Traga seus próprios endereços IP (BYOIP) no Amazon EC2 - Amazon Elastic Compute Cloud
Definições BYOIPRequisitos e cotasPré-requisitos de integraçãoIntegração do BYOIPTrabalhar com o intervalo de endereçosValidar o BYOIPDisponibilidade regionalDisponibilidade da zona localSaiba mais

Traga seus próprios endereços IP (BYOIP) no Amazon EC2

É possível trazer parte ou todo o seu intervalo de endereços IPv4 ou IPv6 publicamente roteáveis da rede on-premises para sua conta da AWS. Você continua controlando o intervalo de endereços e pode anunciar o intervalo de endereços na Internet via AWS. Depois de levar o intervalo de endereços para a AWS, ele aparecerá em sua conta da AWS como um grupo de endereços.

Para obter uma lista das regiões em que o BYOIP está disponível, consulte Disponibilidade regional.

Para ver as informações sobre BYOIP para instâncias do Windows, passe para esta página no guia Manual do usuário do Amazon EC2 para instâncias do Windows: Traga seus próprios endereços IP (BYOIP) no Amazon EC2.

nota

  • As etapas nesta página descrevem como trazer seu próprio intervalo de endereços IP para uso somente no Amazon EC2.

  • Para trazer seu próprio intervalo de endereços IP para uso no AWS Global Accelerator, consulte Trazer seus próprios endereços IP (BYOIP) no Guia do desenvolvedor do AWS Global Accelerator.

  • Para usar seu próprio intervalo de endereços IP para uso no Amazon VPC IP Address Manager, consulte o Tutorial: traga seus endereços IP para o IPAM no Guia do usuário do IPAM da Amazon VPC.

Definições BYOIP

  • Certificado autoassinado X.509: um padrão de certificado mais comumente usado para criptografar e autenticar dados dentro de uma rede. É um certificado usado pela AWS para validar o controle do espaço IP a partir de um registro RDAP. Para obter mais informações sobre certificados X.509, consulte RFC 3280.

  • Número de sistema autônomo (ASN): um identificador global exclusivo que define um grupo de prefixos de IP executados por uma ou mais operadoras de rede que mantêm uma política de roteamento única e claramente definida.

  • Registro regional da Internet (RIR): uma organização que gerencia a alocação e o registro de endereços IP e ASNs em uma região do mundo.

  • Registry Data Access Protocol (RDAP): um protocolo somente de leitura para consultar dados de registro atuais em um RIR. As entradas no banco de dados do RIR consultado são chamadas de “registros RDAP”. Certos tipos de registros precisam ser atualizados pelos clientes por meio de um mecanismo fornecido pelo RIR. Esses registros são consultados pela AWS para verificar o controle de um espaço de endereço no RIR.

  • Autorização de origem de rota (ROA): um objeto criado por RIRs para que os clientes autentiquem anúncios IP em sistemas autônomos específicos. Para obter uma visão geral, consulte Autorizações de origem de rota (ROAs) no site do ARIN.

  • Registro local da Internet (LIR):: organizações, como provedores de serviços de Internet, que alocam um bloco de endereços IP de um RIR para seus clientes.

Requisitos e cotas

  • O intervalo de endereços deve ser registrado no seu Registro Regional da Internet (RIR). Consulte seu RIR para ver quaisquer políticas relacionadas a regiões geográficas. O BYOIP atualmente oferece suporte ao registro no American Registry for Internet Numbers (ARIN), Réseaux IP Européens Network Coordination Centre (RIPE) ou no Asia-Pacific Network Information Centre (APNIC). Ele deve ser registrado para uma entidade empresarial ou institucional e não pode ser registrado para uma única pessoa.

  • O intervalo de endereços IPv4 mais específico que é possível trazer é /24.

  • O intervalo mais específico de endereços IPv6 que é possível trazer é /48 para CIDRs anunciáveis publicamente e /56 para CIDRs que não são anunciáveis publicamente.

  • As ROAs não são necessárias para intervalos CIDR que não são anunciáveis publicamente, mas os registros RDAP ainda precisam ser atualizados.

  • É possível trazer cada intervalo de endereços para uma região da AWS de cada vez.

  • É possível trazer um total de cinco intervalos de endereços IPv4 e IPv6 BYOIP por região da AWS para sua conta da AWS. Não é possível ajustar as cotas para CIDRs BYOIP usando o console do Service Quotas, mas você pode solicitar um aumento da cota entrando em contato com o AWS Support Center, conforme descrito em Cotas de serviços da AWS, na Referência geral da AWS.

  • Você não pode compartilhar seu intervalo de endereços IP com outras contas usando AWS RAM a menos que você use o IP Address Manager (IPAM) da Amazon VPC e integre o IPAM com o AWS Organizations. Para obter mais informações, consulte Integrar IPAM com o AWS Organizations no Guia do usuário do Amazon VPC IPAM.

  • Os endereços no intervalo de endereços IP devem ter um histórico limpo. Podemos investigar a reputação do intervalo de endereços IP e reservar o direito de rejeitar um intervalo de endereços IP, se ele contiver um endereço IP que tenha má reputação ou esteja associado a comportamento mal-intencionado.

  • O espaço de endereço herdado, o espaço de endereço IPv4 que foi distribuído pelo registro central da Internet Assigned Numbers Authority (IANA) antes da formação de Regional Internet Registries (RIR), ainda requer um objeto ROA correspondente.

  • Para LIRs, é comum o uso de um processo manual para atualizar os registros. Dependendo do LIR, a implantação pode levar dias.

  • Um único objeto ROA e registro RDAP são necessários para um bloco CIDR grande. É possível trazer vários blocos CIDR menores desse intervalo para a AWS, mesmo em várias regiões da AWS, usando o único objeto e registro.

  • Não há suporte para BYOIP em zonas de comprimento de onda ou em AWS Outposts.

  • Não faça alterações manuais no BYOIP no RADb ou em qualquer outro IRR. O BYOIP atualizará automaticamente o RADb. Qualquer alteração manual que inclua o ASN do BYOIP fará com que a operação de provisão do BYOIP falhe.

Pré-requisitos de integração para seu intervalo de endereços BYOIP

O processo de integração do BYOIP tem duas fases, para as quais é necessário executar três etapas. Essas etapas estão descritas no diagrama a seguir. Incluímos etapas manuais nesta documentação, mas seu RIR pode oferecer serviços gerenciados para ajudar você nessas etapas.

Fase de preparação

1. Crie uma chave privada e utilize-a para gerar um certificado X.509 autoassinado para fins de autenticação. Esse certificado é usado somente durante a fase de provisionamento.

Fase de configuração do RIR

2. Carregue o certificado autoassinado nos comentários do registro RDAP.

3. Criar um objeto ROA no seu RIR. Uma ROA define o intervalo de endereços desejado, os Autonomous System Numbers (ASNs – Números de Sistema Autônomo) autorizados a anunciar o intervalo de endereços e uma data de validade para registro do RIR na Resource Public Key Infrastructure (RPKI – Infraestrutura de Chave Pública de Recursos).

nota

Não é necessário ter uma ROA para o espaço de endereços IPv6 não anunciáveis publicamente.

O processo de integração em três etapas para BYOIP.

Para trazer vários intervalos de endereços, é necessário repetir esse processo com cada um deles. No entanto, as etapas de preparação e configuração do RIR não precisam ser repetidas, basta dividir um bloco contíguo em várias regiões da AWS diferentes.

Colocar em um intervalo de endereços não tem efeito em quaisquer intervalos de endereços que você trouxe anteriormente.

Importante

Antes de integrar seu intervalo de endereços, preencha os seguintes pré-requisitos. As tarefas nesta seção exigem um terminal Linux e podem ser executadas usando o Linux, o AWS CloudShell ou o Subsistema Windows para Linux..

1. Crie uma chave privada e gere um certificado X.509

Siga o procedimento a seguir para criar um certificado autoassinado X.509 e adicione-o ao registro RDAP para seu RIR. Esse par de chaves é usado para autenticar o intervalo de endereços com o RIR. Os comandos openssl requerem o OpenSSL versão 1.0.2 ou posterior.

Copie os comandos a seguir e substitua apenas os valores de espaço reservado (em texto itálico colorido).

Esse procedimento segue a prática recomendada de criptografar sua chave RSA privada e exigir uma frase para acessá-la.

  1. Gere uma chave privada RSA de 2048 bits, como mostrado a seguir.

    $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

    O parâmetro -aes256 especifica o algoritmo usado para criptografar a chave privada. O comando retorna a seguinte saída, incluindo prompts para definir uma frase de acesso:

    ......+++
.+++
Enter PEM pass phrase: xxxxxxx
Verifying - Enter PEM pass phrase: xxxxxxx

    É possível fazer inspecionar a chave pública com o seguinte comando:

    $ openssl pkey -in private-key.pem -text

    Isso retorna um prompt de frase de acesso e o conteúdo da chave, que deve ser semelhante ao seguinte:

    Enter pass phrase for private-key.pem: xxxxxxx
-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDFBXHRI4HVKAhh
3seiciooizCRTbJe1+YsxNTja4XyKypVGIFWDGhZs44FCHlPOOSVJ+NqP74w96oM
7DPS3xo9kaQyZBFn2YEp2EBq5vf307KHNRmZZUmkn0zHOSEpNmY2fMxISBxewlxR
FAniwmSd/8TDvHJMY9FvAIvWuTsv5l0tJKk+a91K4+tO3UdDR7Sno5WXExfsBrW3
g1ydo3TBsx8i5/YiVOcNApy7ge2/FiwY3aCXJB6r6nuF6H8mRgI4r4vkMRsOlAhJ
DnZPNeweboo+K3Q3lwbgbmOKD/z9svk8N/+hUTBtIX0fRtbG+PLIw3xWRHGrMSn2
BzsPVuDLAgMBAAECggEACiJUj2hfJkKv47Dc3es3Zex67A5uDVjXmxfox2Xhdupn
fAcNqAptV6fXt0SPUNbhUxbBKNbshoJGufFwXPli1SXnpzvkdU4Hyco4zgbhXFsE
RNYjYfOGzTPwdBLpNMB6k3Tp4RHse6dNrlH0jDhpioL8cQEBdBJyVF5X0wymEbmV
mC0jgH/MxsBAPWW6ZKicg9ULMlWiAZ3MRAZPjHHgpYkAAsUWKAbCBwVQcVjGO59W
jfZjzTX5pQtVVH68ruciH88DTZCwjCkjBhxg+OIkJBLE5wkh82jIHSivZ63flwLw
z+E0+HhELSZJrn2MY6Jxmik3qNNUOF/Z+3msdj2luQKBgQDjwlC/3jxp8zJy6P8o
JQKv7TdvMwUj4VSWOHZBHLv4evJaaia0uQjIo1UDa8AYitqhX1NmCCehGH8yuXj/
v6V3CzMKDkmRr1NrONnSz5QsndQ04Z6ihAQlPmJ96g4wKtgoC7AYpyP0g1a+4/sj
b1+o3YQI4pD/F71c+qaztH7PRwKBgQDdc23yNmT3+Jyptf0fKjEvONK+xwUKzi9c
L/OzBq5yOIC1Pz2T85gOe1i8kwZws+xlpG6uBT6lmIJELd0k59FyupNu4dPvX5SD
6GGqdx4jk9KvI74usGeOBohmF0phTHkrWKBxXiyT0oS8zjnJlEn8ysIpGgO28jjr
LpaHNZ/MXQKBgQDfLNcnS0LzpsS2aK0tzyZU8SMyqVHOGMxj7quhneBq2T6FbiLD
T9TVlYaGNZ0j71vQaLI19qOubWymbautH0Op5KV8owdf4+bf1/NJaPIOzhDUSIjD
Qo01WW31Z9XDSRhKFTnWzmCjBdeIcajyzf10YKsycaAW9lItu8aBrMndnQKBgQDb
nNp/JyRwqjOrNljk7DHEs+SD39kHQzzCfqd+dnTPv2sc06+cpym3yulQcbokULpy
fmRo3bin/pvJQ3aZX/Bdh9woTXqhXDdrrSwWInVYMQPyPk8f/D9mIOJp5FUWMwHD
U+whIZSxsEeE+jtixlWtheKRYkQmzQZXbWdIhYyI3QKBgD+F/6wcZ85QW8nAUykA
3WrSIx/3cwDGdm4NRGct8ZOZjTHjiy9ojMOD1L7iMhRQ/3k3hUsin5LDMp/ryWGG
x4uIaLat40kiC7T4I66DM7P59euqdz3w0PD+VU+h7GSivvsFDdySUt7bNK0AUVLh
dMJfWxDN8QV0b5p3WuWH1U8B
-----END PRIVATE KEY-----
Private-Key: (2048 bit)
modulus:
    00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72:
    2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b:
    85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08:
    79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec:
    33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8:
    40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f:
    4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2:
    5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63:
    d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b:
    dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13:
    17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7:
    f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd:
    a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af:
    8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e:
    8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2:
    f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8:
    f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56:
    e0:cb
publicExponent: 65537 (0x10001)
privateExponent:
    0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37:
    65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1:
    76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f:
    50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70:
    5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38:
    ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0:
    74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d:
    ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72:
    54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc:
    c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2:
    01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16:
    28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63:
    cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03:
    4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4:
    e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0:
    cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71:
    9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5:
    b9
prime1:
    00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25:
    02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c:
    bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b:
    c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9:
    78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38:
    d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e:
    62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83:
    56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17:
    bd:5c:fa:a6:b3:b4:7e:cf:47
prime2:
    00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a:
    31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06:
    ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93:
    06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d:
    dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8:
    61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06:
    88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2:
    84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2:
    38:eb:2e:96:87:35:9f:cc:5d
exponent1:
    00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf:
    26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d:
    e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35:
    9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d:
    ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7:
    f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59:
    6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05:
    d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6:
    52:2d:bb:c6:81:ac:c9:dd:9d
exponent2:
    00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec:
    31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76:
    74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71:
    ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43:
    76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad:
    2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20:
    e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0:
    47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd:
    06:57:6d:67:48:85:8c:88:dd
coefficient:
    3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd:
    6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1:
    93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32:
    14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9:
    61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23:
    ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55:
    4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34:
    ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f:
    9a:77:5a:e5:87:d5:4f:01

    Mantenha sua chave privada em um local seguro quando ela não estiver em uso.

  2. Gere um certificado X.509 usando a chave privada criada na etapa anterior. Neste exemplo, o certificado expira em 365 dias, após o qual ele não é mais confiável. Defina a expiração adequadamente. O comando tr -d "\n" remove caracteres de nova linha (quebras de linha) da saída. Você precisa fornecer um nome comum quando solicitado, mas os outros campos podem ser deixados em branco.

    $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

    Isso resulta em uma saída semelhante à seguinte:

    Enter pass phrase for private-key.pem: xxxxxxx
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:example.com
Email Address []:
    nota

    O nome comum não é necessário para provisionamento da AWS. Pode ser qualquer nome de domínio interno ou público.

    É possível inspecionar o certificado usando o seguinte comando:

    $ cat certificate.pem

    A saída deve ser uma string longa, codificada em PEM, sem quebras de linha, prefaciada por -----BEGIN CERTIFICATE----- e seguida por -----END CERTIFICATE-----.

2. Carregue o certificado X.509 no registro RDAP no RIR

Adicione o certificado criado anteriormente ao registro RDAP do RIR. Certifique-se de incluir as strings -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- antes e depois da parte codificada. Todo esse conteúdo deve estar em uma única e longa linha. O procedimento para atualizar o RDAP depende do RIR:

  • Para o ARIN, use o portal do Account Manager para adicionar o certificado na seção “Comentários públicos” para o objeto “Informações de rede” que representa seu intervalo de endereços. Não o adicione à seção de comentários da sua organização.

  • Para o RIPE, adicione o certificado como um novo campo “descr” ao objeto “inetnum” ou “inet6num” que representa seu intervalo de endereços. Geralmente, eles podem ser encontrados na seção “Meus recursos” do portal do banco de dados RIPE. Não o adicione à seção de comentários da sua organização ou ao campo “comentários” dos objetos acima.

  • Para o APNIC, envie o certificado por e-mail para helpdesk@apnic.net para adicioná-lo manualmente ao campo “remarks” (observações) do intervalo de endereços. Envie o e-mail usando o contato autorizado do APNIC para os endereços IP.

É possível remover o certificado do seu registro do RIR após a conclusão da etapa de provisionamento abaixo.

3. Criar um objeto ROA no seu RIR

Crie um objeto ROA para autorizar os Amazon ASNs 16509 e 14618 a anunciar o intervalo de endereços, bem como os ASNs atualmente autorizados a anunciar o intervalo de endereços. Para as AWS GovCloud (US) Regions, autorize o ASN 8987 em vez do 16509 e 14618. É necessário definir o tamanho máximo para o CIDR que você está incluindo. O prefixo IPv4 mais específico que você pode incluir é /24. O intervalo mais específico de endereços IPv6 que é possível trazer é /48 para CIDRs anunciáveis publicamente e /56 para CIDRs que não são anunciáveis publicamente.

Importante

Se você estiver criando um objeto ROA para o IP Address Manager (IPAM) da Amazon VPC, ao criar as ROAs, para CIDRs IPv4, é necessário definir o comprimento máximo de um prefixo de endereço IP como /24. Para CIDRs IPv6, se você estiver adicionando-os a um grupo anunciável, o tamanho máximo de um prefixo de endereço IP deve ser /48. Isso garante que você tenha total flexibilidade para dividir seu endereço IP público nas regiões da AWS. O IPAM impõe o comprimento máximo que você definiu. Para obter mais informações sobre endereços BYOIP para IPAM, consulte Tutorial: CIDRs de endereço BYOIP para IPAM no Guia do usuário do IPAM da Amazon VPC.

Pode demorar até 24 horas para que a ROA se torne disponível para a Amazon. Para obter mais informações, consulte o seu RIR:

Ao migrar anúncios de uma workload on-premises para a AWS, crie uma ROA para seu ASN existente antes de criar as ROAs para ASNs da Amazon. Caso contrário, talvez você perceba um impacto no roteamento e nos anúncios existentes.

Importante

Para que a Amazon anuncie e continue anunciando seu intervalo de endereços IP, as ROAs com os ASNs da Amazon devem estar em conformidade com as diretrizes acima. Se as ROAs não estiverem em conformidade, a Amazon se reserva o direito de parar de anunciar seu intervalo de endereços IP.

nota

Essa etapa não é necessária para o espaço de endereços IPv6 não anunciável publicamente.

Integração do BYOIP

O processo de integração do BYOIP inclui as seguintes tarefas, dependendo das necessidades:

Provisionamento de um intervalo de endereços anunciado publicamente na AWS

Ao provisionar um intervalo de endereços para uso com a AWS, você está confirmando que controla o intervalo de endereços e autoriza a Amazon a anunciá-lo. Também verificamos se você controla o intervalo por meio de uma mensagem de autorização assinada. Essa mensagem é assinada com o par de chaves X.509 autoassinadas que você usou ao atualizar o registro RDAP com o certificado X.509. A AWS requer uma mensagem de autorização assinada criptograficamente que é apresentada ao RIR. O RIR autentica a assinatura em relação ao certificado que você adicionou ao RDAP e verifica os detalhes da autorização em relação ao ROA.

Para provisionar o intervalo de endereços
  1. Compose message

    Componha a mensagem de autorização de texto simples. O formato da mensagem é o seguinte, em que a data é a data de expiração da mensagem: 

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    Substitua o número da conta, o intervalo de endereços e a data de expiração por seus próprios valores para criar uma mensagem semelhante à seguinte:

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    Não confundir com uma mensagem ROA, que tem uma aparência semelhante.

  2. Assinar mensagens

    Assine a mensagem de texto sem formatação usando a chave privada criada anteriormente. A assinatura retornada pelo comando é uma string longa que você precisará copiar para uso na próxima etapa.

    Importante

    Recomendamos que você copie e cole esse comando. Com exceção do conteúdo da mensagem, não modifique nem substitua nenhum dos valores.

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. Endereço de provisão

    Use o comando provisiona-byoip-cidr da AWS CLI para provisionar o intervalo de endereços. A opção --cidr-authorization-context usa as strings de mensagem e assinatura que você criou anteriormente.

    Importante

    Você deverá especificar a região da AWS em que o intervalo do BYOIP deve ser provisionado se ele for diferente da configuração da AWS CLI de Default region name.

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    O provisionamento de um intervalo de endereços é uma operação assíncrona, de modo que a chamada retorna imediatamente, mas o intervalo de endereços não está pronto para uso até que seu status mude de pending-provision para provisioned.

