自带 IP 地址(BYOIP)到 Amazon EC2 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

自带 IP 地址(BYOIP)到 Amazon EC2

您可将自己的部分或全部可公开路由的 IPv4 或 IPv6 地址从本地网络引入到 Amazon Web Services 账户中。您可以继续控制地址范围,并且可以通过 Amazon 在互联网上公告地址范围。在将地址范围引入 Amazon EC2 中之后,它会在您的 Amazon Web Services 账户中显示为地址池。

注意

本文档介绍如何将您自己的 IP 地址范围仅用于 Amazon EC2。要在 Amazon Global Accelerator 中使用自己的 IP 地址范围,请参阅《Amazon Global Accelerator 开发人员指南》中的 自带 IP 地址(BYOIP)。要将您自己的 IP 地址范围与 Amazon VPC IP Address Manager 结合使用,请参阅《Amazon VPC IPAM 用户指南》中的 教程:自带 IP 地址到 IPAM

如果将 IP 地址范围带入 Amazon,Amazon 会验证您是否控制了 IP 地址范围。有两种方法可用于表明您控制了范围:

  • 如果 IP 地址范围是在支持 RDAP 的互联网注册机构(例如 ARIN、RIPE 和 APNIC)注册,您可以通过此页面上的流程,使用 X.509 证书验证对域的控制。证书必须仅在预调配过程中有效。预调配完成后,可以从 RIR 的记录中删除证书。

  • 无论互联网注册机构是否支持 RDAP,您都可以使用 Amazon VPC IPAM,通过 DNS TXT 记录验证对域的控制。该流程记录在《Amazon VPC IPAM 用户指南》中的教程:将 IP 地址带入 IPAM

BYOIP 定义

  • X.509 自签名证书:最常用于加密和验证网络内数据的证书标准。这是 Amazon 用来验证从 RDAP 记录控制 IP 空间的证书。有关 X.509 证书的更多信息,请参阅 RFC 3280

  • 自治系统号(ASN)是一种全局唯一标识符,它定义了一组 IP 前缀,这些前缀由一个或多个维护单一、明确定义的路由策略的网络运营商运行。

  • 区域互联网注册机构(RIR)是管理世界某个区域内 IP 地址和 ASN 的分配和注册的组织。

  • 注册数据访问协议(RDAP):用于查询 RIR 中当前注册数据的只读协议。查询的 RIR 数据库中的条目称为“RDAP 记录”。某些记录类型需要客户通过 RIR 提供的机制进行更新。这些记录将由 Amazon 查询以验证对 RIR 中地址空间的控制。

  • 路由来源授权 (ROA):由 RIR 创建的对象,供客户对特定自治系统中的 IP 公告进行身份验证。如需相关概览,请参阅 ARIN 网站上的路由来源授权 (ROA)

  • 本地互联网注册机构(LIR)是网络服务提供商等企业,从 RIR 为其客户分配 IP 地址数据块。

要求和配额

  • 地址范围必须在您所在的区域互联网注册机构(RIR)注册。有关地理区域的任何策略,请咨询您的 RIR。BYOIP 目前支持在美国互联网号码注册机构(ARIN)、欧洲 IP 资源网络协调中心(RIPE)或亚太网络信息中心(APNIC)注册。它必须由企业或机构实体注册,而不能由个人注册。

  • 您可以引入的最具体 IPv4 地址范围是 /24。

  • 对于公开发布的 CIDR,可以引入的最具体 IPv6 地址范围是 /48;对于不公开发布的 CIDR,可以引入的最具体 IPv6 地址范围是 /56。

  • 不公开发布的 CIDR 范围不需要 ROA,但 RDAP 记录仍需更新。

  • 您可以将每个地址范围一次添加到一个 Amazon 区域中。

  • 对于每个 Amazon 区域,您可以将总共 5 个 BYOIP IPv4 和 IPv6 地址范围引入到您的 Amazon 账户中。您无法使用服务限额控制台调整 BYOIP CIDR 的限额,但可以按照 Amazon Web Services 一般参考 中的 Amazon 服务限额所述,通过联系 Amazon 支持中心来请求提高限额。

  • 您无法使用 Amazon RAM 与其它账户共享您的 IP 地址范围,除非您使用 Amazon VPC IP 地址管理器 (IPAM) 并将 IPAM 与 Amazon Organizations 集成。有关更多信息,请参阅 Amazon VPC IPAM 用户指南中的将 IPAM 与 Amazon Organizations 集成

  • IP 地址范围中的地址必须具有干净的历史记录。我们可能会调查 IP 地址范围的声誉,并保留权利以拒绝包含的 IP 地址具有不良声誉或与恶意行为关联的 IP 地址范围。

  • 遗留地址空间是指在区域互联网注册机构(RIR)系统成立之前由互联网号码分配机构(IANA)的中央注册管理机构分配的 IPv4 地址空间,仍然需要相应的 ROA 对象。

  • 如果为 LIR,常见做法是通过手动过程更新记录。这可能需要几天的时间来部署,具体取决于 LIR。

  • 大型 CIDR 块需要单个 ROA 对象和 RDAP 记录。您可以使用单个对象和记录,将多个较小的 CIDR 块从该范围添加到 Amazon,甚至可以跨多个 Amazon 区域添加。

  • Wavelength 区域或 Amazon Outposts 上不支持 BYOIP。

  • 不要在 RADb 对 BYOIP 或任何其他 IRR 进行任何手动更改。BYOIP 将自动更新 RADb。任何包含 BYOIP ASN 的手动更改都将导致 BYOIP 预置操作失败。

  • 将 IPv4 地址范围设置为 Amazon 后,您可以使用该范围内的所有 IP 地址,包括第一个地址(网络地址)和最后一个地址(广播地址)。