本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AWS Global Accelerator 中使用自有 IP 地址 (BYOIP)
AWS Global Accelerator 使用靜態 IP 地址作為加速器的進入點。這些 IP 地址是來自 AWS 節點的任何廣播。根據預設,全域加速器會提供來自亞馬遜 IP 地址池。您可以將這些進入點設定為來自您自己位址範圍的 IPv4 位址,而不是使用全域加速器所提供的 IP 位址。此主題說明如何使用您自己的 IP 位址範圍與全域加速器使用。
您可以將現場部署網路的一部分或全部公有 IPv4 地址範圍用於您的 AWS 帳戶,以便搭配全球加速器使用。您仍擁有自己的位址範圍,但 AWS 會在網際網路上公告。
您無法將帶到 AWS 的 IP 位址用於一個 AWS 服務與另一個服務搭配使用。此章節中的步驟說明如何使用您自己的 IP 位址範圍僅供在 AWS Global Accelerator 中使用。如需將您自己的 IP 地址範圍用於 Amazon EC2 中的步驟,請參閱使用自有 IP 地址 (BYOIP)《Amazon EC2 使用者指南》中的 Requests。
重要
您必須停止從其他位置公告您的 IP 地址範圍,之後再透過 AWS 進行公告。如果 IP 位址範圍是多重主目錄 (也就是說,該範圍是由多個服務供應商同時通告),我們無法保證該位址範圍的流量會進入我們的網路,或者您的 BYOIP 廣告工作流程會順利完成。
在您將地址範圍用於 AWS 之後,該地址範圍就會顯示為您帳戶的地址集區。當您建立加速器時,您可以從範圍指派一個 IP 位址給它。全球加速器會從 Amazon IP 位址範圍中指派第二個靜態 IP 位址。如果您將兩個 IP 位址範圍帶入 AWS,則可以將每個範圍的一個 IP 位址指派給加速器。此限制是因為「全域加速器」會將每個位址範圍指派給不同的網路區域,以達到高可用性。
若要使用您自己的 IP 位址範圍搭配全域加速器,請檢閱需求,然後遵循本主題中提供的步驟。
主題
Requirements
每個 AWS 帳戶最多可以將兩個合格的 IP 地址範圍帶到 AWS Global Accelerator。
若要符合資格,您的 IP 地址範圍必須符合下列要求:
IP 地址範圍必須向下列區域網際網路註冊管理機構 (RIR) 註冊:美洲網際網路號碼註冊管理機構 (ARIN) 或歐洲 IP 網路資源協調中心 (RIPE) 或亞太區域資訊中心 (APNIC)。地址範圍必須以商業或機構實體註冊。它無法以個人身分註冊。
您可以使用的最明確地址範圍是 /24。IP 位址的前 24 位元會指定網路號碼。例如,198.51.100 是 IP 地址 198.51.100.0 的網路號碼。
IP 地址範圍中的 IP 地址都必須有良好的歷史記錄。也就是說,他們不能有不良的聲譽或與惡意行為相關聯。如果我們調查 IP 位址範圍的評價,並發現 IP 位址範圍包含的 IP 位址沒有完全記錄的 IP 位址記錄,我們保留拒絕該範圍的權利。
此外,根據您註冊 IP 位址範圍的位置,我們還需要下列分配和指派網路類型或狀態:
阿林:
Direct Allocation
和Direct Assignment
網路類型成熟:
ALLOCATED PA
、LEGACY
,以及ASSIGNED PI
配置狀態自用:
ALLOCATED PORTABLE
和ASSIGNED PORTABLE
配置狀態
準備將 IP 地址範圍用於 AWS 帳戶:授權
為了確保只有您可以將您的 IP 地址空間帶到 Amazon,我們需要兩個授權:
您必須授權亞馬遜宣傳 IP 地址範圍。
您必須提供您擁有 IP 位址範圍的證明,因此有權將 IP 位址帶到 AWS。
注意
當您使用 BYOIP 將 IP 位址範圍帶入 AWS 時,在我們進行廣告時,您無法將該位址範圍的擁有權轉移到其他帳戶或公司。您也無法將 IP 位址範圍從一個 AWS 帳戶直接傳輸到另一個帳戶。若要在 AWS 帳戶之間轉移擁有權或轉移,您必須取消佈建位址範圍,然後新擁有者必須遵循步驟將位址範圍新增至其 AWS 帳戶。
要授權亞馬遜宣傳 IP 地址範圍,您可以向亞馬遜提供一個簽名的授權消息。使用路由來源授權 (ROA) 來提供此授權。ROA 是關於您透過區域網際網路註冊管理機構 (RIR) 建立的路由公告的密碼編譯陳述式。ROA 包含 IP 地址範圍、允許公告 IP 地址範圍的自發系統號碼 (ASN) 和過期日期。ROA 授權 Amazon 公告特定自發系統(AS)下的 IP 地址範圍。
ROA 不會授權您的 AWS 帳戶將 IP 地址範圍用於 AWS。若要提供此授權,您必須發佈自簽 X.509 憑證中的 IP 位址範圍的註冊資料存取通訊協定 (RDAP) 備註中。該憑證包含公有金鑰,可讓 AWS 用來驗證您提供的授權內容簽章。保護私有金鑰的安全,並使用它來簽署授權內容的訊息。
以下各節提供完成這些授權任務的詳細步驟。Linux 支援這些步驟中的命令。如果您使用 Windows,則可以存取適用於 Linux 的 Windows 子系統
提供授權的步驟
步驟 1:建立 ROA 物件
建立 ROA 物件來授權 Amazon ASN 16509 宣傳您的 IP 地址範圍,以及目前獲授權宣傳 IP 地址範圍的 ASN。ROA 必須包含您要 AWS 用的 /24 IP 位址,且您必須設定最大長度上限為 /24。
如需有關建立 ROA 要求的詳細資訊,請參閱下列章節,視您註冊 IP 位址範圍的位置而定:
阿林:ROA Requests
成熟:管理 ROA
自用:路由管理
步驟 2:建立自簽 X.509 憑證
建立 key pair 和自我簽署的 X.509 憑證,並將憑證加入到您 RIR 的 RDAP 記錄中。下列步驟說明如何執行這些任務。
注意
所以此openssl
命令需要 OpenSSL 1.0.2 版或更新版本。
建立和新增 X.509 憑證
-
使用下列命令產生 RSA 2048 位元 key pair。
openssl genrsa -out private.key 2048
-
使用下列命令,從 key pair 中建立公開 X.509 憑證。
openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer
在此範例中,憑證會在 365 天後過期;在這段時間之後,就無法再信任此憑證。當您執行命令時,請確定您將
–days
選項設定為所需的值,以便正確的到期日。當提示您輸入其他資訊時,您可以接受預設值。 -
使用下列步驟,視您的 RIR 使用下列步驟,視您的 RIR 更新 RDAP 記錄。
使用下列命令來檢視憑證。
cat publickey.cer
執行下列動作來新增憑證:
重要
請務必包含
-----BEGIN CERTIFICATE-----
和-----END CERTIFICATE-----
從憑證。若是 ARING INTO,請將憑證新增至
Public Comments
區段以瞭解 IP 地址範圍。若是 RIPE,請將憑證新增為新的
descr
欄位中的 IP 地址範圍。對於 APNIC,請將公鑰電子郵件發送到
helpdesk@apnic.net
(IP 位址的 APNIC 授權聯絡人),以要求他們手動將該 IP 位址的remarks
欄位。
步驟 3:建立已簽署的授權訊息
創建簽名的授權消息,以允許亞馬遜宣傳您的 IP 地址範圍。
訊息的格式如下所示,其中YYYYMMDD
日期是郵件的到期日。
1|aws|
aws-account
|address-range
|YYYYMMDD
|SHA256|RSAPSS
若要建立已簽署的授權訊息
-
建立純文字的授權訊息,並將其儲存到名為的變數
text_message
,如下列範例所示。將範例中的帳戶號碼、IP 位址範圍和到期日用您自己的值取代。text_message="1|aws|
123456789012
|203.0.113.0/24
|20191201
|SHA256|RSAPSS" -
簽署授權訊息
text_message
使用您在先前一節建立的 key pair。 -
將訊息儲存到名為的變數
signed_message
,如下列範例所示。signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
佈建地址範圍以用於 AWS Global Accelerator
當您佈建地址範圍以用於 AWS 時,即已確認您擁有該地址範圍並授權 Amazon 公告該地址範圍。我們會驗證您是否擁有自己的位址範圍。
您必須使用 CLI 或全域加速器 API 作業佈建位址範圍。此功能不適用於 AWS 主控台。
若要佈建地址範圍,請使用下列ProvisionByoipCidr指的是命令。所以此--cidr-authorization-context
參數會使用您在上一節建立的變數,而非 ROA 訊息。
aws globalaccelerator provision-byoip-cidr --cidr
"address-range
--cidr-authorization-context Message="$text_message",Signature="$signed_message
以下是佈建位址範圍的範例。
aws globalaccelerator provision-byoip-cidr --cidr 203.0.113.25/24 --cidr-authorization-context Message="$text_message",Signature="$signed_message"
佈建地址範圍是一種非同步操作,系統會立即傳回呼叫。但是,位址範圍尚未準備好使用,直到其狀態從PENDING_PROVISIONING
至READY
。完成佈建程序最長需要 3 週。若要監控已佈建之地址範圍的狀態,請使用下列清單條件命令
aws globalaccelerator list-byoip-cidrs
若要查看 IP 位址範圍的狀態清單,請參閱BYOIPCDR。
佈建 IP 位址範圍時,State
返回的list-byoip-cidrs
是READY
。例如:
{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "READY" } ] }
透過 AWS 公告地址範圍
佈建好地址範圍之後,即可將其公告。佈建好地址範圍之後,您必須公布。對於已經佈建好的地址範圍,您不能必須只公布一部分。此外,您必須先停止從其他位置公告您的 IP 地址範圍,之後再透過 AWS 進行公告。
您必須使用 CLI 或全域加速器 API 作業宣傳 (或停止廣告) 您的位址範圍。此功能不適用於 AWS 主控台。
重要
使用來自集區的 IP 位址與全域加速器的 IP 位址之前,請確定 AWS 已通告您的 IP 位址範圍。
若要公告地址範圍,請使用下列廣告公告指的是命令。
aws globalaccelerator advertise-byoip-cidr --cidr
address-range
以下是要求全域加速器通告位址範圍的範例。
aws globalaccelerator advertise-byoip-cidr --cidr 203.0.113.0/24
若要監控已公告之地址範圍的狀態,請使用下列清單條件指的是命令。
aws globalaccelerator list-byoip-cidrs
當您的 IP 位址範圍通告時,State
返回的list-byoip-cidrs
是ADVERTISING
。例如:
{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "ADVERTISING" } ] }
若要停止公告地址範圍,請使用下列withdraw-byoip-cidr
指的是命令。
重要
若要停止廣告您的位址範圍,您必須先移除具有從位址集區配置的靜態 IP 位址的任何加速器。若要使用主控台或使用 API 作業刪除加速器,請參閱 刪除加速器。
aws globalaccelerator withdraw-byoip-cidr --cidr
address-range
以下是要求全域加速器撤銷位址範圍的範例。
aws globalaccelerator withdraw-byoip-cidr --cidr 203.0.113.25/24
解除佈建地址範圍
若要停止對 AWS 使用您的位址範圍,請先從位址集區移除任何具有靜態 IP 位址的加速器,並停止公告您的位址範圍。完成這些步驟之後,您可以取消佈建位址範圍。
您必須使用 CLI 或全域加速器 API 作業停止廣告並取消佈建位址範圍。此功能不適用於 AWS 主控台。
步驟 1:刪除任何關聯的加速器。若要使用主控台或使用 API 作業刪除加速器,請參閱 刪除加速器。
步驟 2. 停止公告地址範圍。若要停止公告該範圍,請使用下列提款智能手機指的是命令。
aws globalaccelerator withdraw-byoip-cidr --cidr
address-range
步驟 3. 解除佈建地址範圍。若要取消佈建範圍,請使用下列取消規定的條件指的是命令。
aws globalaccelerator deprovision-byoip-cidr --cidr
address-range
使用您的 IP 位址建立加速器
現在,您可以使用您的 IP 位址建立加速器。如果您將一個位址範圍帶入 AWS,則可以為加速器指派一個 IP 位址。如果您有兩個位址範圍,您可以從每個位址範圍指派一個 IP 位址給加速器。
您可以使用自己的 IP 位址來建立加速器的靜態 IP 位址:
使用全域加速器主控台建立加速器。 如需更多詳細資訊,請參閱 建立或更新標準加速器 及 建立或更新自訂路由加速器。
使用全域加速器 API 建立加速器。 如需詳細資訊,包括使用 CLI 的範例,請參閱建立加速器和建立自訂路由加速器《AWS Global Accelerator API 參考》中的 Requests。