Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bring Your Own IP Addresses (BYOIP) in AWS Global Accelerator
AWS Global Accelerator verwendet statische IP-Adressen als Einstiegspunkte für Ihre Beschleuniger. Diese IP-Adressen sind Anycast von AWS Edge-Standorten. Standardmäßig stellt Global Accelerator statische IP-Adressen aus demAmazon-IP-Adresspool. Anstatt die von Global Accelerator bereitgestellten IP-Adressen zu verwenden, können Sie diese Einstiegspunkte als IPv4-Adressen aus Ihren eigenen Adressbereichen konfigurieren. In diesem Thema wird erläutert, wie Sie Ihre eigenen IP-Adressbereiche mit Global Accelerator verwenden.
Sie können einen Teil oder alle öffentlichen IPv4-Adressbereiche von Ihrem lokalen Netzwerk zu Ihrem AWS Konto zur Verwendung mit Global Accelerator bringen. Die Adressbereiche gehören weiterhin Ihnen, werden jedoch von AWS im Internet veröffentlicht.
Sie können die IP-Adressen, die Sie AWS für einen AWS-Service mitteilen, nicht mit einem anderen Service verwenden. In den Schritten in diesem Kapitel wird beschrieben, wie Sie Ihren eigenen IP-Adressbereich nur in AWS Global Accelerator verwenden. Schritte zum Verwenden Ihres eigenen IP-Adressbereichs für die Verwendung in Amazon EC2 finden Sie unterBring Your Own IP Addresses (BYOIP)im Amazon EC2 Benutzerhandbuch.
Wichtig
Bevor Sie ihn über AWS veröffentlichen, müssen Sie den IP-Adressbereich nicht mehr anderweitig veröffentlichen. Wenn ein IP-Adressbereich mehrfach vernetzt ist (d. h., der Bereich wird von mehreren Dienstleistern gleichzeitig beworben), können wir nicht garantieren, dass der Datenverkehr zum Adressbereich in unser Netzwerk eintritt oder dass Ihr BYOIP-Werbeworkflow erfolgreich abgeschlossen wird.
Nachdem Sie einen Adressbereich zu AWS gebracht haben, erscheint er in Ihrem Konto als Adresspool. Wenn Sie einen Accelerator erstellen, können Sie ihm eine IP-Adresse aus Ihrem Bereich zuweisen. Global Accelerator weist Ihnen eine zweite statische IP-Adresse aus einem Amazon-IP-Adressbereich zu. Wenn Sie zwei IP-Adressbereiche zu AWS bringen, können Sie Ihrem Beschleuniger eine IP-Adresse aus jedem Bereich zuweisen. Diese Einschränkung liegt daran, dass Global Accelerator für hohe Verfügbarkeit jeden Adressbereich einer anderen Netzwerkzone zuweist.
Um Ihren eigenen IP-Adressbereich mit Global Accelerator zu verwenden, überprüfen Sie die Anforderungen, und führen Sie dann die Schritte in diesem Thema aus.
Themen
- Requirements
- Bereiten Sie sich darauf vor, Ihren IP-Adressbereich in Ihr AWS Konto einzubinden: Autorisierung
- Bereitstellen des Adressbereichs für die Verwendung mit AWS Global Accelerator
- Veröffentlichen des Adressbereichs über AWS
- Aufheben der Bereitstellung des Adressbereichs
- Erstellen Sie einen Beschleuniger mit Ihren IP-Adressen
Requirements
Sie können bis zu zwei qualifizierte IP-Adressbereiche für AWS Global Accelerator pro AWS-Konto bereitstellen.
Um sich zu qualifizieren, muss Ihr IP-Adressbereich die folgenden Voraussetzungen erfüllen:
Der IP-Adressbereich muss bei einem der folgenden regionalen Internet Registry (RIRs) registriert sein: American Registry for Internet Numbers (ARIN), Réseaux IP Européens Network Coordination Centre (RIPE) oder Asia-Pacific Network Information Centre (APNIC). Der Adressbereich muss für ein Unternehmen oder eine juristische Person registriert sein. Es kann nicht für eine Einzelperson registriert werden.
Der spezifischste Adressbereich, den Sie aufnehmen können, ist /24. Die ersten 24 Bits der IP-Adresse geben die Netzwerknummer an. Beispielsweise ist 198.51.100 die Netzwerknummer für die IP-Adresse 198.51.100.0.
Die IP-Adressen im Adressbereich müssen über einen sauberen Verlauf verfügen. Das heißt, sie können keinen schlechten Ruf haben oder mit böswilligem Verhalten in Verbindung gebracht werden. Wir behalten uns das Recht vor, den IP-Adressbereich abzulehnen, wenn wir die Reputation des IP-Adressbereichs untersuchen und feststellen, dass er eine IP-Adresse enthält, die keine saubere Historie hat.
Außerdem benötigen wir die folgenden Zuweisungs- und Zuweisungsnetztypen oder -status, je nachdem, wo Sie Ihren IP-Adressbereich registriert haben:
ARINE:
Direct Allocation
undDirect Assignment
Netzwerk-TypenREIF:
ALLOCATED PA
,LEGACY
, undASSIGNED PI
ZuteilungsstatusAPNIC:
ALLOCATED PORTABLE
undASSIGNED PORTABLE
Zuteilungsstatus
Bereiten Sie sich darauf vor, Ihren IP-Adressbereich in Ihr AWS Konto einzubinden: Autorisierung
Um sicherzustellen, dass nur Sie Ihren IP-Adressraum zu Amazon bringen können, benötigen wir zwei Berechtigungen:
Sie müssen Amazon autorisieren, den IP-Adressbereich anzukündigen.
Sie müssen nachweisen, dass Sie Eigentümer des IP-Adressbereichs sind und daher die Befugnis haben, ihn an AWS zu übermitteln.
Anmerkung
Wenn Sie BYOIP verwenden, um AWS einen IP-Adressbereich zu übertragen, können Sie den Besitz dieses Adressbereichs nicht auf ein anderes Konto oder Unternehmen übertragen, während wir ihn bewerben. Sie können einen IP-Adressbereich auch nicht direkt von einem AWS Konto auf ein anderes Konto übertragen. Um das Eigentum zu übertragen oder zwischen AWS Konten zu übertragen, müssen Sie die Bereitstellung des Adressbereichs aufheben. Anschließend muss der neue Besitzer die Schritte ausführen, um den Adressbereich seinem AWS-Konto hinzuzufügen.
Um Amazon zu autorisieren, den IP-Adressbereich anzukündigen, senden Sie Amazon eine signierte Autorisierungsnachricht. Verwenden Sie eine ROA (Route Origin Authorization), um diese Berechtigung bereitzustellen. Eine ROA ist eine kryptografische Angabe über Ihre Routenankündigungen, die Sie über Ihre regionale Internet Registry (RIR) erstellen. Eine ROA enthält den IP-Adressbereich, die Autonomous System Numbers (ASNs), die den IP-Adressbereich veröffentlichen dürfen, sowie das Ablaufdatum. Der ROA autorisiert Amazon, einen IP-Adressbereich unter einem bestimmten Autonomous System (AS) zu veröffentlichen.
Ein ROA autorisiert Ihr AWS Konto nicht, den IP-Adressbereich in AWS einzubinden. Um diese Autorisierung bereitzustellen, müssen Sie ein selbstsigniertes X.509-Zertifikat in den Registry Data Access Protocol (RDAP) -Bemerkungen für den IP-Adressbereich veröffentlichen. Das Zertifikat enthält einen öffentlichen Schlüssel, den AWS zur Verifizierung der von Ihnen angegebene Autorisierungssignatur verwendet. Bewahren Sie den privaten Schlüssel sicher auf und verwenden Sie ihn, um die Autorisierungsnachricht zu signieren.
In den folgenden Abschnitten finden Sie detaillierte Schritte zum Ausführen dieser Autorisierungsaufgaben. Die Befehle in diesen Schritten werden von Linux unterstützt. Wenn Sie Windows verwenden, können Sie auf dieWindows-Subsystem für Linux
Schritte zur Bereitstellung der Autorisierung
Schritt 1: Erstellen eines ROA-Objekts
Erstellen Sie ein ROA-Objekt, um Amazon ASN 16509 zu autorisieren, Ihren IP-Adressbereich sowie die ASNs zu veröffentlichen, die derzeit autorisiert sind, den IP-Adressbereich zu veröffentlichen. Der ROA muss die IP-Adresse enthalten, die Sie in AWS einbinden möchten. Sie müssen die maximale Länge auf /24 festlegen.
Weitere Informationen zum Erstellen einer ROA-Anforderung finden Sie in den folgenden Abschnitten, je nachdem, wo Sie Ihren IP-Adressbereich registriert haben:
ARINE: ROA-Anforderungen
REIF: Verwalten von RoAS
APNIC: Routenmanagement
Schritt 2: Erstellen eines selbstsignierten X.509-Zertifikats
Erstellen Sie ein key pair und ein selbstsigniertes X.509-Zertifikat, und fügen Sie das Zertifikat dann zu dem RDAP-Datensatz für Ihre RIR hinzu. In den folgenden Schritten wird beschrieben, wie Sie diese Aufgaben ausführen.
Anmerkung
Dieopenssl
Für die -Befehle in diesen Schritten ist OpenSSL Version 1.0.2 oder höher erforderlich.
So erstellen Sie ein X.509-Zertifikat und fügen es hinzu
-
Erzeugen Sie ein 2048-Bit-RSAkey pair mit dem folgenden Befehl.
openssl genrsa -out private.key 2048
-
Erstellen Sie mit dem folgenden Befehl ein öffentliches X.509-Zertifikat aus dem key pair.
openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer
In diesem Beispiel läuft das Zertifikat nach 365 Tagen ab und ist dann nicht mehr vertrauenswürdig. Stellen Sie beim Ausführen des -Befehls sicher, dass Sie den
–days
auf den gewünschten Wert für den korrekten Ablauf. Wenn Sie dazu aufgefordert werden, andere Informationen einzugeben, können Sie die Standardwerte übernehmen. -
Aktualisieren Sie den RDAP-Datensatz für Ihre RIR mit dem X.509-Zertifikat, indem Sie die folgenden Schritte ausführen (abhängig von Ihrer RIR).
Zeigen Sie Ihr Zertifikat mit dem folgenden Befehl an.
cat publickey.cer
Fügen Sie das Zertifikat wie folgt hinzu:
Wichtig
Stellen Sie sicher, dass Sie den
-----BEGIN CERTIFICATE-----
und-----END CERTIFICATE-----
aus dem Zertifikat.Fügen Sie für ARIN das Zertifikat im
Public Comments
für Ihren IP-Adressbereich.Fügen Sie für RIPE das Zertifikat als neue
descr
für den IP-Adressbereich.Senden Sie für APNIC den öffentlichen Schlüssel in einer E-Mail an
helpdesk@apnic.net
Um den von APNIC autorisierten Kontakt für die IP-Adressen zu veröffentlichen, bitten Sie, ihn manuell zurremarks
-Feld.
Schritt 3: Erstellen einer signierten Autorisierungsnachricht
Erstellen Sie die signierte Autorisierungsnachricht, damit Amazon Ihren IP-Adressbereich ankündigen kann.
Das Format der Nachricht ist wie folgt, wobei derYYYYMMDD
Datum ist das Ablaufdatum der Nachricht.
1|aws|
aws-account
|address-range
|YYYYMMDD
|SHA256|RSAPSS
So erstellen Sie die signierte Autorisierungsnachricht
-
Erstellen Sie eine Klartext-Autorisierungsnachricht und speichern Sie sie in einer Variablen mit dem Namen
text_message
, wie das folgende Beispiel zeigt. Ersetzen Sie die vorgegebene Kontonummer, den IP-Adressbereich und das Ablaufdatum durch Ihre eigenen Werte.text_message="1|aws|
123456789012
|203.0.113.0/24
|20191201
|SHA256|RSAPSS" -
Signieren Sie die Autorisierungsnachricht in
text_message
Verwenden Sie das key pair, das Sie im vorherigen Abschnitt erstellt haben. -
Speichern Sie die Nachricht in einer Variablen mit dem Namen
signed_message
, wie das folgende Beispiel zeigt.signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
Bereitstellen des Adressbereichs für die Verwendung mit AWS Global Accelerator
Wenn Sie einen Adressbereich für die Verwendung mit AWS bereitstellen, bestätigen Sie, dass Sie den Adressbereich besitzen und autorisieren Amazon, ihn zu veröffentlichen. Wir überprüfen, ob der Adressbereich Ihnen gehört.
Sie müssen Ihren Adressbereich mithilfe der CLI- oder Global Accelerator-API-Vorgänge bereitstellen. Diese Funktionalität ist nicht in der AWS Konsole verfügbar.
Um den Adressbereich bereitzustellen, verwenden Sie den folgendenProvisionByoipCidr-Befehl. Die--cidr-authorization-context
Der Parameter verwendet die Variablen, die Sie im vorherigen Abschnitt erstellt haben und nicht die ROA-Nachricht.
aws globalaccelerator provision-byoip-cidr --cidr
"address-range
--cidr-authorization-context Message="$text_message",Signature="$signed_message
Im Folgenden finden Sie ein Beispiel für die Bereitstellung eines Adressbereichs.
aws globalaccelerator provision-byoip-cidr --cidr 203.0.113.25/24 --cidr-authorization-context Message="$text_message",Signature="$signed_message"
Die Bereitstellung eines Adressbereichs ist eine asynchrone Operation. Daher gibt der Aufruf sofort Daten zurück. Der Adressbereich kann jedoch erst verwendet werden, wenn sich der Status vonPENDING_PROVISIONING
aufREADY
. Es kann bis zu 3 Wochen dauern, bis der Bereitstellungsprozess abgeschlossen ist. Um den Status der von Ihnen bereitgestellten Adressbereiche zu überwachen, verwenden Sie die folgendenListbyoIPCIDRs-Befehl:
aws globalaccelerator list-byoip-cidrs
Eine Liste der Zustände für einen IP-Adressbereich finden Sie unterByoIPCIDR.
Wenn Ihr IP-Adressbereich bereitgestellt wird, wird dieState
den von zurückgegebenenlist-byoip-cidrs
istREADY
. Zum Beispiel:
{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "READY" } ] }
Veröffentlichen des Adressbereichs über AWS
Nachdem der Adressbereich bereitgestellt wurde, kann er veröffentlicht werden. Sie müssen den genauen Adressbereich ankündigen, den Sie bereitgestellt haben. Sie können nur einen Teil des bereitgestellten Adressbereichs ankündigen. Darüber hinaus müssen Sie die Veröffentlichung Ihres IP-Adressbereichs nicht mehr anderweitig veröffentlichen, bevor Sie ihn über AWS veröffentlichen.
Sie müssen Ihren Adressbereich mithilfe der CLI- oder Global Accelerator-API-Vorgänge bewerben (oder die Werbung beenden). Diese Funktionalität ist nicht in der AWS Konsole verfügbar.
Wichtig
Stellen Sie sicher, dass Ihr IP-Adressbereich von AWS angekündigt wird, bevor Sie eine IP-Adresse aus Ihrem Pool mit Global Accelerator verwenden.
Um den Adressbereich zu veröffentlichen, verwenden Sie den folgendenWerbenYOIPCIDR-Befehl.
aws globalaccelerator advertise-byoip-cidr --cidr
address-range
Im Folgenden finden Sie ein Beispiel für die Anforderung von Global Accelerator, einen Adressbereich anzukündigen.
aws globalaccelerator advertise-byoip-cidr --cidr 203.0.113.0/24
Um den Status der von Ihnen angekündigten Adressbereiche zu überwachen, verwenden Sie die folgendenListbyoIPCIDRs-Befehl.
aws globalaccelerator list-byoip-cidrs
Wenn Ihr IP-Adressbereich angekündigt wird, wird dieState
den von zurückgegebenenlist-byoip-cidrs
istADVERTISING
. Zum Beispiel:
{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "ADVERTISING" } ] }
Um die Veröffentlichung für den Adressbereich einzustellen, verwenden Sie den folgendenwithdraw-byoip-cidr
-Befehl.
Wichtig
Um die Werbung für Ihren Adressbereich zu beenden, müssen Sie zunächst alle Beschleuniger entfernen, die über statische IP-Adressen verfügen, die aus dem Adresspool zugewiesen werden. Informationen zum Löschen eines Accelerators über die Konsole oder mithilfe von API-Vorgängen finden Sie unter Löscht eines Accelerators.
aws globalaccelerator withdraw-byoip-cidr --cidr
address-range
Im Folgenden finden Sie ein Beispiel für die Anforderung von Global Accelerator, einen Adressbereich zurückzuziehen.
aws globalaccelerator withdraw-byoip-cidr --cidr 203.0.113.25/24
Aufheben der Bereitstellung des Adressbereichs
Um die Verwendung Ihres Adressbereichs mit AWS einzustellen, müssen Sie zunächst alle Beschleuniger entfernen, die über statische IP-Adressen verfügen, die aus dem Adresspool zugewiesen sind, und stoppen die Veröffentlichung Ihres Adressbereichs. Nachdem Sie diese Schritte ausgeführt haben, können Sie die Bereitstellung des Adressbereichs aufheben.
Sie müssen die Werbung beenden und die Bereitstellung Ihres Adressbereichs mithilfe der CLI- oder Global Accelerator-API-Vorgänge aufheben. Diese Funktionalität ist nicht in der AWS Konsole verfügbar.
Schritt 1: Löschen Sie alle zugeordneten Beschleuniger.Informationen zum Löschen eines Accelerators über die Konsole oder mithilfe von API-Vorgängen finden Sie unter Löscht eines Accelerators.
Schritt 2. Aufheben der Veröffentlichung für den Adressbereich. Um die Veröffentlichung für den Bereich einzustellen, verwenden Sie den folgendenAuszahlungYIPCIDR-Befehl.
aws globalaccelerator withdraw-byoip-cidr --cidr
address-range
Schritt 3. Aufheben der Bereitstellung des Adressbereichs. Um die Bereitstellung des Bereichs aufzuheben, verwenden Sie die folgendenDeProvisionbyIPCIDR-Befehl.
aws globalaccelerator deprovision-byoip-cidr --cidr
address-range
Erstellen Sie einen Beschleuniger mit Ihren IP-Adressen
Jetzt können Sie einen Beschleuniger mit Ihren IP-Adressen erstellen. Wenn Sie einen Adressbereich zu AWS gebracht haben, können Sie Ihrem Beschleuniger eine IP-Adresse zuweisen. Wenn Sie zwei Adressbereiche mitgebracht haben, können Sie Ihrem Accelerator eine IP-Adresse aus jedem Adressbereich zuweisen.
Sie haben mehrere Möglichkeiten, einen Accelerator mit eigenen IP-Adressen für die statischen IP-Adressen zu erstellen:
Verwenden Sie die Global Accelerator-Konsole, um einen Beschleuniger zu erstellen. Weitere Informationen finden Sie unter Erstellen oder Aktualisieren eines Standard-Beschleunigers und Erstellen oder Aktualisieren eines benutzerdefinierten Routing-Accelerators.
Verwenden Sie die Global Accelerator-API, um einen Accelerator zu erstellen. Weitere Informationen einschließlich Beispielen für die Verwendung der CLI finden Sie unterCreateAcceleratorundCreateCustomRoutingAcceleratorIn der AWS Global Accelerator -API-Referenz.