Bring Your Own IP Addresses (BYOIP) di Amazon EC2 - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bring Your Own IP Addresses (BYOIP) di Amazon EC2

Anda dapat membawa sebagian atau seluruh rentang alamat IPv4 atau IPv6 yang dapat dirutekan secara publik dari jaringan lokal ke akun Anda. AWS Anda terus mengontrol rentang alamat dan Anda dapat mengiklankan rentang alamat di internet melalui AWS. Setelah Anda membawa rentang alamat ke AWS, itu muncul di AWS akun Anda sebagai kumpulan alamat.

Untuk daftar Wilayah tempat BYOIP tersedia, lihat Ketersediaan wilayah.

catatan

Definisi BYOIP

  • Sertifikat X.509 Self-sign — Standar sertifikat yang paling umum digunakan untuk mengenkripsi dan mengautentikasi data dalam jaringan. Ini adalah sertifikat yang digunakan oleh AWS untuk memvalidasi kontrol atas ruang IP dari catatan RDAP. Untuk informasi selengkapnya tentang sertifikat X.509, lihat RFC 3280.

  • Nomor Sistem Otonom (ASN) — Pengidentifikasi unik global yang menentukan sekelompok prefiks IP yang dijalankan oleh satu atau lebih operator jaringan yang mempertahankan satu kebijakan perutean yang ditentukan dengan jelas.

  • Regional Internet Registry (RIR) — Organisasi yang mengelola alokasi dan pendaftaran alamat IP serta ASN di wilayah dunia.

  • Registry Data Access Protocol (RDAP) — Protokol read-only untuk menanyakan data registrasi saat ini dalam RIR. Entri dalam basis data RIR yang ditanyakan disebut sebagai “catatan RDAP”. Tipe catatan tertentu perlu diperbarui oleh pelanggan melalui mekanisme yang disediakan RIR. Catatan ini ditanyakan oleh AWS untuk memverifikasi kontrol ruang alamat di RIR.

  • Route Origin Authorization (ROA) — Objek yang dibuat oleh RIR bagi pelanggan untuk mengautentikasi iklan IP dalam sistem otonom tertentu. Untuk ikhtisar, lihat Route Origin Authorization (ROA) di situs web ARIN.

  • Local Internet Registry (LIR) — Organisasi seperti penyedia layanan internet yang mengalokasikan blok alamat IP dari RIR untuk pelanggan mereka.

Persyaratan dan kuota

  • Rentang alamat harus terdaftar di Regional Internet Registry (RIR) Anda. Lihat RIR Anda untuk kebijakan apa pun terkait wilayah geografis. BYOIP saat ini mendukung pendaftaran di American Registry for Internet Numbers (ARIN), Réseaux IP Européens Network Coordination Centre (RIPE), atau Asia-Pacific Network Information Centre (APNIC). Rentang alamat ini harus didaftarkan untuk entitas bisnis atau kelembagaan dan tidak dapat didaftarkan untuk perorangan.

  • Rentang alamat IPv4 paling spesifik yang dapat Anda bawa adalah /24.

  • Rentang alamat IPv6 paling spesifik yang dapat Anda bawa adalah/48 untuk CIDR yang dapat diiklankan secara publik dan /56 untuk CIDR yang tidak dapat diiklankan secara publik.

  • ROA tidak diperlukan untuk rentang CIDR yang tidak dapat diiklankan secara publik, tetapi catatan RDAP masih perlu diperbarui.

  • Anda dapat membawa setiap rentang alamat ke satu AWS Wilayah pada satu waktu.

  • Anda dapat membawa total lima rentang alamat BYOIP IPv4 dan IPv6 per Wilayah ke akun Anda. AWS AWS Anda tidak dapat menyesuaikan kuota untuk CIDR BYOIP menggunakan konsol Service Quotas, tetapi Anda dapat meminta peningkatan kuota dengan menghubungi Pusat AWS Dukungan seperti yang dijelaskan dalam kuota layanan di.AWSReferensi Umum AWS

  • Anda tidak dapat membagikan rentang alamat IP Anda dengan akun lain AWS RAM kecuali Anda menggunakan Amazon VPC IP Address Manager (IPAM) dan mengintegrasikan IPAM dengan Organizations. AWS Untuk informasi selengkapnya, lihat Mengintegrasikan IPAM dengan AWS Organizations di Panduan Pengguna Amazon VPC IPAM.

  • Alamat dalam rentang alamat IP harus memiliki riwayat yang bersih. Kami mungkin menginvestigasi reputasi rentang alamat IP dan berhak menolak rentang alamat IP jika berisi alamat IP yang memiliki reputasi buruk atau terkait dengan perilaku jahat.

