AWS Global Accelerator zpracovává blokování adresy IP pomocí klientských sítí především pomocí více statických IP adres a směrování odolných proti chybám napříč izolovanými síťovými zónami. Každému globálnímu akcelerátoru je přiřazeno dvě statické adresy IPv4 (nebo čtyři pro akcelerátory s duálním stackem), které jsou Anycast ze sítě AWS Edge a slouží jako pevné vstupní body pro provoz klientů. Tyto adresy IP pocházejí z jedinečných podsítí IP v samostatných síťových zónách a poskytují redundanci [10].
Pokud klientská síť blokuje jednu ze statických IP adres nebo pokud dojde k narušení sítě ovlivňující jednu IP, mohou klientské aplikace opakovat jejich připojení pomocí druhé statické IP adresy z jiné izolované síťové zóny. Tento design zajišťuje vysokou dostupnost a toleranci poruch tím, že umožňuje směrování provozu prostřednictvím alternativní IP adresy, která není blokována nebo narušena [3] [10].
Global Accelerator navíc podporuje „Přineste si vlastní IP“ (BYOIP), což zákazníkům umožňuje používat své vlastní rozsahy IP adresy jako statické vstupní body. To může pomoci ve scénářích, ve kterých mají klienti IP, umožňují seznamy nebo omezení, protože zákazníci mohou přinést IP, které již důvěryhodné nebo whitelistované klientskými sítěmi [2] [8].
Pokud jde o zachování adresy IP klienta, Global Accelerator může zachovat původní klientskou IP adresu při předávání provozu do koncových bodů, jako jsou vyvažovače zatížení aplikací nebo síťové zatížení. To je důležité pro kontroly zabezpečení, jako je IP filtrování nebo pravidla firewall na úrovni koncového bodu. Když je povolena ochrana IP klienta, původní klientská IP se objeví v záhlavích (např. X-Forwarded-for) a je viditelná pro AWS WAF nebo skupiny zabezpečení, což umožňuje kontrolu jemnozrnného přístupu na základě IPS klienta než na globální IPSlerátoru [1] [5] [7] [9].
Stručně řečeno, globální akcelerátor zmírňuje blokování IP adresy:
- Poskytování dvou statických IP adres ze samostatných síťových zón k zajištění redundance a tolerance poruch. Pokud je jedna IP blokována, může být provoz na druhém [3] [10].
- Umožnit zákazníkům přinést si vlastní IP adresy, které mohou klientské sítě předem schválit nebo povolit [2] [8].
- Podpora zachování IP adresy klienta, která umožňuje zabezpečení v koncovém bodě filtrovat spíše na základě původního IP klienta než na IP adresách urychlovače [1] [5] [7] [9].
Tato kombinace statické redundance IP, BYOIP a zachování IP klienta pomáhá udržovat konektivitu a efektivně spravovat blokování IP pomocí klientských sítí.
Citace:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-cliet-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-ccelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-cliet-address.how-to-nable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf