將自有 IP 位址 (BYOIP) 用於 Amazon EC2 - Amazon Elastic Compute Cloud
BYOIP 定義需求與配額區域可用性Local Zone 可用性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將自有 IP 位址 (BYOIP) 用於 Amazon EC2

您可以將內部部署網路的一部分或全部公有可路由 IPv4 或 IPv6 地址範圍用於您的 AWS 帳戶。您可以繼續控制地址範圍,並公告網際網路上的地址範圍 AWS。將地址範圍帶至 Amazon EC2 之後,它會顯示在 中 AWS 帳戶 做為地址集區。

注意

本文件說明如何使用您自己的 IP 位址範圍僅供在 Amazon EC2 中使用。若要攜帶自己的 IP 地址範圍以供 使用 AWS Global Accelerator,請參閱《 AWS Global Accelerator 開發人員指南》中的攜帶您自己的 IP 地址 (BYOIP)。若要攜帶自己的 IP 地址範圍以供使用 Amazon VPC IP Address Manager,請參閱《Amazon VPC IPAM 使用者指南》中的教學課程:將 IP 地址帶至 IPAM。

當您將 IP 地址範圍帶至 時 AWS, 會 AWS 驗證您是否控制 IP 地址範圍。您可以使用兩種方法來證明您控制此範圍:

  • 如果您的 IP 位址範圍已向支援 RDAP 的網際網路註冊機構 (例如 ARIN、RIPE 和 APNIC) 註冊,您可以透過此頁面上的流程,使用 X.509 憑證驗證網域的控制。憑證必須僅在佈建流程期間內有效。您可以在佈建完成後,從 RIR 記錄中移除憑證。

  • 無論您的網際網路註冊是否支援 RDAP,您都可以使用 Amazon VPC IPAM 來驗證 DNS TXT 記錄對網域的控制。該流程記錄在「Amazon VPC IPAM 使用者指南」 中的教學課程:將您的 IP 位址用於 IPAM

如需詳細資訊,請參閱 AWS Online Tech talk Deep Dive on Bring Your Own IP

目錄

BYOIP 定義

  • X.509 自我簽署的憑證 - 最常用來加密和驗證網路中資料的憑證標準。這是 用來 AWS 驗證從 RDAP 記錄控制 IP 空間的憑證。若要取得有關 X.509 憑證的更多資訊,請參閱 RFC 3280

  • 自治系統編號 (ASN) – 這是一個全域唯一識別符,可定義由一個或多個網路業者執行的 IP 字首群組,而這些網路業者維護單一且明確定義的路由政策。

  • 區域網際網路註冊管理機構 (RIR) – 管理全球某個地區內 IP 地址和 ASN 之配置與註冊的組織。

  • 註冊資料訪問協定 (RDAP):用來查詢 RIR 目前註冊資料的唯讀協定。查詢的 RIR 資料庫中的項目稱為「RDAP 記錄」。客戶必須透過 RIR 提供的機制更新特定記錄類型。這些記錄由 查詢 AWS ,以驗證 RIR 中地址空間的控制。

  • 路由來源授權 (ROA) - 由 RIR 建立的物件,可供客戶於特定自治系統中驗證 IP 公告。如需概觀,請參閱 ARIN 網站上的路由來源授權 (ROAS)

  • 本地網際網路註冊機構 (LIR) – 從 RIR 為其客戶分配 IP 地址區塊的網際網路服務供應商等組織。

需求與配額

  • 必須在區域網際網路註冊管理機構 (RIR) 註冊位址範圍。有關地理區域的任何政策,請參閱您的 RIR。BYOIP 目前支援在美洲網際網路號碼註冊管理機構 (ARIN) 或歐洲 IP 網路資源協調中心 (RIPE) 或亞太區域資訊中心 (APNIC) 進行註冊。它必須以商業或機構實體註冊,而無法以個人身分註冊。

  • 您可以使用的最特定 IPv4 位址範圍是 /24。

  • 您可以帶來的最具體 IPv6 地址範圍是公開可廣告CIDRs 為 /48,以及非公開可廣告CIDRs 為 /60。

  • 對於不可公開公告的 CIDR 範圍,不需要 ROA,但仍需要更新 RDAP 記錄。

  • 您可以將每個地址範圍一次帶到一個 AWS 區域。

  • 每個 AWS 區域總共可以將五個 BYOIP IPv4 和 IPv6 地址範圍帶入 AWS 您的帳戶。您無法使用 Service Quotas 主控台調整 BYOIP CIDRs 的配額,但您可以聯絡 AWS Support Center 請求增加配額,如 中的AWS 服務配額中所述AWS 一般參考

  • 除非您使用 Amazon VPC IP Address Manager (IPAM) 並將 IPAM 與 AWS Organizations 整合, AWS RAM 否則無法使用 與其他帳戶共用您的 IP 地址範圍。如需詳細資訊,請參閱《Amazon VPC IPAM 使用者指南》中的將 IPAM 與 AWS Organizations 整合

  • IP 地址範圍中的地址都必須有良好的歷史記錄。我們會調查 IP 地址範圍的評價,如果 IP 地址範圍包含的 IP 地址評價不佳或與惡意行為有關,我們保留拒絕該範圍的權利。

  • 舊版地址空間 (即在區域網際網路註冊管理機構 (RIR) 系統形成之前,由網際網路號碼分配局 (IANA) 的中央登錄檔所分配的 IPv4 地址空間) 仍然需要對應的 ROA 物件。

  • 對於 LIR,其通常使用手動程序來更新其記錄。這可能需要幾天時間才能部署,依 LIR 而定。

  • 大型 CIDR 區塊需要單一的 ROA 物件和 RDAP 記錄。您可以使用單一物件和記錄,從該範圍將多個較小的 CIDR 區塊帶到 AWS多個 AWS 區域。

  • Wavelength Zones 或 上的 不支援 BYOIP AWS Outposts。

  • 不要在 RADb 或任何其他 LIR 中對 BYOIP 進行任何手動變更。BYOIP 會自動更新 RADb。任何包含 BYOIP ASN 的手動變更將會導致 BYOIP 佈建操作失敗。

  • 將 IPv4 地址範圍帶入其中後 AWS,您可以使用範圍內的所有 IP 地址,包括第一個地址 (網路地址) 和最後一個地址 (廣播地址)。

區域可用性

BYOIP 功能目前適用於所有商業 AWS  區域 (中國地區除外)。

Local Zone 可用性

Local Zone 是 AWS 區域的延伸,其地理位置接近您的使用者。Local Zones 會分組為「網路邊界群組」。在 中 AWS,網路邊界群組是可用區域 (AZs)、本機區域或 Wavelength 區域的集合,其會 AWS 公告公有 IP 地址。本機區域的網路邊界群組可能與 AWS 區域中AZs 不同,以確保 AWS 網路和存取這些區域中資源的客戶之間的最低延遲或實體距離。

您可以使用 --network-border-group 選項,在下列 Local Zone 網路邊界群組中佈建 BYOIPv4 地址範圍,並公告這些地址範圍:

  • af-south-1-los-1

  • ap-northeast-1-tpe-1

  • ap-south-1-ccu-1

  • ap-south-1-del-1

  • ap-southeast-1-bkk-1

  • ap-southeast-1-mnl-1

  • ap-southeast-2-akl-1

  • ap-southeast-2-per-1

  • eu-central-1-ham-1

  • eu-central-1-waw-1

  • eu-north-1-cph-1

  • eu-north-1-hel-1

  • me-south-1-mct-1

  • us-east-1-atl-2

  • us-east-1-bos-1

  • us-east-1-bue-1

  • us-east-1-chi-2

  • us-east-1-dfw-2

  • us-east-1-iah-2

  • us-east-1-lim-1

  • us-east-1-mci-1

  • us-east-1-mia-2

  • us-east-1-msp-1

  • us-east-1-nyc-1

  • us-east-1-phl-1

  • us-east-1-qro-1

  • us-east-1-scl-1

  • us-west-2-den-1

  • us-west-2-hnl-1

  • us-west-2-las-1

  • us-west-2-lax-1

  • us-west-2-pdx-1

  • us-west-2-phx-2

  • us-west-2-sea-1

如果您已啟用 Local Zones (請參閱啟用 Local Zone),您可以在佈建和公告 BYOIPv4 CIDR 時為 Local Zones 選擇網路邊界群組。仔細選擇網路邊界群組,因為 EIP 與其相關聯的 AWS 資源必須位於相同的網路邊界群組中。

注意

您目前無法在 Local Zones 中佈建或公告 BYOIPv6 地址範圍。