AWS Global Accelerator обробляє IP-адресу, що блокує клієнтські мережі насамперед завдяки використанню декількох статичних IP-адрес та маршрутизації несправностей через поодинокі мережеві зони. Кожному глобальному акселератору присвоюється дві статичні адреси IPv4 (або чотири для прискорювачів подвійного стека), які є Anycast з мережі AWS Edge і служать фіксованими точками входу для клієнтського трафіку. Ці IP -адреси надходять з унікальних підмереж IP в окремих мережевих зонах, забезпечуючи надмірність [10].
Якщо клієнтська мережа блокує одну з статичних IP -адрес або якщо існує порушення мережі, що впливає на один IP, клієнтські програми можуть повторити їх з'єднання за допомогою іншої статичної IP -адреси з іншої ізольованої мережевої зони. Ця конструкція забезпечує високу доступність та толерантність до несправностей, дозволяючи рухати трафік через альтернативну IP -адресу, яка не заблокована і не порушується [3] [10].
Крім того, Global Accelerator підтримує "Принесіть власний IP" (BYOIP), що дозволяє клієнтам використовувати власні діапазони IP -адрес як статичні точки входу. Це може допомогти у сценаріях, коли клієнти мають IP -адреси списки або обмеження, оскільки клієнти можуть принести IPS, яким вже довіряють або біліти на клієнтські мережі [2] [8].
Що стосується збереження IP -адреси клієнта, глобальний акселератор може зберегти оригінальну IP -адресу клієнта під час переадресації трафіку на кінцеві точки, такі як балансири завантаження програми або балансири завантаження мережі. Це важливо для контролю безпеки, таких як фільтрація IP або правила брандмауера на рівні кінцевої точки. Коли ввімкнено збереження IP-адреси клієнта, оригінальний клієнтський IP з’являється у заголовках (наприклад, X, що знаходиться вперед) і видно для груп AWS WAF або безпеки, що дозволяє тонкозернистого контролю доступу на основі IP-адреси, а не на глобальних IPS Accelerator [1] [5] [7] [9].
Підсумовуючи, глобальний прискорювач пом'якшує IP -адресу, блокуючи:
- Надання двох статичних IP -адрес із окремих мережевих зон для забезпечення надмірності та толерантності до несправностей. Якщо один IP заблокований, трафік може бути повторений з іншого [3] [10].
- Дозволяючи клієнтам приносити власні IP-адреси, які можуть бути затверджені або дозволені клієнтськими мережами [2] [8].
- Підтримка консервації IP -адреси клієнта, що дозволяє політиці безпеки в кінцевій точці фільтрувати на основі початкового клієнтського IP, а не IP -адрес прискорювача [1] [5] [7] [9].
Ця комбінація статичної надмірності IP, BYOIP та консервації IP -адреси клієнта допомагає підтримувати підключення та ефективно керувати блокуванням IP за допомогою клієнтських мереж.
Цитати:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ipaddress.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-address.how-tobable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf