AWS 엔드포인트 서비스에서 Private DNS name 검증 방법

 

프라이빗 DNS를 사용하여 엔드포인트 서비스에 접근하고자 한다면 도메인에 대한 소유권 확인 작업이 필요하다. 이 글에서는 Route53을 사용하는 Private DNS name 검증 방법에 대해 설명한다. 

 

전제 조건

• 엔드포인트 서비스에서 프라이빗 DNS 이름 활성화 '예' 상태
• 연결된 엔드포인트에서 프라이빗 DNS 이름 활성화 '예' 상태
• 엔드포인트 서비스에 엔드포인트가 연결된 상태 
• VPC의 DNS enableDnsHostnames, enableDnsSupport 속성이 true 상태 

 

내가 실패했던 이유 

프라이빗이라는 명칭때문에 당연히 프라이빗 호스팅 영역에 레코드를 등록해야한다고 생각했으나,,

프라이빗 호스팅 영역이란 인터넷에 자신의 리소스를 노출하지 않고 VPC 내에 있는 도메인과 그 하위 도메인의 트래픽을 라우팅하려는 방식에 대한 정보를 담고 있는 컨테이너이다. 

 

퍼블릭 호스팅 영역에 TXT 레코드를 추가해줘야 한다. 문서를 자세히 읽어보면 프라이빗 DNS name에 대한 A레코드를 만들어서는 안되며, 퍼블릭 도메인에 DNS 레코드를 생성해야 한다고 명시되어있다.

 

You must not create an A record for the private DNS name, so that only servers in the service consumer VPC can resolve the private DNS name.
To verify a domain, you must have a public hostname or a public DNS provider.서

 

 

Private DNS name 검증 방법

---

나는 Route53을 사용중이라 콘솔에서 바로 등록했다.

사용할 프라이빗 DNS 이름을 입력하면 콘솔상에 도메인 확인 이름과 도메인 확인 값이 표시된다.

 

나는 이미 확인한 상태라 Verified 되어있는데

확인되지 않을 경우 pendingVerification이나 Failed가 뜬다.

 

위 정보를 Route53에 가서 입력해준다.

나는 현재 chnh.io라는 도메인을 사용하고 있고,

Route53의 퍼블릭 호스팅 영역에 external-api.chnh.io라는 레코드는 등록하지 않은 상태이다.

 

도메인 확인 이름과 값을 레코드 이름과 값에 넣어준다. 

 

Route53이 아닌 다른 곳에서 도메인을 구매한 경우 공식 문서에서 등록 방법을 확인할 수 있다.

 

도메인 소유권 확인은 도메인의 DNS 설정에서 TXT 레코드가 있는 것을 감지하면 자동으로 Verified된다.

 

당장 확인하고 싶다면 엔드포인트 서비스 선택 후

[작업] > [프라이빗 DNS 이름에 대한 도메인 소유권 확인] 에서 수동으로 확인할 수 있다. 

 

DNS 확인이 완료되면 Consumer의 엔드포인트 콘솔에서도 프라이빗 DNS 이름을 확인할 수 있다. 

 

 

TXT 레코드가 잘 등록되어있는지 확인하려면 엔드포인트가 있는 VPC에서 nslookup으로 테스트 해볼 수 있다. 

nslookup -type=TXT  _6e86v84tqgqubxbwii1m.example.com 

Server:         10.0.0.2
Address:        10.0.0.2#53

Non-authoritative answer:
_6e86v84tqgqubxbwii1m.example.com text = "vpce:l6p0ERxlTt45jevFwOCp"

 

---

참고

• Manage DNS names for VPC endpoint services
• 엔드포인트 서비스의 프라이빗 DNS 이름
• 사용자 지정 프라이빗 DNS 이름을 사용하도록 VPC 엔드포인트 서비스를 설정하려면 어떻게 해야 하나요?