클라이언트 IP 주소 보존으로 엔드포인트에 대한 요구 사항

Global Accelerator에서 탄력적 IP 주소 엔드포인트에는 클라이언트 IP 주소 보존이 지원되지 않습니다.

Global Accelerator에 엔드포인트로서 Network Load Balancer 리소스를 추가할 때 클라이언트 IP 주소 보존을 활성화하려는 경우, 클라이언트 IP 주소 보존은 다음과 같은 경우에 지원되지 않는다는 점에 유의하세요.

또한 Network Load Balancers의 경우, 대상이 Network Load Balancers와 동일한 VPC에 있는 경우에만 클라이언트 IP 주소 보존이 지원됩니다. 트래픽은 Network Load Balancer에서 대상으로 직접 전달돼야 합니다.

클라이언트 IP 주소 보존을 지원하기 위해 Global Accelerator는 엔드포인트가 있는 각 서브넷에 대해 하나씩, AWS 계정에 탄력적 네트워크 인터페이스를 생성합니다. Global Accelerator가 탄력적 네트워크 인터페이스로 작동하는 방법에 대한 자세한 내용은 클라이언트 IP 주소 보존으로 ENI 및 보안 그룹에 대한 모범 사례을 참조하세요.

Global Accelerator를 사용하여 프라이빗 서브넷의 Application Load Balancer, Network Load Balancer 또는 EC2 인스턴스를 대상으로 지정할 수 있지만 엔드포인트가 포함된 VPC에 연결된 인터넷 게이트웨이가 있어야 합니다. 자세한 내용은 AWS Global Accelerator에서 VPC 연결 보안을 참조하세요.

트래픽이 Global Accelerator에서만 전달되도록 하려면 프라이빗 서브넷을 사용하는 것이 가장 좋습니다. 또한 애플리케이션에 대한 트래픽을 올바르게 허용하거나 거부하도록 인바운드 보안 그룹 규칙이 적절하게 구성되었는지 확인합니다.

클라이언트 IP 주소를 보존하는 엔드포인트로 트래픽을 추가하고 라우팅하기 전에 보안 그룹과 같은 필요한 모든 보안 구성을 업데이트하여 허용 목록에 사용자 클라이언트 IP 주소를 포함시켜야 합니다. 네트워크 액세스 제어 목록(ACL)은 송신(아웃바운드) 트래픽에만 적용됩니다. 수신(인바운드) 트래픽을 필터링해야 하는 경우, 보안 그룹을 사용해야 합니다.

VPC 서브넷과 연결된 네트워크 ACL은 액셀러레이터에서 클라이언트 IP 주소 보존이 활성화된 경우, 송신(아웃바운드) 트래픽에 적용됩니다. 하지만 트래픽이 Global Accelerator를 통해 종료되도록 허용하려면 ACL을 인바운드 및 아웃바운드 규칙으로 구성해야 합니다.

예를 들어, 임시 소스 포트를 사용하는 TCP 및 UDP 클라이언트가 Global Accelerator를 통해 엔드포인트에 연결되도록 허용하려면 엔드포인트의 서브넷을 임시 TCP 또는 UDP 포트(포트 범위 1024~65535, 대상 0.0.0.0/0)로 향하는 아웃바운드 트래픽을 허용하는 네트워크 ACL과 연결합니다. 또한 일치하는 인바운드 규칙(포트 범위 1024-65535, 소스 0.0.0.0/0)을 생성합니다.

보안 그룹 및 WAF에 대해 다음의 사항에 유의하세요.