本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IPAM 將您自己的 IP 帶到 CloudFront
IPAM 的 BYOIP for 全域服務可讓您將自己的 IPv4 地址與 CloudFront 等 AWS 全域服務搭配使用。與區域 BYOIP 不同,您的 IP 地址會透過任何傳送路由同時從多個節點公告。
為什麼要使用此功能?
-
維護 IP 允許清單 – 使用現有的已核准 IP 地址,而不是更新防火牆組態
-
簡化遷移 – 從其他 CDNs 遷移而不變更 IP 基礎設施
-
一致的品牌 – 移至 時保留現有的 IP 地址空間 AWS
誰應該使用此功能?
需要具有全域內容交付之自有 IP 地址的組織:
-
具有 IP 允許清單要求的大型企業
-
使用現有 IP 地址從其他 CDNs 遷移的公司
-
具有要求特定 IP 範圍之嚴格安全政策的組織
何時使用此功能?
當您需要下列項目時,請將 BYOIP 用於全域服務:
-
與合作夥伴/用戶端維護現有的 IP 允許清單
-
使用您的 IP 地址從另一個 CDN 遷移
-
符合特定 IP 範圍的合規要求
注意
需要 /24 IPv4 CIDR 區塊。目前僅適用於 CloudFront。
先決條件
請先完成下列步驟,再開始:
-
IPAM 設定 – 將 IPAM 與 AWS Organizations 中的帳戶整合和 建立 IPAM
-
網域驗證 – 驗證網域控制
-
建立頂層集區 – 遵循將您自己的 IPv4 CIDR 帶到 IPAM 中的步驟 1-2
全域服務組態步驟
下列步驟與標準區域 BYOIP 程序不同,並建立全域服務的模式:
步驟 1:建立 Anycast 服務的全域集區
建立 Anycast 服務的全域集區,而不是建立區域集區:
主控台
若要使用主控台建立全域集區:
-
請在 https://console.aws.amazon.com/ipam/
開啟 IPAM 主控台。 -
在導覽窗格中,選擇集區
-
選擇建立集區
-
來源:選擇最上層 BYOIP 集區
-
地區設定:選擇全域
-
服務:選擇全域服務 (選取全域時會出現)
-
公有 IP 來源:選擇 BYOIP
-
要佈建CIDRs:指定您的 /24 CIDR 範圍
-
選擇建立集區
CLI
使用 aws ec2 create-ipam-pool,並將地區設定設為「全域」和位址系列「ipv4」。
然後使用 佈建 CIDRaws ec2 provision-ipam-pool-cidr。
重要
您必須將完整的 /24 區塊配置到此集區。您可以在此區塊中為不同用途佈建更具體的範圍。
步驟 2:建立服務特定的資源
針對 CloudFront,建立使用您的 IPAM 集區的任何廣播 IP 清單。如需詳細說明,請參閱 CloudFront BYOIP 文件 (連結待定)。
IPAM 整合的關鍵參數:
-
IP 地址類型 – 選擇 BYOIP
-
IPAM 集區 – 從步驟 1 選取您的全域集區
-
IP 計數 – 輸入 3 (CloudFront 需要)
步驟 3:與服務資源建立關聯
將您的 Anycast 靜態 IP 清單與 CloudFront 分佈建立關聯。如需詳細說明,請參閱 CloudFront BYOIP 文件 (連結待定)。
金鑰組態:
-
在分佈設定中,從步驟 2 選取您的 Anycast IP 清單
步驟 4:準備遷移
-
降低 DNS TTL – 將記錄的 DNS TTL 設定為 60 秒或更短
-
等待傳播 – 允許新的 TTL 在網際網路上生效
步驟 5:全域公告 CIDR
使用 IPAM 全域公告命令:
主控台
若要使用主控台公告 CIDR:
-
請在 https://console.aws.amazon.com/ipam/
開啟 IPAM 主控台。 -
在導覽窗格中,選擇集區
-
選取您的全域集區
-
選擇 CIDRs索引標籤
-
選取您的 CIDR,然後選擇動作 > 公告 CIDR
-
確認廣告
CLI
aws ec2 advertise-ipam-byoip-cidr 使用您的 IPAM 集區 ID 和 CIDR。
重要
-
在執行此命令之前,從先前的供應商中撤回公告
-
更新 DNS 記錄以指向 CloudFront 以完成遷移
清除
若要清除本教學課程中建立的資源:
-
刪除 CloudFront 資源 – 遵循 CloudFront BYOIP 文件中的清除說明 (連結待定)
-
撤銷 CIDR 並刪除 IPAM 集區 – 遵循 中的標準清除程序 步驟 8:清除
重要
首先刪除 CloudFront 資源,然後繼續 IPAM 清除,以避免服務中斷。
