AWS Global Accelerator menangani pemblokiran alamat IP oleh jaringan klien terutama melalui penggunaan beberapa alamat IP statis dan rute toleran kesalahan di seluruh zona jaringan yang terisolasi. Setiap akselerator global ditugaskan dua alamat IPv4 statis (atau empat untuk akselerator dual-stack), yang merupakan siaran dari AWS Edge Network dan berfungsi sebagai titik masuk tetap untuk lalu lintas klien. Alamat IP ini berasal dari subnet IP unik di zona jaringan yang terpisah, memberikan redundansi [10].
Jika jaringan klien memblokir salah satu alamat IP statis atau jika ada gangguan jaringan yang mempengaruhi satu IP, aplikasi klien dapat mencoba lagi koneksi mereka menggunakan alamat IP statis lainnya dari zona jaringan terisolasi yang berbeda. Desain ini memastikan ketersediaan tinggi dan toleransi kesalahan dengan memungkinkan lalu lintas dialihkan melalui alamat IP alternatif yang tidak diblokir atau terganggu [3] [10].
Selain itu, Global Accelerator mendukung "bawa IP Anda sendiri" (BYOIP), yang memungkinkan pelanggan untuk menggunakan rentang alamat IP mereka sendiri sebagai titik masuk statis. Ini dapat membantu dalam skenario di mana klien memiliki IP memungkinkan daftar atau pembatasan, karena pelanggan dapat membawa IP yang sudah dipercaya atau daftar putih oleh jaringan klien [2] [8].
Mengenai pelestarian alamat IP klien, Global Accelerator dapat mempertahankan alamat IP klien asli saat meneruskan lalu lintas ke titik akhir seperti penyeimbang beban aplikasi atau penyeimbang beban jaringan. Ini penting untuk kontrol keamanan seperti pemfilteran IP atau aturan firewall di level titik akhir. Ketika pelestarian IP klien diaktifkan, IP klien asli muncul di header (mis., X-forwarded-for) dan terlihat oleh AWS WAF atau kelompok keamanan, yang memungkinkan kontrol akses berbutir halus berdasarkan IP klien daripada IP akselerator global [1] [5] [7] [9].
Singkatnya, akselerator global mengurangi pemblokiran alamat IP oleh:
- Menyediakan dua alamat IP statis dari zona jaringan terpisah untuk memastikan redundansi dan toleransi kesalahan. Jika satu IP diblokir, lalu lintas dapat diceritakan kembali di sisi lain [3] [10].
- Mengizinkan pelanggan untuk membawa alamat IP mereka sendiri, yang dapat disetujui sebelumnya atau diizinkan oleh jaringan klien [2] [8].
- Mendukung pelestarian alamat IP klien, memungkinkan kebijakan keamanan pada titik akhir untuk memfilter berdasarkan IP klien asli daripada alamat IP akselerator [1] [5] [7] [9].
Kombinasi redundansi IP statis, BYOIP, dan pelestarian IP klien ini membantu menjaga konektivitas dan mengelola pemblokiran IP oleh jaringan klien secara efektif.
Kutipan:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-toapply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto33.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf