Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon グローバルアクセラレータは、クライアントネットワークによるIPアドレスのブロックをどのように処理しますか


グローバルアクセラレータは、クライアントネットワークによるIPアドレスのブロックをどのように処理しますか


AWSグローバルアクセラレータは、主に複数の静的IPアドレスを使用し、孤立したネットワークゾーン全体のフォールトトレラントルーティングを使用して、クライアントネットワークによるIPアドレスのブロックを処理します。各グローバルアクセラレータには、2つの静的IPv4アドレス(またはデュアルスタックアクセラレータの4つ)が割り当てられています。これは、AWS EdgeネットワークからANYCASTであり、クライアントトラフィックの固定エントリポイントとして機能します。これらのIPアドレスは、個別のネットワークゾーンの一意のIPサブネットから来ており、冗長性を提供します[10]。

クライアントネットワークが静的IPアドレスの1つをブロックする場合、または1つのIPに影響を与えるネットワークの破壊がある場合、クライアントアプリケーションは、異なる分離ネットワークゾーンから他の静的IPアドレスを使用して接続を再試行できます。この設計により、ブロックまたは破壊されていない代替のIPアドレスを介してトラフィックをルーティングできるようにすることにより、高可用性と断層トレランスが保証されます[3] [10]。

さらに、Global Acceleratorは「独自のIPをBring Your Own IP」(BYOIP)をサポートし、顧客が独自のIPアドレス範囲を静的エントリポイントとして使用できるようにします。これは、クライアントネットワーク[2] [8]によって既に信頼またはホワイトリストに登録されているIPを持ち込むことができるため、クライアントにIPがリストまたは制限を許可するシナリオに役立ちます。

クライアントIPアドレスの保存に関して、グローバルアクセラレータは、アプリケーションロードバランサーやネットワークロードバランサーなどのエンドポイントにトラフィックを転送する際に、元のクライアントIPアドレスを保存できます。これは、エンドポイントレベルでのIPフィルタリングやファイアウォールルールなどのセキュリティ制御にとって重要です。クライアントIPの保存が有効になると、元のクライアントIPはヘッダー(例:X-Forwarded-For)に表示され、AWS WAFまたはセキュリティグループに表示され、グローバルアクセラレータIP [1] [5] [7] [9]ではなく、クライアントIPSに基づいて細粒のアクセス制御を可能にします。

要約すると、Global Acceleratorは、次のことによるIPアドレスのブロックを軽減します。

- 個別のネットワークゾーンから2つの静的IPアドレスを提供して、冗長性とフォールトトレランスを確保します。 1つのIPがブロックされている場合、他のIP [3] [10]でトラフィックを再試行できます。
- 顧客が独自のIPアドレスを持参できるようにします。これは、クライアントネットワークによって事前に承認または許可される可能性があります[2] [8]。
- クライアントのIPアドレスの保存をサポートし、アクセルのIPアドレスではなく、元のクライアントIPに基づいてエンドポイントでセキュリティポリシーをフィルタリングできるようにします[1] [5] [7] [9]。

静的IP冗長性、BYOIP、およびクライアントIP保存のこの組み合わせは、接続を維持し、クライアントネットワークによるIPブロッキングを効果的に管理するのに役立ちます。

引用:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-アクセラター
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-prasevation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf