Bring Your Own IP Addresses (BYOIP) in Amazon EC2 - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bring Your Own IP Addresses (BYOIP) in Amazon EC2

Sie können Ihren öffentlich routbaren IPv4- oder IPv6-Adressbereich ganz oder teilweise aus Ihrem lokalen Netzwerk auf Ihr Konto übertragen. AWS Sie haben weiterhin die Kontrolle über den Adressbereich und können den Adressbereich im Internet über bewerben. AWS Nachdem Sie den Adressbereich auf eingestellt haben AWS, erscheint er in Ihrem AWS Konto als Adresspool.

Die Liste der Regionen, in denen BYOIP verfügbar ist, finden Sie unter Regionale Verfügbarkeit.

Anmerkung
  • In den Schritten auf dieser Seite wird beschrieben, wie Sie Ihren eigenen IP-Adressbereich zur ausschließlichen Verwendung in Amazon EC2 verwenden.

  • Informationen zur Verwendung in AWS Global Accelerator Ihrem eigenen IP-Adressbereich finden Sie unter Bring your own IP Addresses (BYOIP) im AWS Global Accelerator Entwicklerhandbuch.

  • Informationen zur Verwendung mit Amazon VPC IP Address Manager Ihrem eigenen IP-Adressbereich finden Sie unter Tutorial: Bringen Sie Ihre IP-Adressen zu IPAM im Amazon VPC IPAM-Benutzerhandbuch.

BYOIP-Definitionen

  • Selbstsigniertes X.509-Zertifikat – ein Zertifikatsstandard, der am häufigsten zum Verschlüsseln und Authentifizieren von Daten innerhalb eines Netzwerks verwendet wird. Es ist ein Zertifikat, das verwendet wird AWS , um die Kontrolle über den IP-Bereich anhand eines RDAP-Datensatzes zu validieren. Weitere Informationen zu X.509-Zertifikaten finden Sie unter RFC 3280.

  • Autonome Systemnummer (ASN) – Eine weltweit eindeutige Kennung, die eine Gruppe von IP-Präfixen definiert, die von einem oder mehreren Netzwerkbetreibern betrieben werden und eine einzige, klar definierte Routing-Richtlinie einhalten.

  • Regional Internet Registry (RIR) – Eine Organisation, die die Zuweisung und Registrierung von IP-Adressen und ASNs innerhalb einer Region der Welt verwaltet.

  • Registry Data Access Protocol (RDAP) – Ein schreibgeschütztes Protokoll zur Abfrage aktueller Registrierungsdaten innerhalb einer RIR. Einträge in der abgefragten RIR-Datenbank werden als „RDAP-Einträge“ bezeichnet. Bestimmte Datensatztypen müssen von Kunden über einen von RIR bereitgestellten Mechanismus aktualisiert werden. Diese Datensätze werden von abgefragt, AWS um die Kontrolle über einen Adressraum im RIR zu überprüfen.

  • Route Origin Authorization (ROA) – ein von RIRs erstelltes Objekt, mit dem Kunden IP-Ankündigungen, insbesondere autonomer Systeme, authentifizieren können. Eine Übersicht finden Sie unter Route Origin Authorizations (ROAs) auf der ARIN-Website.

  • Local Internet Registry (LIR) – Organisationen wie Internet-Serviceanbieter, die ihren Kunden einen Block von IP-Adressen aus einem RIR zuweisen.

Voraussetzungen und Kontingente

  • Der Adressbereich muss bei Ihrer Regional Internet Registry (RIR) registriert sein. Alle Richtlinien in Bezug auf geografische Regionen finden Sie in Ihrem RIR. BYOIP unterstützt derzeit die Registrierung im American Registry for Internet Numbers (ARIN), dem Réseaux IP Européens Network Coordination Centre (RIPE) oder dem Asia-Pacific Network Information Centre (APNIC). Er muss auf ein Unternehmen oder eine juristische Person registriert sein und kann nicht auf eine natürliche Person registriert werden.

  • Der spezifischste IPv4-Adressbereich, den Sie aufnehmen können, ist /24.

  • Der spezifischste IPv6-Adressbereich, den Sie angeben können, ist /48 für CIDRs, die öffentlich beworben werden können, und /56 für CIDRs, die nicht öffentlich beworben werden können.

  • ROAs sind nicht erforderlich für CIDR-Bereiche, die nicht öffentlich beworben werden können. Die RDAP-Datensätze müssen aber weiterhin aktualisiert werden.

  • Sie können jeden Adressbereich jeweils einer Region zuordnen. AWS

  • Sie können Ihrem Konto insgesamt fünf BYOIP-IPv4- und IPv6-Adressbereiche pro AWS Region hinzufügen. AWS Sie können die Kontingente für BYOIP-CIDRs nicht über die Service Quotas-Konsole anpassen, aber Sie können eine Erhöhung des Kontingents beantragen, indem Sie sich an das AWS Support Center wenden, wie unter AWS Service Quotas in der beschrieben. Allgemeine AWS-Referenz

  • Sie können Ihren IP-Adressbereich nicht mit anderen Konten teilen, AWS RAM es sei denn, Sie verwenden Amazon VPC IP Address Manager (IPAM) und integrieren IPAM mit Organizations. AWS Weitere Informationen finden Sie unter Integrate IPAM with AWS Organizations im Amazon VPC IPAM-Benutzerhandbuch.

  • Die Adressen im IP-Adressbereich müssen über einen sauberen Verlauf verfügen. Wir könnten die Reputation des IP-Adressbereichs untersuchen und uns das Recht vorbehalten, einen IP-Adressbereich abzulehnen, wenn er eine IP-Adresse enthält, die eine schlechte Reputation hat oder mit schädlichem Verhalten in Verbindung gebracht wird.

  • Für den Legacy-Adressraum, also den IPv4-Adressraum, der vor der Einrichtung des Regional Internet Registry (RIR)-Systems von der zentralen Registrierungsstelle der Internet Assigned Numbers Authority (IANA) verteilt wurde, ist weiterhin ein entsprechendes ROA-Objekt erforderlich.

  • Bei LIRs ist es üblich, dass sie die Datensätze mithilfe eines manuellen Prozesses aktualisieren. Die Bereitstellung kann je nach LIR mehrere Tage dauern.

  • Für einen großen CIDR-Block werden ein einzelnes ROA-Objekt und ein RDAP-Datensatz benötigt. Sie können mehrere kleinere CIDR-Blöcke aus diesem Bereich mithilfe eines einzigen Objekts und Datensatzes in mehrere AWS Regionen übertragen. AWS

  • BYOIP wird für Wellenlängenzonen oder aktiviert nicht unterstützt. AWS Outposts

  • Nehmen Sie keine manuellen Änderungen für BYOIP in RADb oder irgendeinem anderen IRR vor. BYOIP aktualisiert RADb automatisch. Alle manuellen Änderungen, welche die BYOIP-ASN beinhalten, führen dazu, dass der BYOIP-Bereitstellungsvorgang fehlschlägt.

  • Sobald Sie einen IPv4-Adressbereich AWS eingerichtet haben, können Sie alle IP-Adressen im Bereich verwenden, einschließlich der ersten Adresse (der Netzwerkadresse) und der letzten Adresse (der Broadcast-Adresse).

Onboarding-Voraussetzungen für Ihren BYOIP-Adressbereich

Der Onboarding-Prozess für BYOIP hat zwei Phasen, für die Sie drei Schritte ausführen müssen. Diese Schritte werden im folgenden Diagramm dargestellt. Wir schließen manuelle Schritte in diese Dokumentation ein, aber Ihr RIR bietet möglicherweise verwaltete Services an, um Sie bei diesen Schritten zu unterstützen.

Vorbereitungsphase

1. Erstellen Sie ein privates Schlüsselpaar und verwenden Sie es zum Generieren eines selbstsignierten X.509-Zertifikats. Dieses Zertifikat wird nur während der Bereitstellungsphase verwendet.

RIR-Konfigurationsphase

2. Laden Sie das selbstsignierte Zertifikat in Ihre Kommentare zum RDAP-Datensatz hoch.

3. Erstellen Sie ein ROA-Objekt in Ihrem RIR. Die ROA definiert den gewünschten Adressbereich, die zum Veröffentlichen des Adressbereichs zulässigen Autonomous System Numbers (ASNs) und ein Ablaufdatum zum Registrieren bei der Resource Public Key Infrastructure (RPKI) Ihres RIR.

Anmerkung

Für nicht öffentlich beworbene IPv6-Adressumgebungen ist kein ROA erforderlich.

Der 3-stufige Onboarding-Prozess für BYOIP.

Um mehrere nicht zusammenhängende Adressbereiche einzubeziehen, müssen Sie diesen Vorgang mit jedem Adressbereich wiederholen. Die Vorbereitungs- und RIR-Konfigurationsschritte müssen jedoch nicht wiederholt werden, wenn ein zusammenhängender Block auf mehrere verschiedene Regionen aufgeteilt wird. AWS

Das Aktivieren eines Adressbereichs hat keine Auswirkungen auf Adressbereiche, die Sie zuvor aktiviert haben.

Wichtig

Die folgenden Voraussetzungen müssen vor dem Onboarding des Adressbereichs erfüllt sein. Die Aufgaben in diesem Abschnitt erfordern ein Linux-Terminal und können mit Linux AWS CloudShell, dem oder dem Windows-Subsystem für Linux ausgeführt werden.

1. Einen privaten Schlüssel erstellen und ein X.509-Zertifikat generieren

Gehen Sie zum Erstellen eines selbsignierten X.509-Zertifikats folgendermaßen vor und fügen Sie es dann zum RDAP-Datensatz für Ihr RIR hinzu. Dieses Schlüsselpaar dient zur Authentifizierung des Adressbereichs im RIR. Für die openssl-Befehle ist OpenSSL Version 1.0.2 oder höher erforderlich.

Kopieren Sie die folgenden Befehle und ersetzen Sie nur die Platzhalterwerte (in farbigem kursivem Text).

Dieses Verfahren folgt der bewährten Methode, Ihren privaten RSA-Schlüssel zu verschlüsseln und zum Zugriff darauf eine Passphrase zu erfordern.

  1. Generieren Sie einen privaten RSA-Schlüssel mit 2 048 Bit, wie im Folgenden gezeigt.

    $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

    Der Parameter -aes256 gibt den Algorithmus an, der zum Verschlüsseln des privaten Schlüssels verwendet wird. Der Befehl gibt die folgende Ausgabe zurück, einschließlich Aufforderungen zum Festlegen einer Passphrase:

    ......+++ .+++ Enter PEM pass phrase: xxxxxxx Verifying - Enter PEM pass phrase: xxxxxxx

    Sie können den Schlüssel mit dem folgenden Befehl prüfen:

    $ openssl pkey -in private-key.pem -text

    Dadurch wird eine Eingabeaufforderung für die Passphrase und der Inhalt des Schlüssels zurückgegeben, der etwa wie folgt aussehen sollte:

    Enter pass phrase for private-key.pem: xxxxxxx -----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDFBXHRI4HVKAhh 3seiciooizCRTbJe1+YsxNTja4XyKypVGIFWDGhZs44FCHlPOOSVJ+NqP74w96oM 7DPS3xo9kaQyZBFn2YEp2EBq5vf307KHNRmZZUmkn0zHOSEpNmY2fMxISBxewlxR FAniwmSd/8TDvHJMY9FvAIvWuTsv5l0tJKk+a91K4+tO3UdDR7Sno5WXExfsBrW3 g1ydo3TBsx8i5/YiVOcNApy7ge2/FiwY3aCXJB6r6nuF6H8mRgI4r4vkMRsOlAhJ DnZPNeweboo+K3Q3lwbgbmOKD/z9svk8N/+hUTBtIX0fRtbG+PLIw3xWRHGrMSn2 BzsPVuDLAgMBAAECggEACiJUj2hfJkKv47Dc3es3Zex67A5uDVjXmxfox2Xhdupn fAcNqAptV6fXt0SPUNbhUxbBKNbshoJGufFwXPli1SXnpzvkdU4Hyco4zgbhXFsE RNYjYfOGzTPwdBLpNMB6k3Tp4RHse6dNrlH0jDhpioL8cQEBdBJyVF5X0wymEbmV mC0jgH/MxsBAPWW6ZKicg9ULMlWiAZ3MRAZPjHHgpYkAAsUWKAbCBwVQcVjGO59W jfZjzTX5pQtVVH68ruciH88DTZCwjCkjBhxg+OIkJBLE5wkh82jIHSivZ63flwLw z+E0+HhELSZJrn2MY6Jxmik3qNNUOF/Z+3msdj2luQKBgQDjwlC/3jxp8zJy6P8o JQKv7TdvMwUj4VSWOHZBHLv4evJaaia0uQjIo1UDa8AYitqhX1NmCCehGH8yuXj/ v6V3CzMKDkmRr1NrONnSz5QsndQ04Z6ihAQlPmJ96g4wKtgoC7AYpyP0g1a+4/sj b1+o3YQI4pD/F71c+qaztH7PRwKBgQDdc23yNmT3+Jyptf0fKjEvONK+xwUKzi9c L/OzBq5yOIC1Pz2T85gOe1i8kwZws+xlpG6uBT6lmIJELd0k59FyupNu4dPvX5SD 6GGqdx4jk9KvI74usGeOBohmF0phTHkrWKBxXiyT0oS8zjnJlEn8ysIpGgO28jjr LpaHNZ/MXQKBgQDfLNcnS0LzpsS2aK0tzyZU8SMyqVHOGMxj7quhneBq2T6FbiLD T9TVlYaGNZ0j71vQaLI19qOubWymbautH0Op5KV8owdf4+bf1/NJaPIOzhDUSIjD Qo01WW31Z9XDSRhKFTnWzmCjBdeIcajyzf10YKsycaAW9lItu8aBrMndnQKBgQDb nNp/JyRwqjOrNljk7DHEs+SD39kHQzzCfqd+dnTPv2sc06+cpym3yulQcbokULpy fmRo3bin/pvJQ3aZX/Bdh9woTXqhXDdrrSwWInVYMQPyPk8f/D9mIOJp5FUWMwHD U+whIZSxsEeE+jtixlWtheKRYkQmzQZXbWdIhYyI3QKBgD+F/6wcZ85QW8nAUykA 3WrSIx/3cwDGdm4NRGct8ZOZjTHjiy9ojMOD1L7iMhRQ/3k3hUsin5LDMp/ryWGG x4uIaLat40kiC7T4I66DM7P59euqdz3w0PD+VU+h7GSivvsFDdySUt7bNK0AUVLh dMJfWxDN8QV0b5p3WuWH1U8B -----END PRIVATE KEY----- Private-Key: (2048 bit) modulus: 00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72: 2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b: 85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08: 79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec: 33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8: 40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f: 4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2: 5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63: d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b: dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13: 17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7: f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd: a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af: 8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e: 8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2: f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8: f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56: e0:cb publicExponent: 65537 (0x10001) privateExponent: 0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37: 65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1: 76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f: 50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70: 5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38: ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0: 74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d: ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72: 54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc: c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2: 01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16: 28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63: cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03: 4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4: e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0: cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71: 9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5: b9 prime1: 00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25: 02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c: bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b: c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9: 78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38: d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e: 62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83: 56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17: bd:5c:fa:a6:b3:b4:7e:cf:47 prime2: 00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a: 31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06: ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93: 06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d: dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8: 61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06: 88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2: 84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2: 38:eb:2e:96:87:35:9f:cc:5d exponent1: 00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf: 26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d: e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35: 9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d: ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7: f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59: 6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05: d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6: 52:2d:bb:c6:81:ac:c9:dd:9d exponent2: 00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec: 31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76: 74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71: ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43: 76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad: 2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20: e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0: 47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd: 06:57:6d:67:48:85:8c:88:dd coefficient: 3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd: 6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1: 93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32: 14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9: 61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23: ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55: 4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34: ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f: 9a:77:5a:e5:87:d5:4f:01

    Bewahren Sie Ihren privaten Schlüssel an einem sicheren Ort auf, wenn er nicht verwendet wird.

  2. Generieren Sie ein X.509-Zertifikat unter Verwendung des im vorherigen Schritt erstellten privaten Schlüssels. In diesem Beispiel läuft das Zertifikat nach 365 Tagen ab und ist dann nicht mehr vertrauenswürdig. Stellen Sie sicher, das Sie das Ablaufdatum korrekt festlegen. Das Zertifikat darf nur für die Dauer des Bereitstellungsprozesses gültig sein. Sie können das Zertifikat nach Abschluss der Bereitstellung aus Ihrem RIR-Datensatz entfernen. Der tr -d "\n"-Befehl entfernt Zeilenvorschubzeichen (Zeilenumbrüche) aus der Ausgabe. Sie müssen einen Common Name angeben, wenn Sie dazu aufgefordert werden, aber die übrigen Felder können leer gelassen werden.

    $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

    Daraus resultiert eine Ausgabe ähnlich der folgenden:

    Enter pass phrase for private-key.pem: xxxxxxx You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) []: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []: Organizational Unit Name (eg, section) []: Common Name (eg, fully qualified host name) []:example.com Email Address []:
    Anmerkung

    Der Common Name wird für AWS die Bereitstellung nicht benötigt. Der Domain-Name kann intern oder öffentlich sein.

    Sie können das Zertifikat mit dem folgenden Befehl prüfen:

    $ cat certificate.pem

    Die Ausgabe sollte eine lange, PEM-codierte Zeichenfolge ohne Zeilenumbrüche sein, eingeleitet durch -----BEGIN CERTIFICATE----- und gefolgt von -----END CERTIFICATE-----.

2. Das X.509-Zertifikat in den RDAP-Eintrag in Ihrem RIR hochladen

Fügen Sie das zuvor erstellte Zertifikat zum RDAP-Datensatz für Ihr RIR hinzu. Achten Sie darauf, dass die -----BEGIN CERTIFICATE------ und -----END CERTIFICATE------Zeichenfolgen vor und nach dem kodierten Teil enthalten sind. Der gesamte Inhalt muss sich in einer einzigen, langen Zeile befinden. Das Verfahren zum Aktualisieren des RDAP hängt von Ihrem RIR ab:

  • Verwenden Sie für ARIN das Accountmanager-Portal, um das Zertifikat im Abschnitt „Öffentliche Kommentare“ für das Objekt „Netzwerkinformationen“ hinzuzufügen, das Ihren Adressbereich darstellt. Fügen Sie es nicht dem Kommentarbereich Ihrer Organisation hinzu.

  • Für RIPE fügen Sie das Zertifikat als neues „descr“-Feld zum Objekt „inetnum“ oder „inet6num“ hinzu, das Ihren Adressbereich darstellt. Diese finden Sie normalerweise im Bereich „Meine Ressourcen“ des RIPE-Datenbankportals. Fügen Sie es nicht dem Kommentarbereich für Ihre Organisation oder dem Feld „Anmerkungen“ der oben genannten Objekte hinzu.

  • Senden Sie für APNIC das Zertifikat per E-Mail an helpdesk@apnic.net, um es manuell in das Feld „remarks“ (Anmerkungen) für Ihren Adressbereich aufzunehmen. Senden Sie die E-Mail für die IP-Adressen über den von APNIC autorisierten Kontakt.

Sie können das Zertifikat aus dem Verzeichnis Ihres RIRs entfernen, nachdem die nachfolgende Bereitstellungsphase abgeschlossen ist.

3. Erstellen eines ROA-Objekts in Ihrem RIR

Erstellen Sie ein ROA-Objekt, um die Amazon-ASNs 16509 und 14618 zu autorisieren, Ihren Adressbereich zu bewerben, sowie die ASNs, die derzeit autorisiert sind, den Adressbereich zu veröffentlichen. Autorisieren Sie für die AWS GovCloud (US) Regions ASN 8987 anstelle von 16509 und 14618. Sie müssen die maximale Länge auf die Größe des CIDR festlegen, das Sie einbinden möchten. Das spezifischste IPv4-Präfix, das Sie aufnehmen können, ist /24. Der spezifischste IPv6-Adressbereich, den Sie einbringen können, ist /48 für CIDRs, die öffentlich beworben werden können und /56 für CIDRs, die nicht öffentlich beworben werden können.

Wichtig

Wenn Sie ein ROA-Objekt für Amazon VPC IP Address Manager (IPAM) erstellen, müssen Sie bei der Erstellung der ROAs für IPv4-CIDRs die maximale Länge eines IP-Adresspräfixes auf /24 festlegen. Wenn Sie IPv6-CIDRs zu einem werbefähigen Pool hinzufügen, darf die maximale Länge eines IP-Adresspräfixes /48 sein. Dies stellt sicher, dass Sie bei der Aufteilung Ihrer öffentlichen IP-Adresse auf verschiedene Regionen die volle Flexibilität haben. AWS IPAM erzwingt die von Ihnen festgelegte maximale Länge. Weitere Informationen zu BYOIP-Adressen für IPAM finden Sie im Tutorial: BYOIP-Adress-CIDRs für IPAM im Amazon-VPC-IPAM-Benutzerhandbuch.

Es kann bis zu 24 Stunden dauern, bis das ROA für Amazon verfügbar ist. Weitere Informationen erhalten Sie von Ihrem RIR:

Wenn Sie Werbeanzeigen von einem lokalen Workload zu einem migrieren AWS, müssen Sie zunächst einen ROA für Ihre bestehende ASN erstellen, bevor Sie die ROAs für die ASNs von Amazon erstellen. Andernfalls könnte der Vorgang Auswirkungen auf Ihr vorhandenes Routing und Ihre Anzeigen haben.

Wichtig

Damit Amazon Ihren IP-Adressbereich bewerben und weiterhin bewerben kann, müssen Ihre ROAs mit Amazon ASNs den oben genannten Richtlinien entsprechen. Wenn Ihre ROAs ungültig sind oder nicht den oben genannten Richtlinien entsprechen, behält sich Amazon das Recht vor, die Werbung für Ihren IP-Adressbereich einzustellen.

Anmerkung

Dieser Schritt ist nicht erforderlich, wenn die IPv6-Adressumgebung nicht öffentlich beworben werden kann.

Onboarding Ihres BYOIP

Der Onboarding-Prozess für BYOIP umfasst je nach Ihren Bedürfnissen die folgenden Aufgaben.

Einen öffentlich beworbener Adressbereich in AWS bereitstellen

Wenn Sie einen Adressbereich zur Verwendung mit angeben, bestätigen Sie AWS, dass Sie die Kontrolle über den Adressbereich haben, und autorisieren Amazon, für ihn zu werben. Wir bestätigen ebenso mit einer signierten Autorisierungsnachricht, dass Sie den Adressbereich kontrollieren. Diese Nachricht ist mit dem selbstsignierten X.509-Schlüsselpaar signiert, das Sie bei der Aktualisierung des RDAP-Eintrags mit dem X.509-Zertifikat verwendet haben. AWS erfordert eine kryptografisch signierte Autorisierungsnachricht, die dem RIR vorgelegt wird. Das RIR authentifiziert die Signatur mit dem Zertifikat, das Sie zum RDAP hinzugefügt haben, und vergleicht die Autorisierungsdetails mit dem ROA.

Aufheben der Bereitstellung des Adressbereichs
  1. Verfassen einer Nachricht

    Verfassen Sie die Nur-Text-Autorisierungsnachricht. Das Format der Nachricht ist wie folgt, wobei das Datum das Ablaufdatum der Nachricht ist:

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    Ersetzen Sie die Kontonummer, den Adressbereich und das Ablaufdatum mit Ihren eigenen Werten, um eine Nachricht zu erstellen, die der folgenden ähnelt:

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    Dies ist nicht mit einer ROA-Nachricht zu verwechseln, die ähnlich aussieht.

  2. Nachrichten signieren

    Signieren Sie die Nur-Text-Nachricht mit dem privaten Schlüssel, den Sie zuvor erstellt haben. Die vom Befehl zurückgegebene Signatur ist eine lange Zeichenfolge, die Sie für den nächsten Schritt nutzen müssen.

    Wichtig

    Es wird empfohlen, diesen Befehl zu kopieren und einzufügen. Ändern oder ersetzen Sie mit Ausnahme des Nachrichteninhalts keine Werte.

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. Adresse zur Verfügung stellen

    Verwenden Sie den AWS CLI provision-byoip-cidrBefehl, um den Adressbereich bereitzustellen. Die Option --cidr-authorization-context verwendet die Nachrichten- und Signaturzeichenfolgen, die Sie zuvor erstellt haben.

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    Die Bereitstellung eines Adressbereichs ist eine asynchrone Operation. Daher gibt der Aufruf sofort Daten zurück, der Adressbereich ist jedoch erst zur Verwendung bereit, wenn der Status von pending-provision zu provisioned wechselt.

  4. Überwachen des Fortschritts

    Während die meisten Bereitstellungen innerhalb von zwei Stunden abgeschlossen sein werden, kann es bis zu einer Woche dauern, bis der Bereitstellungsprozess für öffentlich beworbene Bereiche abgeschlossen ist. Verwenden Sie den describe-byoip-cidrsBefehl, um den Fortschritt zu überwachen, wie in diesem Beispiel:

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    Wenn während der Bereitstellung Probleme auftreten und der Status in failed-provision wechselt, müssen Sie den provision-byoip-cidr-Befehl erneut ausführen, nachdem die Probleme behoben wurden.

Einen nicht öffentlich zugänglichen IPv6-Adressbereich bereitstellen

Standardmäßig wird ein Adressbereich bereitgestellt, der öffentlich im Internet beworben wird. Sie können einen IPv6-Adressbereich bereitstellen, der nicht öffentlich beworben werden kann. Bei Routen ohne öffentliches Advertising ist der Bereitstellungsprozess in der Regel innerhalb von Minuten abgeschlossen. Wenn Sie einen IPv6-CIDR-Block aus einem nicht öffentlichen Adressbereich einer VPC zuordnen, kann auf das IPv6-CIDR nur über hybride Konnektivitätsoptionen zugegriffen werden, die IPv6 unterstützen, z. B. AWS Direct Connect, AWS Site-to-Site VPN oder Amazon VPC Transit Gateways.

Eine ROA ist nicht erforderlich, um einen nicht-öffentlichen Adressbereich bereitzustellen.

Wichtig
  • Sie können nur während der Bereitstellung angeben, ob ein Adressbereich öffentlich beworben werden kann. Sie können den Anzeigenstatus nachträglich nicht mehr ändern.

  • Amazon VPC unterstützt keine Unique Local Address (ULA)-CIDRs. Alle VPCs müssen über eindeutige IPv6-CIDRs verfügen. Zwei VPCs können nicht denselben IPv6-CIDR-Bereich haben.

Verwenden Sie den folgenden Befehl, um einen IPv6-Adressbereich bereitzustellen, der nicht öffentlich bekannt gegeben werden kann. provision-byoip-cidr

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

Kündigen Sie den Adressbereich an über AWS

Nachdem der Adressbereich bereitgestellt wurde, kann er veröffentlicht werden. Sie müssen den genauen Adressbereich ankündigen, den Sie bereitgestellt haben. Sie können nur einen Teil des bereitgestellten Adressbereichs ankündigen.

Wenn Sie einen IPv6-Adressbereich bereitgestellt haben, der nicht öffentlich angekündigt wird, müssen Sie diesen Schritt nicht ausführen.

Wir empfehlen Ihnen, den Adressbereich oder einen Teil des Adressbereichs nicht mehr an anderen Standorten zu bewerben, bevor Sie ihn über diese Website bewerben AWS. Wenn Sie Ihren IP-Adressbereich oder einen Teil davon weiterhin von anderen Standorten aus bewerben, können wir dies nicht zuverlässig unterstützen oder Probleme beheben. Insbesondere können wir nicht garantieren, dass der Datenverkehr in den Adressbereich oder einen Teil des Bereichs in unser Netzwerk gelangt.

Um Ausfallzeiten zu minimieren, können Sie Ihre AWS Ressourcen so konfigurieren, dass sie eine Adresse aus Ihrem Adresspool verwenden, bevor sie veröffentlicht wird, und dann gleichzeitig die Werbung am aktuellen Standort beenden und mit der Werbung beginnen. AWS Weitere Informationen zur Zuweisung einer Elastic IP-Adresse aus Ihrem Adresspool finden Sie unter Zuweisen einer Elastic-IP-Adresse.

Einschränkungen
  • Sie können den Befehl advertise-byoip-cidr höchstens alle 10 Sekunden ausführen, auch wenn Sie jedes Mal einen anderen Adressbereich angeben.

  • Sie können den Befehl withdraw-byoip-cidr höchstens alle 10 Sekunden ausführen, auch wenn Sie jedes Mal einen anderen Adressbereich angeben.

Verwenden Sie den folgenden advertise-byoip-cidrBefehl, um den Adressbereich bekannt zu geben.

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

Verwenden Sie den folgenden withdraw-byoip-cidrBefehl, um die Werbung für den Adressbereich zu beenden.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Aufheben der Bereitstellung des Adressbereichs

Um die Verwendung Ihres Adressbereichs mit zu beenden AWS, geben Sie zunächst alle Elastic IP-Adressen frei und trennen Sie die Zuordnung aller IPv6-CIDR-Blöcke, die noch dem Adresspool zugewiesen sind. Beenden Sie dann die Veröffentlichung des Adressbereichs und heben Sie schließlich die Bereitstellung des Adressbereichs auf.

Sie können die Bereitstellung eines Teils des Adressbereichs nicht aufheben. Wenn Sie einen spezifischeren Adressbereich mit verwenden möchten AWS, heben Sie die Bereitstellung des gesamten Adressbereichs auf und stellen Sie einen spezifischeren Adressbereich bereit.

(IPv4) Um jede Elastic IP-Adresse freizugeben, verwenden Sie den folgenden release-address-Befehl.

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) Verwenden Sie den folgenden Befehl, um die Zuordnung eines IPv6-CIDR-Blocks aufzuheben. disassociate-vpc-cidr-block

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

Verwenden Sie den folgenden Befehl, um die Werbung für den Adressbereich zu beenden. withdraw-byoip-cidr

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Verwenden Sie den folgenden deprovision-byoip-cidrBefehl, um die Bereitstellung des Adressbereichs aufzuheben.

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

Es kann bis zu einem Tag dauern, bis die Bereitstellung eines Adressbereichs aufgehoben wird.

Arbeiten mit Ihrem Adressbereich

Sie können die IPv4- und IPv6-Adressbereiche anzeigen und mit denen arbeiten, die Sie in Ihrem Konto bereitgestellt haben.

IPv4-Adressbereiche

Sie können eine Elastic IP-Adresse aus Ihrem IPv4-Adresspool erstellen und sie mit Ihren AWS Ressourcen wie EC2-Instances, NAT-Gateways und Network Load Balancers verwenden.

Verwenden Sie den folgenden 4-pools-Befehl, um Informationen zu den IPv4-Adresspools anzuzeigen, die Sie in Ihrem Konto bereitgestellt haben. describe-public-ipv

aws ec2 describe-public-ipv4-pools --region us-east-1

Verwenden Sie den Befehl allocate-address, um eine Elastic IP-Adresse aus Ihrem IPv4-Adresspool zu erstellen. Mit der Option --public-ipv4-pool können Sie die ID des von describe-byoip-cidrs zurückgegebenen Adressbereichs angeben. Oder Sie können die Option --address verwenden, um eine Adresse aus dem von Ihnen bereitgestellten Adressbereich anzugeben.

IPv6-Adressbereiche

Um Informationen zu den IPv6-Adresspools anzuzeigen, die Sie in Ihrem Konto bereitgestellt haben, verwenden Sie den folgenden describe-ipv6-pools-Befehl.

aws ec2 describe-ipv6-pools --region us-east-1

Verwenden Sie den folgenden create-vpc-Befehl, um eine VPC zu erstellen und eine IPv6-CIDR aus Ihrem IPv6-Adresspool anzugeben. Damit Amazon die IPv6-CIDR aus Ihrem IPv6-Adresspool auswählen kann, lassen Sie die --ipv6-cidr-block-Option aus.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Verwenden Sie den folgenden Befehl, um einen IPv6-CIDR-Block aus Ihrem IPv6-Adresspool einer VPC zuzuordnen. associate-vpc-cidr-block Damit Amazon die IPv6-CIDR aus Ihrem IPv6-Adresspool auswählen kann, lassen Sie die --ipv6-cidr-block-Option aus.

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Verwenden Sie den describe-vpcs-Befehl, um Ihre VPCs und die zugehörigen IPv6-Adresspool-Informationen anzuzeigen. Verwenden Sie den folgenden 6-pool-cidr-Befehl, um Informationen zu zugehörigen IPv6-CIDR-Blöcken aus einem bestimmten IPv6-Adresspool anzuzeigen. get-associated-ipv

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

Wenn Sie den IPv6-CIDR-Block von Ihrer VPC trennen, wird er wieder in Ihren IPv6-Adresspool freigegeben.

Validieren Ihres BYOIP

  1. Validieren des selbstsignierten x.509-Schlüsselpaars

    Validieren Sie, ob das Zertifikat hochgeladen wurde, und seine Gültigkeit mit dem Befehl whois.

    Verwenden Sie für ARIN whois -h whois.arin.net r + 2001:0DB8:6172::/48, um den RDAP-Datensatz für Ihren Adressbereich nachzuschlagen. Überprüfen Sie den Public Comments-Abschnitt für NetRange (Netzwerkbereich) in der Befehlsausgabe. Das Zertifikat sollte im Public Comments-Abschnitt für den Adressbereich hinzugefügt werden.

    Sie können Public Comments mit dem Zertifikat als Inhalt mit dem folgenden Befehl prüfen:

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN

    Dadurch wird eine Ausgabe mit dem Inhalt des Schlüssels zurückgegeben, der etwa wie folgt aussehen sollte:

    Public Comments: -----BEGIN CERTIFICATE----- MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0 NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2 VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9 prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww 3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF 08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35 UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4 ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90 MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----

    Verwenden Sie für RIPE whois -r -h whois.ripe.net 2001:0DB8:7269::/48, um den RDAP-Datensatz für Ihren Adressbereich nachzuschlagen. Überprüfen Sie den descr-Abschnitt für das inetnum-Objekt (Netzwerkbereich) in der Befehlsausgabe. Das Zertifikat sollte als neues descr-Feld für den Adressbereich hinzugefügt werden.

    Sie können descr mit dem Zertifikat als Inhalt mit dem folgenden Befehl prüfen:

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    Dadurch wird eine Ausgabe mit dem Inhalt des Schlüssels zurückgegeben, der etwa wie folgt aussehen sollte:

    descr: -----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8 RDAHSP+I1TowDQYJKoZIhvcNAQELBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAg MCEF1Y2tsYW5kMREwDwYDVQQHDAhBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIF dlYiBTZXJ2aWNlczETMBEGA1UECwwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPS VAgRGVtbzAeFw0yMTEyMDcyMDI0NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNV BAYTAk5aMREwDwYDVQQIDAhBdWNrbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDA aBgNVBAoME0FtYXpvbiBXZWIgU2VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW 8xEzARBgNVBAMMCkJZT0lQIERlbW8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwg gEKAoIBAQCfmacvDp0wZ0ceiXXcR/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanA EskgAseyFypwEEQr4CJijI/5hp9prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3 stsI5QesHVRwOaXUdprAnndaTugmDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq 35wU/x+wXlAqBXg4MZK2KoUu27kYt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp 1ZnVIc7NqnhdeIW48QaYjhMlUEfxdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2r GlHWkJsbhr0VEUyAGu1bwkgcdww3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBS tFyujN6SYBr2glHpGt0XGF7GbGTAfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0 XGF7GbGTAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6Y Lhz521lfyVfxY0t6o3410bQAeAF08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyL xngwMYN0XY5tVhDQqk4/gmDNEKSZy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9 wySL507XQz76Uk5cFypBOzbnk35UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8 mBGqVpPpey+dXpzzzv1iBKN/VY4ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGC vRDl/qdO/GIDJi77dmZWkh/ic90MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoN PyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----

    Verwenden Sie für APNIC whois -h whois.apnic.net 2001:0DB8:6170::/48, um den RDAP-Datensatz für Ihren BYOIP-Adressbereich nachzuschlagen. Überprüfen Sie den remarks-Abschnitt für das inetnum-Objekt (Netzwerkbereich) in der Befehlsausgabe. Das Zertifikat sollte als neues remarks-Feld für den Adressbereich hinzugefügt werden.

    Sie können remarks mit dem Zertifikat als Inhalt mit dem folgenden Befehl prüfen:

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    Dadurch wird eine Ausgabe mit dem Inhalt des Schlüssels zurückgegeben, der etwa wie folgt aussehen sollte:

    remarks: -----BEGIN CERTIFICATE----- MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0 NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2 VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9 prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww 3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF 08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35 UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4 ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90 MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----
  2. Überprüfung der Erstellung eines ROA-Objekts

    Validieren Sie die erfolgreiche Erstellung der ROA-Objekte mit Hilfe der RIPEstat-Data-API. Testen Sie Ihren Adressbereich mit den Amazon ASNs 16509 und 14618 sowie den ASNs, die derzeit zur Veröffentlichung des Adressbereichs autorisiert sind.

    Sie können die ROA-Objekte aus verschiedenen Amazon-ASNs mit Ihrem Adressbereich mit dem folgenden Befehl untersuchen:

    curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR

    In dieser Beispielausgabe hat die Antwort ein Ergebnis von "status": "valid" für die Amazon ASN 16509. Dies gibt an, dass das ROA-Objekt für den Adressbereich erfolgreich erstellt wurde:

    { "messages": [], "see_also": [], "version": "0.3", "data_call_name": "rpki-validation", "data_call_status": "supported", "cached": false, "data": { "validating_roas": [ { "origin": "16509", "prefix": "2001:0DB8::/32", "max_length": 48, "validity": "valid" }, { "origin": "14618", "prefix": "2001:0DB8::/32", "max_length": 48, "validity": "invalid_asn" }, { "origin": "64496", "prefix": "2001:0DB8::/32", "max_length": 48, "validity": "invalid_asn" } ], "status": "valid", "validator": "routinator", "resource": "16509", "prefix": "2001:0DB8::/32" }, "query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f", "process_time": 58, "server_id": "app116", "build_version": "live.2023.2.1.142", "status": "ok", "status_code": 200, "time": "2023-02-24T15:24:30.773654" }

Der Status “unknown” gibt an, dass das ROA-Objekt für den Adressbereich nicht erstellt wurde. Der Status “invalid_asn” gibt an, dass das ROA-Objekt für den Adressbereich nicht erfolgreich erstellt wurde.

Regionale Verfügbarkeit

Das BYOIP-Feature ist derzeit in allen kommerziellen AWS -Regionen mit Ausnahme der Regionen China verfügbar.

Verfügbarkeit der Local Zone

Eine lokale Zone ist eine Erweiterung einer AWS Region in geografischer Nähe zu Ihren Benutzern. Local Zones werden in „Netzwerkgrenzgruppen“ gruppiert. Bei AWS einer Netzwerkgrenzgruppe handelt es sich um eine Sammlung von Availability Zones (AZs), Local Zones oder Wavelength Zones, von denen aus AWS eine öffentliche IP-Adresse beworben wird. Local Zones können andere Netzwerkgrenzgruppen haben als die AZs in einer AWS Region, um eine minimale Latenz oder physische Entfernung zwischen dem AWS Netzwerk und den Kunden sicherzustellen, die auf die Ressourcen in diesen Zonen zugreifen.

Mit der --network-border-group-Option können Sie BYOIPv4-Adressbereiche für die folgenden Netzwerkgrenzgruppen der Local Zone bereitstellen und diese dort bewerben:

  • us-east-1-dfw-2

  • us-west-2-lax-1

  • us-west-2-phx-2

Wenn Sie Local Zones aktiviert haben (siehe Eine Local Zone aktivieren), können Sie eine Netzwerkgrenzgruppe für Local Zones auswählen, wenn Sie ein BYOIPv4-CIDR bereitstellen und bewerben. Wählen Sie die Netzwerkgrenzgruppe sorgfältig aus, da sich die EIP und die AWS Ressource, der sie zugeordnet ist, in derselben Netzwerkgrenzgruppe befinden müssen.

Anmerkung

Sie können derzeit keine BYOIP6-Adressbereiche in Local Zones bereitstellen oder bewerben.

Weitere Informationen

Weitere Informationen finden Sie im AWS Online-Tech-Talk Deep Dive zum Thema Bring Your Own IP.