要在 zenConsole 上启用 BYOIP (Bring Your Own IP),需要在 RIR (Regional Internet Registry,区域互联网注册机构) 中注册 ROA/RPKI (Route Origin Authorization / Resource Public Key Infrastructure)。这要求您验证 IP 归属并发布 ROA (Route Origin Authorization)。
确认您的 IP 地址是由 RIR(ARIN、RIPE NCC、APNIC、LACNIC 或 AFRINIC)分配给您的。
准备将用于宣告 IP 地址块的 ASN(自治系统号),Zenlayer 弹性算力的 ASN 为 62610。
62610
需要进行 RPKI/ROA 验证,以防止路由劫持。
使用以下 OpenSSL 命令生成 RSA 私钥和自签名 X.509 证书:
openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem openssl req -new -x509 -key private-key.pem -out certificate.pem -days 365
执行过程中,系统会提示您为私钥设置密码,并填写证书信息,包括:
Country Name (C):国家代码(如美国为 US)
US
State or Province Name (ST):州/省全名
Locality Name (L):城市名称
Organization Name (O):组织名称
Organizational Unit Name (OU):部门名称
Common Name (CN):证书对应的完整域名(如 www.example.com)
www.example.com
生成的文件包括:
private-key.pem:RSA 私钥
private-key.pem
certificate.pem:自签名 X.509 证书
certificate.pem
登录到您的 RIR 成员门户(例如 ARIN、RIPE NCC、APNIC 等):
ARIN Online: https://account.arin.netarrow-up-right
RIPE NCC Access: https://access.ripe.netarrow-up-right
MyAPNIC: https://my.apnic.netarrow-up-right
MiLACNIC: https://milacnic.lacnic.netarrow-up-right
MyAFRINIC: https://my.afrinic.netarrow-up-right
找到您要更新的 IP 前缀对象。
编辑该对象的 remarks 字段。
将 certificate.pem 文件内容粘贴到 remarks 字段中。
提交修改。
这样会将您的自签名证书与 IP 前缀关联到 RIR 的 RDAP 记录。
ROA 是一种加密声明,证明某个 ASN 有权公告指定的 IP 前缀。
确认将公告 IPv4 地址块的 ASN。
进入 RIR 门户的 RPKI/ROA 管理页面,例如:
ARIN: “Resource Certificates / ROA”
RIPE NCC: “RPKI” → “Create ROA”
APNIC: “RPKI Manager”
创建 ROA:
Prefix:要在 zenConsole 使用的 IP 前缀
Max length:通常与前缀长度一致(如 IPv4 的 /24)
/24
Origin ASN:用于公告前缀的 ASN,可为您的 ASN 或云服务商提供的 ASN(Zenlayer 的 ASN 为 62610)
ROA 创建后将被数字签名并发布到 RPKI 仓库。大多数云服务商会定期在全球 RPKI 仓库中验证 ROA。
可使用以下工具进行验证:
RIPEstatarrow-up-right
RPKI Validatorarrow-up-right
确认 ROA 状态为 valid,且前缀和 ASN 匹配。
注意
确保 ROA 覆盖的前缀长度与计划公告的长度完全一致,否则会导致验证失败。
ROA 的创建可能需要数分钟至数小时才能在 RPKI 缓存中生效。
建议在启用 BYOIP 前,在 IRR(Internet Routing Registry)中注册对应的 route object。
最后更新于 19天前
