Amazon Web Services 한국 블로그
Amazon Route 53 Profile 기능 출시 – 멀티 VPC 및 AWS 계정과 DNS 관리 통합 기능
여러 계정과 Amazon Virtual Private Cloud(Amazon VPC) 리소스를 관리하는 경우 많은 DNS 리소스를 공유한 다음 각 VPC에 연결하는 것은 상당한 부담이 될 수 있습니다. 공유 및 연결과 관련하여 한계에 부딪히는 경우가 많으며, 계정 및 VPC 전체에 DNS 구성을 전파하기 위해 자체 오케스트레이션 계층을 구축하는 데까지 진행했을 수도 있습니다.
이제 기업 내 모든 계정과 VPC에서 DNS 관리를 통합하는 기능을 제공하는 Amazon Route 53 Profile (프로필)을 정식 출시합니다. Route 53 프로필을 사용하면 Route 53 프라이빗 호스팅 영역(PHZ) 연결, Resolver 전달 규칙, Route 53 Resolver DNS 방화벽 규칙 그룹을 비롯한 표준 DNS 구성을 정의하고 해당 구성을 동일한 AWS 리전의 여러 VPC에 적용할 수 있습니다. 프로필을 통해 별도의 Route 53 리소스를 복잡하게 처리할 필요 없이 모든 VPC가 동일한 DNS 구성을 갖도록 쉽게 확인할 수 있습니다. 여러 VPC에서 DNS를 관리하는 것은 이제 단일 VPC의 동일한 설정을 관리하는 것만큼 간단합니다.
Route 53 프로필은 AWS Resource Access Manager(RAM)와 기본적으로 통합되므로 계정 간에 또는 AWS Organizations 계정과 프로필을 공유할 수 있습니다. 프로필은 기존 프라이빗 호스팅 영역을 생성하여 사용자 프로필에 추가할 수 있어 Route 53 프라이빗 호스팅 영역과 원활하게 통합되며 이를 통해 조직은 프로필을 계정 간에 공유할 때 이와 동일한 설정에 액세스할 수 있습니다. AWS CloudFormation을 사용하면 계정을 새로 프로비저닝할 때 프로필을 활용하여 VPC에 대한 DNS 설정을 일관되게 설정할 수 있습니다. 오늘 릴리스된 기능을 통해 다중 계정 환경의 DNS 설정 관리가 더욱 원활해질 것입니다.
Amazon Route 53 프로필 작동 방식
Route 53 프로필 사용을 시작하려면 Route 53용 AWS Management Console로 이동합니다. 이곳에서 프로필을 생성하고, 여기에 리소스를 추가하고, 해당 VPC에 연결할 수 있습니다. 그런 다음 AWS RAM을 사용하여 생성한 프로필을 다른 계정과 공유합니다.
Route 53 콘솔 내 탐색 창에서 프로필을 선택한 다음 프로필 생성을 선택하여 사용자 프로필을 설정합니다.
사용자 프로필 구성에 MyFirstRoute53Profile
과 같은 익숙한 이름을 지정하고 선택적으로 태그를 추가합니다.
프로필 콘솔 페이지 내에서 DNS 방화벽 규칙 그룹, 프라이빗 호스팅 영역 및 Resolver 규칙에 대한 설정을 구성하거나 사용자 계정에 기존 규칙을 추가할 수 있습니다.
VPC를 선택하여 사용자 VPC를 프로필에 연결합니다. 태그 추가와 더불어 사용자 VPC에 연결된 DNS 방화벽의 장애 모드인 재귀(Recursive) DNSSEC 검증을 위한 구성도 수행할 수 있습니다. VPC DNS 후에 프로필 DNS 순서로 하거나 프로필 DNS 후에 VPC DNS를 차례로 두는 식으로 DNS 평가 순서도 조절할 수 있습니다.
VPC당 하나의 프로필을 연결할 수 있으며 단일 프로필에 최대 5,000개까지 VPC를 연결할 수 있습니다.
프로필을 사용하면 조직 내 계정 전체에서 VPC 설정을 관리할 수 있습니다. VPC별로 구성하는 대신 프로필이 연결된 각 VPC에 대해 역방향 DNS 규칙을 비활성화할 수 있습니다. Route 53 Resolver는 사용자를 위해 역방향 DNS 룩업 규칙을 자동으로 생성하므로 다양한 서비스가 IP 주소에서 호스트 이름을 쉽게 분석할 수 있습니다. DNS Firewall을 사용하는 경우 설정을 통해 방화벽의 장애 모드를 열기 실패나 닫기 실패로 선택할 수 있습니다. 또한 Route 53(또는 다른 공급자)에서 DNSSEC 서명을 사용하지 않고도 프로필에 연결된 VPC에서 재귀 DNSSEC 검증을 활성화할지 여부를 지정할 수 있습니다.
프로필을 VPC에 연결한다고 가정해 보겠습니다. VPC에 바로 연결된 리졸버 규칙 또는 PHZ와 VPC 프로필에 연결된 리졸버 규칙 또는 PHZ와 쿼리가 정확히 일치하면 어떻게 될까요? 프로필 또는 로컬 VPC 중 어떤 DNS 설정이 우선할까요? 예를 들어 VPC가 example.com의 PHZ에 연결되어 있고 프로필에 example.com의 PHZ가 포함되어 있는 경우, 해당 VPC의 로컬 DNS 설정이 프로필보다 우선합니다. 도메인 이름이 충돌하여 이름에 대해 쿼리가 생성된 경우(예: 프로필에 infra.example.com의 PHZ가 포함되어 있고 VPC가 이름이 account1.infra.example.com인 PHZ에 연결된 경우) 가장 구체적인 이름이 우선합니다.
AWS RAM을 사용하여 계정 간 Route 53 프로필 공유
AWS Resource Access Manager(RAM)를 사용하여 이전 섹션에서 생성한 프로필을 다른 계정과 공유합니다.
프로필 세부 정보 페이지에서 프로필 공유 옵션을 선택하거나 AWS RAM 콘솔 페이지로 이동하여 리소스 공유 생성을 선택할 수 있습니다.
리소스 공유의 이름을 입력한 다음 리소스 섹션에서 ‘Route 53 프로필’을 검색합니다. 선택한 리소스에서 프로필을 선택합니다. 태그를 추가하도록 선택할 수 있습니다. 그런 다음 다음을 선택합니다.
프로필은 RAM 관리형 권한을 활용하여 각 리소스 유형에 다른 권한을 추가할 수 있습니다. 기본적으로 프로필의 소유자(네트워크 관리자)만 프로필 내 리소스를 수정할 수 있습니다. 프로필 수신자(VPC 소유자)는 프로필의 내용만 볼 수 있습니다(ReadOnly 모드). 프로필 수신자가 PHZ 또는 기타 리소스를 프로필에 추가할 수 있도록 하려면 프로필 소유자가 리소스에 필요한 권한을 연결해야 합니다. 프로필 소유자가 공유 리소스에 추가한 리소스를 수신자는 편집하거나 삭제할 수 없습니다.
기본 선택 항목을 그대로 두고 다음을 선택하여 사용자의 다른 계정에 대한 액세스 권한을 부여합니다.
다음 페이지에서 누구에게나 공유 허용을 선택하고 사용자의 다른 계정 ID를 입력한 다음 추가를 선택합니다. 그리고 선택한 보안 주체 섹션에서 해당 계정 ID를 선택하고 다음을 선택합니다.
검토 및 생성 페이지에서 리소스 공유 생성을 선택합니다. 리소스 공유가 생성 완료되었습니다.
이제 프로필을 공유하는 다른 계정으로 전환하고 RAM 콘솔로 이동합니다. 탐색 메뉴에서 리소스 공유로 이동하여 첫 번째 계정에서 생성한 리소스 이름을 선택합니다. 리소스 공유 수락을 선택하여 초대를 수락합니다.
이제 끝났습니다! Route 53 프로필 페이지로 이동하여 사용자와 공유한 프로필을 선택합니다.
공유 프로필의 DNS 방화벽 규칙 그룹, 프라이빗 호스팅 영역 및 Resolver 규칙에 액세스할 수 있습니다. 이 계정의 VPC를 본 프로필에 연결할 수 있습니다. 리소스를 편집하거나 삭제할 수 없습니다. 프로필은 리전별 리소스이므로 리전 간에는 공유할 수 없습니다.
정식 출시
AWS Management Console, Route 53 API, AWS Command Line Interface(AWS CLI), AWS CloudFormation 및 AWS SDK를 사용하여 Route 53 프로필을 쉽게 시작할 수 있습니다. Route 53 프로필은 캐나다 서부(캘거리), AWS GovCloud(미국) 리전 및 Amazon Web Services 중국 리전을 제외한 모든 AWS 리전에서 사용할 수 있습니다.
요금에 대한 자세한 내용은 Route 53 요금 페이지를 참조하세요.
지금 바로 프로필을 시작하고 평소 이용하는 AWS Support 문의처 또는 Amazon Route 53의 AWS re:Post를 통해 피드백을 알려주세요.