Route 53 해석기 엔드포인트의 DNS 확인 문제를 해결하려면 어떻게 해야 하나요?

해결 방법

인바운드 엔드포인트 문제 해결

다음 단계를 완료하여 네트워크의 DNS 해석기가 인바운드 엔드포인트를 사용하여 DNS 쿼리를 Route 53 해석기로 전달할 수 있는지 확인합니다.

• 온프레미스 DNS 서버가 도메인의 인바운드 엔드포인트로 DNS 쿼리를 전달해야 하는 경우 조건부 전달 규칙을 만드세요. 조건부 전달 규칙은 온프레미스 DNS 서버에 만들어야 합니다. 이 구성은 프라이빗 호스팅 영역 및 공용 도메인에 적용됩니다.

• AWS Direct Connect 연결 또는 VPN을 통해 인바운드 해석기 엔드포인트 IP 주소에 연결할 수 있는지 확인합니다. 이 단계에서는 온프레미스 네트워크에서 인바운드 해석기 엔드포인트 IP 주소에 연결할 수 있는지 확인합니다. 다음 telnet 명령을 사용하여 포트 53의 인바운드 엔드포인트 해석기 IP 주소 간의 연결을 테스트합니다: telnet <inbound endpoint resolver IP address> 53.

• 인바운드 해석기 엔드포인트와 연결된 보안 그룹을 확인합니다. 보안 그룹은 온프레미스 DNS 서버 IP 주소에서 TCP 및 UDP 포트 53의 트래픽을 허용해야 합니다.

• 인바운드 엔드포인트가 만들어진 서브넷과 함께 사용되는 사용자 지정 네트워크 액세스 제어 목록(네트워크 ACL)이 다음을 허용하는지 확인합니다.

• 포트 53의 온-프레미스 DNS 서버로부터의 인바운드 UPD 및 TCP 트래픽.

• 대상 포트 범위 1024-65535의 온프레미스 DNS 서버에 대한 아웃바운드 UDP 및 TCP 트래픽.

• 인바운드 엔드포인트 해석기가 만들어진 서브넷과 연결된 경로 테이블에 온프레미스 네트워크에 대한 경로가 포함되어 있는지 확인합니다. Direct Connect 연결 또는 VPN을 통해 경로를 구성할 수 있습니다. 이 경로를 사용하면 인바운드 엔드포인트 해석기가 DNS 쿼리 응답을 반환할 수 있습니다.

• 도메인 확인의 유효성을 확인하려면 온프레미스 DNS 서버 또는 로컬 호스트에서 도메인 이름 조회를 완료합니다.

• Windows의 경우: nslookup <private hosted zone domain name>

• Linux 또는 macOS의 경우: dig <private hosted zone domain name>

• 이전 명령으로 레코드를 반환하지 못하면 온프레미스 DNS 서버를 우회할 수 있습니다. 다음 명령을 사용하여 인바운드 해석기 엔드포인트 IP 주소로 직접 DNS 쿼리를 보냅니다.

• Windows의 경우: nslookup <private hosted zone domain name> @ <inbound endpoint IP address>

• Linux 또는 macOS의 경우: dig <private hosted zone domain name> @ <inbound endpoint IP address>

• 온프레미스 DNS 서버가 재귀 쿼리만 보내는지 확인합니다. Route 53 인바운드 해석기는 반복 쿼리를 지원하지 않습니다.

• 프라이빗 호스팅 영역에서 확인하는 경우 인바운드 해석기 엔드포인트와 프라이빗 호스팅 영역이 올바른 VPC에 연결되어 있는지 확인하세요.

아웃바운드 엔드포인트 문제 해결하기

다음 단계를 완료하여 라우트 53 해석기가 아웃바운드 엔드포인트를 사용하여 네트워크의 해석기에게 조건부로 쿼리를 전달하는지 확인합니다.

• Amazon 제공 DNS를 사용하고 있는지 확인합니다. VPC의 인스턴스에 있는 사용자 지정 DNS 서버는 비공개 DNS 쿼리를 VPC의 Amazon 제공 DNS 서버의 IP 주소로 라우팅해야 합니다. Amazon 제공 DNS 서버의 IP 주소는 VPC 네트워크 범위의 기반에 있는 IP 주소에 2를 더한 주소입니다.

• 아웃바운드 해석기 엔드포인트와 연결된 보안 그룹의 송신 규칙을 확인합니다. 송신 규칙은 온프레미스 DNS 서버의 IP 주소에 대한 UDP 및 TCP 포트 53 트래픽을 허용해야 합니다.

• 아웃바운드 엔드포인트 인터페이스가 만들어진 서브넷에 해당하는 네트워크 ACL에 대한 사용자 지정 규칙이 다음을 허용하는지 확인합니다.

• 포트 53의 온-프레미스 DNS 서버에 대한 아웃바운드 UDP 및 TCP 트래픽.

• 임시 포트 범위 1024-65535의 온프레미스 DNS 서버로부터의 인바운드 UDP 및 TCP 트래픽.

• 아웃바운드 해석기 엔드포인트의 서브넷과 연결된 경로 테이블에 온프레미스 DNS 서버에 대한 경로가 있는지 확인합니다. 경로는 Direct Connect 연결 또는 VPN을 통해 구성할 수 있습니다.

• 온프레미스 DNS 서버가 방화벽으로 보호되는지 여부를 확인합니다. 서버가 방화벽으로 보호되는 경우 방화벽이 아웃바운드 해석기 엔드포인트 IP 주소로부터의 트래픽을 허용하는지 확인합니다.

• 동일한 도메인 이름에 대한 트래픽을 네트워크로 라우팅하는 해석기 규칙이 비공개 호스팅 영역보다 우선합니다.

• 해석기는 가장 구체적인 도메인 이름이 포함된 규칙을 사용하여 아웃바운드 DNS 쿼리를 라우팅합니다. 자세한 내용은 해석기가 쿼리의 도메인 이름이 규칙과 일치하는지 확인하는 방법을 참조하세요.

• 공유 규칙을 사용하는 경우 공유 규칙이 VPC와 연결되어 있는지 확인하세요.

• VPC 흐름 로그를 사용하여 해석기가 사용하는 네트워크 인터페이스에 대한 흐름 정보를 캡처합니다. 해석기 이름으로 필터링하여 해석기의 탄력적 네트워크 인터페이스에 대한 로그를 확인합니다.