Tutoriel : Apportez ASN votre IPAM - Amazon Virtual Private Cloud
Conditions préalables à l'onboarding de votre ASNÉtapes du didacticiel

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Apportez ASN votre IPAM

Si vos applications utilisent des adresses IP approuvées et des numéros de système autonome (ASNs) que vos partenaires ou clients ont autorisés sur leur réseau, vous pouvez exécuter ces applications dans AWS sans demander à vos partenaires ou clients de modifier leurs listes d'autorisation.

Un numéro de système autonome (ASN) est un numéro globalement unique qui permet d'identifier un groupe de réseaux sur Internet et d'échanger des données de routage avec d'autres réseaux de manière dynamique à l'aide du Protocole Border Gateway. Les fournisseurs de services Internet (ISPs), par exemple, utilisent ASNs pour identifier la source du trafic réseau. Toutes les organisations n'achètent pas le leur propreASNs, mais celles qui le font peuvent apporter le leur ASN à AWS.

Apportez votre propre numéro de système autonome (BYOASN) vous permet de publier les IPv4 IPv6 adresses que vous apportez AWS à votre propre public ASN au lieu de AWS ASN. Lorsque vous l'utilisezBYOASN, le trafic provenant de votre adresse IP transporte votre adresse ASN IP et vos charges de travail sont accessibles aux clients ou aux partenaires qui ont autorisé le trafic répertorié en fonction de votre adresse IP etASN. AWS ASN

Important

  • Effectuez ce didacticiel en utilisant le compte IPAM administrateur dans votre région IPAM d'accueil.

  • Ce didacticiel suppose que ASN vous possédez le public auquel vous souhaitez apporter IPAM et l'avez provisionné dans un groupe dans votre portée publique. BYOIP CIDR AWS Vous pouvez apporter un ASN to IPAM à tout moment, mais pour l'utiliser, vous devez CIDR l'associer à votre AWS compte. Ce tutoriel suppose que vous l'avez déjà fait. Pour de plus amples informations, veuillez consulter Tutoriel : Transférez vos adresses IP à IPAM.

  • Vous pouvez changer entre votre propre publicité ASN ou celle qui vous convient, mais vous êtes limité à AWS ASN passer de la vôtre AWS ASN à une ASN fois par heure.

  • Si votre BYOIP CIDR nom est publié actuellement, vous n'avez pas à le retirer de la publicité pour l'associer à votreASN.

Conditions préalables à l'onboarding de votre ASN

Vous aurez besoin des éléments suivants pour suivre ce didacticiel :

  • Votre public de 2 ou 4 ASN octets.

  • Si vous avez déjà apporté une plage d'adresses IP à AWS withTutoriel : Transférez vos adresses IP à IPAM, vous avez besoin de la CIDR plage d'adresses IP. Vous aurez également besoin d'une clé privée. Vous pouvez utiliser la clé privée que vous avez créée lorsque vous avez introduit la CIDR plage d'adresses IP AWS ou vous pouvez créer une nouvelle clé privée comme décrit dans Création d'une clé privée et génération d'un certificat X.509 dans le Guide de l'EC2utilisateur.

  • Lorsque vous apportez une plage d'IPv6adresses IPv4 ou à AWS withTutoriel : Transférez vos adresses IP à IPAM, vous créez un certificat X.509 et vous le téléchargez dans l'RDAPenregistrement de votre. RIR Vous devez charger le même certificat que vous avez créé dans la RDAP notice que vous avez créée RIR pour leASN. Veillez à inclure le -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- avant et après la partie encodée. Tout ce contenu doit se trouver sur une seule et longue ligne. La procédure de mise à jour RDAP dépend de votre RIR :

    • PourARIN, utilisez le portail du gestionnaire de compte pour ajouter le certificat dans la section « Commentaires publics » pour l'objet « Informations réseau » qui vous représente en ASN utilisant l'option ASN « Modifier ». Ne l’ajoutez pas à la section des commentaires de votre organisation.

    • PourRIPE, ajoutez le certificat en tant que nouveau champ « descr » à l'objet « aut-num » représentant votre. ASN Vous les trouverez généralement dans la section « Mes ressources » du

      RIPEPortail de base de données. Ne l’ajoutez pas dans la section des commentaires de votre organisation ni dans le champ « remarques » de l’objet « aut-num ».

    • PourAPNIC, envoyez le certificat par e-mail à l'adresse helpdesk@apnic.net afin de l'ajouter manuellement au champ « remarques » pour votreASN. Envoyez l'e-mail en utilisant le contact APNIC autorisé pour leASN.

  • Lorsque vous transférez une plage d'adresses IP àIPAM, vous en créez une ROA pour vérifier que vous contrôlez l'espace d'adresses IP auquel vous accédezIPAM. En plus de celaROA, vous devez ROA en avoir une seconde RIR avec ASN ce que vous apportezIPAM. Si vous n'avez pas cette seconde ROA pour le ASN dans votreRIR, complétez 3. Créez un ROA objet dans votreRIR. Ignorez les autres étapes.

Étapes du didacticiel

Effectuez les étapes ci-dessous à l'aide de la AWS console ou de la AWS CLI.

AWS Management Console

  1. Ouvrez la IPAM console à l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le volet de navigation de gauche, choisissez IPAMs.

  3. Choisissez votreIPAM.

  4. Choisissez l'BYOASNsonglet, puis Provisionner BYOASNs.

  5. Entrez le ASN. Par conséquent, le champ Message est automatiquement renseigné avec le message que vous devrez vous connecter à l'étape suivante.

    • Le format du message est le suivant, où ACCOUNT sont votre numéro de AWS compte, ASN la ASN destination que vous apportez et la date d'expiration du message (qui par défaut YYYYMMDD est le dernier jour du mois suivant). IPAM Exemple : 

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Copiez le message et remplacez la date d'expiration par votre propre valeur si vous le souhaitez.

  7. Signez le message à l'aide de la clé privée. Exemple : 

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. Sous Signature, entrez la signature.

  9. (Facultatif) Pour provisionner un autreASN, choisissez Provisionner un autre ASN. Vous pouvez provisionner jusqu'à 5ASNs. Pour augmenter ce quota, consultez Quotas pour vos IPAM.

  10. Choisissez Provisionner.

  11. Consultez le processus de provisionnement dans l'BYOASNsonglet. Attendez que l'État passe de Provisionnement en attente à Provisionné. BYOASNsdont l'état est de Provisionnement échoué sont automatiquement supprimés au bout de 7 jours. Une fois que le provisionné ASN est correctement provisionné, vous pouvez l'associer à un BYOIPCIDR.

  12. Dans le panneau de navigation de gauche, choisissez Groupes.

  13. Choisissez votre portée publique. Pour plus d'informations sur les portées, consultez IPAMFonctionnement d'.

  14. Choisissez un groupe régional auquel un BYOIP CIDR provisionné est provisionné. Le Service du groupe doit être défini sur EC2et un paramètre régional doit être choisi.

  15. Choisissez l'CIDRsonglet et sélectionnez un BYOIPCIDR.

  16. Choisissez Actions > Gérer les BYOASN associations.

  17. Sous Associé BYOASNs, choisissez celui ASN que vous avez amené à AWS. Si vous en avez plusieursASNs, vous pouvez en associer plusieurs ASNs au BYOIPCIDR. Vous pouvez en associer ASNs autant que vous pouvez apporter àIPAM. Notez que vous pouvez apporter jusqu'à 5 ASNs à IPAM par défaut. Pour de plus amples informations, veuillez consulter Quotas pour vos IPAM.

