개요

• 고객사에서 IDC 를 사용하고 있으며, 마이그레이션을 위해 Control Tower 환경을 구축하였다. 온프레미스와 AWS 에서 도메인 호출이 가능하기에 본 포스팅을 작성하였다.

Hybrid DNS

DNS (Domain Name System)는 Amazon Web Services (AWS)에서 제공하는 많은 서비스를 지원하는 인터넷의 기본 요소이다. Amazon Route 53 Resolver는 퍼블릭 도메인 이름, Amazon Virtual Private Cloud (Amazon VPC) 및 Route 53 프라이빗 호스팅 영역에 대한 DNS 분석을 제공을 한다.

본 내용은 클라우드와 온프레미스의 하이브리드 클라우드 환경에서 원할한 DNS 질의 확인이 가능하도록 도와주는 Route 53 Resolver 에 대한 내용이다.

Architecture

위 아키텍처는 IDC 환경이 없어 두 개의 AWS 계정을 통해 실습을 진행

사전 준비 사항

1. 서로 다른 Account 2개
   하나는 AWS 환경 다른 하나는 IDC 환경이라 가정
2. 각 account의 VPC (서브넷, 라우팅 테이블)
   각 VPC DNS 호스트 이름 및 확인 활성화
3. 각 Account에 보안그룹 생성 (간단한 테스트를 위해 EC2, Resolver 보안그룹만 생성)
   Inbound 및 Outbound Endpoint 보안그룹에서 Inbound Endpoint 보안그룹만 DNS(TCP, UDP) 허락

Private Hosted Zone 구성

1. AWS PHZ

AWS 환경에는 mmc.com 라는 Private Hosted Zone 을 생성한다.

호스팅 영역과 연결할 VPC는 만들어 둔 AWS VPC를 선택한다.
테스트를 위해 www.mmc.com 레코드를 생성한다.

AWS EC2에서 nslookup을 통해 Private Hosted Zone 에 등록된 도메인을 확인한다.

2. IDC PHZ

IDC 환경에는 mzc.com 라는 Private Hosted Zone 을 생성한다.

호스팅 영역과 연결할 VPC는 만들어 둔 IDC VPC를 선택한다.
테스트를 위해 www.mzc.com 레코드를 생성한다.

IDC EC2에서 nslookup을 통해 Private Hosted Zone 에 등록된 도메인을 확인한다.

Endpoint 생성

Inbound Endpoint (AWS 환경과 IDC 환경 동일)

Inbound Endpoint : 온프레미스 네트워크의 DNS Resolver는 이 Endpoint를 통해 DNS 쿼리를 Route 53 Resolver로 전달할 수 있다.

AWS VPC와 기존에 만들어 두었던 보안 그룹을 선택한다.

가용영역과 서브넷을 선택한다. (테스트를 위해 Public Subnet에 지정을 하였지만, 내부 통신을 위해서는 Private 영역에 설정하는 것을 추천)
만약, 고정 IP를 사용하고 싶다면 지정한 IP 주소 사용을 선택 후 IP를 넣으면 된다

Outbound Endpoint (AWS 환경과 IDC 환경 동일)

Outbound Endpoint : Route53의 Resolver는 이 Endpoint를 통해 온프레미스 네트워크의 Resolver에게 DNS 쿼리를 조건부로 전달할 수 있다.

AWS VPC와 기존에 만들어 두었던 보안 그룹을 선택한다.

가용영역과 서브넷을 선택한다.
만약, 고정 IP를 사용하고 싶다면 지정한 IP 주소 사용을 선택 후 IP를 넣으면 된다.

==Inbound, Outbound Endpoint 생성 작업을 IDC VPC 환경에서 똑같이 작업해준다.==

Outbound Endpoint Rule (AWS 환경에서)

규칙 유형에서 전달을 사용하게 되면 Target IP로 질의가 가능하다.
도메인 이름에는 IDC의 PHZ (www.mzc.com)을 입력한다.
만약, Outbound Endpoint Rule을 사용하는 VPC가 여러 개라면 전파할 VPC를 여러 개 선택하는 것도 가능하다.

IDC의 Inbound IP주소를 Target IP로 설정한다.

TGW 생성

TGW 생성 (AWS 환경에서)

TGW 는 내부 환경에서 DNS 질의를 위하여 생성한다.
TGW 생성할 때 교차 계정 공유 옵션 구성에서 공유 첨부 파일 자동 수락 체크를 해두어야 한다.

RAM

TGW 생성한 계정에서(AWS) RAM을 생성한다.
RAM(Resource Access Manager) 은 하나의 계정에서 여러 계정으로 AWS 리소스를 간편하고 안전하게 공유 가능한 서비스이다.


위에서 공유 첨부 파일 자동 수락을 체크 했기 때문에 별도의 수락 없이 IDC 계정 RAM에 리소스가 공유된 것을 확인할 수 있다.

TGW 연결 (AWS와 IDC 환경 동일)

==위와 같이 IDC 계정에서 RAM 을 통해 TGW 를 공유 받았기에 동일한 작업을 진행한다.==

Routing 추가

AWS VPC 와 IDC VPC 에 존재하는 Routing Table 에 각 대역으로 가는 경로를 추가해준다.

결과

목적지 서버에 ICMP 방화벽을 오픈 후 Ping 테스트 시 정상적으로 연결이 되는 것으로 확인이 되었다.

또한 AWS EC2에서 IDC PHZ의 쿼리를 테스트 해보면 IDC 환경에 만들어 둔 레코드가 잘 뜨는 것을 확인할 수 있다.