpoint-id outbound endpoint ID
```
1. 쿼리를 위임할 VPC와 위임 규칙을 연결합니다.
다음 API 또는 CLI 명령을 사용할 수 있습니다.
+ [AssociateResolverRule](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_AssociateResolverRule.html) API.
+ [associate-resolver-rules](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/associate-resolver-rule.html) CLI 명령.
## Resolver 아웃바운드 엔드포인트에서 지원하는 위임 유형
VPC Resolver는 두 가지 유형의 아웃바운드 위임을 지원합니다.
+ Route 53 프라이빗 호스팅 영역을 VPC Resolver 아웃바운드 위임으로 라우팅:
아웃바운드 위임을 사용하여 프라이빗 호스팅 영역에서 온프레미스 DNS 서버 또는 인터넷의 퍼블릭 호스팅 영역으로 하위 도메인을 위임합니다. 이 아웃바운드 위임을 사용하면 프라이빗 호스팅 영역과 위임 영역 간에 DNS 레코드 관리를 분할할 수 있습니다. 이 위임은 DNS 설정에 따라 프라이빗 호스팅 영역에서 글루 레코드를 사용하거나 사용하지 않고 수행할 수 있습니다. 자세한 내용은 [프라이빗 호스팅 영역에서 아웃바운드로](#phz-to-outbound-delegation) 섹션을 참조하세요.
+ VPC Resolver 아웃바운드에서 아웃바운드로의 위임:
아웃바운드-아웃바운드 위임을 사용하여 온프레미스 DNS 서버의 하위 도메인을 동일하거나 다른 위치에 있는 또 다른 온프레미스 서버로 위임합니다. 이는 프라이빗 호스팅 영역에서 아웃바운드 엔드포인트로 위임하는 것과 유사하며, 여기서는 온프레미스 이름 서버에 호스팅된 영역으로 위임할 수 있습니다. 자세한 내용은 [아웃바운드에서 아웃바운드로](#outbound-to-outbound-delegation)을 참조하세요.
### Route 53 프라이빗 호스팅 영역을 VPC Resolver 아웃바운드 위임 예제 구성으로 라우팅
상위 호스팅 영역이 Amazon VPC의 Route 53 프라이빗 호스팅 영역에서 호스팅되고 하위 도메인이 유럽, 아시아, 북미에서 호스팅된 이름 서버에 위임되는 DNS 설정을 가정해 보겠습니다. 모든 DNS 쿼리는 VPC Resolver를 통해 전달됩니다.
예제 단계에 따라 프라이빗 호스팅 영역과 VPC Resolver를 구성합니다.
**아웃바운드 위임을 위한 프라이빗 호스팅 영역 구성**
1. 프라이빗 호스팅 영역 설정의 경우:
상위 호스팅 영역: `hr.example.com`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
```
1. 유럽 온프레미스 리전의 온프레미스 이름 서버의 경우:
+ 호스팅 영역: `eu.hr.example.com` NS IP: `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. 아시아 온프레미스 리전의 온프레미스 이름 서버의 경우:
호스팅 영역: `apac.hr.example.com`, `10.0.0.40`
apac 이름 서버는 하위 도메인을 다른 이름 서버에 위임할 수 있습니다.
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
호스팅 영역: `engineering.apac.hr.example.com`, `10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. 북미 온프레미스 리전의 온프레미스 이름 서버의 경우:
호스팅 영역: `na.hr.example.net` NS IP: `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**VPC 해석기 설정**
+ VPC Resolver의 경우 전달 규칙 하나와 위임 규칙 두 개를 설정해야 합니다.
**전달 규칙**
1. out-of-zone 위임 레코드를 전달하기 위해 Route 53 VPC Resolver는 초기 요청을 전달하기 위해 위임된 NS의 IP를 알고 있습니다.
도메인 이름: `hr.example.net` 대상 IP: `10.0.0.50`
**위임 규칙**
1. 영역 내 위임에 대한 위임 규칙:
위임 레코드: `hr.example.com`
1. 영역 외 위임에 대한 위임 규칙:
위임 레코드: `hr.example.net`
### 아웃바운드-아웃바운드 위임의 구성 예제
Amazon VPC에 상위 호스팅 영역이 있는 것이 아니라 상위 호스팅 영역이 중앙 온프레미스 위치에 있고 하위 도메인이 유럽, 아시아, 북미에서 호스팅된 이름 서버에 위임되는 DNS 설정을 가정해 보겠습니다. 모든 DNS 쿼리는 VPC Resolver를 통해 전달됩니다.
