Tutorial: Porta il tuo ASN in IPAM - Amazon Virtual Private Cloud
Prerequisiti di onboarding per l'ASNPassaggi del tutorial

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: Porta il tuo ASN in IPAM

Se le tue applicazioni utilizzano indirizzi IP affidabili e numeri di sistema autonomi (ASN) consentiti dai tuoi partner o clienti elencati nella loro rete, puoi eseguire queste applicazioni AWS senza richiedere ai tuoi partner o clienti di modificare i loro elenchi di autorizzazioni.

Un Numero di sistema autonomo (ASN) è un numero unico a livello globale che consente l’identificazione di un gruppo di reti su Internet e lo scambio di dati di routing con altre reti in maniera dinamica tramite Border Gateway Protocol. I provider di servizi Internet (ISP), ad esempio, utilizzano gli ASN per identificare l’origine del traffico di rete. Non tutte le organizzazioni acquistano i propri ASN, ma le organizzazioni che lo fanno possono portare il proprio ASN a. AWS

Bring your own autonomous system number (BYOASN) ti consente di pubblicizzare gli indirizzi IP a cui accedi utilizzando il tuo ASN pubblico AWS anziché l'ASN. AWS Quando utilizzi BYOASN, il traffico proveniente dal tuo indirizzo IP trasporta il tuo ASN anziché l'ASN e i tuoi carichi di lavoro sono raggiungibili da clienti o AWS partner che hanno consentito il traffico elencato in base al tuo indirizzo IP e all'ASN.

Importante

  • Completa questo tutorial utilizzando l'account di amministratore IPAM nella regione di origine del tuo IPAM.

  • Questo tutorial presuppone che tu sia il proprietario dell'ASN pubblico che desideri trasferire su IPAM e che tu abbia già importato un CIDR BYOIP e lo abbia fornito a un pool di ambito pubblico. AWS Puoi inserire un ASN in IPAM in qualsiasi momento, ma per utilizzarlo devi associarlo a un CIDR che hai inserito nel tuo account. AWS Questo tutorial presuppone che tu abbia già effettuato questa operazione. Per ulteriori informazioni, consulta Tutorial: trasferisci i tuoi indirizzi IP su IPAM.

  • Puoi passare dalla pubblicità al tuo ASN o a un AWS ASN senza indugio, ma sei limitato a passare da un AWS ASN al tuo ASN una volta all'ora.

  • Se il tuo CIDR BYOIP attualmente è pubblicizzato, non devi ritirarlo dalla pubblicità per associarlo al tuo ASN.

Prerequisiti di onboarding per l'ASN

Per completare questo tutorial, occorre quanto indicato di seguito:

  • Il tuo ASN pubblico a 2 o 4 byte.

  • Se hai già inserito un intervallo di indirizzi IPTutorial: trasferisci i tuoi indirizzi IP su IPAM, ti serve AWS l'intervallo CIDR di indirizzi IP. Avrai anche bisogno di una chiave privata. Puoi utilizzare la chiave privata che hai creato quando hai portato l'intervallo CIDR degli indirizzi IP AWS oppure puoi creare una nuova chiave privata come descritto in Creare una chiave privata e generare un certificato X.509 nella Guida per l'utente EC2.

  • Quando aggiungi un intervallo di indirizzi IP a AWS withTutorial: trasferisci i tuoi indirizzi IP su IPAM, crei un certificato X.509 e carichi il certificato X.509 nel record RDAP del tuo RIR. È necessario caricare lo stesso certificato creato nel record RDAP del RIR per l'ASN. Assicurati di includere le stringhe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- prima e dopo la porzione codificata. Tutto questo contenuto deve trovarsi su un'unica linea lunga. La procedura per l'aggiornamento di RDAP dipende dal RIR:

    • Per ARIN, utilizza il portale Account Manager per aggiungere il certificato nella sezione "Commenti pubblici" per l'oggetto "Informazioni di rete" che rappresenta l'ASN utilizzando l'opzione "Modifica ASN". Non aggiungerlo alla sezione commenti dell'organizzazione.

    • Per RIPE, aggiungi il certificato come nuovo campo "descr" all'oggetto "aut-num" che rappresenta il tuo ASN. Di solito si trovano nella sezione "Le mie risorse" del

      portale del database RIPE. Non aggiungerlo alla sezione commenti della tua organizzazione o al campo "osservazioni" dell'oggetto "aut-num".

    • Per APNIC, invia via email il certificato a helpdesk@apnic.net per aggiungerlo manualmente al campo "osservazioni" per il tuo ASN. Invia l'e-mail utilizzando il contatto autorizzato APNIC per l'ASN.

Passaggi del tutorial

Completa i passaggi seguenti utilizzando la console o il. AWS AWS CLI

AWS Management Console

  1. Apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nel riquadro di navigazione a sinistra, scegli IPAM.

  3. Scegli il tuo IPAM.

  4. Scegli la scheda BYOASNs (BYOASN), quindi scegli Provision BYOASNs (Esegui il provisioning BYOASN).

  5. Inserisci l’ASN. In tal modo, il campo Message (Messaggio) viene compilato automaticamente con il messaggio necessario per l’accesso al passaggio successivo.

    • Il formato del messaggio è il seguente, dove ACCOUNT è il numero del tuo AWS account, ASN è l'ASN che stai trasferendo a IPAM e YYYYMMDD è la data di scadenza del messaggio (che per impostazione predefinita è l'ultimo giorno del mese successivo). Esempio:

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Copia il messaggio e sostituisci la data di scadenza con un valore tuo, se necessario.

  7. Firma il messaggio utilizzando la chiave privata. Esempio:

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. In Firma, inserisci la firma.

  9. (Facoltativo) Per fornire un altro ASN, scegli Fornisci un altro ASN. Puoi eseguire il provisioning di 5 ASN. Per aumentare questa quota, consulta Quote per l'IPAM.

  10. Scegli Provision (Esegui il provisioning).

  11. Visualizza il processo di provisioning nella scheda BYOASNs (BYOASN). Attendi che lo State (Stato) passi da Provisioning in sospeso a Provisioned (Provisioning eseguito). I BYOASN in stato Failed-provision (Provisioning non riuscito) vengono rimossi automaticamente dopo 7 giorni. Una volta eseguito correttamente il provisioning dell’ASN, puoi associarlo a un CIDR BYOIP.

  12. Nel riquadro di navigazione a sinistra, seleziona Pools (Pool).

  13. Scegli il tuo ambito pubblico. Per ulteriori informazioni sugli ambiti, consulta Funzionamento di IPAM.

  14. Scegli un pool regionale di cui sia stato eseguito il provisioning di un CIDR BYOIP. Per il pool, Service (Servizio) deve essere impostato su EC2 e deve essere stata scelta una locale.

  15. Scegli la scheda CIDRs (CIDR) e seleziona un CIDR BYOIP.

  16. Scegli Actions (Azioni) > Manage BYOASN associations (Gestisci associazioni BYOASN).

  17. In Associated ByOASNS, scegli l'ASN a cui ti sei trasferito. AWS Se disponi di più ASN, puoi associare più ASN al CIDR BYOIP. Puoi associare tutti gli ASN che puoi portare in IPAM. Tieni presente che per impostazione predefinita puoi trasferire fino a 5 ASN in IPAM. Per ulteriori informazioni, consulta Quote per l'IPAM.

  18. Selezionare Associate (Associa).

  19. Attendi il completamento dell’associazione ASN. Una volta che l'ASN è stato associato correttamente al CIDR BYOIP, puoi pubblicizzare nuovamente il CIDR BYOIP.

  20. Scegli la scheda CIDRs (CIDR) del pool.

  21. Seleziona il CIDR BYOIP e scegli Actions (Operazioni) > Advertise (Pubblicizzazione). In tal modo, vengono visualizzate le tue opzioni ASN: l’ASN Amazon e tutti gli ASN portati in IPAM.

  22. Seleziona l'ASN che hai portato in IPAM e scegli Advertise CIDR (Pubblicizza CIDR). In tal modo, il CIDR BYOIP viene pubblicizzato e il valore nella colonna Advertising (Pubblicità) passa da Withdrawn (Ritirato) a Advertised (Pubblicizzato). La colonna Autonomous System Number (Numero di sistema autonomo) visualizza l'ASN associato al CIDR.

  23. (Facoltativo) Se decidi di cambiare nuovamente l’associazione ASN nell’ASN Amazon, seleziona il CIDR BYOIP e scegli nuovamente Actions (Azioni) > Advertise (Pubblicizza). Questa volta, scegli l’ASN Amazon. Puoi tornare all'ASN Amazon in qualunque momento, ma puoi passare a un ASN personalizzato solo una volta all'ora.

Il tutorial è terminato.

Rimozione

  1. Dissocia l'ASN dal CIDR BYOIP

    • Per ritirare il CIDR BYOIP dalla pubblicità, nel pool nell’ambito pubblico, scegli il CIDR BYOIP, quindi scegli Actions (Azioni) > Withdraw from advertising (Ritiro dalla pubblicità).

    • Per dissociare l’ASN dal CIDR, scegli Actions (Azioni) > Manage BYOASN associations (Gestisci associazioni BYOASN).

  2. Annullamento del provisioning dell'ASN

    • Per l’annullamento del provisioning dell’ASN, nella scheda BYOASNs (BYOASN) scegli l’ASN, quindi scegli Deprovision ASN (Annulla provisioning ASN). In tal modo, il provisioning dell'ASN viene annullato. I BYOASN in stato Deprovisioned (Provisioning annullato) vengono rimossi automaticamente dopo 7 giorni.

La pulizia è completa.

Command line

  1. Fornisci il tuo ASN includendo l'ASN e il messaggio di autorizzazione. La firma è il messaggio firmato con la tua chiave privata.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Descrivi il tuo ASN per monitorare il processo di provisioning. Se la richiesta ha esito positivo, dopo pochi minuti dovresti vedere il ProvisionStatusset impostato su provisioned.

    aws ec2 describe-ipam-byoasn

  3. Associa il tuo ASN al tuo CIDR BYOIP. Qualunque ASN personalizzato da cui desideri pubblicizzare deve prima essere associato al tuo CIDR.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Descrivi il tuo CIDR per tracciare il processo di associazione.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Pubblicizza il tuo CIDR con il tuo ASN. Se il CIDR è già pubblicizzato, l'ASN di origine da Amazon diventerà tuo.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Descrivi il tuo CIDR per vedere lo stato ASN passare da associated (associato) a advertised (pubblicizzato).

    aws ec2 describe-byoip-cidrs --max-results 10

Il tutorial è terminato.

Rimozione

  1. Esegui una di queste operazioni:

    • Per ritirare solo la tua pubblicità ASN e tornare a utilizzare Amazon ASN mantenendo pubblicizzato il CIDR, devi chiamare advertise-byoip-cidr con il AWS valore speciale per il parametro asn. Puoi tornare all'ASN Amazon in qualunque momento, ma puoi passare a un ASN personalizzato solo una volta all'ora.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Per ritirare contemporaneamente la tua pubblicità CIDR e ASN, puoi chiamare. withdraw-byoip-cidr

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Per ripulire il tuo ASN, devi prima annullarne l’associazione dal CIDR BYOIP.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Una volta dissociato il tuo ASN da tutti i CIDR BYOIP a cui lo hai associato, puoi annullarne il provisioning.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. Il provisioning del CIDR BYOIP può essere annullato anche dopo la rimozione di tutte le associazioni ASN.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Conferma l’annullamento del provisioning.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

La pulizia è completa.