인터페이스 VPC 엔드포인트의 서비스 도메인 이름을 확인할 수 없는 이유는 무엇인가요?

최종 업데이트 날짜: 2022년 4월 4일

AWS 서비스에 인터페이스 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 사용하고 있습니다. 기본 서비스 도메인 이름(예: ec2.us-east-1.amazonaws.com)을 사용하여 VPC 인터페이스 엔드포인트를 통해 서비스에 액세스하고자 합니다. 인터페이스 VPC 엔드포인트의 서비스 도메인 이름을 확인할 수 없는 이유는 무엇인가요?

해결 방법

인터페이스 VPC 엔드포인트의 서비스 도메인 이름(예: ec2.us-east-2-amazonaws.com)을 확인하려면 다음과 같은 점을 유의해야 합니다.

  • 인터페이스 VPC 엔드포인트의 프라이빗 IP에 대하여 서비스 도메인 이름을 확인하려면 해당 엔드포인트가 생성된 VPC의 Amazon 제공 DNS에 DNS 쿼리를 보내야 합니다. Amazon 제공 DNS는 VPC CIDR 베이스에 2를 더하면 됩니다.
  • 인터페이스 VPC 엔드포인트를 생성한 VPC에서, VPC의 DNS 속성(DNS attributes of the VPC), DNS 호스트 이름(DNS Hostnames)DNS 확인(DNS Resolution)이 둘 다 활성화된 상태인지 확인합니다.
  • 인터페이스 VPC 엔드포인트를 사용하여 이용 가능한 AWS 서비스(예: Amazon Elastic Compute Cloud(Amazon EC2) 등)에 액세스하는 경우, 엔드포인트에서 프라이빗 DNS 이름을 활성화하면 됩니다. 이 파라미터를 활성화하면 서비스 도메인 이름에 관한 쿼리가 프라이빗 IP 주소에 대하여 확인됩니다. 이러한 프라이빗 IP 주소는 주어진 인터페이스 엔드포인트와 연결된 각각의 서브넷에서 생성된 탄력적 네트워크 인터페이스의 IP 주소입니다.
    프라이빗 DNS 이름(private DNS names)을 활성화한 상태에서는 AWS PrivateLink를 통해 서비스 도메인 이름(예: ec2.us-east-1.amazonaws.com)을 사용하여 AWS API 호출을 실행할 수 있습니다.
    인터페이스 VPC 엔드포인트에 대하여 프라이빗 DNS 이름(private DNS names)이 활성화되어 있는지 확인합니다. 프라이빗 DNS 이름(private DNS names)이 활성화되어 있지 않은 경우, 서비스 도메인 이름이나 엔드포인트 도메인 이름이 리전 내 퍼블릭 IP로 확인됩니다. 프라이빗 DNS 이름(private DNS names)을 활성화하는 단계는 인터페이스 엔드포인트 수정을 참조하세요.
  • 사용자 지정 도메인 이름 서버는 VPC의 DHCP 옵션 세트(DHCP Option Set)에서 지정하면 됩니다. 사용자 지정 도메인 이름 서버를 사용하는 경우, 서비스 도메인 이름에 대한 DNS 쿼리는 사용자 지정 도메인 이름 서버로 보내 확인합니다. 사용자 지정 도메인 이름 서버는 VPC 안에 위치할 수도 있고, VPC 밖에 위치할 수도 있습니다.
    사용자 지정 도메인 이름 서버는 인터페이스 엔드포인트가 생성된 VPC의 Amazon 제공 DNS 서버에 서비스 도메인 이름을 전달해야 합니다.
  • VPC 밖에서 인터페이스 엔드포인트에 액세스하려 하는 경우(교차 VPC 또는 온프레미스), DNS 아키텍처가 있어야 합니다. DNS 아키텍처는 인터페이스 엔드포인트가 생성된 VPC의 Amazon 제공 DNS 서버에 서비스 도메인 이름에 대한 DNS 쿼리를 전달해야 합니다.
    nslookup이나 dig와 같은 도구를 사용해 소스 네트워크에서 가져온 서비스 도메인 이름과 대조하여 확인 대상 IP를 확인하면 됩니다.
    아니면, SDK의 리전 내 엔드포인트 도메인 이름을 사용하여 API 호출을 실행하는 방법도 있습니다. 인터페이스 엔드포인트의 리전 내 엔드포인트 도메인 이름은 어느 네트워크에서나 확인할 수 있습니다. 다음은 AWS Command Line Interface(AWS CLI)를 사용하여 설명 호출을 수행하는 작업을 예로 든 것입니다.
$aws ec2 describe-instances --endpoint-url https://vpce-aaaabbbbcccc-dddd.vpce-svc-12345678.us-east-1.vpce.amazonaws.com
  • 서비스 도메인 이름에 대하여 Amazon Route 53 프라이빗 호스팅 영역을 생성한 경우, 해당 호스팅 영역에 올바른 소스 VPC를 연결해야 합니다. 자세한 내용은 Route 53 프라이빗 호스팅 영역의 DNS 확인 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.
    참고: DNS 쿼리를 라우팅하려면 VPC 피어링, AWS Transit Gateway 등을 사용하여 네트워크에서 VPC로 연결을 설정해야 합니다.