您可将自己的部分或全部可公开路由的 IPv4 或 IPv6 地址从本地网络引入到 AWS 账户中。您可以继续控制地址范围,并且可以通过 AWS 在互联网上公告地址范围。在将地址范围引入 Amazon EC2 中之后,它会在您的 AWS 账户中显示为地址池。
注意
本文档介绍如何将您自己的 IP 地址范围仅用于 Amazon EC2。要在 AWS Global Accelerator 中使用自己的 IP 地址范围,请参阅《AWS Global Accelerator 开发人员指南》中的 自带 IP 地址(BYOIP)。要将您自己的 IP 地址范围与 Amazon VPC IP Address Manager 结合使用,请参阅《Amazon VPC IPAM 用户指南》中的 教程:自带 IP 地址到 IPAM。
如果将 IP 地址范围带入 AWS,AWS 会验证您是否控制了 IP 地址范围。有两种方法可用于表明您控制了范围:
-
如果 IP 地址范围是在支持 RDAP 的互联网注册机构(例如 ARIN、RIPE 和 APNIC)注册,您可以通过此页面上的流程,使用 X.509 证书验证对域的控制。证书必须仅在预调配过程中有效。预调配完成后,可以从 RIR 的记录中删除证书。
-
无论互联网注册机构是否支持 RDAP,您都可以使用 Amazon VPC IPAM,通过 DNS TXT 记录验证对域的控制。该流程记录在《Amazon VPC IPAM 用户指南》中的教程:将 IP 地址带入 IPAM。
有关更多信息,请参阅 AWS 在线技术研讨会深入了解自带 IP
BYOIP 定义
-
X.509 自签名证书:最常用于加密和验证网络内数据的证书标准。这是 AWS 用来验证从 RDAP 记录控制 IP 空间的证书。有关 X.509 证书的更多信息,请参阅 RFC 3280
。 -
自治系统号(ASN)是一种全局唯一标识符,它定义了一组 IP 前缀,这些前缀由一个或多个维护单一、明确定义的路由策略的网络运营商运行。
-
区域互联网注册机构(RIR)是管理世界某个区域内 IP 地址和 ASN 的分配和注册的组织。
-
注册数据访问协议(RDAP):用于查询 RIR 中当前注册数据的只读协议。查询的 RIR 数据库中的条目称为“RDAP 记录”。某些记录类型需要客户通过 RIR 提供的机制进行更新。这些记录将由 AWS 查询以验证对 RIR 中地址空间的控制。
-
路由来源授权 (ROA):由 RIR 创建的对象,供客户对特定自治系统中的 IP 公告进行身份验证。如需相关概览,请参阅 ARIN 网站上的路由来源授权 (ROA)
。 -
本地互联网注册机构(LIR)是网络服务提供商等企业,从 RIR 为其客户分配 IP 地址数据块。
要求和配额
-
地址范围必须在您所在的区域互联网注册机构(RIR)注册。有关地理区域的任何策略,请咨询您的 RIR。BYOIP 目前支持在美国互联网号码注册机构(ARIN)、欧洲 IP 资源网络协调中心(RIPE)或亚太网络信息中心(APNIC)注册。它必须由企业或机构实体注册,而不能由个人注册。
-
您可以引入的最具体 IPv4 地址范围是 /24。
-
对于公开发布的 CIDR,可以引入的最具体 IPv6 地址范围是 /48;对于不公开发布的 CIDR,可以引入的最具体 IPv6 地址范围是 /60。
-
不公开发布的 CIDR 范围不需要 ROA,但 RDAP 记录仍需更新。
-
您可以将每个地址范围一次添加到一个 AWS 区域中。
-
对于每个 AWS 区域,您可以将总共 5 个 BYOIP IPv4 和 IPv6 地址范围引入到您的 AWS 账户中。您无法使用服务限额控制台调整 BYOIP CIDR 的限额,但可以按照 AWS 一般参考 中的 AWS 服务限额所述,通过联系 AWS 支持中心来请求提高限额。
-
您无法使用 AWS RAM 与其它账户共享您的 IP 地址范围,除非您使用 Amazon VPC IP 地址管理器 (IPAM) 并将 IPAM 与 AWS Organizations 集成。有关更多信息,请参阅 Amazon VPC IPAM 用户指南中的将 IPAM 与 AWS Organizations 集成。
-
IP 地址范围中的地址必须具有干净的历史记录。我们可能会调查 IP 地址范围的声誉,并保留权利以拒绝包含的 IP 地址具有不良声誉或与恶意行为关联的 IP 地址范围。
-
遗留地址空间是指在区域互联网注册机构(RIR)系统成立之前由互联网号码分配机构(IANA)的中央注册管理机构分配的 IPv4 地址空间,仍然需要相应的 ROA 对象。
-
如果为 LIR,常见做法是通过手动过程更新记录。这可能需要几天的时间来部署,具体取决于 LIR。
-
大型 CIDR 块需要单个 ROA 对象和 RDAP 记录。您可以使用单个对象和记录,将多个较小的 CIDR 块从该范围添加到 AWS,甚至可以跨多个 AWS 区域添加。
-
Wavelength 区域或 AWS Outposts 上不支持 BYOIP。
-
不要在 RADb 对 BYOIP 或任何其他 IRR 进行任何手动更改。BYOIP 将自动更新 RADb。任何包含 BYOIP ASN 的手动更改都将导致 BYOIP 预置操作失败。
-
将 IPv4 地址范围设置为 AWS 后,您可以使用该范围内的所有 IP 地址,包括第一个地址(网络地址)和最后一个地址(广播地址)。
区域可用性
BYOIP 功能目前适用于除中国区域以外的所有商业 AWS 区域
本地区域可用性
本地区域是在地理上靠近您的用户的 AWS 区域的扩展。本地区域分组为“网络边界组”。在 AWS 中,网络边界组是一组可用区(AZ)、本地区域或 Wavelength 区域(AWS 可从中公告公有 IP 地址)。本地区域的网络边界组可能与 AWS 区域中的可用区不同,以确保 AWS 网络与访问这些区域中资源的客户之间,保持最低延迟或最短物理距离。
您可以使用 --network-border-group 选项将 BYOIPv4 地址范围预置到以下本地区域网络边界组,并在该边界组中进行公告:
-
af-south-1-los-1
-
ap-northeast-1-tpe-1
-
ap-south-1-ccu-1
-
ap-south-1-del-1
-
ap-southeast-1-bkk-1
-
ap-southeast-1-mnl-1
-
ap-southeast-2-akl-1
-
ap-southeast-2-per-1
-
eu-central-1-ham-1
-
eu-central-1-waw-1
-
eu-north-1-cph-1
-
eu-north-1-hel-1
-
me-south-1-mct-1
-
us-east-1-atl-2
-
us-east-1-bos-1
-
us-east-1-bue-1
-
us-east-1-chi-2
-
us-east-1-dfw-2
-
us-east-1-iah-2
-
us-east-1-lim-1
-
us-east-1-mci-1
-
us-east-1-mia-2
-
us-east-1-msp-1
-
us-east-1-nyc-1
-
us-east-1-phl-1
-
us-east-1-qro-1
-
us-east-1-scl-1
-
us-west-2-den-1
-
us-west-2-hnl-1
-
us-west-2-las-1
-
us-west-2-lax-1
-
us-west-2-pdx-1
-
us-west-2-phx-2
-
us-west-2-sea-1
如果启用了“本地区域”(请参阅启用本地区域),则在预置和公告 BYOIPv4 CIDR 时,可以为本地区域选择网络边界组。请谨慎选择网络边界组,因为 EIP 及其关联的 AWS 资源必须位于同一个网络边界组中。
注意
此时无法在本地区域中设置或公告 BYOIPv6 地址范围。
