Route 53 Resolver

jsbak·2023년 12월 28일
0

참고

목록 보기
13/13

Route 53 Resolver

Route 53

Route 53 Record Types

A - hostname을 IPv4에 매핑
AAAA - hostname을 IPv6에 매핑
CNAME - hostname을 다른 hostname에 매핑

  • 대상은 A 또는 AAAA 레코드가 있어야 하는 도메인 이름입니다.
  • DNS 네임스페이스의 상위 노드에 대한 CNAME 레코드를 생성할 수 없습니다.
  • 예: example.com 에 대해서는 만들 수 없지만, www.example.com 처럼은 만들 수 있습니다 .
    NS - 호스트 영역의 이름 서버
  • 도메인에 대한 트래픽 라우팅 방법 제어

Route 53 – Records TTL (Time To Live)

Routing Policies

Routing Policies – Simple

• 일반적으로 트래픽을 단일 리소스로 라우팅합니다
• 상태 점검과 연결할 수 없습니다

• 동일한 레코드에 여러 값을 지정할 수 있습니다
• 여러 값이 반환되는 경우 클라이언트에서 임의의 값을 선택합니다

Route 53 - Hosted Zone

도메인으로 트래픽을 라우팅하는 방법을 정의하는 레코드 컨테이너 및 그 하위 영역

  • Public Hosted Zone - 인터넷에서 트래픽을 라우팅하는 방법(public domain names)을 지정하는 레코드를 포함합니다.
    application1.mypublicdomain.com
  • Private Hosted Zone - 하나 이상의 VPC(개인 도메인 이름) 내에서 트래픽을 라우팅하는 방법을 지정하는 레코드 포함
    application1.company.internal

Route 53 - Good to Know(알아두면 좋은 것)

  • Internal private DNS(내부 전용 DNS) (Private Hosted Zone)의 경우 VPC 설정 enableDnsHostnameenableDnsSupport를 사용하도록 설정해야 합니다.
  • DNS Security Extensions (DNSSEC)
    • DNS 트래픽을 보호하기 위한 프로토콜, DNS 데이터 무결성 및 원본 확인
    • MITM(Man in the Middle) 공격으로부터 보호; 중간자 공격
    • Route 53은 도메인 등록 및 DNSSEC 서명을 위한 DNSSEC를 모두 지원합니다
    'Public Hosted Zone'에서만 작동

Route 53 – Hybrid DNS

  • 기본적으로 Route 53 Resolver는 다음에 대한 DNS 쿼리에 자동으로 응답합니다:
    • EC2 인스턴스를 위한 Local domain names
    • Private Hosted Zone 의 기록
    • Public Name Servers 의 기록
  • Hybrid DNS – VPC(Route 53 Resolver)와 네트워크(기타 DNS Resolver) 간 DNS 쿼리 해결
  • 네트워크는 다음과 같습니다:
    • VPC 자체 / 피어된 VPC
    • On-premises Network(Direct Connect 또는 AWS VPN을 통해 연결)

❌ VPC와 네트워크 간 DNS 쿼리 해석 - https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html

Route 53 – Resolver Endpoints

  • Inbound Endpoint
    • 온프레미스 네트워크에서 들어오는 DNS 쿼리를 처리하는 VPC의 엔드포인트, VPC 내의 도메인 이름에 대한 DNS 쿼리를 해결하는 데 사용
    • 네트워크의 DNS Resolver가 DNS 쿼리를 Route 53 Resolver로 전달할 수 있음.
    • DNS Resolver가 Route 53 Private Hosted Zone에서 AWS 리소스(예: EC2 인스턴스) 및 레코드에 대한 도메인 이름을 확인할 수 있습니다
  • Outbout Endpoint
    • VPC에서 온프레미스 네트워크로 DNS 쿼리를 전달하는 VPC의 엔드포인트, VPC 외부의 도메인 이름에 대한 DNS 쿼리를 해결하는 데 사용
    • Route 53 Resolver가 DNS 쿼리를 DNS Resolver로 조건부 전달
    • Resolver Rules을 사용하여 DNS Resolver에게 DNS 쿼리 전달
  • 동일한 AWS 영역에 있는 하나 이상의 VPC와 연결됨
  • 고가용성을 위해 두 개의 AZ로 생성
  • 각 Endpoint는 IP 주소당 초당 10,000개의 쿼리를 지원

