在 Amazon EC2 中使用自有 IP 地址 (BYOIP) - Amazon Elastic Compute Cloud
BYOIP 定義需求與配額加入先決條件加入您的 BYOIP使用您的位址範圍驗證您的 BYOIP區域可用性Local Zone 可用性進一步了解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon EC2 中使用自有 IP 地址 (BYOIP)

您可以將部分或全部的公開路由 IPv4 或 IPv6 位址範圍從內部部署網路移至您的 AWS 帳戶。您可以繼續控制地址範圍,並且可以通過在 Internet 上通告地址範圍 AWS。將地址範圍帶到之後 AWS,它會以地址集區的形式出現在您的 AWS 帳戶中。

如需可使用 BYOIP 的區域清單,請參閱 區域可用性

注意

BYOIP 定義

  • X.509 自我簽署的憑證 - 最常用來加密和驗證網路中資料的憑證標準。它是用來驗證從 RDAP 記錄 IP 空間的控制權的證書。 AWS 若要取得有關 X.509 憑證的更多資訊,請參閱 RFC 3280

  • 自治系統編號 (ASN) – 這是一個全域唯一識別符,可定義由一個或多個網路業者執行的 IP 字首群組,而這些網路業者維護單一且明確定義的路由政策。

  • 區域網際網路註冊管理機構 (RIR) – 管理全球某個地區內 IP 地址和 ASN 之配置與註冊的組織。

  • 註冊資料訪問協定 (RDAP):用來查詢 RIR 目前註冊資料的唯讀協定。查詢的 RIR 資料庫中的項目稱為「RDAP 記錄」。客戶必須透過 RIR 提供的機制更新特定記錄類型。系統會查詢這些記錄, AWS 以驗證 RIR 中位址空間的控制權。

  • 路由來源授權 (ROA) - 由 RIR 建立的物件,可供客戶於特定自治系統中驗證 IP 公告。如需概觀,請參閱 ARIN 網站上的路由來源授權 (ROAS)

  • 本地網際網路註冊機構 (LIR) – 從 RIR 為其客戶分配 IP 地址區塊的網際網路服務供應商等組織。

需求與配額

  • 地址範圍必須在您的區域互聯網註冊處(RIR)註冊。有關地理區域的任何政策,請參閱您的 RIR。BYOIP 目前支援在美洲網際網路號碼註冊管理機構 (ARIN) 或歐洲 IP 網路資源協調中心 (RIPE) 或亞太區域資訊中心 (APNIC) 進行註冊。它必須以商業或機構實體註冊,而無法以個人身分註冊。

  • 您可以使用的最特定 IPv4 位址範圍是 /24。

  • 您可以提供的最具體 IPv6 位址範圍為 /48 (適用於可公開廣告的 CIDR),而不是可公開廣告的 CIDR 則為 /56。

  • 對於不可公開公告的 CIDR 範圍,不需要 ROA,但仍需要更新 RDAP 記錄。

  • 您一次可以將每個地址範圍帶到一個地 AWS 區。

  • 您可以將每個 AWS 區域總共五個 BYOIP IPv4 和 IPv6 位址範圍帶入您的帳戶。 AWS 您無法使用 Service Quotas 主控台調整 BYOIP CIDR 的配額,但您可以透過連絡 Sup AWS port 中心要求增加配額,如中的AWS 服務配額中所述。AWS 一般參考

  • 除非您使用 Amazon VPC IP 位址管理員 (IPAM) 並將 IPAM 與 Organizations 整合, AWS RAM 否則您無法使用與其他帳戶共用您的 IP 位址範圍。 AWS 如需詳細資訊,請參閱 Amazon VPC IPAM 使用者指南中的整合 IPAM 與 Organizations AWS 織

  • IP 地址範圍中的地址都必須有良好的歷史記錄。我們會調查 IP 地址範圍的評價,如果 IP 地址範圍包含的 IP 地址評價不佳或與惡意行為有關,我們保留拒絕該範圍的權利。

  • 舊版地址空間 (即在區域網際網路註冊管理機構 (RIR) 系統形成之前,由網際網路號碼分配局 (IANA) 的中央登錄檔所分配的 IPv4 地址空間) 仍然需要對應的 ROA 物件。

  • 對於 LIR,其通常使用手動程序來更新其記錄。這可能需要幾天時間才能部署,依 LIR 而定。

  • 大型 CIDR 區塊需要單一的 ROA 物件和 RDAP 記錄。您可以使用單一物件和記錄 AWS,將多個較小的 CIDR AWS 區塊從該範圍引入,甚至跨多個區域。

  • Wavelength 區域或開啟時不支援 BYOIP。 AWS Outposts

  • 不要在 RADb 或任何其他 LIR 中對 BYOIP 進行任何手動變更。BYOIP 會自動更新 RADb。任何包含 BYOIP ASN 的手動變更將會導致 BYOIP 佈建操作失敗。

  • 將 IPv4 位址範圍帶到之後 AWS,您就可以使用範圍內的所有 IP 位址,包括第一個位址 (網路位址) 和最後一個位址 (廣播位址)。

BYOIP 地址範圍加入先決條件

BYOIP 的加入過程分為兩個階段,您必須執行三個步驟。這些步驟與下圖中說明的步驟相對應。我們在本文件中包含手動步驟,但您的 RIR 可能會提供受管服務來協助您完成這些步驟。

準備階段

1. 請建立私密金鑰,然後使用其來產生自我簽署的 X.509 憑證進行身分驗證。此憑證僅在佈建階段使用。

RIR 組態階段

2. 將自我簽署的憑證上傳至您 RDAP 記錄註解。

3. 在 RIR 中建立一個 ROA 物件。ROA 定義了所需的地址範圍、允許公告地址範圍的自治系統編號 (ASN) 以及向您 RIR 的資源公有金鑰基礎設施 (RPKI) 註冊的到期日期。

注意

不可公開公告的 IPv6 地址空間不需要 ROA。

BYOIP 的 3 步驟加入程序。

如要引入多個不連續的地址範圍,您必須針對每個地址範圍重複此程序。但是,如果跨多個不同區域分割連續 AWS 區塊,則不需要重複準備和 RIR 設定步驟。

引入地址範圍不會影響您先前引入的任何地址範圍。

重要

加入您的地址範圍之前,請先完成下列先決條件。本節中的任務需要 Linux 終端,而且可以使用 Linux、AWS CloudShellWindows Subsystem for Linux 執行。

1. 建立私密金鑰並產生 X.509 憑證

使用以下程序建立自簽 X.509 憑證,並將其加入到您 RIR 的 RDAP 記錄中。此金鑰對可用來向 RIR 驗證地址範圍。openssl 命令需要 OpenSSL 1.0.2 版或更新版本。

複製下列命令,並只取代預留位置值 (以彩色斜體文字表示)。

此程序會遵循加密私有 RSA 金鑰並需要密碼短語才能進行存取的最佳實務。

  1. 產生 RSA 2048 位元私密金鑰,如下所示。

    $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

    -aes256 參數會指定用來加密私有金鑰的演算法。此命令會傳回下列輸出,包括設定密碼短語的提示:

    ......+++
.+++
Enter PEM pass phrase: xxxxxxx
Verifying - Enter PEM pass phrase: xxxxxxx

    您可以使用下列命令來檢查金鑰:

    $ openssl pkey -in private-key.pem -text

    這會傳回密碼短語提示和金鑰內容,應類似於以下內容:

    Enter pass phrase for private-key.pem: xxxxxxx
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
Private-Key: (2048 bit)
modulus:
    00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72:
    2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b:
    85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08:
    79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec:
    33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8:
    40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f:
    4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2:
    5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63:
    d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b:
    dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13:
    17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7:
    f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd:
    a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af:
    8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e:
    8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2:
    f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8:
    f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56:
    e0:cb
publicExponent: 65537 (0x10001)
privateExponent:
    0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37:
    65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1:
    76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f:
    50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70:
    5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38:
    ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0:
    74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d:
    ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72:
    54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc:
    c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2:
    01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16:
    28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63:
    cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03:
    4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4:
    e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0:
    cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71:
    9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5:
    b9
prime1:
    00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25:
    02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c:
    bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b:
    c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9:
    78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38:
    d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e:
    62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83:
    56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17:
    bd:5c:fa:a6:b3:b4:7e:cf:47
prime2:
    00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a:
    31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06:
    ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93:
    06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d:
    dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8:
    61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06:
    88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2:
    84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2:
    38:eb:2e:96:87:35:9f:cc:5d
exponent1:
    00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf:
    26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d:
    e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35:
    9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d:
    ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7:
    f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59:
    6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05:
    d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6:
    52:2d:bb:c6:81:ac:c9:dd:9d
exponent2:
    00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec:
    31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76:
    74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71:
    ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43:
    76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad:
    2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20:
    e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0:
    47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd:
    06:57:6d:67:48:85:8c:88:dd
coefficient:
    3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd:
    6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1:
    93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32:
    14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9:
    61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23:
    ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55:
    4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34:
    ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f:
    9a:77:5a:e5:87:d5:4f:01

    不使用私有金鑰時,請將它保管在安全位置。

  2. 使用在上一個步驟中建立的私密金鑰產生 X.509 憑證。在此範例中,憑證會在 365 天後過期;在這段時間之後,就無法再信任此憑證。務必設定適當的過期期限。憑證只能在佈建程序期間有效。佈建完成後,您可以從 RIR 記錄中移除憑證。tr -d "\n" 命令從輸出中刪除換行符號字元 (換行符)。出現提示時,您需要提供 Common Name (通用名稱),但其他欄位可以保留空白。

    $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

    此輸出結果類似以下內容:

    Enter pass phrase for private-key.pem: xxxxxxx
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:example.com
Email Address []:
    注意

    AWS 佈建時不需要「一般名稱」。其可為任何內部或公有網域名稱。

    您可以使用下列命令來檢查憑證:

    $ cat certificate.pem

    輸出應該是一個 PEM 編碼的長字串,沒有換行符,前面為 -----BEGIN CERTIFICATE-----,後面為 -----END CERTIFICATE-----

2. 將 X.509 憑證上傳至 RIR 中的 RDAP 記錄

將您先前建立的憑證新增到 RIR 的 RDAP 記錄。請務必包含 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 字串之前和之後的編碼部分。所有這些內容都必須在單獨的長線上。更新 RDAP 的程序取決於您的 RIR:

  • 若是 ARIN,請使用 客戶經理入口網站,在代表您位址範圍的「網路資訊」物件的「Public Comments」區段中新增憑證。請勿將其新增至您組織的評論區段。

  • 若是 RIPE,請將憑證作為新的「descr」欄位新增至代表您位址範圍的「inetnum」或「inet6num」物件。您通常可以在 RIPE 資料庫入口網站 的「我的資源」區段找到這些內容。請勿將其新增至組織的註解區段,或上述物件的「備註」欄位。

  • 對於 APNIC,請透過電子郵件將憑證傳送至 helpdesk@apnic.net,以手動將其新增至位址範圍的 "remarks" 欄位。使用 IP 地址的 APNIC 授權聯絡人船送電子郵件。

您可以在下列佈建階段完成後,從 RIR 記錄中移除憑證。

3. 在 RIR 中建立一個 ROA 物件

建立 ROA 物件來授權 Amazon ASN 16509 和 14618 以宣傳您的地址範圍,以及目前獲授權宣傳地址範圍的 ASN。對於 AWS GovCloud (US) Regions,請授權出貨預先通知 8987,而不是 16509 及 14618。您必須將長度上限設定為您要使用的 CIDR 大小。您可以使用的最特定 IPv4 字首為 /24。針對可公開公告的 CIDR,您可以使用的最特定 IPv6 位址範圍是 /48,而針對不可公開公告的 CIDR,則是 /56。

重要

如果您要為 Amazon VPC IP Address Manager (IPAM) 建立 ROA 物件,則當您建立 ROA 時,您必須針對 IPv4 CIDR 將 IP 地址字首的長度上限設定為 /24。若要將 IPv6 CIDR 新增至可公告集區,則 IP 地址字首的長度上限必須為 /48。這樣可確保您有充分的靈活性,可以跨 AWS 區域劃分您的公有 IP 地址。IPAM 會強制執行您設定的長度上限。如需有關 IPAM 的 BYOIP 地址的詳細資訊,請參閱《Amazon VPC IPAM 使用者指南》中的教學課程:IPAM 的 BYOIP 地址 CIDR

可能最多需要 24 小時 Amazon 才能使用 ROA。如需詳細資訊,請參閱 RIR:

將廣告從現場部署工作負載移轉到時 AWS,必須先為現有 ASN 建立 ROA,然後才能為 Amazon 的 ASN 建立 ROA。否則,可能會對現有路由和廣告造成影響。

重要

若要讓 Amazon 公告並繼續公告您的 IP 地址範圍,您使用 Amazon ASN 的 ROA 必須符合上述準則。如果您的廣告投資報酬率無效或不符合上述準則,Amazon 保留停止廣告您的 IP 位址範圍的權利。

注意

不可公開公告的 IPv6 地址空間不需要此步驟。

加入您的 BYOIP

BYOIP 的上線程序會根據您的需求執行下列工作。

在 AWS中佈建一個可公開公告的地址範圍

佈建要搭配使用的地址範圍時 AWS,您確認自己控制了地址範圍,並授權 Amazon 宣傳該地址範圍。我們也會透過簽署的授權訊息驗證您確實控制該地址範圍。此訊息會使用您在使用 X.509 憑證更新 RDAP 記錄時所使用的自我簽署 X.509 key pair 簽署。 AWS 需要提供給 RIR 的密碼編譯簽名授權訊息。RIR 會根據新增至 RDAP 的憑證來驗證簽章,並根據 ROA 檢查授權詳細資訊。

佈建地址範圍
  1. 編寫訊息

    撰寫純文字授權訊息。訊息格式如下所示,其中的日期是訊息的過期日期:

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    用您自己的值取代帳戶號碼、地址範圍和到期日,建立類似下列內容的訊息:

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    這不能與具有類似特征的 ROA 訊息混淆。

  2. 簽署訊息

    使用您先前建立的私有金鑰來簽署純文字訊息。此命令傳回的簽章是一個長字串,您需要在下一個步驟中使用它。

    重要

    建議您複製並貼上此命令。除訊息內容外,請勿修改或取代任何值。

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. 佈建地址

    使用 AWS CLI provision-byoip-cidr指令佈建位址範圍。--cidr-authorization-context 選項會使用您先前建立的訊息和簽章字串。

    重要

    如果 BYOIP 範圍與您的組態不同,您AWS CLI 必須指定應佈建 BYOIP 範圍的 AWS 區域。 Default region name

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    佈建地址範圍是一種非同步操作;系統會立即傳回呼叫,但地址範圍要等到其狀態從 pending-provision 變更為 provisioned 時,才能開始使用。

  4. 監控進度

    雖然大部分佈建都會在兩小時內完成,但最多可能需要一週的時間才能完成可公開廣告範圍的佈建程序。使用指describe-byoip-cidrs令監視進度,如下列範例所示:

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    如果在佈建期間發生問題且狀態變成 failed-provision,您必須在問題解決後再次執行 provision-byoip-cidr 命令。

佈建不可公開公告的 IPv6 地址範圍

根據預設,可向網際網路公開公告所佈建的地址範圍。您可以佈建不可公開公告的 IPv6 地址範圍。對於不可公開公告的路由,佈建程序通常會在幾分鐘內完成。當您將來自非公有地址範圍的 IPv6 CIDR 區塊與 VPC 產生關聯時,只能透過支援 IPv6 的混合連線選項存取該 IPv6,例如AWS Direct ConnectAWS Site-to-Site VPN,或 Amazon VPC 傳輸閘道

佈建非公有位址範圍不需要 ROA。

重要

  • 您只能指定在佈建期間可否公開公告地址範圍。您稍後無法變更可公告狀態。

  • Amazon VPC 不支援唯一本機地址 (ULA) CIDR。所有 VPC 都必須具有唯一的 IPv6 CIDR。兩個 VPC 不能具有相同的 IPv6 CIDR 範圍。

若要佈建不可公開廣告的 IPv6 位址範圍,請使用下列provision-byoip-cidr命令。

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

通告位址範圍 AWS

佈建好地址範圍之後,即可將其公告。佈建好地址範圍之後,您必須公布。對於已經佈建好的地址範圍,您不能必須只公布一部分。

如果您佈建了不會公開公告的 IPv6 位址範圍,則不需要完成此步驟。

我們建議您在通過廣告之前,停止在其他位置廣告該地址範圍或範圍的任何部分 AWS。如果您持續從其他位置宣傳您的 IP 位址範圍或其任何部分,我們將無法可靠地支援或疑難排解問題。具體而言,我們無法保證到達位址範圍或部分範圍的流量會進入我們的網路。

為了盡量減少停機時間,您可以將 AWS 資源設定為在廣告位址集區之前使用位址集區中的位址,然後同時停止從目前位置發佈廣告,並開始通過 AWS廣告。如需從您的地址集區配置彈性 IP 地址的詳細資訊,請參閱配置彈性 IP 地址

限制

  • 即使您每次都指定不同的地址範圍,最多仍只能每 10 秒執行一次 advertise-byoip-cidr 命令。

  • 即使您每次都指定不同的地址範圍,最多仍只能每 10 秒執行一次 withdraw-byoip-cidr 命令。

若要通告位址範圍,請使用下列advertise-byoip-cidr命令。

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

要停止廣告地址範圍,請使用以下withdraw-byoip-cidr命令。

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

解除佈建地址範圍

若要停止使用您的位址範圍 AWS,請先釋出任何彈性 IP 位址,並取消仍從位址集區配置的任何 IPv6 CIDR 區塊的關聯。然後停止公告位址範圍,最後取消佈建位址範圍。

您無法取消佈建一部分的位址範圍。如果您想要使用更特定的位址範圍 AWS,請取消佈建整個位址範圍,並佈建更特定的位址範圍。

(IPv4) 若要釋出每個彈性 IP 地址,請使用下列 release-address 命令。

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) 若要取消 IPv6 CIDR 區塊的關聯,請使用下列disassociate-vpc-cidr-block命令。

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

要停止廣告地址範圍,請使用以下withdraw-byoip-cidr命令。

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

若要取消佈建位址範圍,請使用下列deprovision-byoip-cidr命令。

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

取消佈建位址範圍最多可能需要一天的時間。

使用您的位址範圍

您可以檢視和使用已在帳戶中佈建的 IPv4 和 IPv6 地址範圍。

IPv4 位址範圍

您可以從 IPv4 地址集區建立彈性 IP 地址,並將其與 EC2 執行個體、NAT 閘道和網路負載平衡器等 AWS 資源搭配使用。

若要檢視您在帳戶中佈建之 IPv4 位址集區的相關資訊,請使用下列 describe-public-ipv4 池命令。

aws ec2 describe-public-ipv4-pools --region us-east-1

若要從您的 IPv4 位址集區建立彈性 IP 地址,請使用 allocate-address 命令。您可以使用 --public-ipv4-pool 選項來指定 describe-byoip-cidrs 傳回的位址集區 ID。或者,您可以使用 --address 選項來指定您佈建的位址範圍。

IPv6 位址範圍

若要檢視您在帳戶中佈建之 IPv6 位址集區的相關資訊,請使用下列 describe-ipv6-pools 命令。

aws ec2 describe-ipv6-pools --region us-east-1

若要建立 VPC 並指定來自 IPv6 位址集區的 IPv6 CIDR,請使用下列 create-vpc 命令。若要讓 Amazon 從您的 IPv6 位址集區中選擇 IPv6 CIDR,請省略 --ipv6-cidr-block 選項。

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

若要將 IPv6 位址集區中的 IPv6 CIDR 區塊與 VPC 建立關聯,請使用下列associate-vpc-cidr-block命令。若要讓 Amazon 從您的 IPv6 位址集區中選擇 IPv6 CIDR,請省略 --ipv6-cidr-block 選項。

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

若要檢視您的 VPC 和相關聯的 IPv6 位址集區資訊,請使用 describe-vpcs 命令。若要從特定 IPv6 位址集區檢視關聯 IPv6 CIDR 區塊的資訊,請使用下列 get-associated-ipv6 集區-cidrs 命令。

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

如果您取消 IPv6 CIDR 區塊與 VPC 的關聯,即會將它釋出回您的 IPv6 位址集區中。

驗證您的 BYOIP

  1. 驗證自我簽署的 x.509 金鑰對

    透過 whois 命令,驗證憑證是否已上傳且有效。

    若為 ARIN,請使用 whois -h whois.arin.net r + 2001:0DB8:6172::/48 來查詢您地址範圍的 RDAP 記錄。檢查命令輸出中 NetRange (網路範圍)的 Public Comments 部分。該憑證應新增至地址範圍的 Public Comments 部分中。

    您可使用下列命令來檢查包含憑證的 Public Comments

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN

    此會傳回含有金鑰內容的輸出,應類似於下列內容:

    Public Comments:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    若為 RIPE,請使用 whois -r -h whois.ripe.net 2001:0DB8:7269::/48 來查詢您地址範圍的 RDAP 記錄。檢查命令輸出中 inetnum 物件 (網路範圍)的 descr 部分。該憑證應新增為地址範圍的新 descr 欄位。

    您可使用下列命令來檢查包含憑證的 descr

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    此會傳回含有金鑰內容的輸出,應類似於下列內容:

    descr:
-----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8
RDAHSP+I1TowDQYJKoZIhvcNAQELBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAg
MCEF1Y2tsYW5kMREwDwYDVQQHDAhBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIF
dlYiBTZXJ2aWNlczETMBEGA1UECwwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPS
VAgRGVtbzAeFw0yMTEyMDcyMDI0NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNV
BAYTAk5aMREwDwYDVQQIDAhBdWNrbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDA
aBgNVBAoME0FtYXpvbiBXZWIgU2VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW
8xEzARBgNVBAMMCkJZT0lQIERlbW8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwg
gEKAoIBAQCfmacvDp0wZ0ceiXXcR/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanA
EskgAseyFypwEEQr4CJijI/5hp9prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3
stsI5QesHVRwOaXUdprAnndaTugmDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq
35wU/x+wXlAqBXg4MZK2KoUu27kYt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp
1ZnVIc7NqnhdeIW48QaYjhMlUEfxdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2r
GlHWkJsbhr0VEUyAGu1bwkgcdww3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBS
tFyujN6SYBr2glHpGt0XGF7GbGTAfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0
XGF7GbGTAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6Y
Lhz521lfyVfxY0t6o3410bQAeAF08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyL
xngwMYN0XY5tVhDQqk4/gmDNEKSZy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9
wySL507XQz76Uk5cFypBOzbnk35UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8
mBGqVpPpey+dXpzzzv1iBKN/VY4ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGC
vRDl/qdO/GIDJi77dmZWkh/ic90MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoN
PyQrJRzqFU9F3FBjiPJF
-----END CERTIFICATE-----

    若為 APNIC,請使用 whois -h whois.apnic.net 2001:0DB8:6170::/48 來查詢您 BYOIP 地址範圍的 RDAP 記錄。檢查命令輸出中 inetnum 物件 (網路範圍)的 remarks 部分。該憑證應新增為地址範圍的新 remarks 欄位。

    您可使用下列命令來檢查包含憑證的 remarks

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    此會傳回含有金鑰內容的輸出,應類似於下列內容:

    remarks:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

  2. 驗證 ROA 物件的建立

    使用 RIPEstat Data API,驗證是否成功建立 ROA 物件。請務必依據 Amazon ASN 16509 和 14618,及目前授權公布地址範圍的 ASN 來測試您的地址範圍。

    您可使用以下命令,檢查具有您地址範圍不同 Amazon ASN 的 ROA 物件:

    curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR

    於此範例輸出中,Amazon ASN 16509 的回應結果為 "status": "valid"。這表示地址範圍的 ROA 物件已成功建立:

    {
    "messages": [],
    "see_also": [],
    "version": "0.3",
    "data_call_name": "rpki-validation",
    "data_call_status": "supported",
    "cached": false,
    "data": {
        "validating_roas": [
            {
                "origin": "16509",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "valid"
            },
            {
                "origin": "14618",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            },
            {
                "origin": "64496",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            }
        ],
        "status": "valid",
        "validator": "routinator",
        "resource": "16509",
        "prefix": "2001:0DB8::/32"
    },
    "query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f",
    "process_time": 58,
    "server_id": "app116",
    "build_version": "live.2023.2.1.142",
    "status": "ok",
    "status_code": 200,
    "time": "2023-02-24T15:24:30.773654"
}

“unknown” 的狀態表示尚未建立地址範圍的 ROA 物件。“invalid_asn” 的狀態表示未成功建立地址範圍的 ROA 物件。

區域可用性

BYOIP 功能目前適用於所有商業 AWS  區域 (中國地區除外)。

Local Zone 可用性

本地區域」是您使用者所在地理位置附近的「 AWS 區域」的延伸。Local Zones 會分組為「網路邊界群組」。在中 AWS,網路邊界群組是可用區域 (AZ)、本機區域或 Wavelength 區域的集合,這些區域會從中 AWS 通告公用 IP 位址。Local Zones 可能與區域中的 AZ 具有不同的網路邊界群組,以確保 AWS 網路與存取這些區域中資源的客戶之間的最小延遲或實際距離。 AWS

您可以使用 --network-border-group 選項,在下列 Local Zone 網路邊界群組中佈建 BYOIPv4 地址範圍,並公告這些地址範圍:

  • us-east-1-dfw-2

  • us-west-2-lax-1

  • us-west-2-phx-2

如果您已啟用 Local Zones (請參閱啟用 Local Zone),您可以在佈建和公告 BYOIPv4 CIDR 時為 Local Zones 選擇網路邊界群組。請謹慎選擇網路邊界群組,因為 EIP 及其關聯的 AWS 資源必須位於相同的網路邊界群組中。

注意

您目前無法在 Local Zones 中佈建或公告 BYOIPv6 地址範圍。

進一步了解

如需詳細資訊,請參閱 AWS 線上技術講座深入探討自攜 IP