AWS Global Accelerator übernimmt die IP-Adresse, die Blockierung durch Client-Netzwerke hauptsächlich durch die Verwendung mehrerer statischer IP-Adressen und fehlertolerantes Routing über isolierte Netzwerkzonen übernimmt. Jedem globalen Beschleuniger wird zwei statische IPv4-Adressen (oder vier für Dual-Stack-Beschleuniger) zugewiesen, die Anycast aus dem AWS-Edge-Netzwerk stammen und als feste Einstiegspunkte für den Client-Verkehr dienen. Diese IP -Adressen stammen aus eindeutigen IP -Subnetzen in separaten Netzwerkzonen, die eine Redundanz bieten [10].
Wenn ein Client -Netzwerk eine der statischen IP -Adressen blockiert oder wenn sich eine Netzwerkstörung auf eine IP betrifft, können Clientanwendungen ihre Verbindung mithilfe der anderen statischen IP -Adresse aus einer anderen isolierten Netzwerkzone wiederholen. Dieses Design sorgt für eine hohe Verfügbarkeit und Fehlertoleranz, indem der Verkehr über eine alternative IP -Adresse geleitet wird, die nicht blockiert oder gestört ist [3] [10].
Darüber hinaus unterstützt Global Accelerator "Bring Your Own IP" (BYOIP) und ermöglicht Kunden, ihre eigenen IP -Adressbereiche als statische Einstiegspunkte zu verwenden. Dies kann in Szenarien hilfreich sein, in denen Kunden von IP -Zulassungen oder -beschränkungen verfügen, da Kunden IPs mitbringen können, die bereits von Client -Netzwerken vertrauen oder weißeListet sind [2] [8].
In Bezug auf die Erhaltung der Client -IP -Adresse kann Global Accelerator die ursprüngliche Client -IP -Adresse beibehalten, wenn der Datenverkehr an Endpunkte wie Anwendungslastausgleiche oder Netzwerkerlastausgleiche weitergeleitet wird. Dies ist wichtig für Sicherheitskontrollen wie IP -Filterung oder Firewall -Regeln auf Endpunktebene. Wenn Client-IP-Konservierung aktiviert ist, wird die ursprüngliche Client-IP in Headern (z. B. X-Forward-für) angezeigt und ist für AWS-WAF- oder Sicherheitsgruppen sichtbar, sodass eine feinkörnige Zugriffskontrolle basierend auf dem Client-IPS anstelle der globalen IPS-IPS [1] [5] [7] [9].
Zusammenfassend lässt sich sagen, dass Global Accelerator die IP -Adresse mindert, die blockiert, von:
- Bereitstellung von zwei statischen IP -Adressen aus separaten Netzwerkzonen, um Redundanz und Fehlertoleranz zu gewährleisten. Wenn eine IP blockiert ist, kann der Verkehr auf die andere wiedergegeben werden [3] [10].
- Kunden erlauben, eigene IP-Adressen mitzubringen, die von Kundennetzwerken vorab genehmigt oder zulässig sein können [2] [8].
- Unterstützung der Client -IP -Adresse, die Aufbewahrung von Sicherheitsrichtlinien am Endpunkt ermöglicht, basierend auf der ursprünglichen Client -IP anstelle der IP -Adressen des Beschleunigers zu filtern [1] [5] [7] [9].
Diese Kombination aus statischer IP -Redundanz, BYOIP und Client -IP -Konservierung trägt zur Aufrechterhaltung der Konnektivität und zur effektiven Verwaltung von IP -Blockieren durch Client -Netzwerke bei.
Zitate:
[1] https://docs.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-waf-tocess-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf