Requirements Autorisierung des IP-Adressbereichs Bereitstellen des Adressbereichs für die Verwendung mit AWS Global Accelerator Veröffentlichen des Adressbereichs über AWS Aufheben der Bereitstellung des Adressbereichs Erstellen eines Accelerators

Bring Your Own IP Addresses (BYOIP) in AWS Global Accelerator

AWS Global Accelerator verwendet statische IP-Adressen als Einstiegspunkte für Ihre Beschleuniger. Diese IP-Adressen sind Anycast von AWS Edge-Standorten. Standardmäßig stellt Global Accelerator statische IP-Adressen aus demAmazon-IP-Adresspool. Anstatt die von Global Accelerator bereitgestellten IP-Adressen zu verwenden, können Sie diese Einstiegspunkte als IPv4-Adressen aus Ihren eigenen Adressbereichen konfigurieren. In diesem Thema wird erläutert, wie Sie Ihre eigenen IP-Adressbereiche mit Global Accelerator verwenden.

Sie können einen Teil oder alle öffentlichen IPv4-Adressbereiche von Ihrem lokalen Netzwerk zu Ihrem AWS Konto zur Verwendung mit Global Accelerator bringen. Die Adressbereiche gehören weiterhin Ihnen, werden jedoch von AWS im Internet veröffentlicht.

Sie können die IP-Adressen, die Sie AWS für einen AWS-Service mitteilen, nicht mit einem anderen Service verwenden. In den Schritten in diesem Kapitel wird beschrieben, wie Sie Ihren eigenen IP-Adressbereich nur in AWS Global Accelerator verwenden. Schritte zum Verwenden Ihres eigenen IP-Adressbereichs für die Verwendung in Amazon EC2 finden Sie unterBring Your Own IP Addresses (BYOIP)im Amazon EC2 Benutzerhandbuch.

Wichtig

Bevor Sie ihn über AWS veröffentlichen, müssen Sie den IP-Adressbereich nicht mehr anderweitig veröffentlichen. Wenn ein IP-Adressbereich mehrfach vernetzt ist (d. h., der Bereich wird von mehreren Dienstleistern gleichzeitig beworben), können wir nicht garantieren, dass der Datenverkehr zum Adressbereich in unser Netzwerk eintritt oder dass Ihr BYOIP-Werbeworkflow erfolgreich abgeschlossen wird.

Nachdem Sie einen Adressbereich zu AWS gebracht haben, erscheint er in Ihrem Konto als Adresspool. Wenn Sie einen Accelerator erstellen, können Sie ihm eine IP-Adresse aus Ihrem Bereich zuweisen. Global Accelerator weist Ihnen eine zweite statische IP-Adresse aus einem Amazon-IP-Adressbereich zu. Wenn Sie zwei IP-Adressbereiche zu AWS bringen, können Sie Ihrem Beschleuniger eine IP-Adresse aus jedem Bereich zuweisen. Diese Einschränkung liegt daran, dass Global Accelerator für hohe Verfügbarkeit jeden Adressbereich einer anderen Netzwerkzone zuweist.

Um Ihren eigenen IP-Adressbereich mit Global Accelerator zu verwenden, überprüfen Sie die Anforderungen, und führen Sie dann die Schritte in diesem Thema aus.

Themen

Requirements
Bereiten Sie sich darauf vor, Ihren IP-Adressbereich in Ihr AWS Konto einzubinden: Autorisierung
Bereitstellen des Adressbereichs für die Verwendung mit AWS Global Accelerator
Veröffentlichen des Adressbereichs über AWS
Aufheben der Bereitstellung des Adressbereichs
Erstellen Sie einen Beschleuniger mit Ihren IP-Adressen

Requirements

Sie können bis zu zwei qualifizierte IP-Adressbereiche für AWS Global Accelerator pro AWS-Konto bereitstellen.

Um sich zu qualifizieren, muss Ihr IP-Adressbereich die folgenden Voraussetzungen erfüllen:

Der IP-Adressbereich muss bei einem der folgenden regionalen Internet Registry (RIRs) registriert sein: American Registry for Internet Numbers (ARIN), Réseaux IP Européens Network Coordination Centre (RIPE) oder Asia-Pacific Network Information Centre (APNIC). Der Adressbereich muss für ein Unternehmen oder eine juristische Person registriert sein. Es kann nicht für eine Einzelperson registriert werden.
Der spezifischste Adressbereich, den Sie aufnehmen können, ist /24. Die ersten 24 Bits der IP-Adresse geben die Netzwerknummer an. Beispielsweise ist 198.51.100 die Netzwerknummer für die IP-Adresse 198.51.100.0.
Die IP-Adressen im Adressbereich müssen über einen sauberen Verlauf verfügen. Das heißt, sie können keinen schlechten Ruf haben oder mit böswilligem Verhalten in Verbindung gebracht werden. Wir behalten uns das Recht vor, den IP-Adressbereich abzulehnen, wenn wir die Reputation des IP-Adressbereichs untersuchen und feststellen, dass er eine IP-Adresse enthält, die keine saubere Historie hat.

Außerdem benötigen wir die folgenden Zuweisungs- und Zuweisungsnetztypen oder -status, je nachdem, wo Sie Ihren IP-Adressbereich registriert haben:

ARINE:Direct AllocationundDirect AssignmentNetzwerk-Typen
REIF:ALLOCATED PA,LEGACY, undASSIGNED PIZuteilungsstatus
APNIC:ALLOCATED PORTABLEundASSIGNED PORTABLEZuteilungsstatus

Bereiten Sie sich darauf vor, Ihren IP-Adressbereich in Ihr AWS Konto einzubinden: Autorisierung

Um sicherzustellen, dass nur Sie Ihren IP-Adressraum zu Amazon bringen können, benötigen wir zwei Berechtigungen:

Sie müssen Amazon autorisieren, den IP-Adressbereich anzukündigen.
Sie müssen nachweisen, dass Sie Eigentümer des IP-Adressbereichs sind und daher die Befugnis haben, ihn an AWS zu übermitteln.

Anmerkung
Wenn Sie BYOIP verwenden, um AWS einen IP-Adressbereich zu übertragen, können Sie den Besitz dieses Adressbereichs nicht auf ein anderes Konto oder Unternehmen übertragen, während wir ihn bewerben. Sie können einen IP-Adressbereich auch nicht direkt von einem AWS Konto auf ein anderes Konto übertragen. Um das Eigentum zu übertragen oder zwischen AWS Konten zu übertragen, müssen Sie die Bereitstellung des Adressbereichs aufheben. Anschließend muss der neue Besitzer die Schritte ausführen, um den Adressbereich seinem AWS-Konto hinzuzufügen.

Um Amazon zu autorisieren, den IP-Adressbereich anzukündigen, senden Sie Amazon eine signierte Autorisierungsnachricht. Verwenden Sie eine ROA (Route Origin Authorization), um diese Berechtigung bereitzustellen. Eine ROA ist eine kryptografische Angabe über Ihre Routenankündigungen, die Sie über Ihre regionale Internet Registry (RIR) erstellen. Eine ROA enthält den IP-Adressbereich, die Autonomous System Numbers (ASNs), die den IP-Adressbereich veröffentlichen dürfen, sowie das Ablaufdatum. Der ROA autorisiert Amazon, einen IP-Adressbereich unter einem bestimmten Autonomous System (AS) zu veröffentlichen.

Ein ROA autorisiert Ihr AWS Konto nicht, den IP-Adressbereich in AWS einzubinden. Um diese Autorisierung bereitzustellen, müssen Sie ein selbstsigniertes X.509-Zertifikat in den Registry Data Access Protocol (RDAP) -Bemerkungen für den IP-Adressbereich veröffentlichen. Das Zertifikat enthält einen öffentlichen Schlüssel, den AWS zur Verifizierung der von Ihnen angegebene Autorisierungssignatur verwendet. Bewahren Sie den privaten Schlüssel sicher auf und verwenden Sie ihn, um die Autorisierungsnachricht zu signieren.

In den folgenden Abschnitten finden Sie detaillierte Schritte zum Ausführen dieser Autorisierungsaufgaben. Die Befehle in diesen Schritten werden von Linux unterstützt. Wenn Sie Windows verwenden, können Sie auf dieWindows-Subsystem für Linux, um Linux-Befehle auszuführen.

Schritte zur Bereitstellung der Autorisierung

Schritt 1: Erstellen eines ROA-Objekts
Schritt 2: Erstellen eines selbstsignierten X.509-Zertifikats
Schritt 3: Erstellen einer signierten Autorisierungsnachricht

Schritt 1: Erstellen eines ROA-Objekts

Erstellen Sie ein ROA-Objekt, um Amazon ASN 16509 zu autorisieren, Ihren IP-Adressbereich sowie die ASNs zu veröffentlichen, die derzeit autorisiert sind, den IP-Adressbereich zu veröffentlichen. Der ROA muss die IP-Adresse enthalten, die Sie in AWS einbinden möchten. Sie müssen die maximale Länge auf /24 festlegen.

Weitere Informationen zum Erstellen einer ROA-Anforderung finden Sie in den folgenden Abschnitten, je nachdem, wo Sie Ihren IP-Adressbereich registriert haben:

Schritt 2: Erstellen eines selbstsignierten X.509-Zertifikats

Erstellen Sie ein key pair und ein selbstsigniertes X.509-Zertifikat, und fügen Sie das Zertifikat dann zu dem RDAP-Datensatz für Ihre RIR hinzu. In den folgenden Schritten wird beschrieben, wie Sie diese Aufgaben ausführen.

Anmerkung

DieopensslFür die -Befehle in diesen Schritten ist OpenSSL Version 1.0.2 oder höher erforderlich.

So erstellen Sie ein X.509-Zertifikat und fügen es hinzu

Erzeugen Sie ein 2048-Bit-RSAkey pair mit dem folgenden Befehl.
```
openssl genrsa -out private.key 2048
```
Erstellen Sie mit dem folgenden Befehl ein öffentliches X.509-Zertifikat aus dem key pair.
```
openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer
```
In diesem Beispiel läuft das Zertifikat nach 365 Tagen ab und ist dann nicht mehr vertrauenswürdig. Stellen Sie beim Ausführen des -Befehls sicher, dass Sie den–daysauf den gewünschten Wert für den korrekten Ablauf. Wenn Sie dazu aufgefordert werden, andere Informationen einzugeben, können Sie die Standardwerte übernehmen.
Aktualisieren Sie den RDAP-Datensatz für Ihre RIR mit dem X.509-Zertifikat, indem Sie die folgenden Schritte ausführen (abhängig von Ihrer RIR).
1. Zeigen Sie Ihr Zertifikat mit dem folgenden Befehl an.
```
cat publickey.cer
```
2. Fügen Sie das Zertifikat wie folgt hinzu:
  
  Wichtig
  Stellen Sie sicher, dass Sie den-----BEGIN CERTIFICATE-----und-----END CERTIFICATE-----aus dem Zertifikat.
  - Fügen Sie für ARIN das Zertifikat imPublic Commentsfür Ihren IP-Adressbereich.
  - Fügen Sie für RIPE das Zertifikat als neuedescrfür den IP-Adressbereich.
  - Senden Sie für APNIC den öffentlichen Schlüssel in einer E-Mail anhelpdesk@apnic.netUm den von APNIC autorisierten Kontakt für die IP-Adressen zu veröffentlichen, bitten Sie, ihn manuell zurremarks-Feld.

Schritt 3: Erstellen einer signierten Autorisierungsnachricht

Erstellen Sie die signierte Autorisierungsnachricht, damit Amazon Ihren IP-Adressbereich ankündigen kann.

Das Format der Nachricht ist wie folgt, wobei derYYYYMMDDDatum ist das Ablaufdatum der Nachricht.


1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS

So erstellen Sie die signierte Autorisierungsnachricht

Erstellen Sie eine Klartext-Autorisierungsnachricht und speichern Sie sie in einer Variablen mit dem Namentext_message, wie das folgende Beispiel zeigt. Ersetzen Sie die vorgegebene Kontonummer, den IP-Adressbereich und das Ablaufdatum durch Ihre eigenen Werte.
```
text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"
```
Signieren Sie die Autorisierungsnachricht intext_messageVerwenden Sie das key pair, das Sie im vorherigen Abschnitt erstellt haben.

Speichern Sie die Nachricht in einer Variablen mit dem Namensigned_message, wie das folgende Beispiel zeigt.


signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt 
						rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | 
						tr -- '+=/' '-_~' | tr -d "\n")

Bereitstellen des Adressbereichs für die Verwendung mit AWS Global Accelerator

Wenn Sie einen Adressbereich für die Verwendung mit AWS bereitstellen, bestätigen Sie, dass Sie den Adressbereich besitzen und autorisieren Amazon, ihn zu veröffentlichen. Wir überprüfen, ob der Adressbereich Ihnen gehört.

Sie müssen Ihren Adressbereich mithilfe der CLI- oder Global Accelerator-API-Vorgänge bereitstellen. Diese Funktionalität ist nicht in der AWS Konsole verfügbar.

Um den Adressbereich bereitzustellen, verwenden Sie den folgendenProvisionByoipCidr-Befehl. Die--cidr-authorization-contextDer Parameter verwendet die Variablen, die Sie im vorherigen Abschnitt erstellt haben und nicht die ROA-Nachricht.


aws globalaccelerator provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message"

Im Folgenden finden Sie ein Beispiel für die Bereitstellung eines Adressbereichs.


aws globalaccelerator provision-byoip-cidr 
    --cidr 203.0.113.25/24
    --cidr-authorization-context Message="$text_message",Signature="$signed_message"

Die Bereitstellung eines Adressbereichs ist eine asynchrone Operation. Daher gibt der Aufruf sofort Daten zurück. Der Adressbereich kann jedoch erst verwendet werden, wenn sich der Status vonPENDING_PROVISIONINGaufREADY. Es kann bis zu 3 Wochen dauern, bis der Bereitstellungsprozess abgeschlossen ist. Um den Status der von Ihnen bereitgestellten Adressbereiche zu überwachen, verwenden Sie die folgendenListbyoIPCIDRs-Befehl:


aws globalaccelerator list-byoip-cidrs

Eine Liste der Zustände für einen IP-Adressbereich finden Sie unterByoIPCIDR.

Wenn Ihr IP-Adressbereich bereitgestellt wird, wird dieStateden von zurückgegebenenlist-byoip-cidrsistREADY. Zum Beispiel:


{
    "ByoipCidrs": [
        {
            "Cidr": "203.0.113.0/24",
            "State": "READY"
        }
    ]
}

Veröffentlichen des Adressbereichs über AWS

Nachdem der Adressbereich bereitgestellt wurde, kann er veröffentlicht werden. Sie müssen den genauen Adressbereich ankündigen, den Sie bereitgestellt haben. Sie können nur einen Teil des bereitgestellten Adressbereichs ankündigen. Darüber hinaus müssen Sie die Veröffentlichung Ihres IP-Adressbereichs nicht mehr anderweitig veröffentlichen, bevor Sie ihn über AWS veröffentlichen.

Sie müssen Ihren Adressbereich mithilfe der CLI- oder Global Accelerator-API-Vorgänge bewerben (oder die Werbung beenden). Diese Funktionalität ist nicht in der AWS Konsole verfügbar.

Wichtig

Stellen Sie sicher, dass Ihr IP-Adressbereich von AWS angekündigt wird, bevor Sie eine IP-Adresse aus Ihrem Pool mit Global Accelerator verwenden.

Um den Adressbereich zu veröffentlichen, verwenden Sie den folgendenWerbenYOIPCIDR-Befehl.


aws globalaccelerator advertise-byoip-cidr --cidr address-range

Im Folgenden finden Sie ein Beispiel für die Anforderung von Global Accelerator, einen Adressbereich anzukündigen.


aws globalaccelerator advertise-byoip-cidr --cidr 203.0.113.0/24

Um den Status der von Ihnen angekündigten Adressbereiche zu überwachen, verwenden Sie die folgendenListbyoIPCIDRs-Befehl.


aws globalaccelerator list-byoip-cidrs

Wenn Ihr IP-Adressbereich angekündigt wird, wird dieStateden von zurückgegebenenlist-byoip-cidrsistADVERTISING. Zum Beispiel:


{
    "ByoipCidrs": [
        {
            "Cidr": "203.0.113.0/24",
            "State": "ADVERTISING"
        }
    ]
}

Um die Veröffentlichung für den Adressbereich einzustellen, verwenden Sie den folgendenwithdraw-byoip-cidr-Befehl.

Wichtig

Um die Werbung für Ihren Adressbereich zu beenden, müssen Sie zunächst alle Beschleuniger entfernen, die über statische IP-Adressen verfügen, die aus dem Adresspool zugewiesen werden. Informationen zum Löschen eines Accelerators über die Konsole oder mithilfe von API-Vorgängen finden Sie unter Löscht eines Accelerators.


aws globalaccelerator withdraw-byoip-cidr --cidr address-range

Im Folgenden finden Sie ein Beispiel für die Anforderung von Global Accelerator, einen Adressbereich zurückzuziehen.


aws globalaccelerator withdraw-byoip-cidr 
    --cidr 203.0.113.25/24

Aufheben der Bereitstellung des Adressbereichs

Um die Verwendung Ihres Adressbereichs mit AWS einzustellen, müssen Sie zunächst alle Beschleuniger entfernen, die über statische IP-Adressen verfügen, die aus dem Adresspool zugewiesen sind, und stoppen die Veröffentlichung Ihres Adressbereichs. Nachdem Sie diese Schritte ausgeführt haben, können Sie die Bereitstellung des Adressbereichs aufheben.

Sie müssen die Werbung beenden und die Bereitstellung Ihres Adressbereichs mithilfe der CLI- oder Global Accelerator-API-Vorgänge aufheben. Diese Funktionalität ist nicht in der AWS Konsole verfügbar.

Schritt 1: Löschen Sie alle zugeordneten Beschleuniger.Informationen zum Löschen eines Accelerators über die Konsole oder mithilfe von API-Vorgängen finden Sie unter Löscht eines Accelerators.

Schritt 2. Aufheben der Veröffentlichung für den Adressbereich. Um die Veröffentlichung für den Bereich einzustellen, verwenden Sie den folgendenAuszahlungYIPCIDR-Befehl.


aws globalaccelerator withdraw-byoip-cidr --cidr address-range

Schritt 3. Aufheben der Bereitstellung des Adressbereichs. Um die Bereitstellung des Bereichs aufzuheben, verwenden Sie die folgendenDeProvisionbyIPCIDR-Befehl.


aws globalaccelerator deprovision-byoip-cidr --cidr address-range

Erstellen Sie einen Beschleuniger mit Ihren IP-Adressen

Jetzt können Sie einen Beschleuniger mit Ihren IP-Adressen erstellen. Wenn Sie einen Adressbereich zu AWS gebracht haben, können Sie Ihrem Beschleuniger eine IP-Adresse zuweisen. Wenn Sie zwei Adressbereiche mitgebracht haben, können Sie Ihrem Accelerator eine IP-Adresse aus jedem Adressbereich zuweisen.

Sie haben mehrere Möglichkeiten, einen Accelerator mit eigenen IP-Adressen für die statischen IP-Adressen zu erstellen:

Verwenden Sie die Global Accelerator-Konsole, um einen Beschleuniger zu erstellen. Weitere Informationen finden Sie unter Erstellen oder Aktualisieren eines Standard-Beschleunigers und Erstellen oder Aktualisieren eines benutzerdefinierten Routing-Accelerators.
Verwenden Sie die Global Accelerator-API, um einen Accelerator zu erstellen. Weitere Informationen einschließlich Beispielen für die Verwendung der CLI finden Sie unterCreateAcceleratorundCreateCustomRoutingAcceleratorIn der AWS Global Accelerator -API-Referenz.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Weiterleiten von benutzerdefinierten Domain-Traffic an Ihren Accelerator

Die Client-IP-Adressen beibehalten