주:

• 이 자습서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 자격 증명, 테넌시 및 구획에 예제 값을 사용합니다. 실습을 완료했으면 이러한 값을 자신의 클라우드 환경과 관련된 값으로 대체하십시오.

Oracle Cloud Infrastructure DNS를 사용하여 네이티브 도메인 해결

소개

OraStage 재생 에너지 솔루션과 혁신적인 전력 기술을 전문으로 하는 에너지 분야의 선도적인 기업인 이 회사는 성능, 확장성 및 보안을 강화하기 위해 워크로드를 Oracle Cloud Infrastructure(OCI)로 마이그레이션하는 전략적 결정을 발표했습니다.

OraStage에서 설명한 특정 요구 사항과 조건을 고려하면 클라우드에 하이브리드 DNS(Domain Name System) 솔루션이 필요하며, 하이브리드 방식에서는 자체 Berkeley Internet Name Domain 버전 9(BIND9) DNS 시스템을 OCI DNS 서비스와 함께 사용합니다. 여기서 빌드하려는 최종 아키텍처는 다음 이미지에 나와 있습니다.

OraStage DNS 요구 사항:

• 이 회사는 여러 내부 도메인과 하위 도메인을 보유하고 있으며, 이 모든 도메인은 OCI의 BIND9 DNS를 통해 해결되어야 하며, 여기서 OraStage는 모든 관련 영역과 레코드를 관리합니다. 이러한 도메인 중 하나는 이 자습서에서 사용할 orastage.com입니다. 따라서 orastage.com에 대한 질의를 BIND9로 전달해야 합니다.

• 경우에 따라 OCI 네이티브 도메인(oraclevcn.com, oraclecloud.com 등)을 계속 분석해야 하며, 이는 OCI 프라이빗 DNS 구성요소(프라이빗 뷰, 전달 끝점 및 규칙, 수신 끝점)를 사용하여 수행됩니다.

• 모든 질의는 pfSense 방화벽 인스턴스에서 검사해야 합니다.

• 단일 장애 지점을 방지하기 위해 OraStage는 다른 DNS 서버를 사용하고 OCI 로드 밸런서를 활용하여 기본 DNS와 보조 DNS 간에 쿼리를 분산할 계획입니다.

이 자습서 시리즈는 위의 요약된 요구 사항을 충족하고 전체 솔루션을 처음부터 구축할 수 있도록 단계별로 안내합니다. 아래 목록에서 각 자습서로 쉽게 이동할 수 있습니다.

• 자습서 1: OCI에서 BIND9 DNS를 구성합니다. BIND9를 OCI의 두 테스트 환경용 로컬 DNS 서버로 만들어 컴퓨팅 인스턴스에 설치하고 구성하는 방법을 알아봅니다. 이러한 환경은 각각 별도의 스포크 네트워크에서 호스팅되는 "프론트엔드" 및 "백엔드" 서버로 구성됩니다. BIND9 서버는 orastage.com로 지정된 모든 DNS 질의를 처리합니다.

• 자습서 2: OCI의 BIND9 DNS 시나리오에서 고가용성 구현. 이 사용지침서에서는 보조 BIND9 서버를 추가하고 NLB(네트워크 로드 밸런서)를 구성하여 두 서버 간에 DNS 트래픽을 분산하는 방법을 중점적으로 설명합니다. orastage.com에 대한 DNS 질의는 기본 서버와 보조 BIND9 서버 간의 로드 균형을 조정하는 NLB IP로 지정됩니다. 한 서버를 사용할 수 없게 되면 서비스 중단 없이 DNS 확인이 계속됩니다.

• 자습서 3: OCI DNS를 사용하여 네이티브 도메인 확인. oraclevcn.com 및 oraclecloud.com와 같은 네이티브 도메인을 분석해야 하는 경우를 대비해 OCI에서 네이티브 DNS 구성요소를 활용하는 특정 사용 사례에만 집중할 수 있습니다. BIND9 DNS는 이 자습서에서 사용되지 않습니다.

• 자습서 4: pfSense 방화벽을 사용하여 DNS 구조에 보안 추가. OCI의 허브 VCN에 pfSense 방화벽을 설치하는 데 중점을 두고, 검사할 방화벽을 통해 DNS 쿼리를 포함한 모든 동서 트래픽(이전 자습서에서 완료)을 라우팅하는 데 필요한 네트워크 구성을 수행합니다.

