AWS Global Accelerator käsittelee IP-osoitteen estämistä asiakasverkkojen avulla pääasiassa käyttämällä useita staattisia IP-osoitteita ja vika-sietävää reititystä eristettyjen verkkovyöhykkeiden välillä. Jokaiselle globaalille kiihdyttimelle annetaan kaksi staattista IPv4-osoitetta (tai neljä kaksoispinolle kiihdyttimelle), jotka ovat AWS Edge -verkon ansioita ja toimivat kiinteinä tulopisteinä asiakasliikenteelle. Nämä IP -osoitteet tulevat yksilöllisistä IP -aliverkosta erillisillä verkkovyöhykkeillä, mikä tarjoaa redundanssin [10].
Jos asiakasverkko estää yhtä staattisia IP -osoitteita tai jos yhdestä IP: stä vaikuttavat verkon häiriöt, asiakassovellukset voivat yrittää uudelleenyhteyden uudelleen käyttämällä toista staattista IP -osoitetta eri eristetystä verkkovyöhykkeestä. Tämä malli varmistaa korkean saatavuuden ja vikasietoisuuden sallimalla liikenteen ohjaaminen vaihtoehtoisen IP -osoitteen kautta, jota ei ole estetty tai häiriintynyt [3] [10].
Lisäksi globaali kiihdytin tukee "tuo oma IP" (BYOIP), jolloin asiakkaat voivat käyttää omia IP -osoitealueitaan staattisina tulopisteinä. Tämä voi auttaa skenaarioissa, joissa asiakkailla on IP -luettelot tai rajoitukset, koska asiakkaat voivat tuoda IPS: ää, johon asiakasverkot ovat jo luottavat tai sallittuja [2] [8].
Asiakkaan IP -osoitteen säilyttämisen suhteen globaali kiihdytin voi säilyttää alkuperäisen asiakkaan IP -osoitteen, kun siirrät liikennettä päätepisteisiin, kuten sovelluskuorman tasapainottajat tai verkon kuormituksen tasapainottajat. Tämä on tärkeää tietoturvaohjaimille, kuten IP -suodatus tai palomuurisäännöt päätetasolla. Kun asiakkaan IP-säilyttäminen on käytössä, alkuperäinen asiakas-IP näkyy otsikoissa (esim. X-Forwarded-for) ja se on näkyvissä AWS WAF- tai tietoturvaryhmille, mikä mahdollistaa hienorakeisen pääsynhallinnan, joka perustuu asiakas IPS: ään kuin globaalin kiihdyttimen IPS: n sijaan [1] [5] [7] [9].
Yhteenvetona voidaan todeta
- Tarjoaa kaksi staattista IP -osoitetta erillisistä verkkovyöhykkeistä redundanssin ja vikasietoisuuden varmistamiseksi. Jos yksi IP on estetty, liikenne voidaan uudelleen toiselle [3] [10].
- Antaa asiakkaiden tuoda omat IP-osoitteensa, jotka voidaan hyväksyä tai asiakasverkot [2] [8].
- Asiakkaan IP -osoitteiden säilyttämisen tukeminen, päätepisteiden suojauskäytäntöjen mahdollistaminen suodattaa alkuperäisen asiakkaan IP: n perusteella kiihdyttimen IP -osoitteiden sijasta [1] [5] [7] [9].
Tämä staattisen IP -redundanssin, BYOIP: n ja asiakkaan IP -säilyttämisen yhdistelmä auttaa ylläpitämään liitettävyyttä ja hallitsemaan IP -estämistä asiakasverkkojen avulla tehokkaasti.
Viittaukset:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9.
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf