本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IPAM 將您自己的 IP 帶到 CloudFront (支援 IPv4 和 IPv6)
IPAM 的 BYOIP for 全域服務可讓您將自己的 IPv4 和 IPv6 地址與 CloudFront 等 AWS 全域服務搭配使用。與區域 BYOIP 不同,您的 IP 地址會透過任何傳送路由同時從多個節點公告。
本教學課程涵蓋:
-
為 IPv4 (/24) 和/或 IPv6 (/48) 地址範圍建立全域 IPAM 集區
-
使用您自己的 IP 地址佈建 Anycast 靜態 IP 清單
-
透過 CloudFront 節點在全球公告您的 CIDRs
-
使用個別 IPv4 和 IPv6 IPAM 集區的雙堆疊組態
為什麼要使用此功能?
-
維護 IP 允許清單 – 使用現有的已核准 IP 地址,而不是更新防火牆組態
-
簡化遷移 – 從其他 CDNs 遷移而不變更 IP 基礎設施
-
一致的品牌 – 移至 時保留現有的 IP 地址空間 AWS
-
IPv6 整備 – 支援具有 IPv4 和 IPv6 的現代雙堆疊架構
誰應該使用此功能?
需要具有全域內容交付之自有 IP 地址的組織:
-
具有 IP 允許清單要求的大型企業
-
使用現有 IP 地址從其他 CDNs 遷移的公司
-
具有要求特定 IP 範圍之嚴格安全政策的組織
-
需要雙堆疊 (IPv4/IPv6) 組態以實現全域覆蓋的企業
何時使用此功能?
當您需要下列項目時,請將 BYOIP 用於全域服務:
-
與合作夥伴/用戶端維護現有的 IP 允許清單
-
使用您的 IP 地址從另一個 CDN 遷移
-
符合特定 IP 範圍的合規要求
-
部署支援 IPv4 和 IPv6 用戶端的雙堆疊架構
注意
需要 IPv4 的 IPv4 CIDR 區塊。雙堆疊 (IPv4 和 IPv6) 需要 /24 IPv4 和 /48 IPv6 CIDR 區塊。目前僅適用於 CloudFront。
先決條件
請先完成下列步驟,再開始:
-
IPAM 設定 – 將 IPAM 與 AWS Organizations 中的帳戶整合和 建立 IPAM
-
網域驗證 – 驗證網域控制
-
建立頂層集區 – 遵循將您自己的 IPv4 CIDR 帶到 IPAM 和/或將您自己的 IPv6 CIDR 帶到 IPAM 中的步驟 1-2 ( IPv4 IPv6
-
ROA (路由來源授權) – 如果部署雙堆疊,請確保同時為 IPv4 (/24) 和 IPv6 (/48) 字首設定 ROAs
全域服務組態步驟
下列步驟與標準區域 BYOIP 程序不同,並建立全域服務的模式。對於雙堆疊部署,您將為 IPv4 和 IPv6 建立單獨的集區,然後將兩者佈建至 CloudFront。
步驟 1:為任何廣播服務建立全域集區 (s)
不是建立區域集區,而是為任何廣播服務建立全域集區:
主控台
若要使用主控台建立全域集區:
-
請在 https://console.aws.amazon.com/ipam/
開啟 IPAM 主控台。 -
在導覽窗格中,選擇集區
-
選擇建立集區
-
來源:選擇最上層 BYOIP 集區
-
地區設定:選擇全域
-
服務:選擇全域服務 (選取全域時出現)
-
公有 IP 來源:選擇 BYOIP
-
要佈建CIDRs:指定您的 /24 CIDR 範圍 (適用於 IPv4) 或 /48 CIDR 範圍 (適用於 IPv6)
-
選擇建立集區
CLI
對於 IPv4:
aws ec2 create-ipam-pool \ --ipam-scope-idscope-id\ --locale None \ --address-family ipv4 \ --source-ipam-pool-idtop-level-pool-idaws ec2 provision-ipam-pool-cidr \ --ipam-pool-idglobal-pool-id\ --cidryour-ipv4-/24
對於 IPv6:
aws ec2 create-ipam-pool \ --ipam-scope-idscope-id\ --locale None \ --address-family ipv6 \ --source-ipam-pool-idtop-level-pool-idaws ec2 provision-ipam-pool-cidr \ --ipam-pool-idglobal-pool-id\ --cidryour-ipv6-/48
重要
-
對於 IPv4:您必須將完整的 /24 區塊配置到此集區。您可以在此區塊中為不同用途佈建更具體的範圍。
-
對於 IPv6:您必須將完整的 /48 區塊配置到此集區。您可以在此區塊中為不同用途佈建更具體的範圍。
步驟 2:建立服務特定的資源
針對 CloudFront,建立使用您的 IPAM 集區的任何廣播 IP 清單。如需詳細說明,請參閱《Amazon CloudFront 開發人員指南》中的使用 IPAM 將您自己的 IP 帶到 CloudFront。 Amazon CloudFront
IPAM 整合的關鍵參數:
-
IP 地址類型 – 選擇 BYOIP
-
IPAM 集區 – 從步驟 1 選取您的全域集區 (IPv4 或 IPv6)
-
IP 計數 – 輸入 3 (CloudFront 需要)
步驟 3:與服務資源建立關聯
將您的 Anycast 靜態 IP 清單與 CloudFront 分佈建立關聯。如需詳細說明,請參閱《Amazon CloudFront 開發人員指南》中的使用 IPAM 將您自己的 IP 帶到 CloudFront。 Amazon CloudFront
金鑰組態:
-
在分佈設定中,從步驟 2 選取您的 Anycast IP 清單
步驟 4:準備遷移
-
降低 DNS TTL – 將記錄的 DNS TTL 設定為 60 秒或更短
-
等待傳播 – 允許新的 TTL 在網際網路上生效
步驟 5:全域公告 CIDR
使用 IPAM 全域公告命令:
主控台
若要使用主控台公告 CIDR:
-
請在 https://console.aws.amazon.com/ipam/
開啟 IPAM 主控台。 -
在導覽窗格中,選擇集區
-
選取您的全域集區
-
選擇 CIDRs索引標籤
-
選取您的 CIDR,然後選擇動作 > 公告 CIDR
-
確認廣告
CLI
對於 IPv4:
aws ec2 advertise-byoip-cidr \ --cidryour-ipv4-/24
對於 IPv6:
aws ec2 advertise-byoip-cidr \ --cidryour-ipv6-/48
重要
-
在執行此命令之前,從先前的供應商中撤回公告
-
更新 DNS 記錄以指向 CloudFront 以完成遷移 (IPv4 的記錄、IPv6 的 AAAA 記錄)
清除
若要清除本教學課程中建立的資源:
-
刪除 CloudFront 資源 – 遵循《Amazon CloudFront 開發人員指南》中的使用 IPAM 將您自己的 IP 帶到 CloudFront 中的清除說明 Amazon CloudFront
-
撤銷 CIDR 並刪除 IPAM 集區 – 遵循 中的標準清除程序 步驟 8:清除
重要
首先刪除 CloudFront 資源,然後繼續 IPAM 清除,以避免服務中斷。
