1. 개요

사용자가 AWS의 VPC를 생성할 때, Route 53 Resolver는 자동으로 VPC의 Resolver를 사용하여 EC2 인스턴스 및 private hosted zone의 Domain 이름에 대한 쿼리에 응답하며 다른 Domain 이름에 대해서는 Public Name Server에 대해 Reculsive 쿼리를 수행합니다.
해당 Resolver에는 온프레미스 환경과 주고받는 DNS 쿼리에 응답하도록 구성하는 Endpoint 기능이 추가로 포함되어 있으며, 온프레미스와 주고받는 DNS 쿼리의 방향에 따라 Inbound Endpoint 와 Outbound Endpoint를 각각 생성하여 활용할 수 있습니다.

● Inbound Endpoint : 온프레미스 네트워크의 DNS Resolver는 이 Endpoint를 통해 DNS 쿼리를 Route 53 Resolver로 전달할 수 있습니다.

● Outbound Endpoint : Route53의 Resolver는 이 Endpoint를 통해 온프레미스 네트워크의 Resolver에게 DNS 쿼리를 조건부로 전달합니다.

이번 포스팅에서는 AWS 사용자가 기존 온프레미스 환경의 시스템을 AWS로 이전하는 경우,
기존에 사용하던 서비스용 Domain 을 온프레미스 DNS에서 그대로 관리하면서 AWS에 해당 Domain의 Sub-Domain 을 private hosted zone으로 생성/사용하는 CASE 와 기존에 사용하던 서비스용 Domain 을 AWS Route53의 private hosted zone으로 완전히 이전하는 CASE 각각에서 온프레미스 DNS의 설정 및 고려 사항에 대해 알아보도록 하겠습니다.
*온프레미스 DNS 설정은 DNS 소프트웨어로 대표적인 BIND의 설정을 예시로 포스팅하였습니다.

2. Sub-Domain 사용

2.1 구성

2.2 설정
2.2.1 AWS 설정
1) Private Hosted Zone 등록
aws.onprem.com 도메인을 AWS Route53 Private Hosted Zone에 등록합니다. Hosted Zone 등록 시 자동 생성되는 Name Server 값을 기억해둡니다.

Hosted Zone 등록 시 자동 생성되는 Name Server 값을 기억해둡니다.

2) Resolver Inbound Endpoint 생성
가용성을 위해 최소 2개 이상의 가용 영역에 Inbound Endpoint를 생성합니다.

생성한 후에는 해당 Inbound Endpoint의 IP 들을 기억해둡니다.

2.2.2 온프레미스 DNS 설정
1) Sub-Domain에 대해 포워딩 설정
aws.onprem.com 도메인에 대해서 AWS에서 생성한 Inbound Endpoint IP를 forwarder로 설정합니다.

● BIND의 named.conf 파일 설정 추가

2) Sub-Domain에 대해 위임(Name Delegation) 설정
onprem.com 도메인은 원래 온프레미스 DNS 가 관리 권한을 가지고 있던 도메인으로, 단순 1) 포워딩 설정 만 추가하는 경우 DNS 서버는 해당 Sub-Domain에 대한 DNS 쿼리를 Inbound Endpoint로 포워딩하지 않습니다.
따라서 Hosted Zone 등록 시 자동 생성되는 Name Server 값으로 Sub-Domain에 대해 아래와 같이 위임(Name Delegation) 설정을 추가해 주어야 합니다.

● onpre.com 도메인의 zone 파일 설정 추가

실제로 위임(Name Delegation) 설정을 할 때, Hosted Zone 등록 시 자동 생성되는 Name Server 값을 반드시 사용하지는 않아도 됩니다.
onprem.com 도메인에 대해 더 이상 온프레미스 DNS에서 관리하지 않겠다는 의미로 위임(Name Delegation) 설정을 추가해 주는 것이므로 위임 설정을 하는 작업 자체가 포워더 동작을 가능케 합니다.

2.3 고려 사항
● 기존 onpre.com 도메인을 가지고 있는 온프레미스 DNS 서버에서 설정 변경 대상 도메인의 TTL (Time To Live) 값을 사전에 작은 값으로 변경해 놓아야 하며, 이는 해당 DNS를 사용하는 사용자나 서버에서 변경 내용을 가능한 빠르게 업데이트할 수 있도록 하기 위해서입니다.
● 온프레미스 DNS 서버의 IP 와 AWS Route53 Resolver Inbound Endpoint의 IP 들 간에 통신이 가능한 상태여야 합니다. 온프레미스 통신 경로에 방화벽 등 보안 장비가 있는 경우 허용 정책을 등록해야 할 수도 있습니다.
● AWS Route53 Resolver Inbound Endpoint에 적용된 AWS Security Group에 DNS 통신용 포트인 tcp/udp53을 허용하는 정책을 온프레미스 DNS IP를 Source로 지정하여 등록해 주어야 합니다.

3. New-Domain 사용

3.1 구성

3.2 설정
3.2.1 AWS 설정
1) Private Hosted Zone 등록
onpremsaws.com도메인을 AWS Route53 Private Hosted Zone에 등록합니다.

2) Resolver Inbound Endpoint 생성
가용성을 위해 최소 2개 이상의 가용 영역에 Inbound Endpoint를 생성하고 Endpoint IP를 기억해둡니다.

생성한 후에는 해당 Inbound Endpoint의 IP 들을 기억해둡니다.

3.2.2 온프레미스 DNS 설정
1) New-Domain에 대해 포워딩 설정
onpremsaws.com 도메인에 대해서 AWS에서 생성한 Inbound Endpoint IP를 forwarder로 설정합니다.

● BIND의 named.conf 파일 설정 추가

3.3 고려 사항
● 기존 onprem.com 도메인을 가지고 있는 온프레미스 DNS 서버에서 설정 변경 대상 도메인의 TTL (Time To Live) 값을 사전에 작은 값으로 변경해 놓아야 하며, 이는 해당 DNS를 사용하는 사용자나 서버에서 변경 내용을 가능한 빠르게 업데이트할 수 있도록 하기 위해서입니다.
● 온프레미스 DNS 서버의 IP 와 AWS Route53 Resolver Inbound Endpoint의 IP 들 간에 통신이 가능한 상태여야 합니다. 온프레미스 통신 경로에 방화벽 등 보안 장비가 있는 경우 허용 정책을 등록해야 할 수도 있습니다.
● AWS Route53 Resolver Inbound Endpoint에 적용된 AWS Security Group에 DNS 통신용 포트인 tcp/udp53을 허용하는 정책을 온프레미스 DNS IP를 Source로 지정하여 등록해 주어야 합니다.

4. 결론

기존 IT 인프라가 확장성과 유연성을 기본으로 한 Public Cloud 환경으로 전환되면서 도메인과 DNS 시스템의 중요성은 더욱 커지고 있으며, 특히 Public Cloud로 일부 시스템을 이전하면서 기존 온프레미스 데이터 센터 또는 프라이빗 클라우드 등에 구축된 시스템과 상호 연동이 필요한 하이브리드 클라우드 환경에서는 각각의 인프라 환경에서 도메인을 통한 통신 흐름을 얼마나 단순하고 효율적으로 설계하느냐가 시스템을 구축하는데 가장 중요한 항목 중에 하나입니다.

기존 온프레미스의 시스템 일부 또는 전부를 AWS로 이전하는 경우 AWS로 이전하는 시스템의 Domain 관리 정책에 따라 포스팅한 바와 같이 Sub-Domain 또는 New-Domain 형태로 Domain 을 AWS로 이전할 수 있으며, 각각의 CASE에 따라 온프레미스 DNS에서 설정해야 하는 항목들이 차이가 있기 때문에 AWS Route53의 특장점과 함께 온프레미스 DNS 설정에 대한 이해도 필요하다고 할 수 있습니다.

5. 참고

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html