  • Ruang alamat warisan, ruang alamat IPv4 yang didistribusikan oleh registri pusat Internet Assigned Numbers Authority (IANA) sebelum pembentukan sistem Regional Internet Registry (RIR), masih membutuhkan objek ROA yang sesuai.

  • Untuk LIR, biasanya mereka menggunakan proses manual untuk memperbarui catatan mereka. Deployment bisa memakan waktu berhari-hari, tergantung pada LIR.

  • Objek ROA tunggal dan catatan RDAP diperlukan untuk blok CIDR yang besar. Anda dapat membawa beberapa blok CIDR yang lebih kecil dari rentang itu ke AWS, bahkan di beberapa AWS Wilayah, menggunakan objek tunggal dan catatan.

  • BYOIP tidak didukung untuk Wavelength Zones atau on. AWS Outposts

  • Jangan membuat perubahan manual untuk BYOIP di RADB atau IRR lainnya. BYOIP akan secara otomatis memperbarui RADB. Setiap perubahan manual yang menyertakan ASN BYOIP akan menyebabkan operasi penyediaan BYOIP gagal.

  • Setelah Anda membawa rentang alamat IPv4 AWS, Anda dapat menggunakan semua alamat IP dalam rentang tersebut, termasuk alamat pertama (alamat jaringan) dan alamat terakhir (alamat siaran).

Prasyarat orientasi untuk rentang alamat BYOIP Anda

Proses orientasi untuk BYOIP memiliki dua fase, di mana Anda harus melakukan tiga langkah. Langkah-langkah ini sesuai dengan langkah-langkah yang digambarkan dalam diagram berikut. Kami menyertakan langkah-langkah manual dalam dokumentasi ini, tetapi RIR Anda mungkin menawarkan layanan terkelola untuk membantu Anda dengan langkah-langkah ini.

Fase persiapan

1. Buat kunci privat dan gunakan untuk membuat sertifikat X.509 yang ditandatangani sendiri untuk tujuan autentikasi. Sertifikat ini hanya digunakan selama fase penyediaan.

Fase konfigurasi RIR

2. Mengunggah sertifikat yang ditandatangani sendiri ke catatan RDAP Anda.

3. Buat objek ROA di RIR Anda. ROA menentukan rentang alamat yang diinginkan, Nomor Sistem Otonom (ASN) diizinkan untuk mengiklankan rentang alamat, dan tanggal kedaluwarsa untuk mendaftar ke Resource Public Key Infrastructure (RPKI) RIR Anda.

catatan

ROA tidak diperlukan untuk ruang alamat IPv6 yang tidak dapat diiklankan secara publik.

Proses orientasi 3 langkah untuk BYOIP.

Untuk membawa beberapa rentang alamat yang tidak berdekatan, Anda harus mengulangi proses ini dengan setiap rentang alamat. Namun, persiapan dan langkah konfigurasi RIR tidak perlu diulang jika memisahkan blok yang berdekatan di beberapa Wilayah yang berbeda. AWS

Membawa rentang alamat tidak berpengaruh pada setiap rentang alamat yang Anda bawa sebelumnya.

penting

Sebelum melakukan orientasi rentang alamat Anda, lengkapi prasyarat berikut. Tugas-tugas pada bagian ini memerlukan terminal Linux dan dapat dijalankan menggunakan Linux, AWS CloudShell, atau Windows Subsystem for Linux.

1. Buat kunci privat dan buat sertifikat X.509

Gunakan prosedur berikut untuk membuat sertifikat X.509 yang ditandatangani sendiri dan menambahkannya ke catatan RDAP untuk RIR Anda. Pasangan kunci ini digunakan untuk mengautentikasi rentang alamat dengan RIR. Perintah openssl memerlukan OpenSSL versi 1.0.2 atau lebih baru.

Salin perintah berikut dan mengganti nilai placeholder saja (dalam teks miring berwarna).

Prosedur ini mengikuti praktik terbaik mengenkripsi kunci RSA privat Anda dan memerlukan frasa sandi untuk mengaksesnya.

  1. Buat kunci privat RSA 2048 bit seperti yang ditunjukkan berikut ini.

    $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

    Parameter -aes256 menentukan algoritma yang digunakan untuk mengenkripsi kunci privat. Perintah mengembalikan output berikut, termasuk petunjuk untuk mengatur frasa sandi:

    ......+++ .+++ Enter PEM pass phrase: xxxxxxx Verifying - Enter PEM pass phrase: xxxxxxx

    Anda dapat memeriksa kunci menggunakan perintah berikut:

    $ openssl pkey -in private-key.pem -text

    Ini mengembalikan prompt frasa-sandi dan isi kunci, yang harus mirip dengan berikut ini:

    Enter pass phrase for private-key.pem: xxxxxxx -----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDFBXHRI4HVKAhh 3seiciooizCRTbJe1+YsxNTja4XyKypVGIFWDGhZs44FCHlPOOSVJ+NqP74w96oM 7DPS3xo9kaQyZBFn2YEp2EBq5vf307KHNRmZZUmkn0zHOSEpNmY2fMxISBxewlxR FAniwmSd/8TDvHJMY9FvAIvWuTsv5l0tJKk+a91K4+tO3UdDR7Sno5WXExfsBrW3 g1ydo3TBsx8i5/YiVOcNApy7ge2/FiwY3aCXJB6r6nuF6H8mRgI4r4vkMRsOlAhJ DnZPNeweboo+K3Q3lwbgbmOKD/z9svk8N/+hUTBtIX0fRtbG+PLIw3xWRHGrMSn2 BzsPVuDLAgMBAAECggEACiJUj2hfJkKv47Dc3es3Zex67A5uDVjXmxfox2Xhdupn fAcNqAptV6fXt0SPUNbhUxbBKNbshoJGufFwXPli1SXnpzvkdU4Hyco4zgbhXFsE RNYjYfOGzTPwdBLpNMB6k3Tp4RHse6dNrlH0jDhpioL8cQEBdBJyVF5X0wymEbmV mC0jgH/MxsBAPWW6ZKicg9ULMlWiAZ3MRAZPjHHgpYkAAsUWKAbCBwVQcVjGO59W jfZjzTX5pQtVVH68ruciH88DTZCwjCkjBhxg+OIkJBLE5wkh82jIHSivZ63flwLw z+E0+HhELSZJrn2MY6Jxmik3qNNUOF/Z+3msdj2luQKBgQDjwlC/3jxp8zJy6P8o JQKv7TdvMwUj4VSWOHZBHLv4evJaaia0uQjIo1UDa8AYitqhX1NmCCehGH8yuXj/ v6V3CzMKDkmRr1NrONnSz5QsndQ04Z6ihAQlPmJ96g4wKtgoC7AYpyP0g1a+4/sj b1+o3YQI4pD/F71c+qaztH7PRwKBgQDdc23yNmT3+Jyptf0fKjEvONK+xwUKzi9c L/OzBq5yOIC1Pz2T85gOe1i8kwZws+xlpG6uBT6lmIJELd0k59FyupNu4dPvX5SD 6GGqdx4jk9KvI74usGeOBohmF0phTHkrWKBxXiyT0oS8zjnJlEn8ysIpGgO28jjr LpaHNZ/MXQKBgQDfLNcnS0LzpsS2aK0tzyZU8SMyqVHOGMxj7quhneBq2T6FbiLD T9TVlYaGNZ0j71vQaLI19qOubWymbautH0Op5KV8owdf4+bf1/NJaPIOzhDUSIjD Qo01WW31Z9XDSRhKFTnWzmCjBdeIcajyzf10YKsycaAW9lItu8aBrMndnQKBgQDb nNp/JyRwqjOrNljk7DHEs+SD39kHQzzCfqd+dnTPv2sc06+cpym3yulQcbokULpy fmRo3bin/pvJQ3aZX/Bdh9woTXqhXDdrrSwWInVYMQPyPk8f/D9mIOJp5FUWMwHD U+whIZSxsEeE+jtixlWtheKRYkQmzQZXbWdIhYyI3QKBgD+F/6wcZ85QW8nAUykA 3WrSIx/3cwDGdm4NRGct8ZOZjTHjiy9ojMOD1L7iMhRQ/3k3hUsin5LDMp/ryWGG x4uIaLat40kiC7T4I66DM7P59euqdz3w0PD+VU+h7GSivvsFDdySUt7bNK0AUVLh dMJfWxDN8QV0b5p3WuWH1U8B -----END PRIVATE KEY----- Private-Key: (2048 bit) modulus: 00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72: 2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b: 85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08: 79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec: 33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8: 40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f: 4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2: 5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63: d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b: dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13: 17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7: f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd: a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af: 8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e: 8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2: f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8: f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56: e0:cb publicExponent: 65537 (0x10001) privateExponent: 0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37: 65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1: 76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f: 50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70: 5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38: ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0: 74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d: ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72: 54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc: c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2: 01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16: 28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63: cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03: 4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4: e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0: cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71: 9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5: b9 prime1: 00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25: 02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c: bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b: c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9: 78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38: d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e: 62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83: 56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17: bd:5c:fa:a6:b3:b4:7e:cf:47 prime2: 00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a: 31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06: ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93: 06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d: dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8: 61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06: 88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2: 84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2: 38:eb:2e:96:87:35:9f:cc:5d exponent1: 00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf: 26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d: e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35: 9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d: ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7: f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59: 6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05: d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6: 52:2d:bb:c6:81:ac:c9:dd:9d exponent2: 00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec: 31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76: 74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71: ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43: 76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad: 2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20: e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0: 47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd: 06:57:6d:67:48:85:8c:88:dd coefficient: 3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd: 6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1: 93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32: 14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9: 61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23: ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55: 4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34: ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f: 9a:77:5a:e5:87:d5:4f:01

    Simpan kunci privat Anda di lokasi yang aman saat tidak digunakan.

  2. Buat sertifikat X.509 menggunakan kunci privat yang dibuat pada langkah sebelumnya. Dalam contoh ini, sertifikat kedaluwarsa dalam 365 hari, setelahnya sertifikat tidak dapat dipercaya. Pastikan Anda mengatur waktu kedaluwarsa dengan tepat. Sertifikat hanya boleh berlaku selama proses penyediaan. Anda dapat menghapus sertifikat dari catatan RIR Anda setelah penyediaan selesai. Perintah tr -d "\n" menghapus karakter baris baru (jeda baris) dari output. Anda harus memberikan Nama Umum saat diminta, tetapi bidang lainnya dapat dibiarkan kosong.

    $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

    Ini menghasilkan output serupa dengan yang berikut ini:

    Enter pass phrase for private-key.pem: xxxxxxx You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) []: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []: Organizational Unit Name (eg, section) []: Common Name (eg, fully qualified host name) []:example.com Email Address []:
    catatan

    Nama Umum tidak diperlukan untuk AWS penyediaan. Itu bisa berupa nama domain internal atau publik.

    Anda dapat memeriksa sertifikat dengan perintah berikut:

    $ cat certificate.pem

    Output harus berupa string panjang, dengan enkode PEM tanpa jeda baris, diawali dengan -----BEGIN CERTIFICATE----- dan diikuti oleh -----END CERTIFICATE-----.

2. Unggah sertifikat X.509 ke catatan RDAP di RIR Anda

Tambahkan sertifikat yang telah Anda buat sebelumnya ke catatan RDAP untuk RIR Anda. Pastikan untuk memasukkan string -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE----- sebelum dan sesudah bagian yang dikodekan. Semua konten ini harus dalam satu baris panjang. Prosedur untuk memperbarui RDAP tergantung pada RIR Anda:

  • Untuk ARIN, gunakan portal Manajer Akun untuk menambahkan sertifikat di bagian “Komentar Publik” untuk objek “Informasi Jaringan” yang mewakili rentang alamat Anda. Jangan menambahkannya ke bagian komentar untuk organisasi Anda.

  • Untuk RIPE, tambahkan sertifikat sebagai bidang “descr” baru ke objek “inetnum” atau “inet6num” yang mewakili rentang alamat Anda. Ini biasanya dapat ditemukan di bagian “Sumber Daya Saya” di portal Basis Data RIPE. Jangan menambahkannya ke bagian komentar untuk organisasi Anda atau bidang “komentar” dari objek di atas.

  • Untuk APNIC, kirimkan email sertifikat ke helpdesk@apnic.net untuk menambahkannya secara manual ke kolom “pernyataan” untuk rentang alamat Anda. Kirim email menggunakan kontak resmi APNIC untuk alamat IP.

Anda dapat menghapus sertifikat dari catatan RIR Anda setelah tahap penyediaan di bawah ini selesai.

3. Membuat objek ROA di RIR Anda

Buat objek ROA untuk mengotorisasi Amazon ASN 16509 dan 14618 untuk mengiklankan rentang alamat Anda, ditambah yang saat ini berwenang untuk mengiklankan rentang alamat. Untuk AWS GovCloud (US) Regions, otorisasi ASN 8987 bukan 16509 dan 14618. Anda harus mengatur panjang maksimum ke ukuran CIDR yang Anda bawa. Prefiks IPv4 paling spesifik yang dapat Anda bawa adalah /24. Rentang alamat IPv6 paling spesifik yang dapat Anda bawa adalah /48 untuk CIDR yang dapat diiklankan secara publik, dan /56 untuk CIDR yang tidak dapat diiklankan secara publik.

penting

Jika Anda membuat objek ROA untuk Manajer Alamat IP (IPAM) Amazon VPC, saat Anda membuat ROA, untuk IPv4 CIDR Anda harus mengatur panjang maksimum prefiks alamat IP ke /24. Untuk IPv6 CIDR, jika Anda menambahkannya ke kolam yang dapat diiklankan, panjang maksimum prefiks alamat IP harus. /48 Ini memastikan bahwa Anda memiliki fleksibilitas penuh untuk membagi alamat IP publik Anda di seluruh AWS Wilayah. IPAM memberlakukan panjang maksimum yang Anda tetapkan. Untuk informasi selengkapnya tentang alamat BYOIP ke IPAM, lihat Tutorial: CIDR alamat BYOIP ke IPAM di Panduan Pengguna Amazon VPC IPAM.

Ini mungkin perlu waktu hingga 24 jam agar ROA tersedia di Amazon. Untuk informasi lebih lanjut, konsultasikan RIR Anda:

Saat memigrasikan iklan dari beban kerja lokal ke tempat AWS, Anda harus membuat ROA untuk ASN yang ada sebelum membuat ROA untuk ASN Amazon. Jika tidak, Anda mungkin melihat dampak pada perutean dan iklan yang ada.

penting

Agar Amazon dapat mengiklankan dan terus mengiklankan rentang alamat IP Anda, ROA dengan ASN Amazon harus sesuai dengan pedoman di atas. Jika ROA Anda tidak valid atau tidak sesuai dengan pedoman di atas, Amazon berhak untuk berhenti mengiklankan rentang alamat IP Anda.

catatan

Langkah ini tidak diperlukan untuk ruang alamat IPv6 yang tidak dapat diiklankan secara publik.

Onboard BYOIP Anda

Proses orientasi untuk BYOIP memiliki tugas-tugas berikut tergantung pada kebutuhan Anda.

Menyediakan rentang alamat yang dapat diiklankan secara publik di AWS

Saat Anda memberikan rentang alamat untuk digunakan AWS, Anda mengonfirmasi bahwa Anda mengontrol rentang alamat dan mengizinkan Amazon untuk mengiklankannya. Kami juga memverifikasi bahwa Anda mengontrol rentang alamat melalui pesan otorisasi yang ditandatangani. Pesan ini ditandatangani dengan key pair X.509 yang ditandatangani sendiri yang Anda gunakan saat memperbarui catatan RDAP dengan sertifikat X.509. AWS memerlukan pesan otorisasi yang ditandatangani secara kriptografis yang disajikan kepada RIR. RIR mengotentikasi tanda tangan terhadap sertifikat yang ditambahkan ke RDAP, dan memeriksa rincian otorisasi terhadap ROA.

Untuk menyediakan rentang alamat
  1. Membuat pesan

    Menulis pesan otorisasi teks biasa. Format pesan adalah sebagai berikut, di mana tanggal tersebut adalah tanggal kedaluwarsa pesan:

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    Ganti nomor akun, rentang alamat, dan tanggal kedaluwarsa dengan nilai Anda sendiri untuk membuat pesan yang menyerupai hal berikut ini:

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    Ini agar tidak menjadi bingung dengan pesan ROA, yang memiliki tampilan serupa.

  2. Menandatangani pesan

    Menandatangani pesan teks biasa menggunakan kunci privat yang telah Anda buat sebelumnya. Tanda tangan yang dikembalikan oleh perintah ini adalah string panjang yang perlu Anda gunakan pada langkah berikutnya.

    penting

    Kami sarankan Anda menyalin dan menempelkan perintah ini. Kecuali untuk isi pesan, jangan mengubah atau mengganti nilai apa pun.

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. Penyediaan alamat

    Gunakan AWS CLI provision-byoip-cidrperintah untuk menyediakan rentang alamat. Opsi --cidr-authorization-context menggunakan string pesan dan tanda tangan yang telah Anda buat sebelumnya.

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    Penyediaan rentang alamat adalah operasi asinkron, sehingga panggilan segera kembali, tetapi rentang alamat belum siap untuk digunakan hingga statusnya berubah dari pending-provision menjadi provisioned.

  4. Memantau kemajuan

    Meskipun sebagian besar penyediaan akan selesai dalam waktu dua jam, mungkin diperlukan waktu hingga satu minggu untuk menyelesaikan proses penyediaan untuk rentang yang dapat diiklankan secara publik. Gunakan describe-byoip-cidrsperintah untuk memantau kemajuan, seperti dalam contoh ini:

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    Jika ada masalah selama penyediaan dan status masuk ke failed-provision, Anda harus menjalankan perintah provision-byoip-cidr lagi setelah masalah terpecahkan.

Menyediakan rentang alamat IPv6 yang tidak dapat diiklankan secara publik

Secara default, rentang alamat disediakan agar dapat diiklankan secara publik ke internet. Anda dapat menyediakan rentang alamat IPv6 yang tidak akan dapat diiklankan secara publik. Untuk rute yang tidak dapat diakses secara publik, proses penyediaan umumnya selesai dalam hitungan menit. Saat Anda mengaitkan blok CIDR IPv6 dari rentang alamat non-publik VPC, CIDR IPv6 hanya dapat diakses melalui opsi konektivitas hybrid yang mendukung IPv6, seperti AWS Direct Connect, AWS Site-to-Site VPN, atau Amazon VPC Transit Gateway.

ROA tidak diperlukan untuk menyediakan rentang alamat non-publik.

penting
  • Anda hanya dapat menentukan apakah rentang alamat dapat diiklankan secara publik selama penyediaan. Anda tidak dapat mengubah status yang dapat diiklankan dari rentang alamat di lain waktu.

  • Amazon VPC tidak mendukung CIDR alamat lokal unik (ULA). Semua VPC harus memiliki IPv6 CIDR yang unik. Dua VPC tidak dapat memiliki rentang IPv6 CIDR yang sama.

Untuk menyediakan rentang alamat IPv6 yang tidak dapat diiklankan secara publik, gunakan perintah berikut. provision-byoip-cidr

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

Iklankan rentang alamat melalui AWS

Setelah rentang alamat disediakan, rentang alamat tersebut siap untuk diiklankan. Anda harus mengiklankan rentang alamat persis yang Anda sediakan. Anda tidak dapat mengiklankan hanya sebagian dari rentang alamat yang disediakan.

Jika Anda menyediakan rentang alamat IPv6 yang tidak akan diiklankan secara publik, Anda tidak perlu menyelesaikan langkah ini.

Kami menyarankan Anda berhenti mengiklankan rentang alamat atau bagian dari rentang dari lokasi lain sebelum Anda mengiklankannya. AWS Jika Anda terus mengiklankan rentang alamat IP Anda atau bagiannya dari lokasi lain, kami tidak dapat mendukung atau memecahkan masalah dengan andal. Secara khusus, kami tidak dapat menjamin bahwa lalu lintas ke rentang alamat atau sebagian dari rentang akan memasuki jaringan kami.

Untuk meminimalkan waktu henti, Anda dapat mengonfigurasi AWS sumber daya Anda untuk menggunakan alamat dari kumpulan alamat Anda sebelum diiklankan, dan kemudian secara bersamaan berhenti mengiklankannya dari lokasi saat ini dan mulai mengiklankannya. AWS Untuk informasi lebih lanjut tentang pengalokasian alamat IP Elastis dari kumpulan alamat Anda, lihat Mengalokasikan alamat IP Elastis.

Batasan
  • Anda dapat menjalankan perintah advertise-byoip-cidr maksimal sekali setiap 10 detik, meskipun Anda menentukan rentang alamat yang berbeda setiap kali melakukannya.

  • Anda dapat menjalankan perintah withdraw-byoip-cidr maksimal sekali setiap 10 detik, meskipun Anda menentukan rentang alamat yang berbeda setiap kali melakukannya.

Untuk mengiklankan rentang alamat, gunakan advertise-byoip-cidrperintah berikut.

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

Untuk berhenti mengiklankan rentang alamat, gunakan withdraw-byoip-cidrperintah berikut.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Mencabut akses rentang alamat

Untuk berhenti menggunakan rentang alamat Anda AWS, pertama-tama lepaskan alamat IP Elastis apa pun dan lepaskan blok CIDR IPv6 yang masih dialokasikan dari kumpulan alamat. Kemudian, hentikan iklan rentang alamat, dan terakhir, cabut akses rentang alamat.

Anda tidak dapat mencabut akses sebagian rentang alamat. Jika Anda ingin menggunakan rentang alamat yang lebih spesifik AWS, hentikan penyediaan seluruh rentang alamat dan berikan rentang alamat yang lebih spesifik.

(IPv4) Untuk melepas setiap alamat IP Elastis, gunakan perintah release-address berikut.

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) Untuk memisahkan blok CIDR IPv6, gunakan perintah berikut. disassociate-vpc-cidr-block

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

Untuk berhenti mengiklankan rentang alamat, gunakan withdraw-byoip-cidrperintah berikut.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Untuk menghentikan rentang alamat, gunakan deprovision-byoip-cidrperintah berikut.

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

Diperlukan waktu hingga satu hari untuk mencabut akses rentang alamat.

Menggunakan rentang alamat Anda

Anda dapat melihat serta menggunakan rentang alamat IPv4 dan IPv6 yang telah Anda sediakan di akun Anda.

Rentang alamat IPv4

Anda dapat membuat alamat IP Elastis dari kumpulan alamat IPv4 dan menggunakannya dengan AWS sumber daya Anda, seperti instans EC2, gateway NAT, dan Network Load Balancer.

Untuk melihat informasi tentang kumpulan alamat IPv4 yang telah Anda sediakan di akun, gunakan perintah 4-pool berikut. describe-public-ipv

aws ec2 describe-public-ipv4-pools --region us-east-1

Untuk membuat alamat IP Elastis dari kumpulan alamat IPv4, gunakan perintah allocate-address. Anda dapat menggunakan opsi --public-ipv4-pool untuk menentukan ID dari kumpulan alamat yang dikembalikan oleh describe-byoip-cidrs. Atau Anda dapat menggunakan opsi --address untuk menentukan alamat dari rentang alamat yang Anda sediakan.

Rentang alamat IPv6

Untuk melihat informasi tentang kumpulan alamat IPv6 berikut ini yang telah Anda sediakan di akun Anda, gunakan perintah describe-ipv6-pools berikut.

aws ec2 describe-ipv6-pools --region us-east-1

Untuk membuat VPC dan menentukan CIDR IPv6 dari kumpulan alamat IPv6, gunakan berikut perintah create-vpc berikut. Untuk mengizinkan Amazon memilih CIDR IPv6 dari kumpulan alamat IPv6, hilangkan opsi --ipv6-cidr-block.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Untuk mengaitkan blok IPv6 CIDR dari kumpulan alamat IPv6 Anda dengan VPC, gunakan perintah berikut. associate-vpc-cidr-block Untuk mengizinkan Amazon memilih CIDR IPv6 dari kumpulan alamat IPv6, hilangkan opsi --ipv6-cidr-block.

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Untuk melihat VPC Anda dan informasi kumpulan alamat IPv6, gunakan perintah describe-vpcs. Untuk melihat informasi tentang blok CIDR IPv6 terkait dari kumpulan alamat IPv6 tertentu, gunakan perintah 6-pool-cidrs berikut. get-associated-ipv

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

Jika Anda memisahkan blok CIDR IPv6 dari VPC Anda, ini akan dilepas kembali ke kumpulan alamat IPv6 Anda.

Validasi BYOIP Anda

  1. Validasi pasangan kunci x.509 yang ditandatangani sendiri

    Validasi bahwa sertifikat telah diunggah dan valid melalui perintah whois.

    Untuk ARIN, gunakan whois -h whois.arin.net r + 2001:0DB8:6172::/48 untuk mencari catatan RDAP untuk rentang alamat Anda. Periksa Public Comments bagian untuk NetRange (rentang jaringan) di output perintah. Sertifikat harus ditambahkan di Public Comments bagian untuk rentang alamat.

    Anda dapat memeriksa sertifikat yang Public Comments berisi menggunakan perintah berikut:

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN

    Ini mengembalikan output dengan isi kunci, yang harus mirip dengan berikut ini:

    Public Comments: -----BEGIN CERTIFICATE----- MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0 NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2 VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9 prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww 3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF 08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35 UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4 ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90 MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----

    Untuk RIPE, gunakan whois -r -h whois.ripe.net 2001:0DB8:7269::/48 untuk mencari catatan RDAP untuk rentang alamat Anda. Periksa bagian descr untuk objek inetnum (rentang jaringan) di output perintah. Sertifikat harus ditambahkan sebagai bidang descr baru untuk rentang alamat.

    Anda dapat memeriksa sertifikat yang descr berisi menggunakan perintah berikut:

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    Ini mengembalikan output dengan isi kunci, yang harus mirip dengan berikut ini:

    descr: -----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8 RDAHSP+I1TowDQYJKoZIhvcNAQELBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAg MCEF1Y2tsYW5kMREwDwYDVQQHDAhBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIF dlYiBTZXJ2aWNlczETMBEGA1UECwwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPS VAgRGVtbzAeFw0yMTEyMDcyMDI0NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNV BAYTAk5aMREwDwYDVQQIDAhBdWNrbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDA aBgNVBAoME0FtYXpvbiBXZWIgU2VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW 8xEzARBgNVBAMMCkJZT0lQIERlbW8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwg gEKAoIBAQCfmacvDp0wZ0ceiXXcR/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanA EskgAseyFypwEEQr4CJijI/5hp9prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3 stsI5QesHVRwOaXUdprAnndaTugmDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq 35wU/x+wXlAqBXg4MZK2KoUu27kYt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp 1ZnVIc7NqnhdeIW48QaYjhMlUEfxdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2r GlHWkJsbhr0VEUyAGu1bwkgcdww3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBS tFyujN6SYBr2glHpGt0XGF7GbGTAfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0 XGF7GbGTAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6Y Lhz521lfyVfxY0t6o3410bQAeAF08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyL xngwMYN0XY5tVhDQqk4/gmDNEKSZy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9 wySL507XQz76Uk5cFypBOzbnk35UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8 mBGqVpPpey+dXpzzzv1iBKN/VY4ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGC vRDl/qdO/GIDJi77dmZWkh/ic90MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoN PyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----

    Untuk APNIC, gunakan whois -h whois.apnic.net 2001:0DB8:6170::/48 untuk mencari catatan RDAP untuk rentang alamat BYOIP Anda. Periksa bagian remarks untuk objek inetnum (rentang jaringan) di output perintah. Sertifikat harus ditambahkan sebagai bidang remarks baru untuk rentang alamat.

    Anda dapat memeriksa sertifikat yang remarks berisi menggunakan perintah berikut:

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    Ini mengembalikan output dengan isi kunci, yang harus mirip dengan berikut ini:

    remarks: -----BEGIN CERTIFICATE----- MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0 NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2 VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9 prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww 3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF 08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35 UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4 ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90 MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----
  2. Validasi pembuatan objek ROA

    Validasi keberhasilan pembuatan objek ROA menggunakan API RIPEstat Data. Pastikan untuk menguji rentang alamat Anda terhadap Amazon ASNs 16509 dan 14618, ditambah ASNs yang saat ini berwenang untuk mengiklankan rentang alamat.

    Anda dapat memeriksa objek ROA dari ASN Amazon yang berbeda dengan rentang alamat Anda dengan menggunakan perintah berikut:

    curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR

    Dalam contoh output ini, respons memiliki hasil "status": "valid" untuk Amazon ASN 16509. Ini menunjukkan objek ROA untuk rentang alamat berhasil dibuat:

    { "messages": [], "see_also": [], "version": "0.3", "data_call_name": "rpki-validation", "data_call_status": "supported", "cached": false, "data": { "validating_roas": [ { "origin": "16509", "prefix": "2001:0DB8::/32", "max_length": 48, "validity": "valid" }, { "origin": "14618", "prefix": "2001:0DB8::/32", "max_length": 48, "validity": "invalid_asn" }, { "origin": "64496", "prefix": "2001:0DB8::/32", "max_length": 48, "validity": "invalid_asn" } ], "status": "valid", "validator": "routinator", "resource": "16509", "prefix": "2001:0DB8::/32" }, "query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f", "process_time": 58, "server_id": "app116", "build_version": "live.2023.2.1.142", "status": "ok", "status_code": 200, "time": "2023-02-24T15:24:30.773654" }

Status “unknown” menunjukkan objek ROA untuk rentang alamat belum dibuat. Status “invalid_asn” menunjukkan bahwa objek ROA untuk rentang alamat tidak berhasil dibuat.

Ketersediaan wilayah

Fitur BYOIP saat ini tersedia di semua Wilayah AWS komersial kecuali untuk Wilayah Tiongkok.

Ketersediaan Local Zone

Zona Lokal adalah perpanjangan dari AWS Wilayah dalam kedekatan geografis dengan pengguna Anda. Local Zones dikelompokkan ke dalam “grup perbatasan jaringan”. Di AWS, grup perbatasan jaringan adalah kumpulan Availability Zones (AZ), Local Zones, atau Wavelength Zones tempat mengiklankan alamat IP publik. AWS Local Zones mungkin memiliki grup perbatasan jaringan yang berbeda dari AZ di suatu AWS Wilayah untuk memastikan latensi minimum atau jarak fisik antara AWS jaringan dan pelanggan yang mengakses sumber daya di Zona ini.

Anda dapat menyediakan rentang alamat BYOIPv4 dan mengiklankannya di grup perbatasan jaringan Local Zone berikut menggunakan opsi --network-border-group:

  • us-east-1-dfw-2

  • us-west-2-lax-1

  • us-west-2-phx-2

Jika Local Zones diaktifkan (lihat Mengaktifkan Local Zone), Anda dapat memilih grup perbatasan jaringan untuk Local Zones saat menyediakan dan mengiklankan CIDR BYOIPv4. Pilih grup perbatasan jaringan dengan hati-hati karena EIP dan AWS sumber daya yang terkait dengannya harus berada di grup perbatasan jaringan yang sama.

catatan

Anda saat ini tidak dapat menyediakan atau mengiklankan rentang alamat BYOIPv6 di Local Zones.

Pelajari selengkapnya

Untuk informasi lebih lanjut, lihat AWS Online Tech talk Deep Dive on Bring Your Own IP.