VPC의 DNS 확인과 관련된 Route 53 Resolver 규칙 문제를 해결하려면 어떻게 해야 합니까?
Amazon Route 53 Resolver 규칙으로 인해 Amazon Virtual Private Cloud(Amazon VPC)에서 DNS 확인 문제가 발생했습니다.
해결 방법
Resolver 규칙 다시 연결
VPC와 Resolver 규칙의 연결을 끊으면 Resolver는 더 이상 DNS Resolver에게 DNS 쿼리를 전달하지 않습니다. 이 문제를 해결하려면 규칙을 VPC와 다시 연결하십시오. 공유한 규칙과 관련된 문제를 해결하려면 Resolver 규칙을 다른 AWS 계정과 공유하고 공유 규칙 사용을 참조하십시오.
참고: Resolver 규칙은 계정의 VPC에만 연결할 수 있습니다.
DNS 확인 문제 해결
다음 작업을 수행하십시오.
- VPC의 DNS 확인 및 DNS 호스트 이름을 활성화했는지 확인합니다. 자세한 내용은 VPC의 DNS 속성 보기 및 업데이트를 참조하십시오.
- 프라이빗 호스팅 영역에 올바른 Amazon VPC ID가 연결되어 있는지 확인합니다.
- 동일한 VPC 내에서 리소스 레코드를 쿼리하고 있는지 확인합니다. 자세한 내용은 Amazon Route 53에 대한 쿼리를 로깅하려면 어떻게 해야 합니까?를 참조하십시오.
- Route 53 Resolver에 대한 프라이빗 호스팅 영역의 전달 규칙을 올바르게 구성했는지 확인합니다. 전달 규칙 보기 및 편집을 참조하십시오.
- 프라이빗 호스팅 영역 도메인과 하위 도메인의 네임스페이스가 겹치지 않는지 확인합니다.
Resolver 규칙 문제 해결
다음 작업을 수행하십시오.
- 규칙을 평가할 때 Route 53 Resolver가 지정된 규칙과 일치하는지 확인합니다. 자세한 내용은 규칙을 만들거나 업데이트할 때 지정하는 값을 참조하십시오.
- VPC에 자동 정의된 역방향 DNS 규칙이 있는지 확인하고 이를 재정의하십시오.
- VPC에서 DNS 확인 및 DNS 호스트 이름을 활성화한 경우, 연결된 프라이빗 호스팅 영역에 프라이빗 호스팅 영역이 포함되어 있는지 확인하십시오.
- VPC에 연결한 도메인과 동일한 도메인으로 여러 규칙을 생성했는지 확인하십시오. 규칙을 두 개 이상 적용할 경우 도메인이 작동하지 않을 수 있습니다.
참고: Resolver 전달자 규칙과 프라이빗 호스팅 영역이 충돌하는 경우 Resolver 규칙이 우선합니다.
DNS 전달 규칙 문제 해결
DNS 전달 규칙을 사용하여 다른 계정의 DNS 서버에서 호스팅되는 내부 도메인을 확인할 때 "connection refused" 오류가 발생할 수 있습니다. 보안 그룹 및 네트워크 액세스 제어 목록(네트워크 ACL) 구성이 올바르게 표시되는 경우에도 오류가 발생할 수 있습니다.
이 문제를 해결하려면 아웃바운드 Resolver 엔드포인트 계정과 DNS 서버를 호스팅하는 계정 간의 라우팅 구성 및 트래픽 흐름을 확인하십시오.
아웃바운드 엔드포인트의 경우 다음 조치를 취하십시오.
- Resolver 규칙에 온프레미스 DNS 서버의 올바른 IP가 있는지 확인합니다.
- 아웃바운드 엔드포인트의 보안 그룹이 DNS 서버 IP 주소 및 포트에 대한 아웃바운드 TCP 및 UDP 트래픽을 허용하는지 확인합니다.
- 네트워크 ACL이 DNS 서버 IP 주소 또는 포트 및 임시 포트(1024~65535)에 대한 TCP 및 UDP 트래픽을 허용하는지 확인합니다.
- 아웃바운드 엔드포인트의 서브넷 라우팅 테이블에 VPN 또는 AWS Direct Connect 연결을 통한 온프레미스 서버 IP 주소 경로가 포함되어 있는지 확인합니다.
자세한 내용은 아웃바운드 엔드포인트 관리를 참조하십시오.
아웃바운드 엔드포인트와 동일한 서브넷에 있는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 연결을 테스트하려면 다음 작업을 수행하십시오.
- 온프레미스 DNS Resolver의 IP 주소로 dig 또는 nslookup 명령을 직접 실행합니다.
- Internet Control Message Protocol(ICMP)을 허용하는 온프레미스 호스트에 ping을 전송하여 연결을 확인합니다.
원본 클라이언트가 쿼리를 아웃바운드 엔드포인트에 직접 전송하지 말고 AmazonProvidedDNS로 전송해야 합니다. 그러면 AmazonProvidedDNS가 Resolver 규칙 구성에 따라 아웃바운드 엔드포인트를 통해 대상 IP 주소로 쿼리를 전달합니다. 자세한 내용은 퍼블릭 DNS 쿼리 로깅을 참조하십시오.
DNS 응답 문제를 해결할 때는 dig 또는 nslookup을 사용하여 온프레미스 DNS 서버 IP 주소로 직접 쿼리를 전송하십시오. QUESTION SECTION을 확인하여 이름, 클래스 및 레코드 유형이 올바른지 확인하십시오. 또한 레코드가 없음을 나타내는 NXDOMAIN 응답 코드나 시간 초과 또는 경로 문제가 있음을 나타내는 SERVFAIL을 확인하십시오.
Route 53 Resolver 프로파일이 VPC를 재정의하는지 확인
VPC를 기본 "." 규칙이 있는 Resolver 프로파일과 연결하면 프로파일의 규칙이 VPC의 기본 재귀 규칙보다 우선합니다. 하지만 VPC에 있는 Resolver 규칙의 연결 상태는 재정의된 것으로 표시되지 않습니다. 자세한 내용은 Route 53 Resolver 엔드포인트가 VPC의 DNS 쿼리를 네트워크로 전달하는 방법을 참조하십시오.
TLD 도메인(예: .local)의 SERVFAIL 오류 해결
Route 53은 특정 최상위 도메인(TLD)(예: .local)을 링크 로컬 도메인으로 취급합니다. Ubuntu와 같은 배포 시스템에서 .local로 끝나는 도메인을 확인하려고 하면 SERVFAIL 오류가 발생할 수 있습니다. 이 문제를 해결하려면 새 DHCP(Dynamic Host Configuration Protocol) 옵션 세트를 사용하여 VPC의 인스턴스를 재부팅하십시오.
쿼리 로그 및 VPC 흐름 로그 검토
DNS 쿼리를 검토하고 Route 53 Resolver 쿼리 로그에서 오류를 확인합니다. 또한 VPC 흐름 로그를 검토하고 패킷을 캡처하여 차단되거나 삭제된 네트워크 트래픽을 식별할 수 있습니다.
관련 정보
내 VPC의 리소스에서 원격 네트워크에 호스팅된 DNS 레코드를 확인하도록 Route 53 Resolver 아웃바운드 엔드포인트를 구성하려면 어떻게 해야 합니까?
원격 네트워크에서 프라이빗 호스팅 영역의 DNS 레코드를 확인하도록 Route 53 Resolver 인바운드 엔드포인트를 구성하려면 어떻게 해야 합니까?
- 언어
- 한국어
관련 콘텐츠
- 질문됨 일 년 전