개요

이 사용지침서에서는 oraclevcn.com 및 oraclecloud.com와 같은 OCI 고유 도메인을 처리하는 데 중점을 둡니다. 이 섹션에서는 BIND9를 사용하여 orastage.com와 같은 커스터마이징 도메인을 해결하는 대신 OCI 내장 DNS 기능을 살펴봅니다.

OCI 프라이빗 DNS의 구성요소와 OCI 프라이빗 네트워크 내에서 DNS 트래픽을 관리하는 데 중요한 역할을 하는 쿼리 처리와 관련된 주요 요소를 자세히 살펴볼 것입니다. 자습서 1 및 자습서 2의 일부 부분에서 이미 사용했음을 알 수 있습니다. 이러한 구성 요소는 다음과 같습니다.

• 프라이빗 DNS 영역: VCN(프라이빗 IP 주소) 내에서 액세스할 수 있는 DNS 데이터만 포함합니다. 프라이빗 DNS 영역은 인터넷 DNS 영역과 유사한 기능을 가지지만 VCN을 통해 연결될 수 있는 클라이언트에 대해서만 응답을 제공합니다. 각 영역은 단일 뷰에 속합니다.

• 프라이빗 DNS 뷰: 프라이빗 영역의 그룹화로서, 각 뷰는 분석기와 연관되어 DNS 쿼리가 분석되는 방식을 제어할 수 있습니다. 단일 뷰를 여러 분석기에서 활용할 수 있으므로 여러 VCN에서 전용 DNS 데이터를 공유할 수 있습니다. 각 구역은 하나의 뷰에만 속할 수 있습니다.

  예를 들어 VCN-A와 VCN-B라는 두 개의 새 VCN을 생성했습니다. 기본적으로 VCN-A 내의 리소스는 레코드가 VCN-A 전용 뷰에 있는 동일한 전용(private) 영역에 저장되기 때문에 추가 구성 없이 서로 해결할 수 있습니다. VCN-B도 마찬가지입니다. 그러나 VCN-A의 리소스가 VCN-B의 리소스를 분석하도록 하려면 VCN-B의 프라이빗 뷰를 VCN-A 분석기에 연관시켜야 합니다. VCN-B의 리소스가 VCN-A의 리소스를 분석하도록 하려면 VCN-A의 프라이빗 뷰를 VCN-B 분석기에 연관시켜야 합니다.

• 프라이빗 DNS 분석기: VCN 전용 프라이빗 DNS 분석기는 다음 순서로 DNS 쿼리에 대한 응답을 제공합니다. 먼저 연결된 프라이빗 뷰에서 영역을 확인한 다음 기본 뷰에서 전달 규칙을 확인한 후 마지막으로 인터넷 DNS를 사용하여 영역을 확인합니다. 이 엔진은 기본적으로 Instance의 Query에 대한 답변을 찾는 엔진입니다.

  예를 들어, 다음 이미지 스크린샷은 VCN 분석기 페이지를 보여줍니다. 이 VCN의 인스턴스에서 질의를 분석할 때 이어지는 시퀀스는 다음과 같습니다.

  

• 엔드포인트 및 규칙 전달: 전달 엔드포인트는 OCI VCN과 외부 DNS 분석기 또는 기타 DNS 영역 간의 커넥터 역할을 합니다. 전달 규칙을 사용하면 특정 DNS 쿼리를 다른 VCN 분석기의 지정된 외부 서버 또는 리스너로 전달하여 하이브리드 클라우드 DNS 아키텍처 또는 다중 영역 분석을 가능하게 할 수 있습니다.

• 수신 끝점: 이러한 끝점은 외부 소스에서 DNS 질의를 수신하는 데 사용됩니다. 이를 통해 OCI DNS 인프라가 수신되는 DNS 요청을 수신하고 응답할 수 있으므로 다양한 네트워크 구성에서 DNS 쿼리를 관리하는 기능이 향상됩니다.

이러한 구성 요소를 함께 사용하면 OCI 환경 내에서 DNS를 관리하고 사용자 정의하기 위한 강력한 도구를 제공합니다.

이 자습서가 끝나면 이러한 OCI DNS 구성 요소를 사용하여 클라우드 환경 내에서 쿼리를 효율적으로 관리하고 해결하는 방법을 확실히 이해할 수 있습니다.

목표

• 이 자습서의 주된 목적은 FE-VM 클라이언트(fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com)가 BE-VM(be-vm.beprivatesubnet.backendvcn.oraclevcn.com)을 질의하거나 그 반대의 경우 리스너 LSN을 사용하여 이러한 모든 질의에 응답할 수 있도록 하는 것입니다.

최종 아키텍처

참고:

• 처음에 VCN 및 서브넷을 만들 때 각각에 대해 DNS 레이블을 지정한 다음 컴퓨트 인스턴스를 시작할 수 있습니다. 이에 대해 호스트 이름을 지정할 수 있습니다. 마지막으로 인스턴스 FQDN(전체 도메인 이름)은 <VM-HOSTNAME>.<SUBNET-DNS-Label>.<VCN-DNS-Label>.oraclevcn.com과 유사합니다. 이러한 레이블 지정은 선택사항입니다. 레이블을 비워 두면 이 자습서의 FE-VM 및 BE-VM과 같이 리소스 이름에서 가져온 임의 이름이 제공됩니다.

• 서로를 해결하기 위해 OCI 리소스만 필요한 경우 Overview 섹션에서 언급한 전용 뷰를 사용하여 리스너를 수행할 수 있으므로 여기서는 리스너가 필요하지 않습니다. 그러나 여기에서 리스너를 사용하도록 선택한 이유는 온프레미스 및 기타 클라우드와 같은 다른 환경에서 DNS 확인을 처리하고 이 리스너의 분석기에 모든 프라이빗 뷰를 추가하는 것만으로도 충분합니다. 이 설정은 OCI 리소스를 해결하기 위해 다른 환경(온프레미스 또는 기타 클라우드 환경)이 필요할 수도 있는 특정 사용 사례를 다룹니다. 그러나 이 튜토리얼에는 포함되지 않습니다.

• LSN-VCN에 대한 분석기가 프라이빗 뷰에서 이러한 모든 질의를 처리하므로 모든 oraclevcn.com 및 oraclecloud.com 질의는 OCI, 온프레미스 네트워크 또는 기타 클라우드 제공자 네트워크에서 온 질의에 관계없이 동일한 리스너로 전달되어야 합니다.

• 이 사용지침서에서는 온프레미스 또는 Microsoft Azure에서 쿼리를 테스트하는 것이 아니라 OCI 인스턴스에서만 쿼리를 테스트합니다. 따라서 다음 다이어그램은 그림 용도로만 사용됩니다.

필요 조건

• OCI 테넌시 및 필요한 네트워크 및 컴퓨트 서비스를 관리할 수 있는 권한에 액세스합니다.

• OCI 네트워크 라우팅 및 보안과 기능에 대한 기본적인 이해: VCN(가상 클라우드 네트워크), 라우트 테이블, DRG(동적 라우팅 게이트웨이), 보안 목록, 배스천 및 OCI 네트워크 로드 밸런서.

• 일반적으로 DNS에 대한 기본적인 이해.

• 처음 두 튜토리얼을 완료해야합니다 :

  1. Oracle Cloud Infrastructure에서 BIND9 도메인 이름 시스템을 구성합니다.

  2. Oracle Cloud Infrastructure의 BIND9 Domain Name System에서 고가용성 구현

• 하나의 VCN이 하나의 전용 서브넷에 있어야 하고 이를 기존 DRG에 연결합니다. 자세한 내용은 작업 1.3: DRG에 VCN 연결을 참조하십시오.

  • LSN-VCN: 리스너를 호스트합니다. 리스너는 전용 VCN에 있을 필요는 없지만 이 자습서에서는 다른 리소스에서 분리하기 위해 이 작업을 수행하는 것이 좋습니다.

• Prerequisites를 기반으로 이미 다음 구조를 작성했어야 합니다.

  

작업 1: 라우팅 및 보안과 같은 네트워크 구성 요소 설정

작업 1.1: 가상 클라우드 네트워크(LSN-VCN) 생성

LSN-Private-Subnet(10.3.0.0/24)을 포함하는 LSN-VCN(10.3.0.0/16)이 이미 생성되어 있는지 확인합니다.

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. 네트워킹을 누릅니다.
  2. 가상 클라우드 네트워크를 누릅니다.

  

• 현재 VCN에는 전용 서브넷이 하나뿐이고 기본 라우트 테이블과 보안 목록이 연결되어 있습니다.

  

작업 1.2: LSN-VCN에 대한 경로 지정 및 보안 구성

• 이 작업은 서브넷 레벨에서 수행해야 합니다. VCN 페이지로 이동하여 LSN-VCN을 누릅니다.

  

• 전용 서브넷을 누릅니다.

  

• 지정된 경로 테이블인 경로 테이블을 누릅니다.

  

• 다음 규칙을 추가합니다.

  • 10.0.0.0/16 - DRG: DNS-VCN으로 향하는 트래픽을 DRG로 라우팅합니다.
  • 10.1.0.0/16 - DRG: Frontend-VCN으로 향하는 트래픽을 DRG로 라우팅합니다.
  • 10.2.0.0/16 - DRG: 백엔드-VCN으로 향하는 트래픽을 DRG로 라우팅합니다.

  

• 이제 보안을 하자. 서브넷 세부정보 페이지로 이동하여 지정된 보안 목록을 누릅니다.

  

• DNS-VCN, Frontend-VCN 및 Backend-VCN의 DNS 트래픽(TCP/port 53 및 UDP/port 53)을 허용합니다.

  

• 모든 송신 트래픽을 허용합니다.

  

작업 1.3: DNS-VCN에 대한 경로 지정 및 보안 구성

• VCN 페이지로 이동하여 DNS-VCN을 누릅니다.

  

• 전용 서브넷을 누릅니다.

  

• 지정된 경로 테이블인 경로 테이블을 누릅니다.

  

• 다음 규칙을 추가합니다.

  • 10.3.0.0/16 - DRG: LSN-VCN으로 향하는 트래픽을 DRG로 라우팅합니다.

  

• 필요한 보안 규칙이 이미 추가되었습니다. 자세한 내용은 자습서 1: 작업 1.4 - DNS-VCN에 대한 경로 지정 및 보안 구성을 참조하십시오.

작업 1.4: 프론트엔드-VCN에 대한 경로 지정 및 보안 구성

• 프론트엔드-VCN에 대해 작업 1.3에서 수행한 단계를 반복합니다.

작업 1.5: 백엔드 VCN에 대한 경로 지정 및 보안 구성

• 백엔드-VCN에 대해 작업 1.3에서 수행된 단계를 반복합니다.

작업 2: OCI 프라이빗 DNS 구성요소 구성

작업 2.1: LSN-VCN 분석기에 전용 뷰 추가

• LSN-VCN으로 이동하고 DNS 분석기를 누릅니다.

  

  1. 아래로 스크롤하여 연관된 개인 뷰를 누릅니다.
  2. 개인 뷰 관리를 누릅니다.
  3. DNS-VCN, Frontend-VCN 및 Backend-VCN의 전용 뷰를 선택합니다.
  4. 변경사항 저장을 누릅니다.
  5. 프라이빗 뷰가 성공적으로 추가되었습니다.

  

  

  

  현재 LSN-VCN 분석기는 다른 개인 영역에서 생성된 모든 DNS 레코드를 볼 수 있습니다. 따라서 리스너가 FE-VM 및 BE-VM FQDN에 대한 질의를 수신하면 연관된 프라이빗 뷰를 사용하여 직접 분석됩니다.

작업 2.2: LSN-VCN 분석기에서 수신 끝점 구성

• OCI 콘솔로 이동합니다.

  1. 동일한 분석기에서 끝점을 누릅니다.
  2. 끝점 생성을 누릅니다.
  3. 이름: 끝점의 이름을 입력합니다.
  4. 서브넷: LSN-VCN의 프라이빗 서브넷을 선택합니다.
  5. 끝점 유형: 수신 중을 선택합니다.
  6. 수신 IP 주소: 10.3.0.6를 입력합니다.
  7. 끝점 생성을 누릅니다.
  8. 수신 끝점이 성공적으로 생성되었습니다.

  

  

  

작업 2.3: 프론트엔드 VCN 분석기에서 전달 규칙 구성

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. 네트워킹을 누릅니다.
  2. 가상 클라우드 네트워크를 누릅니다.

  

• Frontend-VCN을 누릅니다.

• VCN의 DNS 분석기를 누릅니다.

• 아래로.

  1. 규칙을 누릅니다.
  2. 규칙 관리를 누릅니다.
  3. 스크린샷에 나오는 것처럼 다음 정보를 사용하여 다른 규칙을 추가합니다.
  4. 변경사항 저장을 누릅니다.
  5. 전달 규칙이 성공적으로 생성되었습니다.

  

  

  

작업 2.4: 백엔드 VCN 분석기에서 전달 규칙 구성

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. 네트워킹을 누릅니다.
  2. 가상 클라우드 네트워크를 누릅니다.

  

• 백엔드-VCN을 누릅니다.

  

• VCN의 DNS 분석기를 누릅니다.

  

• 아래로.

  1. 규칙을 누릅니다.
  2. 규칙 관리를 누릅니다.
  3. 스크린샷에 나오는 것처럼 다음 정보를 사용하여 다른 규칙을 추가합니다.
  4. 변경사항 저장을 누릅니다.
  5. 전달 규칙이 성공적으로 생성되었습니다.

  

  

  

• 아키텍처는 다음과 같아야 합니다.

  

작업 3: 테스트 및 검증

테스트 시나리오 1: BE-VM 고유 도메인에 대한 리스너를 질의하는 FE-VM

• FE-VM 클라이언트 시스템은 be-vm.beprivatesubnet.backendvcn.oraclevcn.com를 분석할 수 있어야 합니다. 다음 이미지는 우리가 달성하고자 하는 테스트 시나리오를 보여줍니다.

  

• OCI 콘솔로 이동하여 BE-VM 인스턴스로 이동하고 Internal FQDN을 복사하여 테스트에 사용합니다.

  

• FE-VM에 액세스하여 자습서 2: 테스트 시나리오 1 - 보조 DNS 작동 중지 시 기본 DNS가 FE-VM 질의에 응답과 동일한 OCI 배스천 서비스를 사용하여 질의 테스트를 수행합니다. 연결되면 FE-VM에서 be-vm.beprivatesubnet.backendvcn.oraclevcn.com로 oraclevcn.com 질의를 실행하고 구성을 검증합니다. 다양한 방법을 사용하여 설정이 올바르게 작동하는지 확인할 수 있습니다.

  1. host 실행 명령.
  2. ping 명령을 실행합니다.
  3. dig 명령을 실행합니다.

  

  

  

테스트 시나리오에 표시된 것처럼 BE-VM 고유 도메인의 IP 주소를 검색할 수 있으며 핑이 FQDN을 사용하여 작동하고 있습니다. 즉, 테스트가 성공합니다.

테스트 시나리오 2: BE-VM을 통해 FE-VM 고유 도메인에 대한 리스너 질의

• BE-VM 클라이언트 시스템은 fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com를 분석할 수 있어야 합니다. 다음 이미지는 우리가 달성하고자 하는 테스트 시나리오를 보여줍니다.

  

• OCI 콘솔로 이동하여 FE-VM 인스턴스로 이동하고 내부 FQDN을 복사하여 테스트에 사용합니다.

  

• BE-VM에 액세스하고 OCI 배스천 서비스를 사용하여 질의 테스트를 수행합니다. 연결되면 BE-VM에서 fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com로 oraclevcn.com 질의를 실행하고 구성을 검증합니다. 다양한 방법을 사용하여 설정이 올바르게 작동하는지 확인할 수 있습니다.

  1. host 명령을 실행합니다.
  2. ping 명령을 실행합니다.
  3. dig 명령을 실행합니다.

  

  

  

테스트 시나리오에 표시된 것처럼 BE-VM 고유 도메인의 IP 주소를 검색할 수 있으며 핑이 FQDN을 사용하여 작동하고 있습니다. 즉, 테스트가 성공합니다.

다음 단계

이 사용지침서에서는 가상 클라우드 네트워크 내에서 유연하고 강력한 DNS 관리를 제공하는 OCI 프라이빗 뷰, 엔드포인트 및 규칙 전달, 엔드포인트 수신을 사용했습니다. 이러한 구성요소는 DNS 작업을 간소화하여 특히 통합 멀티클라우드 및 온프레미스 환경을 포함하는 하이브리드 DNS 시나리오의 경우 OCI 환경 내에서 효율적이고 확장 가능한 이름 확인을 보장합니다.

이 시리즈의 다음 및 마지막 자습서인 pfSense 방화벽을 사용하여 DNS 아키텍처에 보안 추가에서 pfSense 방화벽을 구성하여 모든 DNS 쿼리를 검사하고 제어함으로써 DNS 인프라의 보안을 강화할 것입니다. 여기에는 내부 OCI 도메인(oraclevcn.com 및 oraclecloud.com)과 BIND9(예: orastage.com)에서 관리되는 사용자 정의 도메인에 대한 모니터링 및 필터링 요청이 포함됩니다.

확인

• 작성자 - Anas abdallah(클라우드 네트워킹 전문가)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer을 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

<

Use Oracle Cloud Infrastructure DNS to Resolve Native Domains

G16587-02

Copyright ©2025, Oracle and/or its affiliates.