AWS Global Accelerator håndterer IP-adresseblokering af klientnetværk primært gennem dens brug af flere statiske IP-adresser og fejltolerante routing på tværs af isolerede netværkszoner. Hver global accelerator tildeles to statiske IPv4-adresser (eller fire til dobbeltstak-acceleratorer), som er Anycast fra AWS Edge-netværket og tjener som faste indgangspunkter for klienttrafik. Disse IP -adresser kommer fra unikke IP -undernet i separate netværkszoner, hvilket giver redundans [10].
Hvis et klientnetværk blokerer for en af de statiske IP -adresser, eller hvis der er en netværksforstyrrelse, der påvirker en IP, kan klientapplikationer prøve igen deres forbindelse ved hjælp af den anden statiske IP -adresse fra en anden isoleret netværkszone. Dette design sikrer høj tilgængelighed og fejltolerance ved at lade trafikken dirigeres gennem en alternativ IP -adresse, der ikke er blokeret eller forstyrret [3] [10].
Derudover understøtter Global Accelerator "Bring Your Own IP" (BYOIP), så kunderne kan bruge deres egen IP -adresseområde som statiske indgangspunkter. Dette kan hjælpe i scenarier, hvor klienter har IP -tilladte lister eller begrænsninger, da kunder kan medbringe IP'er, der allerede er tillid til eller hvidlistet af klientnetværk [2] [8].
Med hensyn til klient -IP -adresse -konservering kan global accelerator bevare den originale klient -IP -adresse, når man videresender trafik til slutpunkter som applikationsbelastningsbalancere eller netværksbelastningsbalancere. Dette er vigtigt for sikkerhedskontroller, såsom IP -filtrering eller firewall -regler på slutpunktniveau. Når klient IP-konservering er aktiveret, vises den originale klient-IP i overskrifter (f.eks. X-forwarded-for) og er synlig for AWS WAF eller sikkerhedsgrupper, hvilket tillader finkornet adgangskontrol baseret på klient IP'er snarere end den globale accelerator IPS [1] [5] [7] [9].
Sammenfattende mindsker global accelerator IP -adresse af:
- Tilvejebringelse af to statiske IP -adresser fra separate netværkszoner for at sikre redundans og fejltolerance. Hvis den ene IP er blokeret, kan trafik forsøges på den anden [3] [10].
- Tillader kunderne at medbringe deres egne IP-adresser, som kan godkendes eller tillades af klientnetværk [2] [8].
- Understøttelse af klient -IP -adressebeskyttelse, hvilket gør det muligt for sikkerhedspolitikker ved slutpunktet at filtrere baseret på den originale klient IP snarere end acceleratorens IP -adresser [1] [5] [7] [9].
Denne kombination af statisk IP -redundans, BYOIP og Client IP -konservering hjælper med at opretholde forbindelse og administrere IP -blokering af klientnetværk effektivt.
Citater:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
)
)
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
)
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf