# 使用 IPAM 自带 IP 到 CloudFront
<a name="tutorials-byoip-cloudfront"></a>

借助使用全局服务的 IPAM BYOIP，您可以将自己的 IPv4 地址用于 CloudFront 等 AWS 全局服务。与区域 BYOIP 不同，您的 IP 地址将通过任播路由从多个边缘站点同时公布。

## 为什么要使用此功能？
<a name="why-use-this-feature"></a>
+ **维护 IP 允许列表**：使用现有批准的 IP 地址，而无需更新防火墙配置
+ **简化迁移**：无需更改 IP 基础设施即可从其他 CDN 迁移
+ **一致的品牌**：在迁移到 AWS 时保留现有的 IP 地址空间

## 此功能的使用对象
<a name="who-should-use-this-feature"></a>

需要使用自己的 IP 地址进行全球内容分发的组织：
+ 具有 IP 允许列表要求的大型企业
+ 使用现有 IP 地址从其他 CDN 迁移的公司
+ 具有严格安全策略且要求特定 IP 范围的组织

## 此功能的使用场景
<a name="when-to-use-this-feature"></a>

适用于全局服务的 BYOIP 适合以下使用场景：
+ 维护合作伙伴/客户的现有 IP 允许列表
+ 使用您的 IP 地址从其他 CDN 迁移
+ 满足特定 IP 范围的合规性要求

**注意**  
需要 /24 IPv4 CIDR 数据块。目前仅适用于 CloudFront。

## 先决条件
<a name="prerequisites"></a>

在开始之前，请完成以下步骤：
+ **IPAM 设置**：[将 IPAM 与 AWS Organization 中的账户集成](enable-integ-ipam.md)和[创建 IPAM](create-ipam.md)
+ **域验证**：[验证域控制权](tutorials-byoip-ipam-domain-verification-methods.md)
+ **创建顶级池**：按照[自带 IPv4 CIDR 到 IPAM](tutorials-byoip-ipam-console-ipv4.md) 中的第 1-2 步进行操作。

## 全局服务配置步骤
<a name="global-service-configuration-steps"></a>

以下步骤不同于标准区域 BYOIP 流程，并且将建立用于全球服务的模式：

### 第 1 步：为任播服务创建一个全局池
<a name="step-1-create-global-pool"></a>

为任播服务创建一个全局池，而不是区域池：

**控制台**  
使用控制台创建全局池：

1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。

1. 在导航窗格中，选择**池**

1. 选择**创建池**

1. **源**：选择您的顶级 BYOIP 池

1. **区域设置**：选择**全局**

1. **服务**：选择**全局服务**（将在选择“全局”后显示）

1. **公有 IP 源**：选择 **BYOIP**

1. **要预调配的 CIDR**：指定您的 /24 CIDR 范围

1. 选择**创建池**

**CLI**  
使用 `aws ec2 create-ipam-pool` 并将区域设置为“Global”，将地址系列设置为“ipv4”。

然后使用 `aws ec2 provision-ipam-pool-cidr` 预调配该 CIDR。

**重要**  
您必须将完整的 /24 数据块分配给该池。您可以在此数据块中预调配更具体的范围，以满足不同用途的需要。

### 第 2 步：创建特定于服务的资源
<a name="step-2-create-service-specific-resources"></a>

对于 CloudFront，创建一个将使用您的 IPAM 池的任播 IP 列表。有关详细说明，请参阅 CloudFront BYOIP 文档（链接待定）。

**IPAM 集成的关键参数：**
+ **IP 地址类型**：请选择 **BYOIP**
+ **IPAM 池**：请选择第 1 步中的全局池
+ **IP 数量**：请输入 **3**（对于 CloudFront 为必需）

### 第 3 步：关联到服务资源
<a name="step-3-associate-with-service-resources"></a>

将您的任播静态 IP 列表关联到某个 CloudFront 分配。有关详细说明，请参阅 CloudFront BYOIP 文档（链接待定）。

**关键配置：**
+ 在分配设置中，请选择第 2 步中的任播 IP 列表

### 步骤 4：准备迁移
<a name="step-4-prepare-for-migration"></a>
+ **DNS TTL 下限**：请将记录的 DNS TTL 设置为 60 秒或更短
+ **传播等待**：新 TTL 在互联网上生效所需的时间

### 步骤 5：全球公布 CIDR
<a name="step-5-advertise-cidr-globally"></a>

使用 IPAM 全局公开命令：

**控制台**  
使用控制台公开 CIDR：

1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。

1. 在导航窗格中，选择**池**

1. 选择您的全局池

1. 选择 **CIDR** 选项卡。

1. 选择您的 CIDR，然后选择**操作** > **公开 CIDR**

1. 确认公开

**CLI**  
使用您的 IPAM 池 ID 和 CIDR 执行 `aws ec2 advertise-ipam-byoip-cidr`。

**重要**  
在运行此命令之前，请撤回来自之前提供商的公开消息
将 DNS 记录更新为指向 CloudFront，以完成迁移

## 清理
<a name="cleanup"></a>

清理在本教程中创建的资源：
+ **删除 CloudFront 资源**：按照 CloudFront BYOIP 文档中的清理说明进行操作（链接待定）
+ **撤回 CIDR 并删除 IPAM 池**：按照[步骤 8：清除](tutorials-byoip-ipam-console-ipv4.md#tutorials-byoip-ipam-ipv4-console-cleanup)中的标准清理流程进行操作

**重要**  
请先删除 CloudFront 资源，然后再清理 IPAM，以避免造成服务中断。