EC2 인스턴스(ENI)의 DNS 쿼리 제약 우회하기

🕰️ 작성일 : 2025.07.10

Amazon EC2(ENI)에 대한 DNS Quota Limit

각 EC2 인스턴스는 Route 53 Resolver로(구체적으로 10.0.0.2 및 169.254.169.253과 같은 .2 주소) 네트워크 인터페이스별 초당 1024개의 패킷을 보낼 수 있습니다. 이 할당량은 늘릴 수 없습니다. Route 53 Resolver가 지원하는 초당 DNS 쿼리 수는 쿼리 유형, 응답 크기 및 사용 중인 프로토콜에 따라 다릅니다.

Amazon Route53 Outbound Resolver을 사용하더라도, EC2가 Route 53 Resolver로 우선 DNS 질의를 요청하기에 1,024 제약이 발생 할 수 밖에 없습니다.
위의 문제를 해결하기 위해서는 아래의 방법을 사용 할 수 있습니다.
- 어플리케이션에서 DNS의 캐싱을 사용합니다.
- 어플리케이션에서 DNS 실패에 대한 재시도 타이머를 늘립니다.
- DNS를 처리하는 어플리케이션을 여러 EC2 노드에 배치시킵니다. 예를 들어 CoreDNS의 경우 여러 EC2 Worker Node에 배치시킵니다.
- VPC에서 기본적으로 제공하는 VPC+2 Resolver을 사용하는 것이 아닌 Inbound Endpoint로 DNS를 질의하도록 합니다.
  - 이 자료에서는 해당 내용에 대한 테스트 결과를 작성합니다.

Inbound Endpoint를 통해 DNS Quota Limit 해결

기본적으로 Route 53 Inbound Endpoint는 1개의 IP 당 10,000 QPS을 처리 할 수 있습니다.
EC2 인스턴스들이 VPC+2 Resolver을 바라보는 것이 아닌 Inbound Endpoint을 바라보게 하여 DNS Quota를 우회 할 수 있습니다.

테스트 아키텍처

EC2는 VPC+2 Resolver가 아닌 Inbound Endpoint을 DNS 서버로 바라보게 됩니다.
www.jinsungh.com 도메인에 대해서는 Rule을 설정하여 Outbound Endpoint을 통해 별도의 DNS 서버에서 처리하도록 합니다.
Inbound Endpoint의 IP는 10.10.110.100 로 해당 서버로 쿼리 전달

echo "www.jinsungh.com A" > jinsungh_test.txt

root@ip-10-10-10-111 ck-0.7.1]# dnsperf -s 10.10.110.100 -d jinsungh_test.txt -l 30 -c 30 -Q 2000 -T 30 -t 1
DNS Performance Testing Tool
Version 2.14.0

[Status] Command line: dnsperf -s **10.10.110.100** -d jinsungh_test.txt -l 30 -c 30 -Q 2000 -T 30 -t 1
[Status] Sending queries (to 10.10.110.100:53)
[Status] Started at: Wed Jul  9 14:53:55 2025
[Status] Stopping after 30.000000 seconds
[Status] Testing complete (time limit)

Statistics:

  Queries sent:         60000
  Queries completed:    60000 (100.00%) # 초당 2,000 쿼리에 모두 성공
  Queries lost:         0 (0.00%)

  Response codes:       NOERROR 60000 (100.00%)
  Average packet size:  request 34, response 50
  Run time (s):         30.000040
  Queries per second:   1999.997333

  Average Latency (s):  0.001706 (min 0.000296, max 0.068538)
  Latency StdDev (s):   0.002172

***초당 2,000 쿼리에 모두 성공하며 Inbound Endpoint를 사용하면 기존의 1,024 제약을 우회 할 수 있는 것을 확인 할 수 있음.

이는 DNS의 쿼리를 같은 물리적 장비에 존재하는 Route 53 Resolver(+2)에서 처리하지 않고 별도의 DNS 서버를 통해 DNS 쿼리를 처리하기 때문에 1,024제약을 우회 할 수 있습니다.***

만약 기존 VPC+2 Resolver로 부하 테스트를 진행 할 경우 1,024 제약이 발생하고 있는 것을 확인 할 수 있음
VPC+2 Resolver는 10.10.0.2 IP 주소를 갖고 있음

[root@ip-10-10-10-111 ck-0.7.1]# dnsperf -s 10.10.0.2 -d jinsungh_test.txt -l 30 -c 30 -Q 2000 -T 30 -t 1
DNS Performance Testing Tool
Version 2.14.0

[Status] Command line: dnsperf -s 10.10.0.2 -d jinsungh_test.txt -l 30 -c 30 -Q 2000 -T 30 -t 1
[Status] Sending queries (to 10.10.0.2:53)
[Status] Started at: Wed Jul  9 14:56:18 2025
[Status] Stopping after 30.000000 seconds

Statistics:

  Queries sent:         33741
  Queries completed:    31737 (94.06%)
  Queries lost:         2004 (5.94%) # 1057 QPS에 대하여 약 6%의 실패율을 기록

  Response codes:       NOERROR 31737 (100.00%)
  Average packet size:  request 34, response 50
  Run time (s):         30.000191
  Queries per second:   1057.893265

  Average Latency (s):  0.000231 (min 0.000061, max 0.008466)
  Latency StdDev (s):   0.000412