AWS Global Accelerator で独自の IP アドレス (BYOIP) を使用する - AWS Global Accelerator

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Global Accelerator で独自の IP アドレス (BYOIP) を使用する

AWS Global Accelerator は、アクセラレータのエントリポイントとして静的 IP アドレスを使用します。これらの IP アドレスは、AWS エッジロケーションからのエニーキャストです。デフォルトでは、グローバルアクセラレータは、Amazon IP アドレスプール。グローバルアクセラレータが提供する IP アドレスを使用する代わりに、独自のアドレス範囲の IPv4 アドレスにこれらのエントリポイントを構成できます。このトピックは、独自の IP アドレス範囲を使用してグローバルアクセラレータを使用する方法について説明します。

すべての公開 IPv4 アドレスの範囲の一部またはすべてをオンプレミスのネットワークから AWS アカウントに導入できます。Global Accelerator で使用できます。引き続きアドレス範囲を所有できますが、AWS はこれをインターネット上でアドバタイズします。

AWS に持ち込む IP アドレスを、別の AWS サービスで使用することはできません。この章のステップでは、AWS Global Accelerator でのみ使用するために独自の IP アドレス範囲を使用する方法について説明します。Amazon EC2 で使用するために独自の IP アドレス範囲を使用するステップについては、自分の IP アドレスを使用する (BYOIP)Amazon EC2 ユーザーガイドを参照してください。

重要

AWS から公開する前に、IP アドレス範囲を他の場所からの公開を停止する必要があります。IP アドレス範囲がマルチホームである場合(つまり、範囲が複数のサービスプロバイダーによって同時にアドバタイズされる)、アドレス範囲へのトラフィックがネットワークに入ることや、BYOIP 広告ワークフローが正常に完了することを保証することはできません。

アドレス範囲を AWS に設定すると、そのアドレス範囲はアドレスプールとしてアカウントに表示されます。アクセラレータを作成するときに、範囲から 1 つの IP アドレスを割り当てることができます。グローバルアクセラレータは、Amazon IP アドレス範囲から 2 番目の静的 IP アドレスを割り当てます。AWS に 2 つの IP アドレス範囲を設定する場合は、各範囲から 1 つの IP アドレスをアクセラレータに割り当てることができます。この制限は、高可用性を実現するために、グローバルアクセラレータが各アドレス範囲を別のネットワークゾーンに割り当てるためです。

グローバルアクセラレータで独自の IP アドレス範囲を使用するには、要件を確認し、このトピックに記載されている手順に従います。

Requirements

AWS アカウントごとに最大 2 つの IP アドレス範囲を AWS Global Accelerator に追加できます。

資格を得るには、IP アドレス範囲が以下の要件を満たしている必要があります。

  • IP アドレス範囲は、American Registry for Internet Numbers (ARIN)、Réseaux IP Européens Network Coordination Centre (RIPE) または Asia-Pacific Network Information Centre (APNIC) のいずれかに登録している必要があります。アドレス範囲は、事業体または機関エンティティについて登録する必要があります。個人については登録を受けられない場合があります。

  • 取得できる最も具体的なアドレス範囲は /24 です。IP アドレスの最初の 24 ビットは、ネットワーク番号を指定します。たとえば、198.100 は IP アドレス 198.100 です。IP アドレスは 198.100 です。

  • アドレス範囲内の IP アドレスは、履歴が汚れていない必要があります。つまり、評判が悪かったり、悪意のある行動に関連したりすることはできません。当社は、IP アドレス範囲の評価を調査し、そのアドレスにクリーンな履歴がない IP アドレスが含まれていることを発見した場合、当該範囲を拒否する権利を留保する権利を留保する権利を留保します。

また、IP アドレスの範囲を登録した場所に応じて、次の割り当てと割り当てのネットワークタイプまたはステータスが必要です。

  • アリン:Direct AllocationおよびDirect Assignmentネットワークタイプ

  • 熟した:ALLOCATED PA,LEGACY, およびASSIGNED PI割当てステータス

  • APNIC:ALLOCATED PORTABLEおよびASSIGNED PORTABLE割当てステータス

AWS アカウントに IP アドレス範囲を持ち込むための準備: 承認

お客様のみが IP アドレス空間を Amazon に持ち込めるようにするには、次の 2 つの認証が必要です。

  • IP アドレス範囲をアドバタイズするには、Amazon の認証が必要です。

  • IP アドレス範囲を所有しており、AWS に持ち込む権限があることの証明を提出する必要があります。

    注記

    BYOIP を使用して IP アドレス範囲を AWS に持ち込む場合、そのアドレス範囲の所有権を別のアカウントや会社に譲渡することはできません。また、ある AWS アカウントから別のアカウントに IP アドレス範囲を直接転送することもできません。所有権を譲渡したり、AWS アカウント間で譲渡したりするには、アドレス範囲のプロビジョニングを解除する必要があります。その後、新しい所有者は手順に従って、アドレス範囲を AWS アカウントに追加する必要があります。

Amazon に IP アドレス範囲の宣伝を許可するには、署名付き認証メッセージを Amazon に提供します。この許可を提供するには、ルート発信元認可(ROA)を使用します。ROA は、地域インターネットレジストリ (RIR) から作成するルート通知に関する暗号化ステートメントです。ROA には、IP アドレス範囲、IP アドレス範囲を公開することを許可された自律システム番号 (ASN)、および有効期限が含まれています。ROA は Amazon が特定の自律システム (AS) の IP アドレス範囲を公開することを承認します。

ROA は、AWS アカウントに対して IP アドレス範囲を AWS に持ち込むことを承認しません。この承認を実行するには、IP アドレス範囲について Registry Data Access Protocol (RDAP) の注釈で自己署名付きの X.509 証明書を発行する必要があります。証明書にはパブリックキーが含まれており、AWS はこれを使用してお客様が提供する認証コンテキスト署名を確認します。プライベートキーを安全に管理し、これを使用して認可コンテキストメッセージに署名してください。

以下のセクションでは、これらの認可タスクを完了するための詳細なステップについて説明します。これらのステップのコマンドは、Linux でサポートされています。Windows を使用している場合は、Windows Subsystem for Linuxを使用して Linux コマンドを実行します。

承認を提供する手順

ステップ 1: ROA オブジェクトを作成する

ROA オブジェクトを作成して、Amazon ASN 16509 に対して IP アドレス範囲および IP アドレス範囲を公開することが現在承認されている ASNを承認します。ROA には AWS に持ち込む /24 IP アドレスが含まれている必要があります。また、最大長を /24 に設定する必要があります。

ROA リクエストの作成の詳細については、IP アドレス範囲を登録した場所に応じて、次のセクションを参照してください。

ステップ 2: 自己署名 X.509 証明書を作成する

key pair と自己署名 X.509 証明書を作成し、RIR の RDAP レコードに証明書を追加します。以下のステップでは、これらのタスクを実行する方法を説明します。

注記

-opensslコマンドを使用するには、OpenSSL バージョン 1.0.2 以降が必要です。

X.509 証明書を作成して追加するには

  1. 次のコマンドを使用して、RSA 2048 ビットのkey pair を生成します。

    openssl genrsa -out private.key 2048
  2. 次のコマンドを使用して、key pair からパブリック X.509 証明書を作成します。

    openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

    この例では、証明書は 365 日で期限切れになり、それ以降は信頼されません。コマンドを実行すると、設定することを確認します。–daysオプションを、適切な有効期限の希望の値に設定します。その他の情報の入力を求められたら、デフォルト値をそのまま使用します。

  3. RIR に応じて、次の手順を使用して X.509 証明書を使用して RIR の RDAP レコードを更新します。

    1. 次のコマンドを使用して、証明書を表示します。

      cat publickey.cer
    2. 次の手順を実行して、証明書を追加します。

      重要

      必ず含まれていることを確認してください-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----証明書から。

      • ARIN の場合は、証明書をPublic Commentsセクションに IP アドレス範囲を入力します。

      • RIPE の場合は、証明書を新しいdescrフィールドに IP アドレス範囲を入力します。

      • APNIC の場合は、電子メールで公開鍵をhelpdesk@apnic.netAPNIC の IP アドレスに関する正規連絡先に公開して、手動でその IP アドレスをremarksfields。

ステップ 3: 署名付き認可メッセージを作成する

Amazon がお客様の IP アドレス範囲をアドバタイズできるように、署名された認証メッセージを作成します。

メッセージの形式は以下のとおりですが、ここでYYYYMMDDdate はメッセージの有効期限です。

1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS

署名付き認可メッセージを作成するには

  1. プレーンテキストの認可メッセージを作成し、という名前の変数に保存します。text_message、次の例が示すように。サンプルのアカウント番号、IP アドレス範囲、および有効期限を独自の値に置き換えます。

    text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"
  2. 認証メッセージに署名するtext_message前のセクションで作成した key pair を使用します。

  3. メッセージをという名前の変数に保存するsigned_message、次の例が示すように。

    signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

AWS Global Accelerator で使用するためにアドレス範囲をプロビジョニングする

AWS で使用するアドレス範囲をプロビジョニングする場合は、当該範囲の所有者であることを証明し、Amazon による当該範囲の公開を承認します。アドレス範囲を所有していることを確認します。

CLI またはグローバルアクセラレータ API 操作を使用して、アドレス範囲をプロビジョニングする必要があります。この機能は、AWS コンソールでは使用できません。

アドレス範囲をプロビジョニングするには、以下を使用します。ProvisionbyoIPcIDRコマンド。---cidr-authorization-contextパラメーターは、前のセクションで作成した変数を使用します。ROA メッセージではありません。

aws globalaccelerator provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message"

次に、アドレス範囲のプロビジョニングの例を示します。

aws globalaccelerator provision-byoip-cidr --cidr 203.0.113.25/24 --cidr-authorization-context Message="$text_message",Signature="$signed_message"

アドレス範囲のプロビジョニングは非同期オペレーションであるため、呼び出しはすぐに戻ります。ただし、アドレス範囲はその状態がPENDING_PROVISIONINGREADY。プロビジョニングプロセスの完了までには最大で 3 週間かかることがあります。プロビジョニングしたアドレス範囲の状態を監視するには、以下のコマンドを使用します。リストByoIPCIDRSコマンド:

aws globalaccelerator list-byoip-cidrs

IP アドレス範囲の状態の一覧については、」ByoIPcIDR

IP アドレス範囲がプロビジョニングされると、Stateによって返されるlist-byoip-cidrsREADY。例:

{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "READY" } ] }

AWS を通じてアドレス範囲をアドバタイズする

アドレス範囲をプロビジョニングすると、公開することができるようになります。プロビジョンした正確なアドレス範囲をアドバタイズする必要があります。プロビジョンしたアドレス範囲の一部のみアドバタイズすることはできません。さらに、AWS から公開する前に、IP アドレス範囲を他の場所からの公開を停止する必要があります。

CLI またはグローバルアクセラレータ API 操作を使用して、アドレス範囲をアドバタイズする(またはアドバタイズを停止する)必要があります。この機能は、AWS コンソールでは使用できません。

重要

Global Accelerator でプールの IP アドレスを使用する前に、IP アドレス範囲が AWS によってアドバタイズされていることを確認してください。

アドレス範囲を公開するには、以下を使用します。アドバタイズByoIPcIDRコマンド。

aws globalaccelerator advertise-byoip-cidr --cidr address-range

次に、グローバルアクセラレータにアドレス範囲のアドバタイズを要求する例を示します。

aws globalaccelerator advertise-byoip-cidr --cidr 203.0.113.0/24

アドバタイズしたアドレス範囲の状態を監視するには、以下のコマンドを使用します。リストByoIPCIDRSコマンド。

aws globalaccelerator list-byoip-cidrs

IP アドレス範囲がアドバタイズされると、Stateによって返されるlist-byoip-cidrsADVERTISING。例:

{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "ADVERTISING" } ] }

アドレス範囲の公開を停止するには、以下のコマンドを使用します。withdraw-byoip-cidrコマンド。

重要

アドレス範囲のアドバタイズを停止するには、まず、アドレスプールから割り当てられた静的 IP アドレスを持つアクセラレータを削除する必要があります。コンソールまたは API 操作を使用してアクセラレータを削除するには、 アクセラレーターを削除する

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

以下は、グローバルアクセラレータにアドレス範囲を取り下げるように要求する例です。

aws globalaccelerator withdraw-byoip-cidr --cidr 203.0.113.25/24

アドレス範囲のプロビジョニング解除

AWS でアドレス範囲の使用を停止するには、まず、アドレスプールから割り当てられた静的 IP アドレスを持つアクセラレータを削除して、アドレス範囲の公開を停止する必要があります。これらの手順を完了したら、アドレス範囲のプロビジョニングを解除できます。

CLI またはグローバルアクセラレータ API 操作を使用して、アドバタイズを停止し、アドレス範囲のプロビジョニングを解除する必要があります。この機能は、AWS コンソールでは使用できません。

ステップ 1: 関連するアクセラレータを削除します。コンソールまたは API 操作を使用してアクセラレータを削除するには、 アクセラレーターを削除する

ステップ 2. アドレス範囲の公開を停止します。範囲の公開を停止するには、以下のコマンドを使用します。引き出しYoIPcIDRコマンド。

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

ステップ 3. アドレス範囲のプロビジョニング解除。範囲をプロビジョニング解除するには、次のDEProvisionbyoIPcIDRコマンド。

aws globalaccelerator deprovision-byoip-cidr --cidr address-range

あなたの IP アドレスでアクセラレータを作成します。

これで、IP アドレスでアクセラレータを作成できます。AWS に 1 つのアドレス範囲を設定した場合は、アクセラレータに 1 つの IP アドレスを割り当てることができます。2 つのアドレス範囲を設定した場合は、各アドレス範囲から 1 つの IP アドレスをアクセラレータに割り当てることができます。

固定 IP アドレスに独自の IP アドレスを使用してアクセラレータを作成するには、いくつかのオプションがあります。