AWS Global Accelerator gère le blocage d'adresses IP par les réseaux clients principalement grâce à son utilisation de plusieurs adresses IP statiques et à un routage tolérant aux pannes à travers les zones de réseau isolées. Chaque accélérateur global se voit attribuer deux adresses IPv4 statiques (ou quatre pour les accélérateurs à double pile), qui sont anycast du réseau AWS Edge et servent de points d'entrée fixes pour le trafic client. Ces adresses IP proviennent de sous-réseaux IP uniques dans des zones de réseau distinctes, offrant une redondance [10].
Si un réseau client bloque l'une des adresses IP statiques ou s'il existe une perturbation du réseau affectant une IP, les applications client peuvent réessayer leur connexion en utilisant l'autre adresse IP statique à partir d'une zone de réseau isolé différente. Cette conception garantit une grande disponibilité et une tolérance aux pannes en permettant à la mise en roue du trafic via une autre adresse IP qui n'est pas bloquée ou perturbée [3] [10].
De plus, Global Accelerator prend en charge "Apporter votre propre IP" (BYOIP), permettant aux clients d'utiliser leurs propres gammes d'adresses IP comme points d'entrée statiques. Cela peut aider dans les scénarios où les clients ont des listes de propriété intellectuelle, car les clients peuvent apporter des IP qui sont déjà fiables ou listes blanches par les réseaux clients [2] [8].
En ce qui concerne la préservation de l'adresse IP du client, Global Accelerator peut préserver l'adresse IP du client d'origine lors du transfert du trafic vers des points de terminaison tels que les équilibreurs de charge d'application ou les équilibreurs de charge de réseau. Ceci est important pour les contrôles de sécurité tels que le filtrage IP ou les règles de pare-feu au niveau du point de terminaison. Lorsque la préservation IP du client est activée, l'IP du client d'origine apparaît dans les en-têtes (par exemple, X-Forwarded-For) et est visible pour AWS WAF ou des groupes de sécurité, permettant un contrôle d'accès à grain fin basé sur les IP du client plutôt que sur les IPS accélérateurs globaux [1] [5] [7] [9].
En résumé, l'accélérateur global atténue le blocage de l'adresse IP par:
- Fournir deux adresses IP statiques à partir de zones de réseau distinctes pour assurer la redondance et la tolérance aux pannes. Si une IP est bloquée, le trafic peut être repris sur l'autre [3] [10].
- Permettre aux clients d'apporter leurs propres adresses IP, qui peuvent être pré-approuvées ou autorisées par les réseaux clients [2] [8].
- Prise en charge de la préservation des adresses IP du client, activant les stratégies de sécurité au point de terminaison pour filtrer en fonction de l'IP du client d'origine plutôt que des adresses IP de l'accélérateur [1] [5] [7] [9].
Cette combinaison de redondance IP statique, BYOIP et de préservation IP du client permet de maintenir la connectivité et de gérer efficacement le blocage IP par les réseaux clients.
Citations:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-bolbal-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf