Azure DNS Private Resolver 엔드포인트 및 규칙 집합
이 문서에서는 Azure DNS Private Resolver의 구성 요소에 대해 알아봅니다. 인바운드 엔드포인트, 아웃바운드 엔드포인트 및 DNS 전달 규칙 집합에 대해 설명합니다. 이러한 구성 요소의 속성 및 설정을 설명하고 사용 방법에 대한 예를 제공합니다.
Azure DNS Private Resolver 아키텍처는 다음 그림에 요약되어 있습니다. 이 예제 네트워크에서 DNS 확인자는 스포크 VNet과 피어링되는 허브 VNet에 배포됩니다.
그림 1: DNS 확인자가 있는 허브 및 스포크 네트워크의 예
- 규칙 집합 링크는 DNS 전달 규칙 집합에서 허브 및 스포크 VNet 모두에 프로비전되므로 두 VNet의 리소스에서 DNS 전달 규칙을 사용하여 사용자 지정 DNS 네임스페이스를 확인할 수 있습니다.
- 프라이빗 DNS 영역도 배포되고 허브 VNet에 연결되므로 허브 VNet의 리소스에서 영역의 레코드를 확인할 수 있습니다.
- 스포크 VNet은 프라이빗 영역 쿼리를 허브 VNet의 인바운드 엔드포인트 VIP로 전달하는 DNS 전달 규칙을 사용하여 프라이빗 영역의 레코드를 확인합니다.
- Azure 프라이빗 영역에 대한 쿼리를 인바운드 엔드포인트 VIP로 전달하도록 구성된 DNS 서버가 있는 ExpressRoute 연결 온-프레미스 네트워크도 그림에 표시됩니다. Azure DNS Private Resolver를 사용하여 하이브리드 DNS 확인을 사용하도록 설정하는 방법에 대한 자세한 내용은 Azure 및 온-프레미스 도메인 확인을 참조하세요.
참고 항목
다이어그램에 표시된 피어링 연결은 이름 확인에 필요하지 않습니다. 연결된 VNet이 규칙 집합 VNet과 피어링하는지 여부에 관계없이 DNS 전달 규칙 집합에서 연결된 VNet은 이름 확인을 수행할 때 규칙 집합을 사용합니다.
인바운드 엔드포인트
이름에서 알 수 있듯이 인바운드 엔드포인트는 Azure로 수신됩니다. 인바운드 엔드포인트는 온-프레미스 및 가상 네트워크 외부의 다른 위치에서 DNS 쿼리를 전달하기 위한 IP 주소를 제공합니다. 인바운드 엔드포인트로 전송된 DNS 쿼리는 Azure DNS를 사용하여 확인됩니다. 인바운드 엔드포인트가 프로비저닝된 가상 네트워크에 연결된 프라이빗 DNS 영역은 인바운드 엔드포인트에서 확인됩니다.
인바운드 엔드포인트와 연결된 IP 주소는 항상 프라이빗 해결 프로그램이 배포되는 프라이빗 가상 네트워크 주소 공간의 일부입니다. 인바운드 엔드포인트가 있는 동일한 서브넷에는 다른 리소스가 있을 수 없습니다.
정적 및 동적 엔드포인트 IP 주소
인바운드 엔드포인트에 할당된 IP 주소는 정적 또는 동적일 수 있습니다. 정적을 선택하면 서브넷에서 예약된 IP 주소를 선택할 수 없습니다. 동적 IP 주소를 선택하면 서브넷에서 사용 가능한 다섯 번째 IP 주소가 할당됩니다. 예를 들어 10.10.0.4는 10.10.0.0/28 서브넷(.0, .1, .2, .3, .4)의 다섯 번째 IP 주소입니다. 인바운드 엔드포인트가 다시 프로비저닝되면 이 IP 주소가 변경될 수 있지만 일반적으로 서브넷의 5번째 IP 주소가 다시 사용됩니다. 인바운드 엔드포인트가 다시 프로비전되는 경우를 제외하고는 동적 IP 주소가 변경되지 않습니다. 다음 예제에서는 고정 IP 주소를 지정합니다.
다음 예제는 주소 공간이 10.10.0.0/16인 가상 네트워크 내에 서브넷 snet-E-inbound 내부의 VIP(가상 IP 주소)가 10.10.0.4인 인바운드 엔드포인트가 프로비전되는 것을 보여줍니다.
아웃바운드 엔드포인트
아웃바운드 엔드포인트는 Azure에서 송신되며 DNS 전달 규칙 집합에 연결할 수 있습니다.
아웃바운드 엔드포인트는 또한 프라이빗 해결 프로그램이 배포되는 프라이빗 가상 네트워크 주소 공간의 일부입니다. 아웃바운드 엔드포인트는 서브넷과 연결되지만 인바운드 엔드포인트와 같은 IP 주소로 프로비저닝되지 않습니다. 아웃바운드 엔드포인트가 있는 동일한 서브넷에는 다른 리소스가 있을 수 없습니다. 다음 스크린샷은 서브넷 snet-E-outbound 내부의 아웃바운드 엔드포인트를 보여 줍니다.
DNS 전달 규칙 집합
DNS 전달 규칙 집합을 사용하면 특정 DNS 네임스페이스에 대한 쿼리에 답변하기 위해 하나 이상의 사용자 지정 DNS 서버를 지정할 수 있습니다. 규칙 집합의 개별 규칙은 이러한 DNS 이름을 확인하는 방법을 결정합니다. 또한 규칙 집합은 하나 이상의 가상 네트워크에 연결되므로 VNet의 리소스에서 사용자가 구성한 전달 규칙을 사용할 수 있습니다.
규칙 집합에는 다음과 같은 연관이 있습니다.
- 단일 규칙 집합은 동일한 DNS Private Resolver 인스턴스에 속하는 최대 2개의 아웃바운드 엔드포인트와 연결할 수 있습니다. 서로 다른 두 DNS Private Resolver 인스턴스에서 2개의 아웃바운드 엔드포인트와 연결할 수 없습니다.
- 규칙 집합에는 최대 1000개의 DNS 전달 규칙이 있을 수 있습니다.
- 규칙 집합은 동일한 지역에 있는 최대 500개 가상 네트워크에 연결할 수 있습니다.
규칙 집합은 다른 지역의 가상 네트워크에 연결할 수 없습니다. 규칙 집합 및 기타 프라이빗 해결 프로그램 제한에 대한 자세한 내용은 Azure DNS에 대한 사용량 제한은 얼마나 되나요?를 참조하세요.
규칙 집합 링크
규칙 집합을 가상 네트워크에 연결하면 해당 가상 네트워크 내의 리소스가 규칙 집합에서 사용하도록 설정된 DNS 전달 규칙을 사용합니다. 연결된 가상 네트워크는 아웃바운드 엔드포인트가 있는 가상 네트워크와 피어링할 필요가 없지만 이러한 네트워크를 피어로 구성할 수 있습니다. 이 구성은 허브 및 스포크 디자인에서 일반적입니다. 이 허브 및 스포크 시나리오에서는 영역의 리소스 레코드를 확인하기 위해 스포크 VNet을 프라이빗 DNS 영역에 연결할 필요가 없습니다. 이 경우 프라이빗 영역에 대한 전달 규칙 집합 규칙은 허브 VNet의 인바운드 엔드포인트에 쿼리를 보냅니다. 예: azure.contoso.com에서 10.10.0.4로.
다음 스크린샷에서는 myeastspoke 스포크 가상 네트워크에 연결된 DNS 전달 규칙 집합을 보여줍니다.
DNS 전달 규칙 집합에 대한 가상 네트워크 링크를 사용하면 다른 VNet의 리소스에서 DNS 이름을 확인할 때 전달 규칙을 사용할 수 있습니다. 프라이빗 확인자가 있는 VNet은 규칙 집합 규칙이 있는 모든 프라이빗 DNS 영역에서도 연결되어야 합니다.
예를 들어 VNet myeastspoke의 리소스는 다음과 같은 경우 프라이빗 DNS 영역 azure.contoso.com의 레코드를 확인할 수 있습니다.
myeastvnet에 프로비전된 규칙 집합은myeastspoke에 연결됩니다.- 규칙 집합 규칙은
myeastvnet의 인바운드 엔드포인트를 사용하여azure.contoso.com을 해결하도록 연결된 규칙 집합에서 구성 및 사용하도록 설정됩니다.
참고 항목
규칙 집합을 다른 Azure 구독의 가상 네트워크에 연결할 수도 있습니다. 그러나 지정된 리소스 그룹은 프라이빗 확인자와 동일한 지역에 있어야 합니다.
규칙
DNS 전달 규칙(규칙 집합 규칙)에는 다음과 같은 속성이 있습니다.
| 속성 | 설명 |
|---|---|
| 규칙 이름 | 규칙의 이름입니다. 이름은 문자로 시작해야 하며 문자, 숫자, 밑줄 문자 및 대시만 포함할 수 있습니다. |
| 도메인 이름 | 규칙이 적용되며 점으로 끝나는 DNS 네임스페이스입니다. 네임스페이스에는 0개의 레이블(와일드카드용) 또는 1~34개의 레이블이 있어야 합니다. 예를 들어 contoso.com.에는 두 개의 레이블이 있습니다.1 |
| 대상 IP: 포트 | 전달 대상입니다. 지정된 네임스페이스에서 DNS 쿼리를 확인하는 데 사용되는 DNS 서버의 하나 이상의 IP 주소 및 포트입니다. |
| 규칙 상태 | 규칙 상태: 사용하도록 설정 또는 사용하지 않도록 설정. 규칙이 사용하지 않도록 설정되어 있으면 무시됩니다. |
1 단일 레이블 도메인 이름이 지원됩니다.
여러 규칙이 일치하는 경우 가장 긴 접두사 일치가 사용됩니다.
예를 들어 다음 규칙이 있는 경우:
| 규칙 이름 | 도메인 이름 | 대상 IP: 포트 | 규칙 상태 |
|---|---|---|---|
| Contoso | contoso.com. | 10.100.0.2:53 | Enabled |
| AzurePrivate | azure.contoso.com. | 10.10.0.4:53 | Enabled |
| 와일드카드 | . | 10.100.0.2:53 | Enabled |
secure.store.azure.contoso.com에 대한 쿼리는 azure.contoso.com에 대한 AzurePrivate 규칙과 일치하며 contoso.com에 대한 Contoso 규칙과도 일치하지만 azure.contoso 접두사가 contoso보다 길기 때문에 AzurePrivate 규칙이 우선 적용됩니다.
Important
규칙이 프라이빗 확인자 인바운드 엔드포인트를 대상으로 하는 규칙 집합에 있는 경우 규칙 집합을 인바운드 엔드포인트가 프로비전된 VNet에 연결하지 마세요. 이 구성으로 인해 DNS 확인 루프가 발생할 수 있습니다. 예를 들어 이전 시나리오에서는 10.10.0.4의 인바운드 엔드포인트가 myeastvnet에서 프로비전되고 인바운드 엔드포인트를 사용하여 azure.contoso.com을 확인하는 규칙이 있으므로 규칙 집합 링크를 myeastvnet에 추가하지 않아야 합니다.
이 문서에 표시된 규칙은 특정 시나리오에 사용할 수 있는 규칙의 예입니다. 사용된 예는 필수가 아닙니다. 전달 규칙을 주의 깊게 테스트합니다.
규칙 집합에 와일드카드 규칙을 포함하는 경우 대상 DNS 서비스가 공용 DNS 이름을 확인할 수 있는지 확인합니다. 일부 Azure 서비스에는 공용 이름 확인에 대한 종속성이 있습니다.
규칙 처리
- 여러 DNS 서버를 규칙의 대상으로 입력하는 경우 응답하지 않는 한 입력한 첫 번째 IP 주소가 사용됩니다. 지수 백오프 알고리즘은 대상 IP 주소가 응답하는지 여부를 결정하는 데 사용됩니다.
- 특정 도메인은 Azure 서비스에 예약되어 있으므로 DNS 확인을 위해 와일드카드 규칙을 사용할 때 무시됩니다. 예약된 도메인 목록은 Azure 서비스 DNS 영역 구성을 참조하세요. 이 문서에 나와 있는 두 개의 레이블 DNS 이름(예: windows.net, azure.com, azure.net, windowsazure.us)은 Azure 서비스에 대해 예약되어 있습니다.
Important
- 규칙의 대상 IP 주소로 Azure DNS IP 주소 168.63.129.16을 입력할 수 없습니다. 이 IP 주소를 추가하려고 하면 규칙에 대한 추가 요청을 수행하는 동안 예외라는 오류가 출력됩니다.
- 프라이빗 확인자의 인바운드 엔드포인트 IP 주소를 프라이빗 확인자를 프로비전하는 가상 네트워크에 연결되지 않은 영역의 전달 대상으로 사용하지 마세요.
디자인 옵션
허브 및 스포크 아키텍처에서 전달 규칙 집합 및 인바운드 엔드포인트를 배포하는 방법은 네트워크 디자인에 따라 이상적으로 달라집니다. 다음 섹션에서는 두 가지 구성 옵션에 대해 간략하게 설명합니다. 구성 예에 대한 자세한 내용은 프라이빗 확인자 아키텍처를 참조하세요.
전달 규칙 집합 링크
전달 규칙 집합을 VNet에 연결하면 해당 VNet에서 DNS 전달 기능을 사용할 수 있습니다. 예를 들어 쿼리를 프라이빗 확인자의 인바운드 엔드포인트로 전달하는 규칙이 규칙 집합에 포함되는 경우 이 유형의 규칙을 사용하여 인바운드 엔드포인트의 VNet에 연결된 프라이빗 영역을 확인할 수 있습니다. 허브 VNet이 프라이빗 영역에 연결되어 있고 프라이빗 영역에 연결되지 않은 스포크 VNet에서 프라이빗 영역을 확인할 수 있도록 하려는 경우 이 구성을 사용할 수 있습니다. 이 시나리오에서 프라이빗 영역의 DNS 확인은 허브 VNet의 인바운드 엔드포인트에서 수행됩니다.
규칙 집합 링크 디자인 시나리오는 네트워크 트래픽이 Azure 네트워크 전체에 분산되고 일부 위치에서 고유할 수 있는 분산 DNS 아키텍처에 가장 적합합니다. 이 디자인을 사용하면 단일 규칙 집합을 수정하여 규칙 집합에 연결된 모든 VNet에서 DNS 확인을 제어할 수 있습니다.
참고 항목
규칙 집합 링크 옵션을 사용하고 인바운드 엔드포인트를 대상으로 하는 전달 규칙이 있는 경우 전달 규칙 집합을 허브 VNet에 연결하지 마세요. 이 유형의 규칙 집합을 인바운드 엔드포인트가 프로비전된 동일한 VNet에 연결하면 DNS 확인 루프가 발생할 수 있습니다.
사용자 지정 DNS로서의 인바운드 엔드포인트
인바운드 엔드포인트는 인바운드 DNS 쿼리를 처리할 수 있으며 VNet용 사용자 지정 DNS로 구성할 수 있습니다. 이 구성은 사용자 고유의 DNS 서버 VNet에서 사용자 지정 DNS로 사용하여 인스턴스를 대체할 수 있습니다.
사용자 지정 DNS 디자인 시나리오는 DNS 확인 및 네트워크 트래픽 흐름이 대부분 허브 VNet으로 향하고 중앙 위치에서 제어되는 중앙 집중식 DNS 아키텍처에 가장 적합합니다.
이 방법을 사용하여 스포크 VNet에서 프라이빗 DNS 영역을 확인하려면 인바운드 엔드포인트가 있는 VNet을 프라이빗 영역에 연결해야 합니다. 허브 VNet은 전달 규칙 집합에 연결할 수 있습니다(선택 사항). 규칙 집합이 허브에 연결되는 경우 인바운드 엔드포인트에 보낸 모든 DNS 트래픽은 규칙 집합에서 처리됩니다.
다음 단계
- Azure DNS Private Resolver의 구성 요소, 이점 및 요구 사항을 검토합니다.
- Azure PowerShell 또는 Azure Portal을 사용하여 Azure DNS Private Resolver를 만드는 방법을 알아봅니다.
- Azure DNS Private Resolver를 사용하여 Azure 및 온-프레미스 도메인을 확인하는 방법을 이해합니다.
- 프라이빗 확인자를 사용하여 DNS 장애 조치(failover)를 설정하는 방법을 알아봅니다.
- 프라이빗 해결 프로그램을 사용하여 하이브리드 DNS를 구성하는 방법을 알아봅니다.
- Azure의 몇 가지 다른 주요 네트워킹 기능을 알아봅니다.
- 학습 모듈: Azure DNS 소개
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기