AWS Global Accelerator gestionează blocarea adreselor IP de către rețelele de clienți în principal prin utilizarea sa de mai multe adrese IP statice și rutare tolerantă la erori pe zonele de rețea izolate. Fiecărui accelerator global i se atribuie două adrese IPv4 statice (sau patru pentru acceleratoare cu dual-stack), care sunt Anycast din rețeaua AWS Edge și servesc ca puncte de intrare fixe pentru traficul clientului. Aceste adrese IP provin din subrețele IP unice în zone de rețea separate, oferind redundanță [10].
Dacă o rețea de client blochează una dintre adresele IP statice sau dacă există o perturbare a rețelei care afectează un IP, aplicațiile client își pot încerca conexiunea folosind cealaltă adresă IP statică dintr -o zonă de rețea izolată diferită. Acest design asigură o disponibilitate ridicată și toleranță la erori, permițând dirijarea traficului printr -o adresă IP alternativă care nu este blocată sau perturbată [3] [10].
În plus, Global Accelerator acceptă „Aduceți propriul IP” (BYOIP), permițând clienților să folosească propriile lor intervale de adrese IP ca puncte de intrare statică. Acest lucru vă poate ajuta în scenarii în care clienții au liste sau restricții de permise IP, deoarece clienții pot aduce IP -uri care sunt deja de încredere sau listate albe de rețelele de clienți [2] [8].
În ceea ce privește conservarea adresei IP a clientului, Global Accelerator poate păstra adresa IP inițială a clientului atunci când redirecționarea traficului către puncte finale precum echilibratorii de încărcare a aplicației sau echilibratorii de încărcare a rețelei. Acest lucru este important pentru controalele de securitate, cum ar fi regulile de filtrare IP sau firewall la nivelul final. Când conservarea IP a clientului este activată, IP-ul inițial al clientului apare în anteturi (de exemplu, X-Forward-For) și este vizibil pentru AWS WAF sau grupuri de securitate, permițând un control de acces cu granulație fină bazat pe IP-urile clientului, mai degrabă decât pe IP-urile globale de accelerație [1] [5] [7] [9].
În rezumat, acceleratorul global atenuează blocarea adreselor IP de:
- Furnizarea a două adrese IP statice din zonele de rețea separate pentru a asigura redundanța și toleranța la erori. Dacă un IP este blocat, traficul poate fi retras pe celălalt [3] [10].
- Permiterea clienților să-și aducă propriile adrese IP, care pot fi aprobate în prealabil sau permise de rețelele de clienți [2] [8].
- Asistența conservării adreselor IP a clientului, permițând politicilor de securitate la punctul final să se filtreze pe baza IP -ului inițial al clientului, mai degrabă decât pe adresele IP ale acceleratorului [1] [5] [7] [9].
Această combinație de redundanță IP statică, BYOIP și conservarea IP a clientului ajută la menținerea conectivității și la gestionarea blocării IP de către rețelele de clienți în mod eficient.
Citări:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-fy-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-reservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf