DNS 동작 및 확인 로직
DNS(도메인 이름 시스템)는 웹을 뒷받침하며 백그라운드에서 투명하게 작동하여 사람이 읽을 수 있는 웹사이트 이름을 컴퓨터가 읽을 수 있는 숫자 IP 주소로 변환합니다. 이러한 주소는 IPv4 의 경우 RFC 1918 인터넷 가이드라인을 따르고 IPv6 의 경우 RFC 4193 인터넷 가이드라인을 따릅니다.
간단히 말해, DNS 서버는 ibm.com
와 같은 도메인 이름을 해당 IP 주소와 일치시키며, 대부분의 사람들은 이 사실을 알 필요가 없습니다.
이 변환을 수행하기 위해 DNS 시스템은 인터넷을 통해 상호 연결된 DNS 서버 네트워크를 쿼리합니다. 이 과정은 전화번호부나 지도를 사용하여 특정 위치를 찾는 것과 유사합니다.
이름 서버
네임 서버는 디렉터리에 대한 쿼리에 응답하여 의미 있는 텍스트 기반 웹 또는 호스트 이름을 IP 주소로 변환하는 서비스를 제공합니다.
네임 서버 위임은 도메인의 네임 서버가 하위 도메인의 레코드 요청을 받으면 요청자를 하위 도메인을 관리하는 위임된 네임 서버로 참조하여 응답하는 방식으로 이루어집니다. 이 프로세스를 통해 ibm.com
와 같은 대규모 도메인을 분산 관리할 수 있습니다.
사용자 정의 도메인 네임 서버를 사용하면 자체 도메인의 사용자 정의 참조 이름으로 DNS 공급업체의 서버를 사용할 수 있습니다. 예를 들어 공급업체의 기본값인 ns1.acme.com
대신 네임 서버를 ns1.cloud.ibm.com
로 정의할 수 있습니다.
DNS 레코드 및 글로벌 로드 밸런서 프록싱
CIS 는 글로벌 로드밸런서 및 DNS 레코드에 대한 프록시를 지원합니다. 레코드 또는 로드밸런서가 프록시되면 해당 트래픽은 CIS 을 통해 직접 실행됩니다.
현재 A, AAAA 또는 CNAME 유형의 DNS 레코드가 프록싱될 수 있습니다. 자세한 내용은 DNS 레코드 유형을 참조하세요.
프록시 모드 설정
로드 밸런서 및 DNS 레코드는 DNS 전용 및 HTTP 프록시 모드를 지원합니다. 동일한 CIS 인스턴스에 HTTP 프록시 및 DNS 전용 도메인을 가질 수 있지만 트래픽 라우팅 동작이 다릅니다. 프록시된 레코드의 트래픽은 CIS 을 통해 흐르고, 프록시되지 않은 레코드의 트래픽(DNS 전용 모드)은 클라이언트에서 오리진으로 직접 흐릅니다.
HTTP 프록시 모드
HTTP 프록시 모드에서 CIS 은 IBM IP 주소를 외부에 알리지만 원본 서버 IP 주소는 보호(마스크)합니다. 알려진 IP 주소 레코드에는 자동 TTL이 있습니다. 트래픽은 방화벽 규칙 및 캐싱과 같은 모든 보안, 성능 및 안정성 기능이 적용되는 CIS 을 통해 흐릅니다. 또한 '자동' TTL(5분)은 CIS 에 대한 권한 있는 쿼리 횟수를 줄여줍니다.
DNS 전용 모드
DNS 전용 모드에서는 레코드가 원본 IP로 확인되며 레코드에 대한 TTL을 사용자 지정할 수 있습니다. 글로벌 로드밸런서의 경우 CIS 는 정상 원본 서버의 주소를 직접 제공하지만 짧은 TTL을 준수하는 DNS 확인자를 사용하여 CIS DNS에 정상 주소의 업데이트된 목록을 요청합니다.
DNS 전용 모드에서는 CIS 보안, 안정성 및 성능 기능이 적용되지 않습니다.
루트 레코드 CNAME 플래트닝
CIS 의 "CNAME 플래트닝" 기능을 사용하면 루트 레코드가 IETF RFC 제한을 우회할 수 있습니다. 이 제한에 따르면 루트 레코드가 CNAME인 경우 해당 도메인에 대한 다른 레코드를 가질 수 없습니다. CIS 권한 있는 서버는 CNAME 자체를 반환하는 대신 CNAME 대상에 해당하는 A records
을 반환하여 이 제한을 우회하여 CNAME을 효과적으로 숨깁니다. 이 기술을
사용하면 루트 레코드가 CNAME이더라도 MX 레코드와 같은 다른 레코드를 도메인에 추가할 수 있습니다.
보안 DNS
DNSSEC는 DNS 데이터를 디지털 방식으로 '서명'하여 유효성을 확신할 수 있도록 하는 기술입니다. 인터넷에서 취약성을 제거하려면 루트 영역에서 최종 도메인 이름(예: www.icann.org
)까지 조회 프로세스의 각 단계에 DNSSEC를 배포해야 합니다.