AWS Global Accelerator主要通过使用多个静态IP地址和跨隔离网络区域的多个静态IP地址和易于故障的路由来处理IP地址阻止IP地址。每个全局加速器都分配了两个静态IPv4地址(或两个堆栈加速器的四个地址),它们是从AWS Edge网络中的任何广播,并用作客户端流量的固定入口点。这些IP地址来自单独的网络区域中唯一的IP子网,提供了冗余[10]。
如果客户端网络阻止了一个静态IP地址之一,或者存在影响一个IP的网络中断,则客户应用程序可以使用来自其他隔离网络区域的其他静态IP地址重试连接。该设计通过允许通过未阻止或破坏的替代IP地址路由流量来确保高可用性和容错性[3] [10]。
此外,全球加速器支持“带上自己的IP”(BYOIP),使客户可以将自己的IP地址范围用作静态入口点。这可以在客户拥有IP允许列表或限制的情况下有助于,因为客户可以带来已经被客户端网络信任或白色的IP [2] [8]。
关于客户端IP地址保存,全局加速器可以在将流量转发到应用程序负载平衡器或网络负载平衡器等端点时保留原始客户端IP地址。这对于在端点级别的安全控件(例如IP过滤或防火墙规则)很重要。启用客户端IP保存后,原始客户端IP将出现在标题中(例如X-Forwarded-For),并且可见AWS WAF或安全组可见,允许基于客户端IPS而不是全局加速器IPS [1] [5] [5] [7] [9] [9],允许基于客户端IPS而不是全局加速器IPS [1] [1] [1] [1] [9]。
总之,全局加速器减轻IP地址阻止:
- 从单独的网络区域提供两个静态IP地址,以确保冗余和容错性。如果一个IP被阻止,则可以在另一个IP上进行流量[3] [10]。
- 允许客户携带自己的IP地址,客户网络可以预先批准或允许[2] [8]。
- 支持客户端IP地址保存,在端点上启用安全策略以根据原始客户端IP而不是加速器的IP地址进行过滤[1] [5] [7] [9]。
静态IP冗余,BYOIP和客户端IP保存的这种组合有助于保持连接性并有效地管理客户网络的IP阻止。
引用:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-to-papply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-to-enable-prestervation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf