참고:
- 이 자습서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
- Oracle Cloud Infrastructure 인증서, 테넌시 및 구획에 대한 예제 값을 사용합니다. 실습을 완료하려면 이 값을 클라우드 환경에 해당하는 값으로 대체하십시오.
Oracle Cloud Infrastructure 및 온-프레미스(On-Premise) 서비스에 대해 양방향 도메인 이름 분석 구성
소개
DNS(도메인 이름 시스템)는 온프레미스 환경에서 사용되는 공통 서비스이지만, 일단 클라우드에 있으면 동일한 기술을 적용할 수 있지만 특정 구성을 사용할 수 있습니다. 이름 확인은 응용 프로그램에서 IP 주소를 하드 코딩하지 않고 이미 가지고 있는 공통 이름을 사용하여 시스템, 컴퓨터, 서비스 및 기타 리소스에 액세스하려는 경우에 유용할 수 있습니다.
목표
OCI(Oracle Cloud Infrastructure) 및 온프레미스 서비스에 대해 양방향 도메인 이름 분석을 구성합니다.
필요 조건
- VCN 서비스 검사를 구성할 수 있는 충분한 IAM 권한을 가진 OCI(Oracle Cloud Infrastructure) 콘솔에 액세스합니다. 자세한 내용은 필요한 IAM 서비스 정책을 참조하십시오.
- 온-프레미스 DNS 서버(설치 내용은 이 자습서에서 다루지 않음).
- OCI VCN은 공용 및 전용 서브넷과 함께 배치됩니다(이 자습서에서는 초기 구성이 다루지 않음).
- OCI와 온프레미스 간 연결성(이 자습서에서는 FastConnect 또는 VPN 배포에 대해 다루지 않음)
- OCI와 온프레미스(온프레미스 보안 액세스 목록, OCI 보안 목록 또는 네트워크 보안 그룹) 간의 연결을 통해 DNS 트래픽 플로우(예: TCP/UDP 포트 53 등)를 허용합니다.
- 이 사용지침서에서는 OCI에 배포된 2개의 서버, 온프레미스에 배포된 서버를 사용합니다. 이 설정이 설치되어 있고 이러한 서버에 액세스하여 이름 분석 테스트를 실행할 수 있는지 확인합니다.
고려 사항:
- OCI 서브넷 A(10.0.0.0 /24)와 온프레미스 서브넷(172.16.11.0 /24) 간의 접속으로, 여기서
example.local
DNS 서버는 상주합니다. 연결 설정에 대한 자세한 단계는 이 자습서의 범위를 벗어납니다. 자세한 내용은 FastConnect, DRG, VPN 설명서를 참조하십시오. - OCI DNS를 구성하는 사용자는 VCN을 변경할 수 있는 충분한 권한이 있어야 합니다. 정책 정의가 이 자습서의 범위를 벗어났습니다. 자세한 내용은 필요한 IAM 서비스 정책을 참조하십시오.
토폴로지
이 자습서에서는 다음 토폴로지를 사용합니다.
OCI의 DNS 서비스
처음에 VCN 및 서브넷을 생성할 때 각각 DNS 레이블을 지정할 수 있습니다. 서브넷 DNS 레이블은 VCN 자체가 DNS 레이블을 사용하여 생성된 경우에만 설정할 수 있습니다. 레이블은 oraclevcn.com
의 상위 도메인과 함께 VCN 도메인 이름 및 서브넷 도메인 이름을 형성합니다.
- VCN 도메인 이름:
<VCN DNS label>.oraclevcn.com
- 서브넷 도메인 이름:
<subnet DNS label>.<VCN DNS label>.oraclevcn.com
인스턴스를 실행할 때 호스트 이름을 지정할 수 있습니다. 인스턴스 시작(기본 VNIC) 중에 자동으로 생성되는 VNIC에 지정됩니다. 호스트 이름은 서브넷 도메인 이름과 함께 FQDN(전체 도메인 이름)을 형성합니다.
- 인스턴스 FQDN:
<hostname>.<subnet DNS label>.<VCN DNS label>.oraclevcn.com
예: instance-remote.publicsubnet.vcnremote.oraclevcn.com
.
작업 1: 초기 구성 설정
온프레미스 초기 상태
-
example.local
도메인이 로컬 도메인으로 구성됨 -
기본 DNS 서버는 172.16.11.55입니다.
-
정적 호스트 레지스트리는
server1.example.local
, IP 주소 172.16.11.3(으)로 생성됩니다. -
이름 분석을 통해 OCI 리소스에 대한 연결이 없습니다.
OCI 초기 상태
-
기본 DNS 구성이 있습니다.
-
로컬 OCI 이름이 분석됨
-
이름 분석을 통해 온프레미스 리소스에 대한 연결이 없습니다.
작업 2: OCI 환경 설정
온프레미스에서 OCI로 DNS 항목을 분석하기 위해 두 DNS에 몇 가지 규칙을 생성합니다. 이러한 규칙은 필요에 따라 DNS 질의를 특정 도메인으로 전달합니다. OCI 도메인을 찾는 온프레미스 쿼리는 OCI DNS 서비스로 전달됩니다. 온프레미스 도메인을 찾는 OCI 쿼리는 온프레미스 DNS 서버로 전달됩니다.
참고: DNS 분석기는 VCN 레벨에 영향을 미치며, 이에 대한 모든 변경 사항은 해당 레벨 내의 모든 서브넷에 적용됩니다.
-
VCN 세부정보 페이지로 이동하여 DNS 분석기 구성을 확인합니다.
-
VCN/DNS 분석기 세부정보 페이지에서 끝점 생성을 누릅니다. 다음 단계에 설명된 대로 수신 또는 전달을 선택할 수 있습니다.
-
수신 끝점 유형을 선택하면 OCI로 전달된 모든 DNS 질의가 이 끝점에 의해 수신됩니다.
A. 수신 끝점 유형을 선택합니다.
B. 사용자정의 이름을 입력하십시오.
C. 끝점에 대한 구획 및 서브넷을 선택합니다. 온프레미스 네트워크에서 이 서브넷에 연결할 수 있는지 확인합니다. 특히 DNS 쿼리를 전달하는 온프레미스 DNS 서버가 이 네트워크에 접근할 수 있어야 합니다.
D. 사용자정의 IP를 제공합니다. 선택하지 않을 경우 서비스가 대신 선택합니다. 이 IP는 서브넷에 포함됩니다.
E. 이 끝점에 대한 액세스를 제한할 수 있습니다. 보안 모범 사례는 NSG를 지정하는 것입니다. 온프레미스 DNS 서버 IP에서 DNS 트래픽을 허용하기 위해 인바운드 규칙을 구성했는지 확인하십시오.
-
전달 끝점 유형을 선택하면 이 끝점에 의해 온프레미스 DNS로 전달된 모든 DNS 질의가 전달됩니다.
A. 전달 엔드포인트 유형을 선택합니다.
B. 사용자정의 이름을 입력하십시오.
C. 끝점에 대한 구획 및 서브넷을 선택합니다. 온프레미스 네트워크에서 이 서브넷에 연결할 수 있는지 확인합니다. 특히 DNS 쿼리를 전달하는 온프레미스 DNS 서버가 이 네트워크에 접근할 수 있어야 합니다.
D. 사용자정의 IP를 제공합니다. 선택하지 않을 경우 서비스가 대신 선택합니다. 이 IP는 서브넷에 포함됩니다.
E. 이 끝점에 대한 액세스를 제한할 수 있습니다. 보안 모범 사례는 NSG를 지정하는 것입니다. 온프레미스 DNS 서버 IP에서 DNS 트래픽을 허용하기 위해 인바운드 규칙을 구성했는지 확인하십시오.
주:
- 온프레미스 DNS 서버에 대한 모든 DNS 트래픽은 IP A를 사용하여 전달됩니다.
- OCI DNS 서비스에 대한 모든 DNS 트래픽은 온프레미스에서 IP B로 전달되어야 합니다.
- VPN/FastConnect를 통해 온프레미스에서 해당 IP 주소(경로 지정, 방화벽 액세스 목록, NSG 등)와의 연결을 보장합니다.
전달 규칙 설정
모든 DNS 쿼리를 example.local
도메인에서 온프레미스 DNS 서버(172.16.11.55)로 전달하는 규칙을 만들 것입니다. 이 규칙은 모든 DNS 질의를 example.local
도메인에 일치시키고 이 질의를 172.16.11.55 IP로 전달하여 이름 분석을 찾습니다.
-
VCN/전용 분석기 세부정보, 규칙/관리 규칙으로 이동합니다.
A. 규칙과 일치시킬 도메인 또는 CIDR 블록을 선택합니다. 이 자습서에서는 도메인을 사용합니다.
B. 규칙과 일치하도록 최대 10개의 도메인 항목을 추가할 수 있습니다. 동일한 대상 DNS IP 주소 항목을 공유하는 모든 도메인을 그룹화해야 합니다.
C. 질의를 전달하려면 소스 끝점을 선택하십시오. VPN/FastConnect 접속을 통해 이 IP는 경로 지정되고 다른 액세스 목록에서 허용되어야 합니다.
D. 대상 온프레미스 DNS 서버 IP 주소를 입력합니다.
작업 3: 온-프레미스(On-Premise) 환경 설정
도메인 컨트롤러에서 실행되는 Microsoft® DNS 서비스를 사용하고 있습니다. oraclevcn.com
도메인을 찾는 모든 DNS 쿼리를 OCI DNS 분석기 서비스로 전달하는 조건부 전달 규칙을 생성합니다.
-
DNS 관리자 구성 페이지에서 조건부 전달자/새 조건부 전달자를 마우스 오른쪽 버튼으로 누릅니다.
A. 온프레미스 네트워크에서 분석할 OCI DNS 이름을 입력합니다.
B. OCI 리스너 끝점 [IP 주소]를 입력합니다.
C. 확인을 누릅니다.
이제 DNS 이름 확인을 OCI에서 온프레미스로 또는 그 반대로 구성할 수 있습니다.
작업 4: 구성 테스트
구성을 테스트하고 결과는 다음 스크린샷과 유사해야 합니다.
온프레미스에서 OCI로
OCI에서 온프레미스로
관련 링크
수락
- 작성자 - Jaime Rojas(LAD A-Team 엔지니어)
추가 학습 자원
docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스할 수 있습니다. 또한 education.oracle.com/learning-explorer을 방문하여 Oracle Learning Explorer가 됩니다.
제품 설명서는 Oracle Help Center를 참조하십시오.
Configure two way domain name resolution for Oracle Cloud Infrastructure and On-Premises services
F78338-02
April 2023
Copyright © 2023, Oracle and/or its affiliates.