Route 53 – Resolver Rules

  • 네트워크의 DNS Resolver로 전달되는 DNS 쿼리 제어
  • Conditional Forwarding Rules (Forwarding Rules)
    • 지정된 도메인 및 해당 모든 하위 도메인에 대한 DNS 쿼리를 대상 IP 주소로 전달
  • 시스템 규칙
    • 전달 규칙에 정의된 동작을 선택적으로 재정의함(예: 하위 도메인 acme.example.com 에 대한 DNS 쿼리 전달 안 함)
  • 자동 정의된 시스템 규칙
    • 선택한 도메인에 대한 DNS 쿼리가 해결되는 방법을 정의합니다(예: AWS 내부 도메인 이름, 전용 호스트 영역)
  • 여러 규칙이 일치하면 Route 53 Resolver에서 가장 구체적인 일치를 선택합니다
  • AWS RAM을 사용하여 계정 간에 Resolver Rules 공유 가능
    • 하나의 계정에서 중앙 집중식으로 관리
    • 규칙에 정의된 대상 IP로 여러 VPC에서 DNS 쿼리 전송

https://tutorialsdojo.com/resolve-route-53-private-hosted-zones-from-an-on-premises-network/

public ip 가 없는 경우에는 외부에서도 private ip를 조회 가능하다. - 작업하는 피씨에서 저 nlb 의 dnsname으로 ping

ping Groupware-NLB-93585a0f6bb4cbef.elb.ap-northeast-2.amazonaws.com
ping 172.16.100.227
ping 172.16.200.38

=> NLB 의 IP 주소만 Private, NLB 의 도메인 주소는 Public
=> openswan 이설치된 인스턴스의 dns 리졸버를 바라봅니다. 기본적으로요

https://ballenabox.tistory.com/93
DNS Resolver 기능이 있는 Route 53의 사용법
-> 클라이언트와 네임 서버의 중계자 역할. DNS 요청을 네임 서버로 전달하며, DNS 응답을 클라이언트에게 전달

왜 필요한가? 외부 DNS Resolver가 있는데?
-> 고객사가 온프레미스에서 사용하던 서비스를 AWS로 옮겨왔더라도, 계속 온프레미스를 유지하는 서비스가 있을 수 있다.
-> 온프레미스(IDC)와 AWS 간 프라이빗 통신

  1. 프라이빗 호스팅 영역
    AWS VPC 서비스로 생성한 하나 이상의 VPC 내에 있는 도메인과 그 하위 도메인에 대해 Route 53의 DNS 쿼리 응답 정보(DNS 정보가 담긴 일종의 zone 파일)가 담긴 컨테이너
    -> 영역이 존재하면 DNS 해석기는 해당 영역에 쿼리를 보낸다.
    -> 다수의 VPC가 1개의 프라이빗 호스팅 영역에 연결 가능

  2. VPC DNS 옵션 (두 개의 옵션이 모두 활성화 되어야한다.)

  • DNS resolution(DNS 확인) : AWS가 제공하는 DNS 해석기. 비활성화 시 AWS 제공 DNS 해석기 사용 불가.
  • DNS hostname(DNS 이름) : AWS가 제공하는 Publoc/Private hostname. 비활성화 시 AWS 제공 hostname 사용 불가

===============================================================================================
https://blog.searce.com/resolve-aws-rds-and-other-dns-names-on-vpn-networks-using-r53-resolvers-55ec68271270
https://mateon.tistory.com/102 및 문서 p.29 참조함.
https://d1.awsstatic.com/events/reinvent/2019/Deep_dive_on_DNS_in_the_hybrid_cloud_NET410.pdf

  1. Private Route 53 Hosting Area 생성 - Type A Record 등록 (NLB 라우팅)
  2. Route 53 Resolver Inbound Endpoint 생성 (보안 그룹 => TCP, UDP 각각 53 포트 개방, 두 개 이상의 엔드포인트)
  3. On-Premise 환경에서 DNS resolver 설정
    Ex. Amazon Linux 2 - "/etc/resolv.conf" 파일 수정 -> 10.0.0.2 (vpc + 2) 제거 후 ❌ -> 생성한 R53 Inbound Endpoint 추가
    search us-east-2.compute.internal(???) => search us-east-2.compute.internal(???)
    nameserver 10.0.0.2 => nameserver 172.16.100.128
    => nameserver 172.16.200.157
  4. curl gw.gdconc.com

===============================================================================================


✅ - Route 53 resolver 를 이용하여 DNS를 구성은 어떻게?

  • Name Resolution
    브라우저(cache) ➡️ Stub Resolver(cache, stored IP addresses 제공) ➡️ DNS Resolver ➡️ DNS Resolver 가 필요한 모든 권한 있는 DNS에 질의 ➡️ Stub Resolver(결과 cache(저장)) ➡️ 브라우저, 캐시 결과가 존재하면 브라우저 ➡️ Stub Resolver ➡️ 브라우저
  • DNS Protocol
    DNS 쿼리는 예약된 포트 53을 통해 UDP 프로토콜을 사용(단, 네트워크의 일부에서는 선택적으로 TCP와 TLS를 모두 사용할 수 있음)
profile
끄적끄적 쓰는곳

0개의 댓글