在 Amazon EC2 中使用自有 IP 地址 (BYOIP) - Amazon Elastic Compute Cloud

在 Amazon EC2 中使用自有 IP 地址 (BYOIP)

您可以將內部部署網路的一部分或全部公有可路由 IPv4 或 IPv6 地址範圍用於您的 AWS 帳戶。您仍控制地址範圍,但依預設,AWS 會在網際網路上進行公告。在您將地址範圍用於 AWS 之後,該地址範圍就會顯示為 AWS 帳戶的地址集區。

並非所有區域皆可使用 BYOIP,且並非可供所有資源使用。如需支援的區域和資源清單,請參閱使用自有 IP 的常見問答集

注意

下列步驟說明如何使用您自己的 IP 地址範圍僅供在 Amazon EC2 中使用。如需將您自己的 IP 地址範圍用於 AWS Global Accelerator 的步驟,請參閱 AWS Global Accelerator 開發人員指南中的使用自有 IP 地址 (BYOIP)

BYOIP 定義

  • X.509 自我簽署的憑證 - 最常用來加密和驗證網路中資料的憑證標準。此為 AWS 用來驗證來自 RDAP 記錄之 IP 空間控制的憑證。若要取得有關 X.509 憑證的更多資訊,請參閱 RFC 3280

  • 登錄檔資料存取通訊協定 (RDAP) - 查詢登錄檔資料的資源。此由客戶更新,並由 AWS 用來驗證區域網際網路註冊機構 (RIR) 中地址空間的控制。

  • 路由來源授權 (ROA) - 由 RIR 建立的物件,可供客戶於特定自治系統中驗證 IP 公告。如需概觀,請參閱 ARIN 網站上的路由來源授權 (ROAS)

  • 本地網際網路註冊機構 (LIR) – 從 RIR 為其客戶分配 IP 地址區塊的網際網路服務供應商等組織。

需求與配額

  • 您必須向您的區域網際網路註冊管理機構 (RIR) 註冊地址範圍 (例如,美洲網際網路號碼註冊管理機構 (ARIN) 或歐洲 IP 網路資源協調中心 (RIPE)) 或亞太區域資訊中心 (APNIC)。它必須以商業或機構實體註冊,而無法以個人身分註冊。

  • 您可以使用的最特定 IPv4 位址範圍是 /24。

  • 針對公開公告的 CIDR,您可以使用的最特定 IPv6 位址範圍是 /48,而針對未公開公告的 CIDR,則是 /56。

  • 對於未公開發佈的 CIDR 範圍,不需要 ROA,但仍需要更新 RDAP 記錄。

  • 您可以逐一將每個地址範圍新增至一個區域。

  • 針對您 AWS 帳戶的每個區域,您可以使用總計五個 BYOIP IPv4 和 IPv6 地址範圍。您無法使用 Service Quotas 主控台調整 BYOIP CIDR 的配額,但您可以聯絡 AWS 支援中心請求增加配額,在 AWS Service Quotas (服務配額) 所述如 AWS General Reference (《一般參考》)。

  • 您無法使用 AWS RAM,與其他帳戶共用您的 IP 地址範圍,除非您使用 Amazon VPC IP Address Manager (IPAM),並整合 IPAM 與 AWS Organizations。如需詳細資訊,請參閱 Amazon VPC IPAM 使用者指南中的 整合 IPAM 與 AWS Organizations

  • IP 地址範圍中的地址都必須有良好的歷史記錄。我們會調查 IP 地址範圍的評價,如果 IP 地址範圍包含的 IP 地址評價不佳或與惡意行為有關,我們保留拒絕該範圍的權利。

  • AWS 不支援舊式分配。

  • 對於 LIR,其通常使用手動程序來更新其記錄。這可能需要幾天時間才能部署,依 LIR 而定。

  • 大型 CIDR 區塊需要單一的 ROA 物件和 RDAP 記錄。您可使用單一物件和記錄,將該範圍內的多個較小的 CIDR 區塊帶至 AWS,甚至跨多個區域。

  • Local Zone、Wavelength Zone 或 AWS Outposts 皆不支援 BYOIP。

BYOIP 地址範圍加入先決條件

BYOIP 的加入過程分為兩個階段,您必須執行三個步驟。這些步驟與下圖中說明的步驟相對應。我們在本文件中包含手動步驟,但您的 RIR 可能會提供受管服務來協助您完成這些步驟。

準備階段

1. 請建立 RSA 金鑰對,然後使用其來產生自我簽署的 X.509 憑證進行身分驗證。

RIR 組態階段

2. 將自我簽署的憑證上傳至您 RDAP 記錄註解。

3. 在 RIR 中建立一個 ROA 物件。ROA 定義了所需的地址範圍、允許公告地址範圍的自治系統編號 (ASN) 以及向您 RIR 的資源公有金鑰基礎設施 (RPKI) 註冊的到期日期。

注意

非公開公告的 IPv6 地址空間不需要 ROA。

如要引入多個不連續的地址範圍,您必須針對每個地址範圍重複此程序。但是,若在多個不同區域中拆分連續區塊,則無需重複準備和 RIR 配置步驟。

引入地址範圍不會影響您先前引入的任何地址範圍。

加入您的地址範圍之前,請先完成下列先決條件。對於某些任務,可以執行 Linux 命令。如為 Windows,可以使用 Windows Subsystem for Linux 執行 Linux 命令。

1. 建立 AWS 身分驗證的金鑰對

使用以下程序建立自簽 X.509 憑證,並將其加入到您 RIR 的 RDAP 記錄中。此金鑰對可用來向 RIR 驗證地址範圍。openssl 命令需要 OpenSSL 1.0.2 版或更新版本。

複製下列命令,並只取代預留位置值 (以彩色斜體文字表示)。

建立自簽 X.509 憑證,並將其加入到 RDAP 記錄

此程序會遵循加密私有 RSA 金鑰並需要密碼短語才能進行存取的最佳實務。

  1. 產生 RSA 2048 位元金鑰對,如下所示。

    $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

    -aes256 參數會指定用來加密私有金鑰的演算法。此命令會傳回下列輸出,包括設定密碼短語的提示:

    ......+++ .+++ Enter PEM pass phrase: xxxxxxx Verifying - Enter PEM pass phrase: xxxxxxx

    您可以使用下列命令來檢查金鑰:

    $ openssl pkey -in private-key.pem -text

    這會傳回密碼短語提示和金鑰內容,應類似於以下內容:

    Enter pass phrase for private-key.pem: xxxxxxx -----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDFBXHRI4HVKAhh 3seiciooizCRTbJe1+YsxNTja4XyKypVGIFWDGhZs44FCHlPOOSVJ+NqP74w96oM 7DPS3xo9kaQyZBFn2YEp2EBq5vf307KHNRmZZUmkn0zHOSEpNmY2fMxISBxewlxR FAniwmSd/8TDvHJMY9FvAIvWuTsv5l0tJKk+a91K4+tO3UdDR7Sno5WXExfsBrW3 g1ydo3TBsx8i5/YiVOcNApy7ge2/FiwY3aCXJB6r6nuF6H8mRgI4r4vkMRsOlAhJ DnZPNeweboo+K3Q3lwbgbmOKD/z9svk8N/+hUTBtIX0fRtbG+PLIw3xWRHGrMSn2 BzsPVuDLAgMBAAECggEACiJUj2hfJkKv47Dc3es3Zex67A5uDVjXmxfox2Xhdupn fAcNqAptV6fXt0SPUNbhUxbBKNbshoJGufFwXPli1SXnpzvkdU4Hyco4zgbhXFsE RNYjYfOGzTPwdBLpNMB6k3Tp4RHse6dNrlH0jDhpioL8cQEBdBJyVF5X0wymEbmV mC0jgH/MxsBAPWW6ZKicg9ULMlWiAZ3MRAZPjHHgpYkAAsUWKAbCBwVQcVjGO59W jfZjzTX5pQtVVH68ruciH88DTZCwjCkjBhxg+OIkJBLE5wkh82jIHSivZ63flwLw z+E0+HhELSZJrn2MY6Jxmik3qNNUOF/Z+3msdj2luQKBgQDjwlC/3jxp8zJy6P8o JQKv7TdvMwUj4VSWOHZBHLv4evJaaia0uQjIo1UDa8AYitqhX1NmCCehGH8yuXj/ v6V3CzMKDkmRr1NrONnSz5QsndQ04Z6ihAQlPmJ96g4wKtgoC7AYpyP0g1a+4/sj b1+o3YQI4pD/F71c+qaztH7PRwKBgQDdc23yNmT3+Jyptf0fKjEvONK+xwUKzi9c L/OzBq5yOIC1Pz2T85gOe1i8kwZws+xlpG6uBT6lmIJELd0k59FyupNu4dPvX5SD 6GGqdx4jk9KvI74usGeOBohmF0phTHkrWKBxXiyT0oS8zjnJlEn8ysIpGgO28jjr LpaHNZ/MXQKBgQDfLNcnS0LzpsS2aK0tzyZU8SMyqVHOGMxj7quhneBq2T6FbiLD T9TVlYaGNZ0j71vQaLI19qOubWymbautH0Op5KV8owdf4+bf1/NJaPIOzhDUSIjD Qo01WW31Z9XDSRhKFTnWzmCjBdeIcajyzf10YKsycaAW9lItu8aBrMndnQKBgQDb nNp/JyRwqjOrNljk7DHEs+SD39kHQzzCfqd+dnTPv2sc06+cpym3yulQcbokULpy fmRo3bin/pvJQ3aZX/Bdh9woTXqhXDdrrSwWInVYMQPyPk8f/D9mIOJp5FUWMwHD U+whIZSxsEeE+jtixlWtheKRYkQmzQZXbWdIhYyI3QKBgD+F/6wcZ85QW8nAUykA 3WrSIx/3cwDGdm4NRGct8ZOZjTHjiy9ojMOD1L7iMhRQ/3k3hUsin5LDMp/ryWGG x4uIaLat40kiC7T4I66DM7P59euqdz3w0PD+VU+h7GSivvsFDdySUt7bNK0AUVLh dMJfWxDN8QV0b5p3WuWH1U8B -----END PRIVATE KEY----- Private-Key: (2048 bit) modulus: 00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72: 2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b: 85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08: 79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec: 33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8: 40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f: 4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2: 5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63: d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b: dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13: 17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7: f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd: a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af: 8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e: 8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2: f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8: f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56: e0:cb publicExponent: 65537 (0x10001) privateExponent: 0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37: 65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1: 76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f: 50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70: 5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38: ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0: 74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d: ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72: 54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc: c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2: 01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16: 28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63: cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03: 4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4: e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0: cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71: 9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5: b9 prime1: 00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25: 02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c: bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b: c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9: 78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38: d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e: 62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83: 56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17: bd:5c:fa:a6:b3:b4:7e:cf:47 prime2: 00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a: 31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06: ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93: 06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d: dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8: 61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06: 88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2: 84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2: 38:eb:2e:96:87:35:9f:cc:5d exponent1: 00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf: 26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d: e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35: 9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d: ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7: f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59: 6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05: d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6: 52:2d:bb:c6:81:ac:c9:dd:9d exponent2: 00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec: 31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76: 74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71: ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43: 76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad: 2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20: e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0: 47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd: 06:57:6d:67:48:85:8c:88:dd coefficient: 3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd: 6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1: 93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32: 14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9: 61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23: ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55: 4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34: ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f: 9a:77:5a:e5:87:d5:4f:01

    不使用私有金鑰時,請將它保管在安全位置。

  2. 從私有金鑰產生您的公有金鑰,如下所示。您稍後將使用此功能來測試您簽署的授權訊息是否正確驗證。

    $ openssl rsa -in private-key.pem -pubout > public-key.pem

    檢查時,您的公有金鑰應如下所示:

    $ cat public-key.pem -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxQVx0SOB1SgIYd7HonIq KIswkU2yXtfmLMTU42uF8isqVRiBVgxoWbOOBQh5TzjklSfjaj++MPeqDOwz0t8a PZGkMmQRZ9mBKdhAaub399OyhzUZmWVJpJ9MxzkhKTZmNnzMSEgcXsJcURQJ4sJk nf/Ew7xyTGPRbwCL1rk7L+ZdLSSpPmvdSuPrTt1HQ0e0p6OVlxMX7Aa1t4NcnaN0 wbMfIuf2IlTnDQKcu4HtvxYsGN2glyQeq+p7heh/JkYCOK+L5DEbDpQISQ52TzXs Hm6KPit0N5cG4G5jig/8/bL5PDf/oVEwbSF9H0bWxvjyyMN8VkRxqzEp9gc7D1bg ywIDAQAB -----END PUBLIC KEY-----
  3. 使用之前建立的金鑰對產生 X.509 憑證。在此範例中,憑證會在 365 天後過期;在這段時間之後,就無法再信任此憑證。務必設定適當的過期期限。tr -d "\n" 命令從輸出中刪除換行符號字元 (換行符)。出現提示時,您需要提供 Common Name (通用名稱),但其他欄位可以保留空白。

    $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

    此輸出結果類似以下內容:

    Enter pass phrase for private-key.pem: xxxxxxx You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) []: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []: Organizational Unit Name (eg, section) []: Common Name (eg, fully qualified host name) []:example.com Email Address []:
    注意

    通用名稱不需要 AWS 佈建。其可為任何內部或公有網域名稱。

    您可以使用下列命令來檢查憑證:

    $ cat certificate.pem

    輸出應該是一個 PEM 編碼的長字串,沒有換行符,前面為 -----BEGIN CERTIFICATE-----,後面為 -----END CERTIFICATE-----

2. 將 RDAP 記錄上傳至您的 RIR

將您先前建立的憑證新增到 RIR 的 RDAP 記錄。請務必包含 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 字串之前和之後的編碼部分。所有這些內容都必須在單獨的長線上。更新 RDAP 的程序取決於您的 RIR:

  • 若是 ARIN,請將憑證新增至地址範圍的 Public Comments (公有評論) 區段。請勿將其新增至您組織的評論區段。

  • 若是 RIPE,請將憑證新增為地址範圍的新 "desc" 欄位。請勿將其新增至您組織的評論區段。

  • 對於 APNIC,請透過電子郵件將憑證傳送至 helpdesk@apnic.net,以手動將其新增至位址範圍的 "remarks" 欄位。使用 IP 地址的 APNIC 授權聯絡人船送電子郵件。

3. 在 RIR 中建立一個 ROA 物件

建立 ROA 物件來授權 Amazon ASN 16509 和 14618 以宣傳您的地址範圍,以及目前獲授權宣傳地址範圍的 ASN。針對 AWS GovCloud (US) Region,請授權 ASN 8987。您必須將長度上限設定為您要使用的 CIDR 大小。您可以使用的最特定 IPv4 字首為 /24。針對公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對未公開公告的 CIDR,則是 /56。

重要

如果您要為 Amazon VPC IP Address Manager (IPAM) 建立 ROA 物件,則當您為 IPv4 CIDR 建立 ROA 時,必須將 IP 地址字首的長度上限設定為 /24。若要將 IPv6 CIDR 新增至可公告集區,則 IP 地址字首的長度上限必須為 /48。這樣可確保您享有全面的靈活性,可將您的公有 IP 地址分配給多個 AWS 區域。IPAM 會強制執行您設定的長度上限。如需有關 IPAM 的 BYOIP 地址的詳細資訊,請參閱《Amazon VPC IPAM 使用者指南》中的教學課程:IPAM 的 BYOIP 地址 CIDR

可能最多需要 24 小時 Amazon 才能使用 ROA。如需詳細資訊,請參閱 RIR:

將廣告從內部部署工作負載遷移至 AWS 時,您必須先為現有 ASN 建立 ROA,再為 Amazon 的 ASN 建立 ROA。否則,可能會對現有路由和廣告造成影響。

注意

非公開公告的 IPv6 地址空間不需要此步驟。

加入您的 BYOIP

依據您的需求,BYOIP 的加入程序具有下列任務:

在 AWS 中佈建一個公開的地址範圍

當您佈建地址範圍以用於 AWS 時,即已確認您控制該地址範圍並授權 Amazon 公告。我們也會透過簽署的授權訊息驗證您確實控制該地址範圍。此訊息已用您使用 X.509 憑證更新 RDAP 記錄時所用的自簽 X.509 金鑰對簽署。AWS 需要透過加密技術簽署的授權訊息,該訊息會呈現給 RIR。RIR 會根據新增至 RDAP 的憑證來驗證簽章,並根據 ROA 檢查授權詳細資訊。

佈建地址範圍

  1. 編寫訊息

    撰寫純文字授權訊息。訊息格式如下所示,其中的日期是訊息的過期日期:

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    用您自己的值取代帳戶號碼、地址範圍和到期日,建立類似下列內容的訊息:

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    這不能與具有類似特征的 ROA 訊息混淆。

  2. 簽署訊息

    使用您先前建立的私有金鑰來簽署純文字訊息。此命令傳回的簽章是一個長字串,您需要在下一個步驟中使用它。

    重要

    建議您複製並貼上此命令。除訊息內容外,請勿修改或取代任何值。

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. 佈建地址

    使用 AWS CLI provision-byoip-cidr 命令佈建地址範圍。--cidr-authorization-context 選項會使用您先前建立的訊息和簽章字串。

    重要

    若 BYOIP 範圍與您的 AWS CLI 組態 Default region name 不同,您必須指定應佈建 BYOIP 範圍的 AWS 區域。

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    佈建地址範圍是一種非同步操作;系統會立即傳回呼叫,但地址範圍要等到其狀態從 pending-provision 變更為 provisioned 時,才能開始使用。

  4. 監控進度

    完成可公開公告範圍的佈建程序最長需要一週。使用 describe-byoip-cidrs 命令監控進度,如下例所示:

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    如果在佈建期間發生問題且狀態變成 failed-provision,您必須在問題解決後再次執行 provision-byoip-cidr 命令。

佈建未公開公告的 IPv6 位址範圍

根據預設,會向網際網路公開公告所佈建的位址範圍。您可以佈建不會公開公告的 IPv6 位址範圍。對於不可公開公告的路由,佈建程序通常會在幾分鐘內完成。當您將來自非公有地址範圍的 IPv6 CIDR 區塊與 VPC 產生關聯時,只能透過支援 IPv6 的混合連線選項存取該 IPv6,例如AWS Direct ConnectAWS Site-to-Site VPN,或 Amazon VPC 傳輸閘道

佈建非公有位址範圍不需要 ROA。

重要

您只能指定在佈建期間是否公開公告地址範圍。您稍後無法變更可公告狀態。

若要佈建不會公開公告的 IPv6 位址範圍,請使用下列 provision-byoip-cidr 命令。

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

透過 AWS 公告地址範圍

佈建好地址範圍之後,即可將其公告。佈建好地址範圍之後,您必須公布。對於已經佈建好的地址範圍,您不能必須只公布一部分。

如果您佈建了不會公開公告的 IPv6 位址範圍,則不需要完成此步驟。

建議您先停止從其他位置公告地址範圍,之後再透過 AWS 進行公告。如果您持續從其他位置公告您的 IP 地址範圍,我們就無法穩定地支援或故障診斷問題。具體來說,我們無法保證該地址範圍的流量可以進入我們的網路。

若要降低停機時間,您可以將您的 AWS 資源設定為在公告前使用地址集區的地址,然後同時停止從目前的位置公告,並開始透過 AWS 來公告。如需從您的地址集區配置彈性 IP 地址的詳細資訊,請參閱配置彈性 IP 地址

限制

  • 即使您每次都指定不同的地址範圍,最多仍只能每 10 秒執行一次 advertise-byoip-cidr 命令。

  • 即使您每次都指定不同的地址範圍,最多仍只能每 10 秒執行一次 withdraw-byoip-cidr 命令。

若要公告地址範圍,請使用下列 advertise-byoip-cidr 命令。

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

若要停止公告地址範圍,請使用下列 withdraw-byoip-cidr 命令。

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

解除佈建地址範圍

若要停止對 AWS 使用您的地址範圍,請先釋出任何彈性 IP 地址,並將仍從地址集區配置的任何 IPv6 CIDR 區塊取消關聯。然後停止公告位址範圍,最後取消佈建位址範圍。

您無法取消佈建一部分的位址範圍。如果想要對 AWS 使用更具體的地址範圍,請取消佈建整個地址範圍,然後佈建更具體的地址範圍。

(IPv4) 若要釋出每個彈性 IP 地址,請使用下列 release-address 命令。

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) 若要解除 IPv6 CIDR 區塊的關聯,請使用下列 disassociate-vpc-cidr-block 命令。

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

若要停止公告地址範圍,請使用下列 withdraw-byoip-cidr 命令。

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

若要解除佈建地址範圍,請使用下列 deprovision-byoip-cidr 命令。

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

取消佈建位址範圍最多可能需要一天的時間。

使用您的位址範圍

您可以檢視和使用已在帳戶中佈建的 IPv4 和 IPv6 地址範圍。

IPv4 位址範圍

可以從您的 IPv4 地址集區建立彈性 IP 地址,並將它用於您的 AWS 資源,例如 EC2 執行個體、NAT 閘道和 Network Load Balancers。

若要檢視您在帳戶中佈建之 IPv4 位址集區的相關資訊,請使用下列 describe-public-ipv4-pools 命令。

aws ec2 describe-public-ipv4-pools --region us-east-1

若要從您的 IPv4 位址集區建立彈性 IP 地址,請使用 allocate-address 命令。您可以使用 --public-ipv4-pool 選項來指定 describe-byoip-cidrs 傳回的位址集區 ID。或者,您可以使用 --address 選項來指定您佈建的位址範圍。

IPv6 位址範圍

若要檢視您在帳戶中佈建之 IPv6 位址集區的相關資訊,請使用下列 describe-ipv6-pools 命令。

aws ec2 describe-ipv6-pools --region us-east-1

若要建立 VPC 並指定來自 IPv6 位址集區的 IPv6 CIDR,請使用下列 create-vpc 命令。若要讓 Amazon 從您的 IPv6 位址集區中選擇 IPv6 CIDR,請省略 --ipv6-cidr-block 選項。

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

若要將來自您的 IPv6 位址集區的 IPv6 CIDR 區塊與 VPC 建立關聯,請使用下列 associate-vpc-cidr-block 命令。若要讓 Amazon 從您的 IPv6 位址集區中選擇 IPv6 CIDR,請省略 --ipv6-cidr-block 選項。

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

若要檢視您的 VPC 和相關聯的 IPv6 位址集區資訊,請使用 describe-vpcs 命令。若要檢視來自特定 IPv6 位址集區的關聯 IPv6 CIDR 區塊的相關資訊,請使用下列取得 get-associated-ipv6-pool-cidrs 命令。

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

如果您取消 IPv6 CIDR 區塊與 VPC 的關聯,即會將它釋出回您的 IPv6 位址集區中。

如需有關在 VPC 主控台中使用 IPv6 CIDR 區塊的詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 和子網

驗證您的 BYOIP

  1. 驗證自我簽署的 x.509 金鑰對

    透過 whois 命令,驗證憑證是否已上傳且有效。

    若為 ARIN,請使用 whois -h whois.arin.net r + 2001:0DB8:6172::/48 來查詢您地址範圍的 RDAP 記錄。檢查命令輸出中 NetRange (網路範圍)的 remarks 部分。該憑證應新增至地址範圍的 Public Comments 部分中。

    您可使用下列命令來檢查包含憑證的 remarks

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comment | grep BEGIN

    此會傳回含有金鑰內容的輸出,應類似於下列內容:

    remarks: -----BEGIN CERTIFICATE----- MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0 NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2 VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9 prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww 3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF 08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35 UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4 ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90 MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----

    若為 RIPE,請使用 whois -r -h whois.ripe.net 2001:0DB8:7269::/48 來查詢您地址範圍的 RDAP 記錄。檢查命令輸出中 inetnum 物件 (網路範圍)的 descr 部分。該憑證應新增為地址範圍的新 desc 欄位。

    您可使用下列命令來檢查包含憑證的 descr

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    此會傳回含有金鑰內容的輸出,應類似於下列內容:

    descr: -----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8 RDAHSP+I1TowDQYJKoZIhvcNAQELBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAg MCEF1Y2tsYW5kMREwDwYDVQQHDAhBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIF dlYiBTZXJ2aWNlczETMBEGA1UECwwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPS VAgRGVtbzAeFw0yMTEyMDcyMDI0NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNV BAYTAk5aMREwDwYDVQQIDAhBdWNrbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDA aBgNVBAoME0FtYXpvbiBXZWIgU2VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW 8xEzARBgNVBAMMCkJZT0lQIERlbW8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwg gEKAoIBAQCfmacvDp0wZ0ceiXXcR/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanA EskgAseyFypwEEQr4CJijI/5hp9prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3 stsI5QesHVRwOaXUdprAnndaTugmDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq 35wU/x+wXlAqBXg4MZK2KoUu27kYt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp 1ZnVIc7NqnhdeIW48QaYjhMlUEfxdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2r GlHWkJsbhr0VEUyAGu1bwkgcdww3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBS tFyujN6SYBr2glHpGt0XGF7GbGTAfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0 XGF7GbGTAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6Y Lhz521lfyVfxY0t6o3410bQAeAF08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyL xngwMYN0XY5tVhDQqk4/gmDNEKSZy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9 wySL507XQz76Uk5cFypBOzbnk35UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8 mBGqVpPpey+dXpzzzv1iBKN/VY4ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGC vRDl/qdO/GIDJi77dmZWkh/ic90MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoN PyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----

    若為 APNIC,請使用 whois -h whois.apnic.net 2001:0DB8:6170::/48 來查詢您 BYOIP 地址範圍的 RDAP 記錄。檢查命令輸出中 inetnum 物件 (網路範圍)的 remarks 部分。該憑證應新增為地址範圍的新 desc 欄位。

    您可使用下列命令來檢查包含憑證的 descr

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    此會傳回含有金鑰內容的輸出,應類似於下列內容:

    remarks: -----BEGIN CERTIFICATE----- MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0 NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2 VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9 prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww 3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF 08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35 UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4 ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90 MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----
  2. 驗證 ROA 物件的建立

    使用 whois 命令,驗證是否成功建立 ROA 物件。請務必依據 Amazon ASN 16509 和 14618,及目前授權公布地址範圍的 ASN 來測試您的地址範圍。

    您可使用以下命令,檢查具有您地址範圍不同 Amazon ASN 的 ROA 物件:

    whois -h whois.bgpmon.net " --roa 16509 2001:0DB8:1000::/48"

    於此範例輸出中,Amazon ASN 16509 的回應結果為 0 - Valid。這表示地址範圍的 ROA 物件已成功建立:

    0 - Valid ------------------------ ROA Details ------------------------ Origin ASN: AS16509 Not valid Before: 2021-11-19 05:00:00 Not valid After: 2021-12-24 05:00:00 Expires in 16d8h39m12s Trust Anchor: rpki.arin.net Prefixes: 2001:0DB8::/32 (max length /48)

    於此範例輸出中,回應的錯誤為 1 - Not Found。這表示地址範圍的 ROA 物件尚未建立:

    1 - Not Found

    於此範例輸出中,回應的錯誤為 2 - Not Valid。這表示地址範圍的 ROA 物件並未成功建立:

    2 - Not Valid: Invalid Origin ASN, expected 15169

進一步了解

如需詳細資訊,請參閱 AWS 線上技術講座深入探索使用自有 IP