Tutorial: Bawa ASN Anda ke IPAM - Amazon Virtual Private Cloud
Prasyarat orientasi untuk ASN AndaLangkah-langkah tutorial

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Bawa ASN Anda ke IPAM

Jika aplikasi Anda menggunakan alamat IP tepercaya dan Nomor Sistem Otonom (ASN) yang diizinkan oleh mitra atau pelanggan Anda yang terdaftar di jaringan mereka, Anda dapat menjalankan aplikasi ini AWS tanpa mengharuskan mitra atau pelanggan Anda untuk mengubah daftar izin mereka.

Autonomous System Number (ASN) adalah nomor unik global yang memungkinkan sekelompok jaringan diidentifikasi melalui internet dan bertukar data routing dengan jaringan lain secara dinamis menggunakan Border Gateway Protocol. Penyedia layanan Internet (ISP), misalnya, menggunakan ASN untuk mengidentifikasi sumber lalu lintas jaringan. Tidak semua organisasi membeli ASN mereka sendiri, tetapi untuk organisasi yang melakukannya, mereka dapat membawa ASN mereka. AWS

Bawa nomor sistem otonom Anda sendiri (BYOASN) memungkinkan Anda untuk mengiklankan alamat IP yang Anda bawa AWS dengan ASN publik Anda sendiri alih-alih ASN. AWS Saat Anda menggunakan BYOASN, lalu lintas yang berasal dari alamat IP Anda membawa ASN Anda alih-alih AWS ASN, dan beban kerja Anda dapat dijangkau oleh pelanggan atau mitra yang telah mengizinkan lalu lintas terdaftar berdasarkan alamat IP dan ASN Anda.

penting

  • Lengkapi tutorial ini menggunakan akun admin IPAM di Region rumah IPAM Anda.

  • Tutorial ini mengasumsikan Anda memiliki ASN publik yang ingin Anda bawa ke IPAM dan bahwa Anda telah membawa BYOIP CIDR dan menyediakannya ke kolam di AWS ruang lingkup publik Anda. Anda dapat membawa ASN ke IPAM kapan saja, tetapi untuk menggunakannya, Anda harus mengaitkan dengan CIDR yang telah Anda bawa ke akun Anda. AWS Tutorial ini mengasumsikan bahwa Anda telah melakukan itu. Untuk informasi selengkapnya, lihat Tutorial: Bawa alamat IP Anda ke IPAM.

  • Anda dapat mengubah antara iklan Anda ASN Anda sendiri atau AWS ASN tanpa penundaan, tetapi Anda terbatas untuk mengubah dari ASN ke AWS ASN Anda sendiri sekali per jam.

  • Jika BYOIP CIDR Anda saat ini diiklankan, Anda tidak perlu menariknya dari iklan untuk dikaitkan dengan ASN Anda.

Prasyarat orientasi untuk ASN Anda

Anda akan memerlukan yang berikut untuk menyelesaikan tutorial ini:

  • ASN 2-byte atau 4-byte publik Anda.

  • Jika Anda sudah membawa rentang alamat IP ke AWS withTutorial: Bawa alamat IP Anda ke IPAM, Anda memerlukan rentang CIDR alamat IP. Anda juga memerlukan kunci pribadi. Anda dapat menggunakan kunci pribadi yang Anda buat saat membawa rentang CIDR alamat IP AWS atau Anda dapat membuat kunci pribadi baru seperti yang dijelaskan dalam Buat kunci pribadi dan buat sertifikat X.509 di Panduan Pengguna EC2.

  • Saat Anda membawa rentang alamat IP ke AWS withTutorial: Bawa alamat IP Anda ke IPAM, Anda membuat sertifikat X.509 dan mengunggah sertifikat X.509 ke catatan RDAP di RIR Anda. Anda harus mengunggah sertifikat yang sama yang Anda buat ke catatan RDAP di RIR Anda untuk ASN. Pastikan untuk memasukkan string -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE----- sebelum dan sesudah bagian yang dikodekan. Semua konten ini harus dalam satu baris panjang. Prosedur untuk memperbarui RDAP tergantung pada RIR Anda:

    • Untuk ARIN, gunakan portal Manajer Akun untuk menambahkan sertifikat di bagian “Komentar Publik” untuk objek “Informasi Jaringan” yang mewakili ASN Anda dengan menggunakan opsi “Ubah ASN”. Jangan menambahkannya ke bagian komentar untuk organisasi Anda.

    • Untuk RIPE, tambahkan sertifikat sebagai bidang “descr” baru ke objek “aut-num” yang mewakili ASN Anda. Ini biasanya dapat ditemukan di bagian “Sumber Daya Saya” dari

      Portal Database RIPE. Jangan menambahkannya ke bagian komentar untuk organisasi Anda atau bidang “komentar” dari objek “aut-num”.

    • Untuk APNIC, kirim email sertifikat ke helpdesk@apnic.net untuk menambahkannya secara manual ke bidang “komentar” untuk ASN Anda. Kirim email menggunakan kontak resmi APNIC untuk ASN.

Langkah-langkah tutorial

Selesaikan langkah-langkah di bawah ini menggunakan AWS konsol atau AWS CLI.

AWS Management Console

  1. Buka konsol IPAM di https://console.aws.amazon.com/ipam/.

  2. Di panel navigasi kiri, pilih iPAMS.

  3. Pilih IPAM Anda.

  4. Pilih tab ByoAsns dan pilih Provision ByoAsns.

  5. Masukkan ASN. Akibatnya, bidang Pesan secara otomatis diisi dengan pesan yang Anda perlukan untuk masuk pada langkah berikutnya.

    • Format pesan adalah sebagai berikut, di mana AKUN adalah nomor AWS akun Anda, ASN adalah ASN yang Anda bawa ke IPAM, dan YYYYMMDD adalah tanggal kedaluwarsa pesan (yang default ke hari terakhir bulan berikutnya). Contoh:

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Salin pesan dan ganti tanggal kedaluwarsa dengan nilai Anda sendiri jika Anda mau.

  7. Tanda tangani pesan menggunakan kunci pribadi. Contoh:

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. Di bawah Tanda Tangan, masukkan tanda tangan.

  9. (Opsional) Untuk menyediakan ASN lain, pilih Ketentuan ASN lain. Anda dapat menyediakan hingga 5 ASN. Untuk meningkatkan kuota ini, lihatKuota untuk IPAM Anda.

  10. Pilih Ketentuan.

  11. Lihat proses penyediaan di tab ByoAsns. Tunggu Negara berubah dari Pending-provisioned menjadi Provisioned. BYOASNS dalam status Failed-provision secara otomatis dihapus setelah 7 hari. Setelah ASN berhasil disediakan, Anda dapat mengaitkannya dengan BYOIP CIDR.

  12. Di panel navigasi kiri, pilih Pools.

  13. Pilih ruang lingkup publik Anda. Untuk informasi lebih lanjut tentang cakupan, lihatCara kerja IPAM.

  14. Pilih kolam regional yang memiliki BYOIP CIDR yang disediakan untuknya. Pool harus memiliki Service yang disetel ke EC2 dan harus memiliki lokal yang dipilih.

  15. Pilih tab CIDR dan pilih CIDR BYOIP.

  16. Pilih Tindakan > Kelola asosiasi BYOASN.

  17. Di bawah Associated BYOASNS, pilih ASN yang Anda bawa. AWS Jika Anda memiliki beberapa ASN, Anda dapat mengaitkan beberapa ASN ke BYOIP CIDR. Anda dapat mengaitkan ASN sebanyak yang dapat Anda bawa ke IPAM. Perhatikan bahwa Anda dapat membawa hingga 5 ASN ke IPAM secara default. Untuk informasi selengkapnya, lihat Kuota untuk IPAM Anda.

  18. Pilih Kaitkan.

  19. Tunggu asosiasi ASN selesai. Setelah ASN berhasil dikaitkan dengan BYOIP CIDR, Anda dapat mengiklankan BYOIP CIDR lagi.

  20. Pilih tab CIDR kolam.

  21. Pilih CIDR BYOIP dan pilih Actions > Advertise. Akibatnya, opsi ASN Anda ditampilkan: Amazon ASN dan ASN apa pun yang Anda bawa ke IPAM.

  22. Pilih ASN yang Anda bawa ke IPAM dan pilih Iklan CIDR. Akibatnya, CIDR BYOIP diiklankan dan nilai di kolom Iklan berubah dari Ditarik ke Iklan. Kolom Autonomous System Number menampilkan ASN yang terkait dengan CIDR.

  23. (opsional) Jika Anda memutuskan ingin mengubah asosiasi ASN kembali ke Amazon ASN, pilih CIDR BYOIP dan pilih Tindakan > Beriklan lagi. Kali ini, pilih Amazon ASN. Anda dapat menukar kembali ke Amazon ASN kapan saja, tetapi Anda hanya dapat mengubah ke ASN khusus setiap jam sekali.

Tutorialnya selesai.

Pembersihan

  1. Putuskan ASN dari BYOIP CIDR

    • Untuk menarik BYOIP CIDR dari iklan, di kolam Anda di ruang lingkup publik, pilih CIDR BYOIP dan pilih Tindakan > Penarikan dari iklan.

    • Untuk memisahkan ASN dari CIDR, pilih Tindakan > Kelola asosiasi BYOASN.

  2. Penundaan ASN

    • Untuk menghentikan ASN, di tab ByoAsns, pilih ASN dan pilih Deprovision ASN. Akibatnya, ASN dibatalkan. ByoAsns dalam keadaan Deprovisioned secara otomatis dihapus setelah 7 hari.

Pembersihan selesai.

Command line

  1. Menyediakan ASN Anda dengan menyertakan ASN dan pesan otorisasi Anda. Tanda tangan adalah pesan yang ditandatangani dengan kunci pribadi Anda.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Jelaskan ASN Anda untuk melacak proses penyediaan. Jika permintaan berhasil, Anda akan melihat ProvisionStatusset ke provisioned setelah beberapa menit.

    aws ec2 describe-ipam-byoasn

  3. Kaitkan ASN Anda dengan BYOIP CIDR Anda. ASN kustom apa pun yang ingin Anda iklankan harus terlebih dahulu dikaitkan dengan CIDR Anda.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Jelaskan CIDR Anda untuk melacak proses asosiasi.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Iklankan CIDR Anda dengan ASN Anda. Jika CIDR sudah diiklankan, ini akan menukar ASN asal dari Amazon ke milik Anda.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Jelaskan CIDR Anda untuk melihat perubahan status ASN dari terkait ke yang diiklankan.

    aws ec2 describe-byoip-cidrs --max-results 10

Tutorialnya selesai.

Pembersihan

  1. Lakukan salah satu hal berikut ini:

    • Untuk menarik hanya iklan ASN Anda dan kembali menggunakan ASN Amazon sambil tetap mengiklankan CIDR, Anda harus menelepon advertise-byoip-cidr dengan AWS nilai khusus untuk parameter asn. Anda dapat menukar kembali ke Amazon ASN kapan saja, tetapi Anda hanya dapat mengubah ke ASN khusus setiap jam sekali.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Untuk menarik iklan CIDR dan ASN Anda secara bersamaan, Anda dapat menelepon. withdraw-byoip-cidr

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Untuk membersihkan ASN Anda, Anda harus terlebih dahulu memisahkannya dari BYOIP CIDR Anda.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Setelah ASN Anda dipisahkan dari semua CIDR BYOIP yang Anda kaitkan, Anda dapat membatasinya.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. BYOIP CIDR juga dapat dideprovisioned setelah semua asosiasi ASN dihapus.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Konfirmasikan deprovisioning.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Pembersihan selesai.