使用 IPAM 自带 IP 到 CloudFront
借助使用全局服务的 IPAM BYOIP,您可以将自己的 IPv4 地址用于 CloudFront 等 Amazon 全局服务。与区域 BYOIP 不同,您的 IP 地址将通过任播路由从多个边缘站点同时公布。
为什么要使用此功能?
-
维护 IP 允许列表:使用现有批准的 IP 地址,而无需更新防火墙配置
-
简化迁移:无需更改 IP 基础设施即可从其他 CDN 迁移
-
一致的品牌:在迁移到 Amazon 时保留现有的 IP 地址空间
此功能的使用对象
需要使用自己的 IP 地址进行全球内容分发的组织:
-
具有 IP 允许列表要求的大型企业
-
使用现有 IP 地址从其他 CDN 迁移的公司
-
具有严格安全策略且要求特定 IP 范围的组织
此功能的使用场景
适用于全局服务的 BYOIP 适合以下使用场景:
-
维护合作伙伴/客户的现有 IP 允许列表
-
使用您的 IP 地址从其他 CDN 迁移
-
满足特定 IP 范围的合规性要求
注意
需要 /24 IPv4 CIDR 数据块。目前仅适用于 CloudFront。
先决条件
在开始之前,请完成以下步骤:
-
域验证:验证域控制权
-
创建顶级池:按照自带 IPv4 CIDR 到 IPAM 中的第 1-2 步进行操作。
全局服务配置步骤
以下步骤不同于标准区域 BYOIP 流程,并且将建立用于全球服务的模式:
第 1 步:为任播服务创建一个全局池
为任播服务创建一个全局池,而不是区域池:
控制台
使用控制台创建全局池:
-
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择池
-
选择创建池
-
源:选择您的顶级 BYOIP 池
-
区域设置:选择全局
-
服务:选择全局服务(将在选择“全局”后显示)
-
公有 IP 源:选择 BYOIP
-
要预调配的 CIDR:指定您的 /24 CIDR 范围
-
选择创建池
CLI
使用 aws ec2 create-ipam-pool 并将区域设置为“Global”,将地址系列设置为“ipv4”。
然后使用 aws ec2 provision-ipam-pool-cidr 预调配该 CIDR。
重要
您必须将完整的 /24 数据块分配给该池。您可以在此数据块中预调配更具体的范围,以满足不同用途的需要。
第 2 步:创建特定于服务的资源
对于 CloudFront,创建一个将使用您的 IPAM 池的任播 IP 列表。有关详细说明,请参阅 CloudFront BYOIP 文档(链接待定)。
IPAM 集成的关键参数:
-
IP 地址类型:请选择 BYOIP
-
IPAM 池:请选择第 1 步中的全局池
-
IP 数量:请输入 3(对于 CloudFront 为必需)
第 3 步:关联到服务资源
将您的任播静态 IP 列表关联到某个 CloudFront 分配。有关详细说明,请参阅 CloudFront BYOIP 文档(链接待定)。
关键配置:
-
在分配设置中,请选择第 2 步中的任播 IP 列表
步骤 4:准备迁移
-
DNS TTL 下限:请将记录的 DNS TTL 设置为 60 秒或更短
-
传播等待:新 TTL 在互联网上生效所需的时间
步骤 5:全球公布 CIDR
使用 IPAM 全局公开命令:
控制台
使用控制台公开 CIDR:
-
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择池
-
选择您的全局池
-
选择 CIDR 选项卡。
-
选择您的 CIDR,然后选择操作 > 公开 CIDR
-
确认公开
CLI
使用您的 IPAM 池 ID 和 CIDR 执行 aws ec2 advertise-ipam-byoip-cidr。
重要
-
在运行此命令之前,请撤回来自之前提供商的公开消息
-
将 DNS 记录更新为指向 CloudFront,以完成迁移
清理
清理在本教程中创建的资源:
-
删除 CloudFront 资源:按照 CloudFront BYOIP 文档中的清理说明进行操作(链接待定)
-
撤回 CIDR 并删除 IPAM 池:按照步骤 8:清除中的标准清理流程进行操作
重要
请先删除 CloudFront 资源,然后再清理 IPAM,以避免造成服务中断。