AWS Global Accelerator обрабатывает блокировку IP-адреса клиентскими сетями, главным образом, благодаря использованию нескольких статических IP-адресов и устойчивой к неисправности маршрутизации через изолированные сетевые зоны. Каждому глобальному акселератору присваивается два статических адреса IPv4 (или четыре для акселераторов с двойным стеком), которые представлены в сети AWS Edge и служат фиксированными точками въезда для трафика клиента. Эти IP -адреса поступают из уникальных IP -подсетей в отдельных сетевых зонах, обеспечивая избыточность [10].
Если клиентская сеть блокирует один из статических IP -адресов или если существует нарушение сети, влияющее на один IP, клиентские приложения могут повторно повторно их соединения, используя другой статический IP -адрес из другой изолированной сетевой зоны. Эта конструкция обеспечивает высокую доступность и допуск разломов, позволяя маршрутизации трафика с помощью альтернативного IP -адреса, который не блокирован или нарушен [3] [10].
Кроме того, Global Accelerator поддерживает «Принесите свой собственный IP» (BYOIP), позволяя клиентам использовать свои собственные диапазоны IP -адресов в качестве статических точек входа. Это может помочь в сценариях, в которых клиенты имеют IP -адреса разрешения списков или ограничений, поскольку клиенты могут приносить IPS, которые уже доверяют или белилистско, клиентскими сетями [2] [8].
Что касается сохранения IP -адреса клиента, Global Accelerator может сохранить исходный IP -адрес клиента при пересылке трафика в конечные точки, такие как балансировщики нагрузки приложения или балансировщики сетевой нагрузки. Это важно для управления безопасности, таких как IP -фильтрация или правила брандмауэра на уровне конечной точки. При включении консервации клиента, исходный IP-адрес клиента появляется в заголовках (например, X-Forwarded-For) и виден для AWS WAF или групп безопасности, что позволяет мелкозернистый контроль доступа, основанный на IP-клиентах, а не на Global Accelerator IPS [1] [5] [7] [9].
Таким образом, глобальный ускоритель смягчает блокировку IP -адреса:
- Предоставление двух статических IP -адресов из отдельных сетевых зон для обеспечения избыточности и допуска разломов. Если один IP заблокирован, трафик может быть повторно повторно [3] [10].
- Позволяет клиентам приносить свои собственные IP-адреса, которые могут быть предварительно одобрены или разрешены клиентскими сетями [2] [8].
- Поддержка сохранения IP -адреса клиента, внедрение политик безопасности в конечной точке для фильтрации на основе исходного IP -адреса клиента, а не IP -адресов Accelerator [1] [5] [7] [9].
Эта комбинация статической избыточности IP, BYOIP и консервации IP клиента помогает эффективно поддерживать подключение и управление блокировкой IP клиентскими сетями.
Цитаты:
[1] https://docs.aws.amazon.com/global-ccelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-ccelerator/features/
[3] https://aws.amazon.com/global-ccelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-ccelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-ccelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-ccelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-ccelerator/latest/dg/global-ccelerator-guide.pdf