- 시나리오 : 고객이 온프레미스 네트워크에서 개인 엔드포인트에 연결하려는 개인 엔드포인트 시나리오에서 먼저 FQDN을 IP 주소로 확인해야 합니다. 일반적으로 구현 파트너가 PaaS 서비스의 FQDN으로 조건부 포워더를 만든 다음 Azure에 호스팅된 DNS 서버의 개인 IP 주소를 가리키는 것을 보았습니다. 그런 다음 다음 단계는 Azure에 호스팅된 DNS 서버에서 동일한 유형의 조건부 포워더가 개인 엔드포인트 IP를 확인하는 데 도움이 되는 Azure 와이어 서버 IP 168.63.129.16을 가리키는 것입니다.
조직에 2-3개의 DNS 서버가 있는 경우 쉽게 처리할 수 있습니다. 하지만 DNS 서버 수가 15-20개가 넘고 DNS 서버가 온프레미스와 멀티 클라우드의 클라우드에 배치된 기업을 고려하면 다음과 같은 과제에 직면하게 됩니다.
- 과제 : AD와 통합된 온프레미스 DNS 서버에서 고객은 DNS 포워더를 만들고 Azure에 호스팅된 DNS 서버를 가리킵니다. Windows Server Active Directory와 통합된 DNS 서버가 많으므로 고객은 "이 조건부 포워더를 Active Directory에 저장" 확인란을 선택합니다. 그러면 모든 DNS 서버에서 동일한 조건부 포워더를 수동으로 만들 필요가 없습니다. 이렇게 하면 작업이 더 쉬워집니다. 이렇게 하면 Azure의 DNS 서버에도 동일한 조건부 포워더가 생기고 와이어 서버 IP를 가리키는 다른 포워더는 작동하지 않게 됩니다.
- 해결책 : 이 충돌을 해결하는 데는 여러 가지 옵션이 있습니다. 아래에 언급된 대로. 고객이 개인 DNS 리졸버를 선택하는 경우, 이는 Microsoft에서 가장 편리한 접근 방식이며 권장하는 접근 방식입니다. 그러나 많은 사람이 개인 DNS 리졸버를 선택하지 않고 다른 옵션을 선택하여 비용을 절감할 수 있습니다. 다른 옵션에는 수동 활동이 포함됩니다.
1. Use Private DNS resolve:
이 충돌을 처리하는 한 가지 방법은 Azure DNS Private Resolver를 사용하거나 공유 서비스 VNET 또는 도메인 컨트롤러가 호스팅되는 ID VNET의 별도 서브넷에 DNS Private Resolver를 배포하는 것입니다. 인바운드 엔드포인트를 만들고, 프라이빗 엔드포인트에 대한 조건부 포워더를 만들고 ADPR(Azure DNS Private Resolver)을 가리킵니다. 조건부 포워더를 Active Directory에 저장하면 Azure 호스팅 DNS 서버 또는 온프레미스에 복제되더라도 DNS 이름 확인 흐름이 끊어지지 않습니다. 모든 확인 요청이 ADPR에 들어오고 프라이빗 IP를 확인합니다.
일부 우수한 아키텍처 및 흐름도는 이미 여기에 문서화되어 있습니다: https://learn.microsoft.com/en-us/azure/architecture/networking/architecture/azure-dns-private-resolver
장점: MS는 일반적으로 ADPR을 권장합니다. 서버를 관리할 필요가 없고, 가용성이 높고, 보안성이 뛰어나며, 관리형 서비스이기 때문입니다.
2. Create conditional forwarder without storing it in Active Directory
또 다른 접근 방식은 온프레미스 DNS 서버에서 조건부 포워더를 만들 때 Active Directory에 저장하지 않는 것입니다. 이로 인해 Azure의 DNS 서버에 동일한 내용이 복제되지 않습니다. 그러면 충돌이 방지됩니다.
그러나 이 접근 방식에는 함정이 있습니다. 통합 DNS가 있는 20개의 도메인 컨트롤러가 있는 경우 각 DNS 서버에서 조건부 포워더를 수동으로 만들어야 합니다. Powershell을 통해 이를 스크립팅할 수 있습니다. 이 작업은 새 유형의 개인 엔드포인트를 만들 때마다 수행해야 합니다. 예를 들어 BLOB 저장소를 사용하다가 SQL PaaS 데이터베이스를 사용하기 시작하면 새 FQDN이 생성됩니다. Powershell 스크립트를 통해 각 DNS 서버에서 다시 한 번 동일한 작업을 만들어야 합니다. 또는 조직에서 미리 모든 잘 알려진 개인 엔드포인트 FQDN을 한 번에 추가할 수 있도록 허용하는 경우 이를 수행할 수 있습니다.
PowerShell 스크립트의 경우 아래 링크를 사용할 수 있으며, 작성자는 실행하여 조건부 포워더를 빠르게 생성할 수 있는 스크립트를 만들었습니다.
3. 별도의 Active Directory 파티션을 만듭니다.(Create a separate active directory partition)
이 솔루션에서는 별도의 Active Directory 파티션을 만들어야 합니다. 해당 파티션에 조건부 포워더를 저장합니다. 해당 파티션에 온-프레미스 DNS 서버만 가입하면 됩니다. Azure에서 호스팅되는 DNS 서버는 제외합니다. 결국 Azure에서 호스팅되는 DNS 서버에 조건부 포워더를 복제하지 않으므로 충돌이 발생하지 않습니다.
주의하세요. 이미 조건부 포워더를 생성한 다음 이 솔루션을 사용하는 것을 고려하는 경우 Active Directory DNS에 버그가 있습니다. 온프레미스 DNS 서버에서 모든 조건부 포워더를 삭제하고 다시 생성해야 합니다.
위의 옵션이 여러분의 환경에 맞는 올바른 이름 확인 전략을 선택하는 데 도움이 되기를 바랍니다.
즐거운 학습이 되세요!
'IT이야기 > Azure' 카테고리의 다른 글
| Traffic Manager와 App Gateway를 사용하여 multiple SAP 앱에 액세스하세요. (1) | 2024.12.31 |
|---|---|
| Azure에서 합병, 인수 및 이동을 처리하는 방법 (0) | 2024.12.31 |
| Azure VMware 솔루션의 스토리지 유형에 대한 비밀 해제 (0) | 2024.12.31 |
| Azure Firewall을 사용하여 Azure VMware 솔루션 배포 (0) | 2024.12.31 |
| 다양한 유형의 Azure Migrate 평가 탐색 (0) | 2024.12.31 |