Fourniture de vos propres adresses IP (BYOIP) dans AWS Global Accelerator - AWS Global Accelerator

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fourniture de vos propres adresses IP (BYOIP) dans AWS Global Accelerator

AWS Global Accelerator utilise des adresses IP statiques comme points d'entrée pour vos accélérateurs. Ces adresses IP sont anycast à partir d'emplacements périphériques AWS. Par défaut, Global Accelerator fournit des adresses IP statiques à partir duPool d'adresses IP Amazon. Au lieu d'utiliser les adresses IP fournies par Global Accelerator, vous pouvez configurer ces points d'entrée pour qu'ils soient des adresses IPv4 à partir de vos propres plages d'adresses. Cette rubrique explique comment utiliser vos propres plages d'adresses IP avec Global Accelerator.

Vous pouvez fournir tout ou partie de vos plages d'adresses IPv4 publiques depuis votre réseau sur site vers votre compte AWS pour l'utiliser avec Global Accelerator. Les plages d'adresses vous appartiennent toujours, mais AWS les publie sur Internet.

Vous ne pouvez pas utiliser les adresses IP que vous apportez à AWS pour un service AWS avec un autre service. Les étapes de ce chapitre décrivent comment fournir votre propre plage d'adresses IP pour une utilisation dans AWS Global Accelerator uniquement. Pour connaître les étapes à suivre pour fournir votre propre plage d'adresses IP pour l'utiliser dans Amazon EC2, veuillez consulterFourniture de vos propres adresses IP (BYOIP)dans le Guide de l'utilisateur Amazon EC2.

Important

Vous devez cesser de publier votre plage d'adresses IP à partir d'autres emplacements avant de la publier via AWS. Si une plage d'adresses IP est multihomed (c'est-à-dire que la plage est annoncée par plusieurs fournisseurs de services en même temps), nous ne pouvons pas garantir que le trafic vers la plage d'adresses entrera dans notre réseau ou que votre flux de travail publicitaire BYOIP sera terminé avec succès.

Une fois que vous avez fourni une plage d'adresses dans AWS, elle s'affiche dans votre compte en tant que groupe d'adresses. Lorsque vous créez un accélérateur, vous pouvez lui attribuer une adresse IP de votre plage. Global Accelerator vous attribue une deuxième adresse IP statique à partir d'une plage d'adresses IP Amazon. Si vous apportez deux plages d'adresses IP à AWS, vous pouvez attribuer une adresse IP de chaque plage à votre accélérateur. Cette restriction est due au fait que Global Accelerator affecte chaque plage d'adresses à une zone réseau différente, pour une haute disponibilité.

Pour utiliser votre propre plage d'adresses IP avec Global Accelerator, consultez la configuration requise, puis suivez les étapes décrites dans cette rubrique.

Requirements

Vous pouvez ajouter jusqu'à deux plages d'adresses IP éligibles à AWS Global Accelerator par compte AWS.

Pour être éligible, votre plage d'adresses IP doit répondre aux exigences suivantes :

  • La plage d'adresses IP doit être enregistrée auprès d'un des registres Internet régionaux (RIR) suivants : l'ARIN (American Registry for Internet Numbers), le RIPE (Réseaux IP Européens Network Coordination Centre) ou l'APNIC (Asia-Pacific Network Information Centre). La plage d'adresses doit être enregistrée auprès d'une entreprise ou d'une entité institutionnelle. Elle ne peut pas être enregistrée pour un individu.

  • La plage d'adresses la plus spécifique que vous pouvez apporter est /24. Les 24 premiers bits de l'adresse IP spécifient le numéro de réseau. Par exemple, 198.51.100 est le numéro de réseau pour l'adresse IP 198.51.100.0.

  • L'historique des adresses IP dans la plage d'adresses doit être propre. Autrement dit, ils ne peuvent pas avoir une mauvaise réputation ou être associés à un comportement malveillant. Nous nous réservons le droit de rejeter la plage d'adresses IP si nous enquêtons sur la réputation de la plage d'adresses IP et nous constatons qu'elle contient une adresse IP qui n'a pas d'historique propre.

En outre, nous exigeons les types ou statuts de réseau d'allocation et d'affectation suivants, selon l'endroit où vous avez enregistré votre plage d'adresses IP :

  • ARIN :Direct AllocationandDirect AssignmentTypes de réseau

  • MÛRS :ALLOCATED PA,LEGACY, etASSIGNED PIÉtats d'allocation

  • APNIQUE :ALLOCATED PORTABLEandASSIGNED PORTABLEÉtats d'allocation

Préparez-vous à importer votre plage d'adresses IP dans votre compte AWS : Autorisation

Pour vous assurer que vous seul pouvez apporter votre espace d'adresse IP à Amazon, nous avons besoin de deux autorisations :

  • Vous devez autoriser Amazon à annoncer la plage d'adresses IP.

  • Vous devez fournir la preuve que vous possédez la plage d'adresses IP et que vous avez donc le pouvoir de la transmettre à AWS.

    Note

    Lorsque vous utilisez BYOIP pour apporter une plage d'adresses IP à AWS, vous ne pouvez pas transférer la propriété de cette plage d'adresses à un autre compte ou société pendant que nous la publions. Vous ne pouvez pas non plus transférer directement une plage d'adresses IP d'un compte AWS à un autre compte. Pour transférer la propriété ou transférer entre des comptes AWS, vous devez déprovisionner la plage d'adresses, puis le nouveau propriétaire doit suivre les étapes pour ajouter la plage d'adresses à son compte AWS.

Pour autoriser Amazon à annoncer la plage d'adresses IP, vous fournissez à Amazon un message d'autorisation signé. Utilisez une autorisation d'origine d'itinéraire (ROA) pour fournir cette autorisation. Un ROA est une instruction de chiffrement concernant les annonces de routage que vous créez via votre registre Internet régional (RIR). Une ROA contient la plage d'adresses IP, les numéros de système autonome (ASN) qui sont autorisés à publier la plage d'adresses IP et une date d'expiration. La ROA autorise Amazon à publier une plage d'adresses IP dans le cadre d'un système autonome spécifique.

Un ROA n'autorise pas votre compte AWS à importer la plage d'adresses IP dans AWS. Pour fournir cette autorisation, vous devez publier un certificat X.509 auto-signé dans les remarques RDAP (Registry Data Access Protocol) pour la plage d'adresses IP. Le certificat contient une clé publique utilisée par AWS pour vérifier la signature de contexte d'autorisation que vous fournissez. Il est recommandé de sécuriser la clé privée et de l'utiliser pour signer le message de contexte d'autorisation.

Les sections suivantes fournissent les étapes détaillées pour l'exécution de ces tâches d'autorisation. Les commandes de ces étapes sont prises en charge sous Linux. Si vous utilisez Windows, vous pouvez accéder auWSL (Windows Subsystem for Linux)pour exécuter des commandes Linux.

Étapes pour fournir l'autorisation

Étape 1 : Créer un objet ROA

Créez un objet ROA pour autoriser Amazon ASN 16509 à publier votre plage d'adresses IP ainsi que les ASN qui sont actuellement autorisés à publier la plage d'adresses IP. Le ROA doit contenir l'adresse IP /24 que vous souhaitez fournir à AWS et vous devez définir la longueur maximale à /24.

Pour plus d'informations sur la création d'une demande ROA, consultez les sections suivantes, selon l'endroit où vous avez enregistré votre plage d'adresses IP :

Étape 2 : Créer un certificat X.509 auto-signé

Créez une key pair et un certificat X.509 auto-signé, et ajoutez le certificat à l'enregistrement RDAP de votre RIR. Les étapes suivantes expliquent comment exécuter ces tâches.

Note

La .opensslDans ces étapes, OpenSSL version 1.0.2 ou ultérieure.

Pour créer et ajouter un certificat X.509

  1. Générez une key pair RSA 2048 bits à l'aide de la commande suivante.

    openssl genrsa -out private.key 2048
  2. Créez un certificat public X.509 à partir de la key pair en utilisant la commande suivante.

    openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

    Dans cet exemple, le certificat expire dans 365 jours, après quoi il n'est plus fiable. Lorsque vous exécutez la commande, assurez-vous d'avoir défini le–daysà la valeur souhaitée pour l'expiration correcte. Lorsque vous êtes invité à saisir d'autres informations, vous pouvez accepter les valeurs par défaut.

  3. Mettez à jour l'enregistrement RDAP de votre RIR avec le certificat X.509 en utilisant les étapes suivantes, en fonction de votre RIR.

    1. Affichez votre certificat à l'aide de la commande suivante.

      cat publickey.cer
    2. Ajoutez le certificat en procédant comme suit :

      Important

      Veillez à inclure le-----BEGIN CERTIFICATE-----and-----END CERTIFICATE-----À partir du certificat.

      • Pour l'ARIN, ajoutez le certificat dans lePublic CommentsPour votre plage d'adresses IP.

      • Pour le RIPE, ajoutez le certificat sous la forme d'un nouveaudescrpour votre plage d'adresses IP.

      • Pour APNIC, envoyez la clé publique par e-mail àhelpdesk@apnic.net, le contact autorisé APNIC pour les adresses IP, pour demander qu'ils l'ajoutent manuellement à l'remarkschamp.

Étape 3 : Créer un message d'autorisation signé

Créez le message d'autorisation signé pour permettre à Amazon d'annoncer votre plage d'adresses IP.

Le format du message est le suivant, où leYYYYMMDDdate est la date d'expiration du message.

1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS

Pour créer le message d'autorisation signé

  1. Crée un message d'autorisation en texte brut et stockez-le dans une variable nomméetext_message, comme le montre l'exemple suivant. Remplacez le numéro de compte, la plage d'adresses IP et la date d'expiration de l'exemple par vos propres valeurs.

    text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"
  2. Signer le message d'autorisation danstext_messageÀ l'aide de la key pair que vous avez créée dans la section précédente.

  3. Stockage du message dans une variable nomméesigned_message, comme le montre l'exemple suivant.

    signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

Mise en service de la plage d'adresses pour une utilisation avec AWS Global Accelerator

Lorsque vous mettez en service une plage d'adresses pour une utilisation avec AWS, vous confirmez que vous êtes propriétaire de la plage d'adresses et vous autorisez Amazon à la publier. Nous vérifierons que vous possédez la plage d'adresses.

Vous devez provisionner votre plage d'adresses à l'aide des opérations de l'API CLI ou Global Accelerator. Cette fonctionnalité n'est pas disponible dans la console AWS.

Pour allouer la plage d'adresses, utilisez leProvisionByoipCidrLa commande. La .--cidr-authorization-contextutilise les variables que vous avez créées dans la section précédente, pas le message ROA.

aws globalaccelerator provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message"

Voici un exemple de provisionnement d'une plage d'adresses.

aws globalaccelerator provision-byoip-cidr --cidr 203.0.113.25/24 --cidr-authorization-context Message="$text_message",Signature="$signed_message"

La mise en service d'une plage d'adresses est une opération asynchrone, de sorte que l'appel est immédiatement renvoyé. Cependant, la plage d'adresses n'est pas prête à être utilisée tant que son état ne change pas dePENDING_PROVISIONINGsurREADY. Le processus d'allocation peut durer jusqu'à 3 semaines. Pour surveiller l'état des plages d'adresses que vous allouez, utilisez l'ListByoipCIDRSCommande de l' :

aws globalaccelerator list-byoip-cidrs

Pour afficher la liste des états d'une plage d'adresses IP, voirparoiPCIDR.

