AWS Global Accelerator 고유 IP 주소 가져오기 - AWS Global Accelerator

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Global Accelerator 고유 IP 주소 가져오기

AWS Global Accelerator 터는 고정 IP 주소를 액셀러레이터의 진입점으로 사용합니다. 이러한 IP 주소는 AWS 엣지 로케이션의 애니 캐스트입니다. 기본적으로 글로벌 가속기는Amazon IP 주소 풀. 글로벌 액셀러레이터가 제공하는 IP 주소를 사용하는 대신 고유한 주소 범위의 IPv4 주소로 이러한 진입점을 구성할 수 있습니다. 이 항목에서는 글로벌 가속기에서 고유한 IP 주소 범위를 사용하는 방법에 대해 설명합니다.

온프레미스 네트워크에서 AWS 계정으로 모든 퍼블릭 IPv4 주소 범위의 일부 또는 전체를 가져와 글로벌 액셀러레이터와 함께 사용할 수 있습니다. 주소 범위는 계속해서 소유할 수 있지만 AWS 인터넷에서 이러한 주소 범위를 알립니다.

한 AWS 서비스에 대해 AWS 로 가져온 IP 주소는 다른 서비스와 함께 사용할 수 없습니다. 이 장의 단계에서는 AWS Global Accelerator 기에서만 사용할 IP 주소 범위를 가져오는 방법에 대해 설명합니다. Amazon EC2 2에서 사용할 고유 IP 주소 범위를 가져오는 단계는 단원을 참조하십시오.고유 IP 주소 가져오기(BYOIP)Amazon EC2 사용 설명서의 내용을 참조하십시오.

중요

AWS 를 통해 알리기 전에 다른 위치에서 IP 주소 범위 알리기를 중지해야 합니다. IP 주소 범위가 멀티홈인 경우 (즉, 범위를 여러 서비스 제공업체가 동시에 광고하는 경우) 주소 범위로의 트래픽이 당사 네트워크에 들어가거나 BYOIP 광고 워크플로가 성공적으로 완료된다고 보장할 수 없습니다.

AWS 로 주소 범위를 가져오면 해당 주소가 계정에 주소 풀로 나타납니다. 가속기를 만들 때 범위에서 하나의 IP 주소를 할당할 수 있습니다. 글로벌 액셀러레이터는 Amazon IP 주소 범위에서 두 번째 고정 IP 주소를 할당합니다. 두 개의 IP 주소 범위를 AWS 로 가져오는 경우 각 범위에서 하나의 IP 주소를 가속기에 할당할 수 있습니다. 글로벌 액셀러레이터는 고가용성을 위해 각 주소 범위를 다른 네트워크 영역에 할당하기 때문입니다.

글로벌 액셀러레이터에서 고유한 IP 주소 범위를 사용하려면 요구 사항을 검토한 다음 이 항목에 제공된 단계를 따릅니다.

Requirements

AWS 계정당 AWS Global Accelerator 터로 최대 두 개의 적격 IP 주소 범위를 가져올 수 있습니다.

자격을 얻으려면 IP 주소 범위가 다음 요구 사항을 충족해야 합니다.

  • IP 주소 범위를 ARIN (미국 인터넷 번호 등록 기관), RIPE (Réseaux IP Européens Network Coordination Centre) 또는 APNIC (아시아 태평양 지역 네트워크 정보 센터) 와 같은 RIR (지역 인터넷 등록 기관) 에 등록해야 합니다. 주소 범위는 사업체 또는 기관에 등록되어야 합니다. 개인에게는 등록할 수 없습니다.

  • 가져올 수 있는 가장 구체적인 주소 범위는 /24입니다. IP 주소의 처음 24비트는 네트워크 번호를 지정합니다. 예를 들어 198.51.100은 IP 주소 198.51.100.0의 네트워크 번호입니다.

  • 주소 범위의 IP 주소에는 명확한 기록이 있어야 합니다. 즉, 그들은 평판이 좋지 않거나 악의적 인 행동과 연관 될 수 없습니다. 당사는 IP 주소 범위의 평판을 조사할 수 있으며, 깨끗한 기록이 없는 IP 주소가 포함된 것으로 판단되는 경우 IP 주소 범위를 거부할 권한을 보유합니다.

