개요

Multi-Account 와 On-Premise 환경을 DX로 연결한 환경에서

1. 서로다른 account간의 Private DNS 쿼리 및 2. 온프레미스와 AWS 간의 양방향 쿼리를 지원하는 방안에 대해서 작성 

 

1.서로 다른 Account간 Private DNS 공유 설정

  •  각 Account의 AWS 콘솔 > R53 > 공유하고자 하는 도메인 선택 > Associate New VPC를  추가

 

 

2.서로 다른 Account간 Private DNS 공유 설정

AWS 대표도메인은 "awscloud.private", On-Premise 대표도메인은  "onprem.private"

 
① : Central DNS Account의 DNS(그림의 172.27.0.2, 기본DNS는 각 서브넷 2번으로 할당됨)는 Organizaion에 속한
     모든 어카운트의 Primary 도메인 리졸버 역할을 함
 
 

② : Central DNS account의 Outbound Endpoint는 AWS에서 On-Premise DNS로 도메인 쿼리를 전달하는데 사용함

  • Central DNS account > R53 > Resolver > Rules 에서 Rule 등록
  • DNS name = 쿼리한 온프레미스 대표도메인, Target IP = 온프레미스 DNS 서버

 

 

 

③ 그림의 conditional forward rule과 같이 Central DNS account(NW account)에 Inbound/Outbound Resolver Rule이 존재한다

 

 

④ Central DNS account의 등록한 foward Rule(온프레미스 DNS 쿼리용)을 RAM(Resource Access Manager)로 서로다른 account에 Share 및 각 account에서 Shared Rule을 VPC Associate 한다.

  • Central DNS에서 AWS console > RAM > Shared by me > Resource shares에서 Rule을 공유함
  • Account #1,#2,#3에서 AWS console > R53 > Resolver > VPCs에서 공유받은 Rule을 associate 한다.
 
 
 
⑤ 각 계정(Account #1, #2, #3)에서 소유한 private hosted(awscloud.private의 서브도메인 형태)존을 공유하려면 VPC에 asscociation이 필요함
 
 
 
⑥ On-Premise DNS서버에서 'cio.aws.sarc.com'의 도메인영역에 대해서 Central DNS account의 'Resolver InboundEndpoint IP'로 foward 처리하도록 Rule 등록한다