기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인바운드 및 아웃바운드 엔드포인트를 만들 때 고려 사항
AWS 리전에서 인바운드 및 아웃바운드 Resolver 엔드포인트를 생성하기 전에 다음 문제를 고려하세요.
주제
각 리전의 인바운드 및 아웃바운드 엔드포인트 수
AWS 리전의 VPCs에 대한 DNS를 네트워크의 DNS와 통합하려면 일반적으로 하나의 Resolver 인바운드 엔드포인트(VPCs)와 하나의 아웃바운드 엔드포인트(VPC에서 네트워크로 전달하는 쿼리VPCs 경우)가 필요합니다. 여러 개의 인바운드 엔드포인트와 여러 개의 아웃바운드 엔드포인트를 생성할 수 있지만 하나의 인바운드 또는 아웃바운드 엔드포인트로 각 방향의 DNS 조회를 충분히 처리할 수 있습니다. 다음 사항에 유의하세요.
-
각 Resolver 엔드포인트의 경우 서로 다른 가용 영역에 두 개 이상의 IP 주소를 지정합니다. 엔드포인트의 각 IP 주소는 초당 많은 수의 DNS 쿼리를 처리할 수 있습니다. 엔드포인트의 IP 주소별 초당 최대 동시 쿼리 수는 Route 53 Resolver의 할당량 섹션을 참조하세요. Resolver가 추가 쿼리를 처리하게 하려는 경우 다른 엔드포인트를 추가하는 대신 기존 엔드포인트에 IP 주소를 추가할 수 있습니다.
-
Resolver 요금은 엔드포인트의 IP 주소 수와 엔드포인트가 처리하는 DNS 쿼리 수를 기반으로 합니다. 각 엔드포인트는 최소 두 개의 IP 주소를 포함합니다. Resolver 요금에 대한 자세한 내용은 Amazon Route 53 요금
을 참조하세요. -
각 규칙은 DNS 쿼리가 전달되는 아웃바운드 엔드포인트를 지정합니다. AWS 리전에 여러 개의 아웃바운드 엔드포인트를 만들고 일부 또는 모든 Resolver 규칙을 모든 VPC와 연결하려면 이러한 규칙의 사본을 여러 개 만들어야 합니다.
인바운드 및 아웃바운드 엔드포인트에 동일한 VPC 사용
동일한 VPC 또는 동일한 리전의 다른 VPC에서 인바운드 및 아웃바운드 엔드포인트를 생성할 수 있습니다.
자세한 내용은 Amazon Route 53 모범 사례 섹션을 참조하세요.
인바운드 엔드포인트 및 프라이빗 호스팅 영역
Resolver가 프라이빗 호스팅 영역의 레코드를 사용하여 인바운드 DNS 쿼리를 해석하게 하려면 프라이빗 호스팅 영역을 인바운드 엔드포인트가 생성된 VPC와 연결합니다. 프라이빗 호스팅 영역과 VPC를 연결하는 방법에 대한 자세한 내용은 프라이빗 호스팅 영역 사용 섹션을 참조하세요.
VPC 피어링
선택한 VPC가 다른 VPC와 피어링되는지 여부에 관계없이 AWS 리전의 모든 VPC를 인바운드 또는 아웃바운드 엔드포인트에 사용할 수 VPCs. 자세한 내용은 Amazon Virtual Private Cloud(VPC) 피어링을 참조하세요.
공유 서브넷의 IP 주소
인바운드 또는 아웃바운드 엔드포인트를 생성할 때 현재 계정에서 VPC를 생성한 경우에만 공유 서브넷에 IP 주소를 지정할 수 있습니다. 다른 계정이 VPC를 생성하고 VPC의 서브넷을 사용자 계정과 공유하는 경우 해당 서브넷에 IP 주소를 지정할 수 없습니다. 공유 서브넷에 대한 자세한 내용은 Amazon VPC 사용 설명서의 공유 VPC 작업을 참조하세요.
네트워크와 엔드포인트를 생성한 VPC 간의 연결
네트워크와 엔드포인트를 생성한 VPC 사이에 다음 연결 중 하나가 있어야 합니다.
-
인바운드 엔드포인트 - 인바운드 엔드포인트를 생성하는 각 VPC와 네트워크 사이에 AWS Direct Connect 연결 또는 VPN 연결을 설정해야 합니다.
-
아웃바운드 엔드포인트 - 아웃바운드 엔드포인트를 생성하는 각 VPC와 네트워크 사이에 AWS Direct Connect 연결, VPN 연결 또는 NAT(네트워크 주소 변환) 게이트웨이를 설정해야 합니다.
규칙을 공유하면 아웃바운드 엔드포인트도 공유됨
규칙을 생성할 때 Resolver가 DNS 쿼리를 네트워크로 전달하는 데 사용할 아웃바운드 엔드포인트를 지정합니다. 규칙을 다른 AWS 계정과 공유하는 경우 규칙에 지정한 아웃바운드 엔드포인트도 간접적으로 공유합니다. 하나 이상의 AWS 계정을 사용하여 AWS 리전에서 VPCs를 생성한 경우 다음을 수행할 수 있습니다.
-
리전에 하나의 아웃바운드 엔드포인트를 생성합니다.
-
하나의 AWS 계정을 사용하여 규칙을 생성합니다.
-
리전에서 VPCs를 생성한 모든 AWS 계정과 규칙을 공유합니다.
이렇게 하면 VPCs 경우에도 리전의 아웃바운드 엔드포인트 하나를 사용하여 여러 VPCs에서 네트워크로 DNS 쿼리를 전달할 수 있습니다. AWS
엔드포인트 프로토콜 선택
엔드포인트 프로토콜은 데이터를 인바운드 엔드포인트로 전송하는 방식과 아웃바운드 엔드포인트에서 데이터를 전송하는 방식을 결정합니다. VPC 트래픽에 대한 DNS 쿼리를 암호화할 필요는 없습니다. 네트워크의 모든 패킷 흐름은 전송 및 전달되기 전에 올바른 소스와 대상을 검증하는 규칙에 따라 개별적으로 승인되기 때문입니다. 송신 엔터티와 수신 엔터티 모두에 의해 특별히 승인되지 않은 상태에서 정보가 개체 간에 임의로 전달되는 것은 거의 불가능합니다. 일치하는 규칙 없이 패킷이 대상으로 라우팅되는 경우 패킷을 삭제합니다. 자세한 내용은 VPC 기능을 참조하세요.
사용 가능한 프로토콜은 다음과 같습니다:
-
Do53: 포트 53를 통한 DNS 입니다. 데이터는 추가 암호화 없이 Route 53 Resolver를 사용하여 릴레이됩니다. 외부 당사자가 데이터를 읽을 수는 없지만 AWS 네트워크 내에서 데이터를 볼 수 있습니다. UDP 또는 TCP를 사용하여 패킷을 전송합니다. Do53는 주로 Amazon VPC 내부 및 Amazon VPC 간의 트래픽에 사용합니다. 현재는 위임 인바운드 엔드포인트에 사용할 수 있는 유일한 프로토콜입니다.
-
DoH: 데이터는 암호화된 HTTPS 세션을 통해 전송됩니다. DoH는 권한 없는 사용자가 데이터를 해독할 수 없고 의도한 수신자 외에는 누구도 읽을 수 없도록 보안 수준을 강화합니다. 위임 인바운드 엔드포인트에는 사용할 수 없습니다.
-
DoH-FIPS: 데이터를 FIPS 140-2 암호화 표준을 준수하는 암호화된 HTTPS 세션을 통해 전송합니다. 인바운드 엔드포인트에서만 지원됩니다. 자세한 내용은 FIPS PUB 140-2
를 참조하세요. 위임 인바운드 엔드포인트에는 사용할 수 없습니다.
전달 유형의 인바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.
Do53과 DoH를 함께 사용합니다.
Do53과 DoH-FIP를 함께 사용합니다.
Do53를 단독으로 사용합니다.
DoH를 단독으로 사용합니다.
DoH FIPS를 단독으로 사용합니다.
없음. Do53으로 취급됩니다.
아웃바운드 엔드포인트의 경우 다음과 같이 프로토콜을 적용할 수 있습니다.
Do53과 DoH를 함께 사용합니다.
Do53를 단독으로 사용합니다.
DoH를 단독으로 사용합니다.
없음. Do53으로 취급됩니다.
인바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값 및 아웃바운드 엔드포인트를 생성 또는 편집할 때 지정하는 값도 참조하십시오.
전용 인스턴스 테넌시용으로 구성된 VPC에서 Resolver 사용
Resolver 엔드포인트를 생성하는 경우 인스턴스 테넌시 속성이 dedicated로 설정된 VPC는 지정할 수 없습니다. Resolver는 단일 테넌트 하드웨어에서 실행되지 않습니다.
그래도 Resolver를 사용하여 VPC에서 발생한 DNS 쿼리를 해석할 수 있습니다. 인스턴스 테넌시 속성이 default로 설정된 VPC를 최소한 하나 이상 생성하고, 인바운드 및 아웃바운드 엔드포인트를 생성할 때 해당 VPC를 지정합니다.
전달 규칙을 생성할 때 인스턴스 테넌시 속성 설정과 상관없이 규칙을 어떠한 VPC에든 연결할 수 있습니다.
