CloudFront 배포를 가리키는 별칭 레코드가 확인되지 않는 이유는 무엇입니까?

최종 업데이트 날짜: 2021년 5월 20일

Amazon Route 53 퍼블릭 호스팅 영역에서 내 Amazon CloudFront 배포를 가리키는 별칭 레코드를 구성했습니다. 그러나 인터넷을 통해 레코드를 확인할 수 없습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

다음과 같은 경우 클라이언트가 CloudFront 배포를 가리키는 별칭 레코드를 확인하지 못할 수 있습니다.

  • CloudFront 배포에 해당하는 별칭 레코드가 잘못 구성되었습니다.
  • 도메인의 신뢰할 수 있는 호스팅 영역에서 별칭 레코드가 생성되지 않았습니다.
  • 도메인의 상태가 비활성, serverHold 또는 clientHold상태입니다.
  • 별칭 레코드와 연결된 상태 확인이 비정상입니다.
  • 레코드가 전역으로 전파되지 않았습니다.
  • 도메인에 대해 DNSSEC가 활성화되었을 때 DS 레코드가 잘못되었습니다.

해결 방법

별칭 레코드 유형 확인

별칭 레코드가 잘못 구성된 경우 DNS 레코드가 예상대로 확인되지 않습니다. CloudFront 별칭 레코드 유형은 (CNAME이 아니라) 유형 A로 구성해야 합니다.

Route 53 별칭 레코드 유형을 확인하려면 다음을 수행합니다.

1.    Route 53 콘솔을 엽니다.

2.    탐색 창에서 호스팅 영역을 선택합니다.

3.    도메인에 대한 호스팅 영역을 선택합니다.

4.    도메인에 대한 Route 53 별칭 레코드를 선택합니다.

5.    레코드 세트 편집 창에서 별칭 레코드레코드 유형A로 설정되어 있는지 확인합니다. 그렇지 않은 경우 레코드를 업데이트합니다.

6.    레코드 세트 저장을 선택합니다.

등록 기관에 구성된 도메인 이름 서버 확인

도메인에 대한 호스팅 영역을 생성하면 Route 53는 호스팅 영역에 네 개의 이름 서버 세트를 할당합니다. 호스팅 영역은 도메인 등록 기관에 이름 서버가 지정된 경우에만 도메인 확인에 사용됩니다.

등록 기관이 별칭 레코드를 생성한 호스팅 영역에 할당된 이름 서버와 동일한 네 개의 신뢰할 수 있는 이름 서버를 반환하는지 확인합니다. 등록 기관에 구성된 이름 서버를 확인하려면 다음 명령을 사용하여 도메인에서 whois 조회를 수행합니다.

$ whois domain-name |grep 'Name Server'

호스팅 영역에 할당된 이름 서버를 검토합니다. 이름 서버가 whois 조회 결과와 일치하지 않으면 호스팅 영역이 도메인 확인에 사용되지 않는 것입니다. 도메인 등록 기관에서 이름 서버를 업데이트해야 합니다. 도메인이 Route 53에 등록된 경우 도메인의 이름 서버 및 glue 레코드 추가 또는 변경을 참조하세요. 도메인이 서드 파티에 등록된 경우 해당하는 설명서에서 이름 서버 업데이트 방법에 대한 단계를 참조하세요.

도메인 상태 확인

도메인 상태가 비활성, ServerHold 또는 clientHold인 경우 도메인이 확인되지 않습니다. whois 조회 명령을 사용하여 도메인 상태를 확인할 수 있습니다.

$ whois domain-name |grep 'Domain Status'

별칭 레코드와 연결된 상태 확인이 있는지 확인

별칭 레코드와 연결된 상태 확인이 있는 경우 상태 확인의 상태를 확인합니다. DNS 조회 중에 반환되는 값은 레코드의 라우팅 정책 및 상태 확인 구성에 따라 다릅니다.

레코드 전파 확인

Route 53는 정상적인 조건의 경우 60초 이내에 DNS 레코드에 대한 업데이트를 신뢰할 수 있는 DNS 서버의 글로벌 네트워크에 전파합니다. 그러나 캐싱 DNS 해석기는 Route 53 서비스 범위를 벗어나 TTL 값에 따라 리소스 레코드 세트를 캐시합니다.

로컬 해석기는 구성된 TTL의 기간 동안 이전 레코드 값을 캐시합니다. 경우에 따라, 신뢰할 수 있는 이름 서버의 NXDOMAIN 결과가 해석기에 의해 캐시되는 네거티브 캐싱이 있을 수 있습니다. 시나리오에서 이러한 유형의 네거티브 캐싱이 문제인지 확인하려면 도메인의 호스팅 영역에 할당된 이름 서버로 직접 쿼리를 보내 응답을 받고 있는지 확인합니다. 예를 들면 다음과 같습니다.

$ dig domain-name @ns-2041.awsdns-63.co.uk

(DNSSEC가 활성화된 경우) DS 레코드 확인

위임 서명자(DS) 레코드는 DNSSEC가 활성화되면 상위 호스팅 영역과 하위 호스팅 영역 간에 신뢰 체인을 설정합니다. 이 레코드에는 DNS 영역의 ZSK(영역 서명 키) 및 서명 알고리즘 유형에 서명하는 데 사용되는 퍼블릭 키 서명 키(KSK)의 다이제스트가 포함되어 있습니다. DS 레코드는 위임의 상위 영역에 추가되어야 합니다. DS 레코드는 상위 영역의 신뢰할 수 있는 데이터입니다.

예를 들어, ‘example.com’에 대한 DS 레코드는 ‘example.com’ 영역(하위 영역)이 아니라 ‘.com’ 영역(상위 영역)에 저장됩니다. 도메인 등록 기관에 공개 KSK 및 서명 알고리즘 유형을 제공하여 DS 레코드를 만들 수 있습니다. 도메인 등록 기관은 공개 KSK 및 알고리즘 유형을 최상위 도메인의 레지스트리에 전달합니다.

이 문서가 도움이 되었나요?

피드백 제출

결제 또는 기술 지원이 필요하세요?

AWS Support에 문의