또한 IP 주소 범위를 등록한 위치에 따라 다음과 같은 할당 및 할당 네트워크 유형 또는 상태가 필요합니다.

  • 아린:Direct AllocationDirect Assignment네트워크 유형

  • 익은:ALLOCATED PA,LEGACY, 및ASSIGNED PI할당 상태

  • APNIC:ALLOCATED PORTABLEASSIGNED PORTABLE할당 상태

AWS 계정으로 IP 주소 범위를 가져오기 위해 준비하려면 다음 단계를 따르세요. 승인

귀하 만 아마존에 IP 주소 공간을 가져올 수 있도록 하려면 다음 두 가지 승인이 필요합니다.

  • 귀하는 아마존에 IP 주소 범위를 광고하도록 승인해야 합니다.

  • IP 주소 범위를 소유하고 있다는 증거를 제공해야 하며, 이를 AWS 로 가져올 권한이 있어야 합니다.

    참고

    BYOIP를 사용하여 IP 주소 범위를 AWS 로 가져오는 경우 광고하는 동안 해당 주소 범위의 소유권을 다른 계정 또는 회사로 이전할 수 없습니다. 또한 한 AWS 계정에서 다른 계정으로 IP 주소 범위를 직접 전송할 수는 없습니다. 소유권을 이전하거나 AWS 계정 간에 이전하려면 주소 범위를 프로비저닝 해제해야 합니다. 그런 다음 새 소유자는 단계에 따라 주소 범위를 AWS 계정에 추가해야 합니다.

아마존에 IP 주소 범위를 광고하도록 승인하려면 아마존에 서명된 승인 메시지를 제공해야 합니다. ROA (경로 원본 권한 부여) 를 사용하여 이 권한을 제공합니다. ROA는 RIR (지역 인터넷 등록 기관) 를 통해 생성하는 경로 알림에 대한 암호화 설명입니다. ROA는 IP 주소 범위, IP 주소 범위를 알리도록 허용된 자율 시스템 번호 (ASN) 와 만료 날짜가 포함되어 있습니다. ROA는 Amazon에 특정 자율 시스템 (AS) 에서 IP 주소 범위를 알리도록 권한을 부여합니다.

ROA는 AWS 계정에 IP 주소 범위를 AWS로 가져올 수 있는 권한을 부여하지 않습니다. 이 권한을 제공하려면 IP 주소 범위에 대한 등록 데이터 액세스 프로토콜 (R) 설명에 자체 서명된 X.509 인증서를 게시해야 합니다. 이 인증서에는 제공한 권한 부여-컨텍스트 서명을 확인하기 위해 AWS이(가) 사용하는 퍼블릭 키가 포함되어 있습니다. 프라이빗 키는 안전하게 보관하고, 권한 부여-컨텍스트 메시지에 서명하는 데 사용하십시오.

다음 섹션에서는 이러한 권한 부여 작업을 완료하기 위한 자세한 단계를 제공합니다. 이 단계의 명령은 Linux에서 지원됩니다. Windows를 사용하는 경우Windows Subsystem for Linux를 사용하여 Linux 명령을 실행할 수 있습니다.

권한 부여를 제공하는 단계

단계 1: ROA 객체 생성

ROA 객체를 생성하여 Amazon ASN 16509가 IP 주소 범위를 공급하도록 권한을 부여하고 현재 IP 주소 범위의 공급 권한이 있는 ASN이 IP 주소 범위를 공급하도록 권한을 부여합니다. ROA는 AWS 로 가져올 /24 IP 주소를 포함해야 하며, 최대 길이를 /24로 설정해야 합니다.

ROA 요청 생성에 대한 자세한 내용은 IP 주소 범위를 등록한 위치에 따라 다음 섹션을 참조하십시오.

단계 2: 자체 서명된 X.509 인증서 생성

key pair 어와 자체 서명된 X.509 인증서를 만들고 RIR에 대한 R레코드에 인증서를 추가합니다. 다음 단계에서는 이러한 작업을 수행하는 방법을 설명합니다.

참고

openssl명령에는 OpenSSL 버전 1.0.2 이상이 필요합니다.

X.509 인증서를 만들고 추가하려면

  1. 다음 명령을 사용하여 RSA 2048비트 key pair 생성합니다.

    openssl genrsa -out private.key 2048
  2. 다음 명령을 사용하여 key pair 어에서 퍼블릭 X.509 인증서를 생성합니다.

    openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

    이 예제에서 인증서는 365일이 지나면 만료되므로, 이 기간이 지난 후에는 신뢰할 수 없습니다. 명령을 실행할 때는–days옵션을 올바른 만료에 대해 원하는 값으로 설정합니다. 다른 정보를 입력하라는 메시지가 표시되면 기본값을 수락할 수 있습니다.

  3. RIR에 따라 다음 단계를 사용하여 RIR에 대한 R레코드를 업데이트합니다.

    1. 다음 명령을 사용하여 인증서를 봅니다.

      cat publickey.cer
    2. 다음을 수행하여 인증서를 추가합니다.

      중요

      반드시 포함해야 합니다.-----BEGIN CERTIFICATE----------END CERTIFICATE-----인증서로부터.

      • ARIN의 경우Public CommentsIP 주소 범위 섹션을 참조하십시오.

      • RIPE의 경우 인증서를 새descrIP 주소 범위의 필드를 선택합니다.

      • APNIC의 경우 전자 메일의 공개 키를helpdesk@apnic.net에서 IP 주소의 APNIC 공인 연락처를 사용하여remarks필드를 선택합니다.

단계 3: 서명된 권한 부여 메시지 생성

아마존이 귀하의 IP 주소 범위를 광고할 수 있도록 서명된 인증 메시지를 생성합니다.

메시지 형식은 다음과 같으며YYYYMMDDdate는 메시지의 만료 날짜입니다.

1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS

서명된 권한 부여 메시지를 만들려면

  1. 일반 텍스트 권한 부여 메시지를 만들고 라는 변수에 저장합니다.text_message다음 예제와 같이. 예제 계정 번호, IP 주소 범위 및 만료 날짜를 해당 값으로 바꿉니다.

    text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"
  2. 인증 메시지에 서명하십시오.text_message이전 섹션에서 생성한 key pair 사용합니다.

  3. 라는 변수에 메시지를 저장signed_message다음 예제와 같이.

    signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

AWS Global Accelerator 사용할 수 있도록 주소 범위 프로비저닝

AWS 에서 사용할 수 있도록 주소 범위를 프로비저닝하는 경우 주소 범위를 소유하고 있는지 확인하고 Amazon에 해당 주소 범위를 알리도록 권한을 부여합니다. 주소 범위를 소유하고 있는지는 확인합니다.

CLI 또는 글로벌 액셀러레이터 API 작업을 사용하여 주소 범위를 프로비저닝해야 합니다. AWS 콘솔에서 이 기능을 사용할 수 없습니다.

주소 범위를 프로비저닝하려면 다음을 사용합니다.ProvisionByoipCidr명령입니다. --cidr-authorization-context 파라미터는 ROA 메시지가 아니라 이전 섹션에서 생성한 변수를 사용합니다.

aws globalaccelerator provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message"

다음은 주소 범위를 프로비저닝하는 예입니다.

aws globalaccelerator provision-byoip-cidr --cidr 203.0.113.25/24 --cidr-authorization-context Message="$text_message",Signature="$signed_message"

주소 범위 프로비저닝은 비동기 작업이므로 호출이 즉시 반환됩니다. 그러나 주소 범위는 상태가 변경될 때까지 사용할 준비가 되지 않았습니다.PENDING_PROVISIONINGtoREADY. 프로비저닝 프로세스를 완료하는 데 최대 3주까지 걸릴 수 있습니다. 프로비저닝한 주소 범위의 상태를 모니터링하려면 다음목록보IPCIDR명령:

aws globalaccelerator list-byoip-cidrs

IP 주소 범위에 대한 상태 목록을 보려면바이아이프씨더.

IP 주소 범위가 프로비저닝되면State에서 반환한list-byoip-cidrs확장하는 데READY. 예:

{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "READY" } ] }

AWS을(를) 통해 주소 범위 알리기

주소 범위가 프로비저닝되면 알릴 준비가 된 것입니다. 프로비저닝한 정확한 주소 범위를 알려야 합니다. 프로비저닝한 주소 범위의 일부만 알릴 수 없습니다. 또한 AWS 를 통해 알리기 전에 다른 위치에서 IP 주소 범위 알리기를 중지해야 합니다.

CLI 또는 글로벌 액셀러레이터 API 작업을 사용하여 주소 범위를 광고하거나 광고를 중지해야 합니다. AWS 콘솔에서 이 기능을 사용할 수 없습니다.

중요

글로벌 액셀러레이터를 사용하여 풀의 IP 주소를 사용하기 전에 AWS 에서 IP 주소 범위를 알려야 합니다.

주소 범위를 알리려면 다음을 사용합니다.광고바이오익시더명령입니다.

aws globalaccelerator advertise-byoip-cidr --cidr address-range

다음은 주소 범위를 광고하도록 글로벌 액셀러레이터를 요청하는 예입니다.

aws globalaccelerator advertise-byoip-cidr --cidr 203.0.113.0/24

알린 주소 범위의 상태를 모니터링하려면 다음목록보IPCIDR명령입니다.

aws globalaccelerator list-byoip-cidrs

IP 주소 범위가 보급되면State에서 반환한list-byoip-cidrs확장하는 데ADVERTISING. 예:

{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "ADVERTISING" } ] }

주소 범위 알리기를 중지하려면 다음withdraw-byoip-cidr명령입니다.

중요

주소 범위 광고를 중지하려면 먼저 주소 풀에서 할당된 고정 IP 주소가 있는 가속기를 제거해야 합니다. 콘솔 또는 API 작업을 사용하여 가속기를 삭제하려면 액셀러레이터를 삭제하려면.

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

다음은 글로벌 액셀러레이터에 주소 범위를 철회하도록 요청하는 예입니다.

aws globalaccelerator withdraw-byoip-cidr --cidr 203.0.113.25/24

주소 범위 프로비저닝 취소

AWS 에서 주소 범위 사용을 중지하려면 먼저 주소 풀에서 할당되는 고정 IP 주소가 있는 가속기를 모두 제거하고 주소 범위 알리기를 중지해야 합니다. 이러한 단계를 완료한 후 주소 범위를 프로비저닝 해제할 수 있습니다.

CLI 또는 글로벌 액셀러레이터 API 작업을 사용하여 광고를 중지하고 주소 범위를 프로비저닝 해제해야 합니다. AWS 콘솔에서 이 기능을 사용할 수 없습니다.

단계 1: 연결된 액셀러레이터를 모두 삭제합니다. 콘솔 또는 API 작업을 사용하여 가속기를 삭제하려면 액셀러레이터를 삭제하려면.

단계 2. 주소 범위 알리기를 중지합니다. 범위 알리기를 중지하려면 다음을 사용합니다.바이오익시더명령입니다.

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

단계 3. 주소 범위 프로비저닝을 취소하십시오. 범위를 프로비저닝 해제하려면 다음을 사용하십시오.디프로비전 바이오익시더명령입니다.

aws globalaccelerator deprovision-byoip-cidr --cidr address-range

IP 주소로 가속기 만들기

이제 IP 주소로 가속기를 만들 수 있습니다. 하나의 주소 범위를 AWS 로 가져온 경우 가속기에 하나의 IP 주소를 할당할 수 있습니다. 두 개의 주소 범위를 가져온 경우 각 주소 범위에서 하나의 IP 주소를 가속기에 할당할 수 있습니다.

고정 IP 주소에 대해 사용자 고유의 IP 주소를 사용하여 가속기를 만드는 몇 가지 옵션이 있습니다.