Lorsque votre plage d'adresses IP est provisionnée, l'optionStateRetourné parlist-byoip-cidrsestREADY. Exemples :

{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "READY" } ] }

Publication de la plage d'adresses via AWS

Une fois que la plage d'adresses est mise en service, elle est prête à être publiée. Vous devez publier la plage d'adresses exacte que vous avez mise en service. Vous ne pouvez pas publier seulement une portion de la plage d'adresses mise en service. En outre, vous devez cesser de publier votre plage d'adresses IP à partir d'autres emplacements avant de la publier via AWS.

Vous devez annoncer (ou arrêter la publicité) votre plage d'adresses à l'aide des opérations CLI ou de l'API Global Accelerator. Cette fonctionnalité n'est pas disponible dans la console AWS.

Important

Assurez-vous que votre plage d'adresses IP est annoncée par AWS avant d'utiliser une adresse IP de votre pool avec Global Accelerator.

Pour publier la plage d'adresses, utilisez lePublicitéparOIPCIDRLa commande.

aws globalaccelerator advertise-byoip-cidr --cidr address-range

Voici un exemple de demande à Global Accelerator d'annoncer une plage d'adresses.

aws globalaccelerator advertise-byoip-cidr --cidr 203.0.113.0/24

Pour surveiller l'état des plages d'adresses que vous avez publiées, utilisez l'ListByoipCIDRSLa commande.

aws globalaccelerator list-byoip-cidrs

Lorsque votre plage d'adresses IP est annoncée, leStateRetourné parlist-byoip-cidrsestADVERTISING. Exemples :

{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "ADVERTISING" } ] }

Pour arrêter la publication de la plage d'adresses, utilisez lewithdraw-byoip-cidrLa commande.

Important

Pour arrêter la publicité de votre plage d'adresses, vous devez d'abord supprimer tous les accélérateurs dotés d'adresses IP statiques qui sont alloués du pool d'adresses. Pour supprimer un accélérateur à l'aide de la console ou d'opérations API, consultez Suppression d'un accélérateur.

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

Voici un exemple de demande à Global Accelerator de retirer une plage d'adresses.

aws globalaccelerator withdraw-byoip-cidr --cidr 203.0.113.25/24

Mise hors service de la plage d'adresses

Pour cesser d'utiliser votre plage d'adresses avec AWS, vous devez d'abord supprimer tous les accélérateurs qui ont des adresses IP statiques qui sont allouées à partir du groupe d'adresses et vous cessez la publication de votre plage d'adresses. Une fois ces étapes terminées, vous pouvez désactiver la plage d'adresses.

Vous devez arrêter la publicité et déprovisionner votre plage d'adresses à l'aide des opérations CLI ou de l'API Global Accelerator. Cette fonctionnalité n'est pas disponible dans la console AWS.

Étape 1 : Supprimez tous les accélérateurs associés.Pour supprimer un accélérateur à l'aide de la console ou d'opérations API, consultez Suppression d'un accélérateur.

Étape 2. Cessez la publication de la plage d'adresses. Pour arrêter la publication de la plage, utilisez leRetrait par OIPCIDRLa commande.

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

Étape 3. Mise hors service de la plage d'adresses. Pour déprovisionner la plage, utilisez la commande suivanteDéprovisionByOIPCIDRLa commande.

aws globalaccelerator deprovision-byoip-cidr --cidr address-range

Créez un accélérateur avec vos adresses IP

Vous pouvez maintenant créer un accélérateur avec vos adresses IP. Si vous avez apporté une plage d'adresses à AWS, vous pouvez attribuer une adresse IP à votre accélérateur. Si vous avez apporté deux plages d'adresses, vous pouvez attribuer une adresse IP de chaque plage d'adresses à votre accélérateur.

Vous avez plusieurs options pour créer un accélérateur à l'aide de vos propres adresses IP pour les adresses IP statiques :