예제 단계에 따라 온프레미스 DNS 및 VPC Resolver를 구성합니다.
**온프레미스 DNS 구성**
1. 중앙 온프레미스 리전의 온프레미스 이름 서버의 경우:
+ **상위 호스팅 영역:** `hr.example.com`
호스팅 영역 `hr.example.com`, NS IP: `10.0.0.20`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
```
1. 유럽 온프레미스 리전의 온프레미스 이름 서버의 경우(유럽, 아시아, 북미 이름 서버의 구성은 프라이빗 호스팅 영역-아웃바운드 위임의 구성과 동일함):
+ 호스팅 영역: `eu.hr.example.com` NS IP: `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. 아시아 온프레미스 리전의 온프레미스 이름 서버의 경우:
호스팅 영역: `apac.hr.example.com`, `10.0.0.40`
apac 이름 서버는 하위 도메인을 다른 이름 서버에 위임할 수 있습니다.
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
호스팅 영역: `engineering.apac.hr.example.com`, `10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. 북미 온프레미스 리전의 온프레미스 이름 서버의 경우:
호스팅 영역: `na.hr.example.net` NS IP: `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**VPC 해석기 설정**
+ VPC Resolver의 경우 전달 규칙 및 위임 규칙을 설정해야 합니다.
**전달 규칙**
1. 쿼리가 중앙 위치의 상위 호스팅 영역 `hr.example.com`으로 전달되도록 초기 요청을 전달하기 위한 설정:
도메인 이름: `hr.example.com` 대상 IP: `10.0.0.20`
1. out-of-zone 위임 레코드를 전달하기 위해 VPC Resolver는 초기 요청을 전달하기 위해 위임된 이름 서버의 IP 주소를 알고 있습니다.
도메인 이름: `hr.example.net` 대상 IP: `10.0.0.50`
**위임 규칙**
1. 영역 내 위임에 대한 위임 규칙:
위임 레코드: `hr.example.com`
1. 영역 외 위임에 대한 위임 규칙:
위임 레코드: `hr.example.net`
# Amazon Route 53에서 DNSSEC 검증 활성화
Amazon Route 53에서 Virtual Private Cloud(VPC)에 대해 DNSSEC 검증을 활성화하면 응답이 변조되지 않았는지 확인하기 위해 DNSSEC 서명을 암호화 방식으로 확인합니다. VPC 세부 정보 페이지에서 DNSSEC 검증을 사용합니다.
DNSSEC 검증은 VPC Resolver가 재귀 DNS 확인을 수행할 때 서명된 퍼블릭 이름에 적용됩니다.
그러나 VPC Resolver가 다른 DNS 해석기로 전달하는 경우 해당 해석기는 재귀 DNS 확인을 수행하므로 DNSSEC 검증도 적용해야 합니다.
**중요**
DNSSEC 검증을 활성화하면 VPC에서 AWS 리소스의 퍼블릭 DNS 레코드에 대한 DNS 해석에 영향을 줄 수 있어 중단이 발생할 수 있습니다. DNSSEC 검증을 활성화 또는 비활성화하는 데 몇 분 정도 걸릴 수 있습니다.
**참고**
이때 VPC(AmazonProvidedDNS)의 Route 53 VPC Resolver는 DNS 쿼리의 DO(DNSSEC OK) EDNS 헤더 비트와 CD(사용 중지 확인) 비트를 무시합니다. DNSSEC를 구성한 경우 이는 VPC Resolver가 DNSSEC 검증을 수행하는 동안 DNSSEC 레코드를 반환하거나 응답에서 AD 비트를 설정하지 않음을 의미합니다. 따라서 현재 VPC Resolver에서는 자체 DNSSEC 검증을 수행할 수 없습니다. 이 작업을 수행해야 하는 경우 자체 재귀 DNS 확인을 수행해야 합니다.
**VPC 대해 DNSSEC 검증을 활성화하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창의 **VPC Resolver**에서 **VPCs** 선택합니다.
1. **DNSSEC 검증**에서 확인란을 선택합니다. 확인란이 이미 선택되어 있는 경우 선택을 취소하여 DNSSEC 검증을 비활성화할 수 있습니다.
DNSSEC 검증을 활성화 또는 비활성화하는 데 몇 분 정도 걸릴 수 있습니다.