  18. Choisissez Associer.

  19. Patientez jusqu'à la fin de l'ASNassociation. Une fois que le ASN est associé avec succès au BYOIPCIDR, vous pouvez le publier BYOIP CIDR à nouveau.

  20. Choisissez l'CIDRsonglet pool.

  21. Sélectionnez-les BYOIP CIDR et choisissez Actions > Publicité. Par conséquent, vos ASN options sont affichées : Amazon ASN et toutes celles que ASNs vous avez apportées àIPAM.

  22. Sélectionnez celui ASN que vous avez apporté IPAM et choisissez Advertiser CIDR. Par conséquent, le BYOIP CIDR est annoncé et la valeur dans la colonne Publicité passe de Retiré à Annoncé. La colonne Numéro du système autonome affiche le numéro ASN associé auCIDR.

  23. (facultatif) Si vous décidez de redéfinir l'ASNassociation avec AmazonASN, sélectionnez-la, BYOIP CIDR puis choisissez à nouveau Actions > Publicité. Cette fois, choisissez l'AmazonASN. Vous pouvez revenir à l'Amazon ASN à tout moment, mais vous ne pouvez passer à une coutume qu'une ASN fois par heure.

Le didacticiel est terminé.

Nettoyage

  1. Dissociez ASN le BYOIP CIDR

    • Pour vous retirer BYOIP CIDR de la publicité, dans votre groupe dans la portée publique, choisissez le BYOIP CIDR et choisissez Actions > Retirer de la publicité.

    • Pour les dissocier ASN duCIDR, choisissez Actions > Gérer les BYOASN associations.

  2. Déprovisionner le ASN

    • Pour le déprovisionnerASN, dans l'BYOASNsonglet, sélectionnez le ASN et choisissez ASNDéprovisionner. Par conséquent, le ASN est déprovisionné. BYOASNsdont l'état est de Déprovisionné sont automatiquement supprimés au bout de 7 jours.

Le nettoyage est terminé.

Command line

  1. Fournissez le vôtre ASN en incluant votre message d'autorisation ASN et votre message d'autorisation. La signature est le message signé avec votre clé privée.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Décrivez votre processus ASN de provisionnement pour suivre le processus de provisionnement. Si la demande aboutit, l'ProvisionStatusensemble devrait être provisionné au bout de quelques minutes.

    aws ec2 describe-ipam-byoasn

  3. Associez votre ASN à votre BYOIPCIDR. Toute coutume à partir de laquelle ASN vous souhaitez faire de la publicité doit d'abord être associée à votreCIDR.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Décrivez votre CIDR pour suivre le processus d'association.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Faites de la publicité CIDR avec votreASN. Si l'origine CIDR est déjà publiée, cela remplacera l'origine ASN d'Amazon par la vôtre.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Décrivez votre état CIDR pour voir l'ASNétat passer d'associé à annoncé.

    aws ec2 describe-byoip-cidrs --max-results 10

Le didacticiel est terminé.

Nettoyage

  1. Effectuez l’une des actions suivantes :

    • Pour retirer uniquement votre ASN publicité et recommencer à utiliser l'Amazon ASNs tout en maintenant la CIDR publicité, vous devez appeler advertise-byoip-cidr avec la AWS valeur spéciale du paramètre ASN. Vous pouvez revenir à l'Amazon ASN à tout moment, mais vous ne pouvez passer à une coutume qu'une ASN fois par heure.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Pour retirer simultanément votre ASN publicité CIDR et celle de votre publicité, vous pouvez appeler withdraw-byoip-cidr.

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Pour nettoyer votreASN, vous devez d'abord le dissocier de votre BYOIPCIDR.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Une fois que votre ASN est dissocié de tous ceux auxquels vous l'BYOIPCIDRsavez associé, vous pouvez le déprovisionner.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. Ils BYOIP CIDR peuvent également être déprovisionné une fois que toutes les ASN associations ont été supprimées.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Confirmez le déprovisionnement.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Le nettoyage est terminé.