Route 53 Resolver

Route 53

Route 53 Record Types

A - hostname을 IPv4에 매핑
AAAA - hostname을 IPv6에 매핑
CNAME - hostname을 다른 hostname에 매핑

• 대상은 A 또는 AAAA 레코드가 있어야 하는 도메인 이름입니다.
• DNS 네임스페이스의 상위 노드에 대한 CNAME 레코드를 생성할 수 없습니다.
• 예: example.com 에 대해서는 만들 수 없지만, www.example.com 처럼은 만들 수 있습니다 .
  NS - 호스트 영역의 이름 서버
• 도메인에 대한 트래픽 라우팅 방법 제어

Route 53 – Records TTL (Time To Live)

Routing Policies

Routing Policies – Simple

• 일반적으로 트래픽을 단일 리소스로 라우팅합니다
• 상태 점검과 연결할 수 없습니다

• 동일한 레코드에 여러 값을 지정할 수 있습니다
• 여러 값이 반환되는 경우 클라이언트에서 임의의 값을 선택합니다

Route 53 - Hosted Zone

도메인으로 트래픽을 라우팅하는 방법을 정의하는 레코드 컨테이너 및 그 하위 영역

• Public Hosted Zone - 인터넷에서 트래픽을 라우팅하는 방법(public domain names)을 지정하는 레코드를 포함합니다.
  application1.mypublicdomain.com
• Private Hosted Zone - 하나 이상의 VPC(개인 도메인 이름) 내에서 트래픽을 라우팅하는 방법을 지정하는 레코드 포함
  application1.company.internal

Route 53 - Good to Know(알아두면 좋은 것)

• Internal private DNS(내부 전용 DNS) (Private Hosted Zone)의 경우 VPC 설정 enableDnsHostname 및 enableDnsSupport를 사용하도록 설정해야 합니다.
• DNS Security Extensions (DNSSEC)
  • DNS 트래픽을 보호하기 위한 프로토콜, DNS 데이터 무결성 및 원본 확인
  • MITM(Man in the Middle) 공격으로부터 보호; 중간자 공격
  • Route 53은 도메인 등록 및 DNSSEC 서명을 위한 DNSSEC를 모두 지원합니다
  • 'Public Hosted Zone'에서만 작동

Route 53 – Hybrid DNS

• 기본적으로 Route 53 Resolver는 다음에 대한 DNS 쿼리에 자동으로 응답합니다:
  • EC2 인스턴스를 위한 Local domain names
  • Private Hosted Zone 의 기록
  • Public Name Servers 의 기록
• Hybrid DNS – VPC(Route 53 Resolver)와 네트워크(기타 DNS Resolver) 간 DNS 쿼리 해결
• 네트워크는 다음과 같습니다:
  • VPC 자체 / 피어된 VPC
  • On-premises Network(Direct Connect 또는 AWS VPN을 통해 연결)

❌ VPC와 네트워크 간 DNS 쿼리 해석 - https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html ❌

Route 53 – Resolver Endpoints

• Inbound Endpoint
  • 온프레미스 네트워크에서 들어오는 DNS 쿼리를 처리하는 VPC의 엔드포인트, VPC 내의 도메인 이름에 대한 DNS 쿼리를 해결하는 데 사용
  • 네트워크의 DNS Resolver가 DNS 쿼리를 Route 53 Resolver로 전달할 수 있음.
  • DNS Resolver가 Route 53 Private Hosted Zone에서 AWS 리소스(예: EC2 인스턴스) 및 레코드에 대한 도메인 이름을 확인할 수 있습니다
• Outbout Endpoint
  • VPC에서 온프레미스 네트워크로 DNS 쿼리를 전달하는 VPC의 엔드포인트, VPC 외부의 도메인 이름에 대한 DNS 쿼리를 해결하는 데 사용
  • Route 53 Resolver가 DNS 쿼리를 DNS Resolver로 조건부 전달
  • Resolver Rules을 사용하여 DNS Resolver에게 DNS 쿼리 전달

• 동일한 AWS 영역에 있는 하나 이상의 VPC와 연결됨
• 고가용성을 위해 두 개의 AZ로 생성
• 각 Endpoint는 IP 주소당 초당 10,000개의 쿼리를 지원

Route 53 – Resolver Rules

• 네트워크의 DNS Resolver로 전달되는 DNS 쿼리 제어
• Conditional Forwarding Rules (Forwarding Rules)
  • 지정된 도메인 및 해당 모든 하위 도메인에 대한 DNS 쿼리를 대상 IP 주소로 전달
• 시스템 규칙
  • 전달 규칙에 정의된 동작을 선택적으로 재정의함(예: 하위 도메인 acme.example.com 에 대한 DNS 쿼리 전달 안 함)
• 자동 정의된 시스템 규칙
  • 선택한 도메인에 대한 DNS 쿼리가 해결되는 방법을 정의합니다(예: AWS 내부 도메인 이름, 전용 호스트 영역)
• 여러 규칙이 일치하면 Route 53 Resolver에서 가장 구체적인 일치를 선택합니다
• AWS RAM을 사용하여 계정 간에 Resolver Rules 공유 가능
  • 하나의 계정에서 중앙 집중식으로 관리
  • 규칙에 정의된 대상 IP로 여러 VPC에서 DNS 쿼리 전송

---

https://tutorialsdojo.com/resolve-route-53-private-hosted-zones-from-an-on-premises-network/

public ip 가 없는 경우에는 외부에서도 private ip를 조회 가능하다. - 작업하는 피씨에서 저 nlb 의 dnsname으로 ping

ping Groupware-NLB-93585a0f6bb4cbef.elb.ap-northeast-2.amazonaws.com
ping 172.16.100.227
ping 172.16.200.38

=> NLB 의 IP 주소만 Private, NLB 의 도메인 주소는 Public
=> openswan 이설치된 인스턴스의 dns 리졸버를 바라봅니다. 기본적으로요

https://ballenabox.tistory.com/93
DNS Resolver 기능이 있는 Route 53의 사용법
-> 클라이언트와 네임 서버의 중계자 역할. DNS 요청을 네임 서버로 전달하며, DNS 응답을 클라이언트에게 전달

왜 필요한가? 외부 DNS Resolver가 있는데?
-> 고객사가 온프레미스에서 사용하던 서비스를 AWS로 옮겨왔더라도, 계속 온프레미스를 유지하는 서비스가 있을 수 있다.
-> 온프레미스(IDC)와 AWS 간 프라이빗 통신

1. 프라이빗 호스팅 영역
   AWS VPC 서비스로 생성한 하나 이상의 VPC 내에 있는 도메인과 그 하위 도메인에 대해 Route 53의 DNS 쿼리 응답 정보(DNS 정보가 담긴 일종의 zone 파일)가 담긴 컨테이너
   -> 영역이 존재하면 DNS 해석기는 해당 영역에 쿼리를 보낸다.
   -> 다수의 VPC가 1개의 프라이빗 호스팅 영역에 연결 가능

2. VPC DNS 옵션 (두 개의 옵션이 모두 활성화 되어야한다.)

• DNS resolution(DNS 확인) : AWS가 제공하는 DNS 해석기. 비활성화 시 AWS 제공 DNS 해석기 사용 불가.
• DNS hostname(DNS 이름) : AWS가 제공하는 Publoc/Private hostname. 비활성화 시 AWS 제공 hostname 사용 불가

===============================================================================================
https://blog.searce.com/resolve-aws-rds-and-other-dns-names-on-vpn-networks-using-r53-resolvers-55ec68271270
https://mateon.tistory.com/102 및 문서 p.29 참조함.
https://d1.awsstatic.com/events/reinvent/2019/Deep_dive_on_DNS_in_the_hybrid_cloud_NET410.pdf

1. Private Route 53 Hosting Area 생성 - Type A Record 등록 (NLB 라우팅)
2. Route 53 Resolver Inbound Endpoint 생성 (보안 그룹 => TCP, UDP 각각 53 포트 개방, 두 개 이상의 엔드포인트)
3. On-Premise 환경에서 DNS resolver 설정
   Ex. Amazon Linux 2 - "/etc/resolv.conf" 파일 수정 -> 10.0.0.2 (vpc + 2) 제거 후 ❌ -> 생성한 R53 Inbound Endpoint 추가
   search us-east-2.compute.internal(???) => search us-east-2.compute.internal(???)
   nameserver 10.0.0.2 => nameserver 172.16.100.128
   => nameserver 172.16.200.157
4. curl gw.gdconc.com

===============================================================================================

---

✅ - Route 53 resolver 를 이용하여 DNS를 구성은 어떻게?

• cf.DNS - https://bind9.readthedocs.io/en/latest/chapter1.html#the-domain-name-system-dns

• Name Resolution
  브라우저(cache) ➡️ Stub Resolver(cache, stored IP addresses 제공) ➡️ DNS Resolver ➡️ DNS Resolver 가 필요한 모든 권한 있는 DNS에 질의 ➡️ Stub Resolver(결과 cache(저장)) ➡️ 브라우저, 캐시 결과가 존재하면 브라우저 ➡️ Stub Resolver ➡️ 브라우저
• DNS Protocol
  DNS 쿼리는 예약된 포트 53을 통해 UDP 프로토콜을 사용(단, 네트워크의 일부에서는 선택적으로 TCP와 TLS를 모두 사용할 수 있음)

• cf. Bind9 Configurations and Zone Files - https://bind9.readthedocs.io/en/latest/chapter3.html
  • https://bind9.readthedocs.io/en/latest/chapter3.html#resolver-configuration

• 온프레미스 도메인의 AWS 이전 형태에 따른 Route53/DNS 설정 및 고려 사항
• [AWS] Route53 Resolver를 통한 글로벌 CDN 도메인 쿼리 개선(DNS Forwarding Rules)

• Amazon Route 53 Resolver(이)란 무엇인가요?
• VPC와 네트워크 간 DNS 쿼리 해석
• LGCNS - 온프레미스 도메인의 AWS 이전 형태에 따른 Route53/DNS 설정 및 고려 사항
• 보안 그룹 tcp/udp 53 포트 개방, 온프레미스 DNS IP를 Source로 지정하여 등록 (UDP 프로토콜을 사용 하나, 네트워크의 일부에서는 선택적으로 TCP와 TLS를 모두 사용할 수 있음)
• 온프레미스 환경의 DNS 서버에서 예를 들면 BIND9의 named.conf에 해당하는 파일을 수정 및 (필요에 따라) zone 파일 설정을 추가
• 온프레미스 DNS 서버의 IP 와 AWS Route53 Resolver Inbound Endpoint의 IP 들 간에 통신이 가능한 상태여야합니다. (온프레미스 통신 경로에 방화벽 등 보안 장비가 있는 경우 허용 정책을 등록)