Το AWS Global Accelerator χειρίζεται την αποκλεισμό διευθύνσεων IP από τα δίκτυα πελατών κυρίως μέσω της χρήσης πολλαπλών στατικών διευθύνσεων IP και δρομολόγησης ανθεκτικών σε σφάλματα σε απομονωμένες ζώνες δικτύου. Κάθε παγκόσμιος επιταχυντής έχει εκχωρηθεί δύο στατικές διευθύνσεις IPv4 (ή τέσσερις για επιταχυντές διπλής στοίβας), οι οποίες είναι Anycast από το δίκτυο AWS Edge και χρησιμεύουν ως σταθερά σημεία εισόδου για την κυκλοφορία πελατών. Αυτές οι διευθύνσεις IP προέρχονται από μοναδικά υποδίκτυα IP σε ξεχωριστές ζώνες δικτύου, παρέχοντας πλεονασμό [10].
Εάν ένα δίκτυο πελάτη μπλοκάρει μία από τις στατικές διευθύνσεις IP ή εάν υπάρχει διαταραχή δικτύου που επηρεάζει μία IP, οι εφαρμογές πελατών μπορούν να επαναλάβουν τη σύνδεσή τους χρησιμοποιώντας την άλλη στατική διεύθυνση IP από μια διαφορετική απομονωμένη ζώνη δικτύου. Αυτός ο σχεδιασμός εξασφαλίζει υψηλή διαθεσιμότητα και ανοχή σφάλματος επιτρέποντας την δρομολόγηση της κυκλοφορίας μέσω μιας εναλλακτικής διεύθυνσης IP που δεν εμποδίζεται ή διαταράσσεται [3] [10].
Επιπλέον, το Global Accelerator υποστηρίζει "φέρνει το δικό σας IP" (BYOIP), επιτρέποντας στους πελάτες να χρησιμοποιούν τις δικές τους περιοχές διεύθυνσης IP ως στατικά σημεία εισόδου. Αυτό μπορεί να βοηθήσει σε σενάρια όπου οι πελάτες έχουν λίστες IP επιτρέπουν λίστες ή περιορισμούς, καθώς οι πελάτες μπορούν να φέρουν IPs που έχουν ήδη εμπιστευτεί ή λευκώνεται από δίκτυα πελατών [2] [8].
Όσον αφορά τη διατήρηση της διεύθυνσης IP του πελάτη, ο Global Accelerator μπορεί να διατηρήσει την αρχική διεύθυνση IP του πελάτη κατά την προώθηση της κυκλοφορίας σε τελικά σημεία, όπως εξισορροπητές φορτίου εφαρμογής ή εξισορρόπους φορτίου δικτύου. Αυτό είναι σημαντικό για τους ελέγχους ασφαλείας, όπως το φιλτράρισμα IP ή οι κανόνες τείχους προστασίας στο επίπεδο τελικού σημείου. Όταν η συντήρηση του πελάτη IP είναι ενεργοποιημένη, η αρχική IP του πελάτη εμφανίζεται στις κεφαλίδες (π.χ. X-Forwarded-for) και είναι ορατή σε AWS WAF ή ομάδες ασφαλείας, επιτρέποντας τον έλεγχο πρόσβασης με λεπτόκοκκο κύκλο με βάση το IPS πελάτη και όχι το Global Accelerator IPS [1] [5] [7] [9].
Συνοπτικά, ο παγκόσμιος επιταχυντής μετριάζει τον αποκλεισμό της διεύθυνσης IP από:
- Παρέχοντας δύο στατικές διευθύνσεις IP από ξεχωριστές ζώνες δικτύου για να εξασφαλιστεί η απόλυση και η ανοχή σφάλματος. Εάν ένα IP έχει αποκλειστεί, η κυκλοφορία μπορεί να επαναληφθεί στην άλλη [3] [10].
- επιτρέποντας στους πελάτες να φέρουν τις δικές τους διευθύνσεις IP, οι οποίες μπορούν να εγκριθούν ή να επιτρέπονται από τα δίκτυα πελατών [2] [8].
- Υποστηρίζοντας τη διατήρηση της διεύθυνσης IP του πελάτη, επιτρέποντας τις πολιτικές ασφαλείας στο τελικό σημείο να φιλτράρουν με βάση την αρχική IP του πελάτη και όχι τις διευθύνσεις IP του επιταχυντή [1] [5] [7] [9].
Αυτός ο συνδυασμός στατικής απόλυσης IP, BYOIP και συντήρησης IP πελάτη βοηθά στη διατήρηση της συνδεσιμότητας και στη διαχείριση του αποκλεισμού IP από τα δίκτυα πελάτη αποτελεσματικά.
Αναφορές:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-ccelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf