클라이언트 IP 주소 보존을 사용하여 엔드포인트 추가

일부 엔드포인트 유형 (일부 지역에서는) 과 함께 사용할 수 있는 기능은클라이언트 IP 주소 보존. 이 기능을 사용하면 끝점에 도착하는 패킷에 대해 원본 클라이언트의 원본 IP 주소를 보존할 수 있습니다. 이 기능은 Application Load Balancer 및 Amazon EC2 인스턴스 엔드포인트에서 사용할 수 있습니다. 사용자 지정 라우팅 가속기의 끝점에는 항상 클라이언트 IP 주소가 유지됩니다. 자세한 내용은 AWS Global Accelerator 클라이언트 IP 주소 보존 섹션을 참조하세요.

클라이언트 IP 주소 보존 기능을 사용하려는 경우 글로벌 가속기에 끝점을 추가할 때 다음 사항에 유의하십시오.

탄력적 네트워크 인터페이스

클라이언트 IP 주소 보존을 지원하기 위해 글로벌 액셀러레이터는 AWS 계정에 엔드포인트가 있는 각 서브넷에 대해 하나씩 엘라스틱 네트워크 인터페이스를 만듭니다. 글로벌 액셀러레이터가 탄력적 네트워크 인터페이스로 작동하는 방법에 대한 자세한 내용은 단원을 참조하십시오.클라이언트 IP 주소 보존에 대한 모범 사례.

프라이빗 서브넷의 엔드포인트

AWS Global Accelerator 사용하여 프라이빗 서브넷의 Application Load Balancer 또는 EC2 인스턴스를 대상으로 지정할 수 있지만인터넷 게이트웨이엔드포인트가 포함된 VPC 연결되어 있습니다. 자세한 내용은 AWS Global Accelerator 터의 보안 VPC 연결 섹션을 참조하세요.

클라이언트 IP 주소를 허용 목록에 추가합니다.

클라이언트 IP 주소를 보존하는 끝점으로 트래픽을 추가하고 라우팅하기 전에 보안 그룹과 같은 모든 필수 보안 구성이 허용 목록에 사용자 클라이언트 IP 주소를 포함하도록 업데이트되었는지 확인합니다. 네트워크 액세스 제어 목록 (ACL) 은 송신 (아웃바운드) 트래픽에만 적용됩니다. 수신 (인바운드) 트래픽을 필터링해야 하는 경우 보안 그룹을 사용해야 합니다.

네트워크 액세스 제어 목록 (ACL) 구성

가속기에서 클라이언트 IP 주소 보존이 활성화된 경우 VPC 서브넷과 연결된 네트워크 ACL은 송신 (아웃바운드) 트래픽에 적용됩니다. 그러나 트래픽이 글로벌 가속기를 통해 종료되도록 허용하려면 ACL을 인바운드 및 아웃바운드 규칙으로 구성해야 합니다.

예를 들어 임시 소스 포트를 사용하는 TCP 및 UDP 클라이언트가 글로벌 가속기를 통해 끝점에 연결할 수 있도록 하려면 끝점의 서브넷을 임시 TCP 또는 UDP 포트 (포트 범위 1024-65535, 대상 0.0.0.0/0) 로 향하는 아웃바운드 트래픽을 허용하는 네트워크 ACL과 연결합니다. 또한 일치하는 인바운드 규칙 (포트 범위 1024-65535, 소스 0.0.0.0/0) 을 생성합니다.

참고

보안 그룹 및 AWS WAF 규칙은 리소스를 보호하기 위해 적용할 수 있는 추가 기능 집합입니다. 예를 들어 Amazon EC2 인스턴스 및 애플리케이션 로드 밸런서와 연결된 인바운드 보안 그룹 규칙을 사용하면 클라이언트가 글로벌 가속기를 통해 연결할 수 있는 대상 포트 (예: HTTP의 경우 포트 80, HTTPS의 경우 포트 443) 를 제어할 수 있습니다. Amazon EC2 인스턴스 보안 그룹은 글로벌 액셀러레이터로부터의 트래픽과 인스턴스에 할당된 퍼블릭 또는 엘라스틱 IP 주소를 포함하여 인스턴스에 도착하는 모든 트래픽에 적용됩니다. 글로벌 액셀러레이터에서만 트래픽을 전송하려면 프라이빗 서브넷을 사용하는 것이 좋습니다. 또한 인바운드 보안 그룹 규칙이 응용 프로그램의 트래픽을 올바르게 허용하거나 거부하도록 적절하게 구성되어 있는지 확인합니다.