Utilizzare gli indirizzi IP personali (BYOIP) in Amazon EC2 - Amazon Elastic Compute Cloud
Definizioni BYOIPRequisiti e quotePrerequisiti di onboardingOnboarding del BYOIPUtilizzo dell'intervallo di indirizziConvalida del BYOIPDisponibilità regionaleDisponibilità delle zone localiUlteriori informazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzare gli indirizzi IP personali (BYOIP) in Amazon EC2

Puoi trasferire parte o tutto l'intervallo di indirizzi IPv4 o IPv6 instradabile pubblicamente dalla rete locale al tuo account. AWS Continui a controllare l'intervallo di indirizzi e puoi pubblicizzare l'intervallo di indirizzi su Internet tramite. AWS Dopo aver impostato l'intervallo di indirizzi su AWS, questo viene visualizzato nel tuo AWS account come pool di indirizzi.

Per un elenco di regioni in cui BYOIP è disponibile, consulta la pagina Disponibilità regionale.

Per visualizzare le informazioni BYOIP per le istanze Windows, passare a questa pagina della Guida per l'utente di Amazon EC2 per le istanze Windows: Utilizzare gli indirizzi IP personali (BYOIP) in Amazon EC2.

Nota

Definizioni BYOIP

  • Certificato autofirmato X.509: uno standard di certificato più comunemente usato per crittografare e autenticare i dati all'interno di una rete. È un certificato utilizzato da per AWS convalidare il controllo sullo spazio IP da un record RDAP. Per ulteriori informazioni sui certificati X.509, consulta RFC 3280.

  • Numero di sistema autonomo (ASN): identificatore univoco globale che definisce un gruppo di prefissi IP gestiti da uno o più operatori di rete che mantengono un'unica policy di instradamento chiaramente definita.

  • Registro Internet regionale (RIR): un'organizzazione che gestisce l'allocazione e la registrazione di indirizzi IP e ASN in una regione del mondo.

  • Registry Data Access Protocol (RDAP): un protocollo di sola lettura per interrogare i dati di registrazione correnti all'interno di un RIR. Le voci all'interno del database RIR interrogato vengono denominate "record RDAP". Alcuni tipi di record devono essere aggiornati dai clienti tramite un meccanismo fornito da RIR. Questi record vengono interrogati AWS per verificare il controllo di uno spazio di indirizzi nel RIR.

  • Autorizzazione origine percorso (ROA): un oggetto creato dai RIR per i clienti allo scopo di autenticare la pubblicità IP, in sistemi autonomi particolari. Per una panoramica, consulta Route Origin Authorizations (ROAs) sul sito Web ARIN.

  • Registro Internet locale (LIR): organizzazioni come i provider di servizi Internet che allocano un blocco di indirizzi IP da un RIR per i propri clienti.

Requisiti e quote

  • L'intervallo di indirizzi deve essere registrato nel Regional Internet Registry (RIR). Consulta il tuo RIR per eventuali politiche relative alle aree geografiche. Al momento il BYOIP supporta la registrazione in American Registry for Internet Numbers (ARIN), Réseaux IP Européens Network Coordination Centre (RIPE) o Asia-Pacific Network Information Centre (APNIC). Deve essere registrato in un'entità aziendale o istituzionale e non può essere registrato per una persona fisica.

  • L'intervallo di indirizzi IPv4 più specifico che puoi portare è /24.

  • L'intervallo di indirizzi IPv6 più specifico che puoi fornire è /48 per i CIDR pubblicizzabili pubblicamente e /56 per i CIDR che non lo sono.

  • I ROA non sono richiesti per gli intervalli CIDR che non sono pubblicizzabili pubblicamente, ma i record RDAP devono ancora essere aggiornati.

  • È possibile assegnare ogni intervallo di indirizzi a una regione alla volta. AWS

  • Puoi aggiungere al tuo account un totale di cinque intervalli di indirizzi BYOIP IPv4 e IPv6 per regione. AWS AWS Non è possibile modificare le quote per i CIDR BYOIP utilizzando la console Service Quotas, ma è possibile richiedere un aumento della quota contattando il AWS Support Center come descritto nelle quote di servizio nel.AWSRiferimenti generali di AWS

  • Non puoi condividere il tuo intervallo di indirizzi IP con altri account AWS RAM a meno che non utilizzi Amazon VPC IP Address Manager (IPAM) e integri IPAM con Organizations. AWS Per ulteriori informazioni, consulta Integrate IPAM with AWS Organizations nella Amazon VPC IPAM User Guide.

  • Gli indirizzi nell'intervallo di indirizzi IP deve avere una cronologia pulita. È opportuno esaminare la reputazione dell'intervallo di indirizzi IP e riservarti il diritto di rifiutare un intervallo di indirizzi IP se contiene un indirizzo IP che ha scarsa reputazione o è associato a un comportamento dannoso.

  • Lo spazio di indirizzi legacy, ovvero lo spazio di indirizzi IPv4 distribuito dal registro centrale della Internet Assigned Numbers Authority (IANA) prima della formazione del sistema Regional Internet Registry (RIR), richiede ancora un oggetto ROA corrispondente.

  • Per i LIR, è comune che usino un processo manuale per aggiornare i record. L'implementazione può richiedere giorni, a seconda del LIR.

  • Per un blocco CIDR di grandi dimensioni sono necessari un singolo oggetto ROA e un record RDAP. Puoi trasferire più blocchi CIDR più piccoli da quell'intervallo verso AWS, anche tra più AWS regioni, utilizzando un unico oggetto e record.

  • BYOIP non è supportato per Wavelength Zones o no. AWS Outposts

  • Non apportare modifiche manuali al BYOIP nel RADb o in qualsiasi altro IRR. Il BYOIP aggiornerà automaticamente il RADb. Qualsiasi modifica manuale che includa l'ASN BYOIP causerà un errore nell'operazione di provisioning del BYOIP.

  • Una volta impostato un intervallo di indirizzi IPv4 AWS, è possibile utilizzare tutti gli indirizzi IP dell'intervallo, incluso il primo indirizzo (l'indirizzo di rete) e l'ultimo indirizzo (l'indirizzo di trasmissione).

Prerequisiti di onboarding per l'intervallo di indirizzi BYOIP

Il processo di onboarding per BYOIP prevede due fasi, per le quali è necessario eseguire tre passaggi. Questi passaggi corrispondono ai passaggi descritti nel diagramma seguente. In questa documentazione sono inclusi i passaggi manuali; tuttavia, per aiutarti a eseguire questi passaggi, è possibile che il tuo RIR offra servizi gestiti.

Fase di preparazione

1. Crea una chiave privata e utilizzala per generare un certificato X.509 autofirmato a scopo di autenticazione. Questo certificato viene utilizzato solo durante la fase di provisioning.

Fase di configurazione RIR

2. Carica il certificato autofirmato nei commenti dei record RDAP.

3. Creazione di un oggetto ROA nel RIR. Il ROA definisce l'intervallo di indirizzi desiderato, i numeri ASN (Autonomous System Number) (ASN) autorizzati a pubblicizzare l'intervallo di indirizzi e una data di scadenza da registrare con l'RPKI (Resource Public Key Infrastructure) del tuo RIR.

Nota

Non è richiesto un ROA per lo spazio di indirizzi IPv6 non pubblicizzabile pubblicamente.

Il processo di onboarding in 3 fasi per BYOIP.

Per attivare più intervalli di indirizzi non contigui, devi ripetere questo processo con ogni intervallo di indirizzi. Tuttavia, non è necessario ripetere i passaggi di preparazione e configurazione RIR se si divide un blocco contiguo in diverse regioni. AWS

L'attivazione di un intervallo di indirizzi non ha alcun effetto sugli intervalli di indirizzi attivati in precedenza.

Importante

Prima di effettuare l'onboarding dell'intervallo di indirizzi, completa i prerequisiti seguenti. Le attività in questa sezione richiedono un terminale Linux e possono essere eseguite utilizzando Linux AWS CloudShell, o il sottosistema Windows per Linux.

1. Crea una chiave privata e genera un certificato X.509

Utilizza la seguente procedura per creare un certificato autofirmato X.509 e aggiungerlo al record RDAP per il RIR. Questa coppia di chiavi viene utilizzata per autenticare l'intervallo di indirizzi con il RIR. I comandi openssl richiedono OpenSSL versione 1.0.2 o successive.

Copia i comandi seguenti e sostituisci solo i valori segnaposto (testo in corsivo colorato).

Questa procedura segue le best practice per crittografare la chiave RSA privata e richiedere una passphrase per accedervi.

  1. Genera una chiave privata RSA a 2048 bit come segue.

    $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

    Il parametro -aes256 specifica l'algoritmo utilizzato per crittografare la chiave privata. Il comando restituisce l'output seguente, inclusi i prompt per impostare una passphrase:

    ......+++
.+++
Enter PEM pass phrase: xxxxxxx
Verifying - Enter PEM pass phrase: xxxxxxx

    Puoi scaricare la chiave pubblica utilizzando il comando seguente:

    $ openssl pkey -in private-key.pem -text

    Questo restituisce un prompt della passphrase e il contenuto della chiave, che deve essere simile al seguente:

    Enter pass phrase for private-key.pem: xxxxxxx
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
Private-Key: (2048 bit)
modulus:
    00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72:
    2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b:
    85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08:
    79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec:
    33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8:
    40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f:
    4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2:
    5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63:
    d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b:
    dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13:
    17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7:
    f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd:
    a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af:
    8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e:
    8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2:
    f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8:
    f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56:
    e0:cb
publicExponent: 65537 (0x10001)
privateExponent:
    0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37:
    65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1:
    76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f:
    50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70:
    5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38:
    ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0:
    74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d:
    ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72:
    54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc:
    c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2:
    01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16:
    28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63:
    cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03:
    4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4:
    e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0:
    cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71:
    9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5:
    b9
prime1:
    00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25:
    02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c:
    bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b:
    c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9:
    78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38:
    d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e:
    62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83:
    56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17:
    bd:5c:fa:a6:b3:b4:7e:cf:47
prime2:
    00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a:
    31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06:
    ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93:
    06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d:
    dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8:
    61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06:
    88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2:
    84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2:
    38:eb:2e:96:87:35:9f:cc:5d
exponent1:
    00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf:
    26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d:
    e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35:
    9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d:
    ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7:
    f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59:
    6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05:
    d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6:
    52:2d:bb:c6:81:ac:c9:dd:9d
exponent2:
    00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec:
    31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76:
    74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71:
    ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43:
    76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad:
    2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20:
    e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0:
    47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd:
    06:57:6d:67:48:85:8c:88:dd
coefficient:
    3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd:
    6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1:
    93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32:
    14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9:
    61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23:
    ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55:
    4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34:
    ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f:
    9a:77:5a:e5:87:d5:4f:01

    Custodisci la tua chiave privata in un luogo sicuro quando non è in uso.

  2. Genera un certificato X.509 utilizzando la chiave privata creata nel passaggio precedente. In questo esempio, il certificato scade tra 365 giorni; dopo tale data diventa inaffidabile. Assicurarsi di impostare la scadenza in modo appropriato. Il certificato deve essere valido solo per la durata del processo di fornitura. È possibile rimuovere il certificato dal record del RIR dopo il completamento del provisioning. Il comando tr -d "\n" rimuove i caratteri di nuova riga (interruzioni di riga) dall'output. Quando richiesto, è necessario fornire un nome comune, ma gli altri campi possono essere lasciati vuoti.

    $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

    Viene restituito un output simile al seguente:

    Enter pass phrase for private-key.pem: xxxxxxx
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:example.com
Email Address []:
    Nota

    Il nome comune non è necessario per AWS il provisioning. Può essere qualsiasi nome di dominio interno o pubblico.

    Puoi verificare il certificato utilizzando il comando seguente:

    $ cat certificate.pem

    L'output dovrebbe essere una stringa lunga con codifica PEM senza interruzioni di riga, preceduta da -----BEGIN CERTIFICATE----- e seguita da -----END CERTIFICATE-----.

2. Carica il certificato X.509 nel record RDAP nel RIR

Aggiungere il certificato creato in precedenza al record RDAP per il RIR. Assicurati di includere le stringhe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- prima e dopo la porzione codificata. Tutto questo contenuto deve trovarsi su un'unica linea lunga. La procedura per l'aggiornamento di RDAP dipende dal RIR:

  • Per ARIN, utilizza il portale Account Manager per aggiungere il certificato nella sezione "Commenti pubblici" per l'oggetto "Informazioni di rete" che rappresenta l'intervallo di indirizzi. Non aggiungerlo alla sezione commenti dell'organizzazione.

  • Per RIPE, aggiungi il certificato come nuovo campo "descr" all'oggetto "inetnum" o "inet6num" che rappresenta il tuo intervallo di indirizzi. Di solito si trovano nella sezione "Le mie risorse" del portale del database RIPE. Non aggiungerlo alla sezione commenti della tua organizzazione o al campo "commenti" degli oggetti sopra indicati.

  • Per APNIC, inviare per email il certificato a helpdesk@apnic.net per aggiungerlo manualmente al campo "osservazioni" per l'intervallo di indirizzi. Inviare l'e-mail utilizzando il contatto autorizzato APNIC per gli indirizzi IP.

Puoi rimuovere il certificato dal record dei Registri Internet Regional (RIR) dopo aver completato la fase di provisioning riportata di seguito.

3. Creazione di un oggetto ROA nel RIR

Crea un oggetto ROA per autorizzare Amazon ASN 16509 e 14618 a pubblicizzare l'intervallo di indirizzi, così come gli ASN che sono attualmente autorizzati a pubblicizzare l'intervallo di indirizzi. Per il AWS GovCloud (US) Regions, autorizza ASN 8987 anziché 16509 e 14618. È necessario impostare la lunghezza massima alle dimensioni del CIDR che si desidera importare. Il prefisso IPv4 più specifico che puoi importare è /24. L'intervallo di indirizzi IPv6 più specifico che puoi portare è /48 per i CIDR pubblicizzabili pubblicamente e /56 per i CIDR non pubblicizzabili pubblicamente.

Importante

Quando crei un oggetto ROA per Amazon VPC IP Address Manager (IPAM), per i CIDR IPv4 devi impostare la lunghezza massima di un prefisso di indirizzo IP su /24. Per i CIDR IPv6, se vengono aggiunti a un pool pubblicizzabile, la lunghezza massima di un prefisso dell'indirizzo IP deve essere /48. Ciò garantisce la massima flessibilità per dividere l'indirizzo IP pubblico tra le regioni. AWS IPAM applica la lunghezza massima impostata. Per ulteriori informazioni sugli indirizzi BYOIP su IPAM, consulta il Tutorial: portare i CIDR di indirizzi BYOIP su IPAM nella Guida per l'utente di IPAM di Amazon VPC.

Potrebbe essere necessarie fino a 24 ore prima che il ROA diventi disponibile su Amazon. Per ulteriori informazioni, consulta il tuo RIR:

Quando esegui la migrazione degli annunci pubblicitari da un carico di lavoro locale a AWS, devi creare un ROA per il tuo ASN esistente prima di creare il RoAS per gli ASN di Amazon. In caso contrario, potresti avere un impatto sul routing e sugli annunci pubblicitari esistenti.

Importante

Affinché Amazon possa pubblicizzare e continuare a pubblicizzare il tuo intervallo di indirizzi IP, i ROA per gli ASN di Amazon devono essere conformi alle precedenti linee guida. Se i tuoi RoAS non sono validi o non sono conformi alle linee guida di cui sopra, Amazon si riserva il diritto di smettere di pubblicizzare il tuo intervallo di indirizzi IP.

Nota

Questo passaggio non è richiesto per lo spazio di indirizzi IPv6 non pubblicizzabile pubblicamente.

Onboarding del BYOIP

Il processo di onboarding per BYOIP prevede le attività seguenti, a seconda delle esigenze:

Effettuare il provisioning di un intervallo di indirizzi pubblicizzabile pubblicamente in AWS

Quando fornisci un intervallo di indirizzi da utilizzare AWS, confermi di controllare l'intervallo di indirizzi e autorizzi Amazon a pubblicizzarlo. Verifichiamo inoltre che tu abbia il controllo dell'intervallo di indirizzi tramite un messaggio di autorizzazione firmato. Questo messaggio è firmato con la coppia di chiavi X.509 autofirmata utilizzata per aggiornare il record RDAP con il certificato X.509. AWS richiede un messaggio di autorizzazione firmato crittograficamente da presentare al RIR. Il RIR autentica la firma basandosi sul certificato aggiunto a RDAP e controlla i dettagli dell'autorizzazione rispetto al ROA.

Eseguire il provisioning dell'intervallo di indirizzi
  1. Composizione di un messaggio

    Comporre il messaggio di autorizzazione in testo normale. Il formato del messaggio è il seguente, in cui la data è la data di scadenza del messaggio: 

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    Sostituire il numero di account, l'intervallo di indirizzi e la data di scadenza con i valori desiderati per creare un messaggio analogo al seguente:

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    Questo non deve essere confuso con un messaggio ROA, che ha un aspetto simile.

  2. Firma di messaggi

    Firmare il messaggio di testo normale utilizzando la chiave privata creata in precedenza. La firma restituita da questo comando è una stringa lunga che sarà necessario utilizzare nel passaggio successivo.

    Importante

    Si consiglia di copiare e incollare questo comando. Ad eccezione del contenuto del messaggio, non modificare o sostituire nessuno dei valori.

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. Provisioning dell'indirizzo

    Utilizzate il AWS CLI provision-byoip-cidrcomando per fornire l'intervallo di indirizzi. L'opzione --cidr-authorization-context utilizza le stringhe di messaggio e firma create in precedenza.

    Importante

    È necessario specificare la AWS regione in cui deve essere fornito l'intervallo BYOIP se diverso dalla configurazione in uso.AWS CLI Default region name

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    Il provisioning di un intervallo di indirizzi è un'operazione asincrona, perciò la chiamata ritorna immediatamente, mentre l'intervallo di indirizzi non è pronto per l'utilizzo finché lo stato non passa da pending-provision a provisioned.

  4. Monitoraggio dell'avanzamento

    Sebbene la maggior parte del provisioning venga completata entro due ore, potrebbe essere necessaria fino a una settimana per completare il processo di provisioning per gli intervalli pubblicizzabili pubblicamente. Utilizzate il describe-byoip-cidrscomando per monitorare l'avanzamento, come in questo esempio:

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    Se si verificano problemi durante il provisioning e lo stato passa a failed-provision, eseguire nuovamente il comando provision-byoip-cidr dopo che i problemi sono stati risolti.

Effettuare il provisioning di un intervallo di indirizzi IPv6 non pubblicizzabile pubblicamente

Per impostazione predefinita, viene eseguito il provisioning di un intervallo di indirizzi affinché sia pubblicizzabile pubblicamente su Internet. Puoi eseguire il provisioning di un intervallo di indirizzi IPv6 che non sarà pubblicizzabile pubblicamente. Per le route che non sono pubblicamente pubblicizzabili, il processo di provisioning viene generalmente completato in pochi minuti. Quando associ un blocco CIDR IPv6 da un intervallo di indirizzi non pubblici a un VPC, puoi accedere al CIDR IPv6 solo tramite opzioni di connettività ibride che supportano IPv6, ad esempio AWS Direct Connect, AWS Site-to-Site VPN, oppure Gateway di transito Amazon VPC.

Non è richiesto un ROA per effettuare il provisioning di un intervallo di indirizzi non pubblici.

Importante

  • Puoi specificare solo se un intervallo di indirizzi sarà pubblicizzabile pubblicamente durante il provisioning. Non puoi modificare lo stato pubblicizzabile in un secondo momento.

  • Amazon VPC non supporta i CIDR con indirizzo locale univoco (ULA). Tutti VPC devono avere CIDR IPv6 univoci. Due VPC non possono avere lo stesso intervallo CIDR IPv6.

Per fornire un intervallo di indirizzi IPv6 che non sarà pubblicizzabile pubblicamente, usa il comando seguente. provision-byoip-cidr

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

Pubblicizza l'intervallo di indirizzi tramite AWS

Dopo aver eseguito il provisioning, l'intervallo di indirizzi è pronto per essere pubblicizzato. Deve essere pubblicizzato l'intervallo di indirizzi esatto oggetto del provisioning. Non può essere pubblicizzata solo una parte dell'intervallo di indirizzi oggetto del provisioning.

Se hai eseguito il provisioning di un intervallo di indirizzi IPv6 che non verrà pubblicizzato pubblicamente, non è necessario completare questa fase.

Ti consigliamo di smettere di pubblicizzare l'intervallo di indirizzi da altre località prima di pubblicizzarlo. AWS Se si continua a pubblicizzare l'intervallo di indirizzi IP da altri percorsi, non possiamo sostenere l'operazione in modo affidabile e risolvere eventuali problemi. Nello specifico, non siamo in grado di garantire che il traffico verso l'intervallo di indirizzi entrerà nella tua rete.

Per ridurre al minimo i tempi di inattività, puoi configurare AWS le tue risorse in modo da utilizzare un indirizzo presente nel tuo pool di indirizzi prima che venga pubblicizzato, quindi contemporaneamente smettere di pubblicizzarlo dalla posizione corrente e iniziare a pubblicizzarlo. AWS Per ulteriori informazioni sull'allocazione di un indirizzo IP elastico da un pool di indirizzi, consulta Allocare un indirizzo IP elastico.

Limitazioni

  • È possibile eseguire il comando advertise-byoip-cidr al massimo una volta ogni 10 secondi, anche se è necessario specificare ogni volta i diversi intervalli di indirizzi.

  • È possibile eseguire il comando withdraw-byoip-cidr al massimo una volta ogni 10 secondi, anche se è necessario specificare i diversi intervalli di indirizzi ogni volta.

Per pubblicizzare l'intervallo di indirizzi, utilizzate il comando seguente advertise-byoip-cidr.

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

Per interrompere la pubblicità dell'intervallo di indirizzi, usa il seguente withdraw-byoip-cidrcomando.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Annullamento del provisioning dell'intervallo di indirizzi

Per smettere di utilizzare il tuo intervallo di indirizzi con AWS, rilascia innanzitutto tutti gli indirizzi IP elastici e dissocia i blocchi CIDR IPv6 che sono ancora allocati dal pool di indirizzi. Quindi interrompi la pubblicità dell'intervallo di indirizzi e, infine, annulla il provisioning dell'intervallo di indirizzi.

Non puoi annullare il provisioning di una parte dell'intervallo di indirizzi. Se desideri utilizzare un intervallo di indirizzi più specifico con AWS, elimina il provisioning dell'intero intervallo di indirizzi e fornisci un intervallo di indirizzi più specifico.

(IPv4) Per rilasciare ciascun indirizzo IP elastico, utilizza il seguente comando release-address.

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) Per dissociare un blocco CIDR IPv6, utilizzate il seguente comando. disassociate-vpc-cidr-block

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

Per interrompere la pubblicità dell'intervallo di indirizzi, utilizzate il seguente comando. withdraw-byoip-cidr

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Per eliminare il provisioning dell'intervallo di indirizzi, utilizzate il deprovision-byoip-cidrcomando seguente.

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

L'annullamento del provisioning di un intervallo di indirizzi può richiedere fino a un giorno.

Utilizzo dell'intervallo di indirizzi

Puoi visualizzare e utilizzare gli intervalli di indirizzi IPv4 e IPv6 di cui hai effettuato il provisioning nell'account.

Intervalli di indirizzi IPv4

Puoi creare un indirizzo IP elastico dal tuo pool di indirizzi IPv4 e utilizzarlo con AWS le tue risorse, come istanze EC2, gateway NAT e Network Load Balancer.

Per visualizzare le informazioni sui pool di indirizzi IPv4 di cui hai effettuato il provisioning nel tuo account, usa il seguente comando 4-pools. describe-public-ipv

aws ec2 describe-public-ipv4-pools --region us-east-1

Per creare un indirizzo IP elastico dal pool di indirizzi IPv4, utilizza il comando allocate-address. Puoi utilizzare l'opzione --public-ipv4-pool per specificare l'ID del pool di indirizzi restituito da describe-byoip-cidrs. Oppure, puoi utilizzare l'opzione --address per specificare un indirizzo dall'intervallo di indirizzi di cui è stato effettuato il provisioning.

Intervalli di indirizzi IPv6

Per visualizzare informazioni sui pool di indirizzi IPv6 di cui hai effettuato il provisioning nell'account, utilizza il comando describe-ipv6-pools riportato di seguito.

aws ec2 describe-ipv6-pools --region us-east-1

Per creare un VPC e specificare un blocco CIDR IPv6 dal pool di indirizzi IPv6, utilizza il seguente comando create-vpc. Per consentire ad Amazon di scegliere il blocco CIDR IPv6 dal pool di indirizzi IPv6, ometti l'opzione --ipv6-cidr-block.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Per associare un blocco CIDR IPv6 dal tuo pool di indirizzi IPv6 a un VPC, usa il seguente comando. associate-vpc-cidr-block Per consentire ad Amazon di scegliere il blocco CIDR IPv6 dal pool di indirizzi IPv6, ometti l'opzione --ipv6-cidr-block.

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Per visualizzare i VPC e le informazioni relative al pool di indirizzi IPv6 associato, utilizza il comando describe-vpcs. Per visualizzare informazioni sui blocchi CIDR IPv6 associati da uno specifico pool di indirizzi IPv6, utilizzare il seguente comando 6-pool-cidrs. get-associated-ipv

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

Se annulli l'associazione del blocco CIDR IPv6 dal VPC, viene rilasciato nuovamente nel pool di indirizzi IPv6.

Convalida del BYOIP

  1. Convalida della coppia di chiavi x.509 autofirmata

    Verifica che il certificato sia stato caricato e sia valido tramite il comando whois.

    Per ARIN, usa whois -h whois.arin.net r + 2001:0DB8:6172::/48 per cercare il record RDAP dell'intervallo di indirizzi. Controlla la sezione Public Comments per verificare NetRange (intervallo di rete) nell'output del comando. Il certificato deve essere aggiunto nella sezione Public Comments dell'intervallo di indirizzi.

    Puoi esaminare i Public Comments contenenti il certificato usando il comando seguente:

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN

    Questo restituisce un output con il contenuto della chiave, che deve essere simile al seguente:

    Public Comments:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Per RIPE, usa whois -r -h whois.ripe.net 2001:0DB8:7269::/48 per cercare il record RDAP dell'intervallo di indirizzi. Controlla la sezione descr per esaminare l'oggetto inetnum (intervallo di rete) nell'output del comando. Il certificato deve essere aggiunto come nuovo campo descr dell'intervallo di indirizzi.

    Puoi esaminare i descr contenenti il certificato usando il comando seguente:

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    Questo restituisce un output con il contenuto della chiave, che deve essere simile al seguente:

    descr:
-----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8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-----END CERTIFICATE-----

    Per APNIC, usa whois -h whois.apnic.net 2001:0DB8:6170::/48 per cercare il record RDAP dell'intervallo di indirizzi BYOIP. Controlla la sezione remarks per esaminare l'oggetto inetnum (intervallo di rete) nell'output del comando. Il certificato deve essere aggiunto come nuovo campo remarks dell'intervallo di indirizzi.

    Puoi esaminare i remarks contenenti il certificato usando il comando seguente:

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    Questo restituisce un output con il contenuto della chiave, che deve essere simile al seguente:

    remarks:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

  2. Convalida della creazione di un oggetto ROA

    Convalida la corretta creazione degli oggetti ROA utilizzando l'API dati RIPEstat. Assicurati di testare l'intervallo di indirizzi rispetto agli ASN Amazon 16509 e 14618, oltre agli ASN attualmente autorizzati a pubblicizzare l'intervallo di indirizzi.

    Puoi ispezionare gli oggetti ROA da diversi ASN Amazon con il tuo intervallo di indirizzi usando il comando seguente:

    curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR

    In questo output di esempio, la risposta ha il risultato di "status": "valid" per l'ASN Amazon 16509. Indica che l'oggetto ROA dell'intervallo di indirizzi è stato creato correttamente:

    {
    "messages": [],
    "see_also": [],
    "version": "0.3",
    "data_call_name": "rpki-validation",
    "data_call_status": "supported",
    "cached": false,
    "data": {
        "validating_roas": [
            {
                "origin": "16509",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "valid"
            },
            {
                "origin": "14618",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            },
            {
                "origin": "64496",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            }
        ],
        "status": "valid",
        "validator": "routinator",
        "resource": "16509",
        "prefix": "2001:0DB8::/32"
    },
    "query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f",
    "process_time": 58,
    "server_id": "app116",
    "build_version": "live.2023.2.1.142",
    "status": "ok",
    "status_code": 200,
    "time": "2023-02-24T15:24:30.773654"
}

Lo stato “unknown” indica che l'oggetto ROA dell'intervallo di indirizzi non è stato creato. Lo stato “invalid_asn” indica che l'oggetto ROA dell'intervallo di indirizzi non è stato creato correttamente.

Disponibilità regionale

La funzionalità BYOIP è attualmente disponibile in tutte le regioni AWS commerciali ad eccezione delle regioni cinesi.

Disponibilità delle zone locali

Una zona locale è un'estensione di una regione situata in prossimità geografica degli utenti. AWS Le zone locali sono raggruppate in "gruppi di confini di rete". In AWS, un gruppo di confine di rete è una raccolta di Availability Zones (AZ), Local Zones o Wavelength Zones da AWS cui pubblicizza un indirizzo IP pubblico. Le Local Zone possono avere gruppi di confine di rete diversi rispetto alle AZ di una AWS regione per garantire una latenza o una distanza fisica minima tra la AWS rete e i clienti che accedono alle risorse in queste Zone.

Puoi eseguire il provisioning di intervalli di indirizzi BYOIPv4 e pubblicizzarli nei seguenti gruppi di confini di rete di zone locali utilizzando l'opzione --network-border-group:

  • us-east-1-dfw-2

  • us-west-2-lax-1

  • us-west-2-phx-2

Se hai abilitato delle zone locali (consulta Enable a Local Zone), puoi scegliere un gruppo di confine di rete per le zone locali quando effettui il provisioning e pubblicizzi un CIDR BYOIPv4. Scegliete con attenzione il gruppo di confine della rete poiché l'EIP e la AWS risorsa a cui è associata devono risiedere nello stesso gruppo di confini di rete.

Nota

Al momento non è possibile effettuare il provisioning o pubblicizzare intervalli di indirizzi BYOIPv6 nelle zone locali.

Ulteriori informazioni

Per ulteriori informazioni, consulta l' AWS Online Tech talk Deep Dive on Bring Your Own IP.