  4. Monitorar o andamento

    Embora a maior parte do provisionamento seja concluída em duas horas, a conclusão do processo de provisionamento pode levar até uma semana para intervalos que permitam anúncios públicos. Use o comando describe-byoip-cidrs para monitorar seu progresso, como neste exemplo:

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    Se houver problemas durante o provisionamento e o status for para failed-provision, o comando provision-byoip-cidr deverá ser executado novamente após os problemas terem sido resolvidos.

Como provisionar um intervalo de endereços IPv6 que não seja anunciável publicamente

Por padrão, um intervalo de endereços é provisionado para ser publicamente anunciável na Internet. É possível provisionar um intervalo de endereços IPv6 que não será anunciável publicamente. Para rotas que não permitem anúncios públicos, o processo de provisionamento geralmente é concluído em minutos. Quando você associa um bloco CIDR IPv6 de um intervalo de endereços não públicos a uma VPC, o CIDR IPv6 só pode ser acessado por opções de conectividade híbrida compatíveis com IPv6, como AWS Direct Connect, AWS Site-to-Site VPN, ouGateways de trânsito da Amazon VPC.

Não é necessário ter um ROA para provisionar um intervalo de endereços não públicos.

Importante

  • Você só pode especificar se um intervalo de endereços é anunciável publicamente durante o provisionamento. Não é possível alterar o status de anúncio de um intervalo de endereços posteriormente.

  • A Amazon VPC não oferece suporte a CIDRs de endereço local exclusivo (ULA). Todas as VPCs devem ter CIDRs IPv6 exclusivos. Duas VPCs não podem ter o mesmo intervalo CIDR IPv6.

Para provisionar um intervalo de endereços IPv6 que não será anunciável publicamente, use o comando provision-byoip-cidr a seguir.

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

Anunciar o intervalo de endereços por meio da AWS

Após ser provisionado, o intervalo de endereços estará pronto para ser anunciado. É necessário anunciar o intervalo de endereço exato que você provisionou. Não é possível anunciar apenas uma parte do intervalo de endereço provisionado.

Se você provisionou um intervalo de endereços IPv6 que não será anunciado publicamente, não será necessário concluir esta etapa.

Recomendamos interromper o anúncio do intervalo de endereços em outros locais antes de anunciá-lo por meio da AWS. Se você mantiver o anúncio de seu intervalo de endereços IP em outros locais, não poderemos oferecer suporte a ele ou solucionar problemas de forma confiável. Especificamente, não podemos garantir que o tráfego para o intervalo de endereços entre em nossa rede.

Para minimizar o tempo de inatividade, é possível configurar os recursos da AWS para usar um endereço do grupo de endereços antes de ele ser anunciado e, em seguida, interromper simultaneamente o anúncio no local atual e iniciar o anúncio por meio da AWS. Para obter mais informações sobre a alocação de um endereço IP elástico em seu grupo de endereços, consulte Alocar um endereço IP elástico.

Limitações

  • É possível executar o comando advertise-byoip-cidr no máximo uma vez a cada 10 segundos, mesmo que você especifique diferentes intervalos de endereços de cada vez.

  • É possível executar o comando withdraw-byoip-cidr no máximo uma vez a cada 10 segundos, mesmo que você especifique diferentes intervalos de endereços de cada vez.

Para anunciar o intervalo de endereços, use o seguinte comando advertise-byoip-cidr.

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

Para interromper o anúncio do intervalo de endereços, use o seguinte comando withdraw-byoip-cidr.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Desprovisionar o intervalo de endereços

Para interromper o uso do intervalo de endereços com a AWS, primeiro libere todos os endereços IP elásticos e desassocie todos os blocos CIDR IPv6 que ainda estiverem alocados do grupo de endereços. Depois, pare de anunciar o intervalo de endereços e, por fim, desprovisione o intervalo de endereços.

Não é possível desprovisionar uma parte do intervalo de endereços. Se você quiser usar um intervalo de endereços mais específico com a AWS, cancele o provisionamento de todo o intervalo de endereços e provisione um intervalo de endereços mais específico.

(IPv4) Para liberar cada endereço IP elástico, use o seguinte comando release-address.

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) Para desassociar um bloco CIDR IPv6, use o seguinte comando disassociate-vpc-cidr-block.

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

Para interromper o anúncio do intervalo de endereços, use o seguinte comando withdraw-byoip-cidr.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Para desprovisionar o intervalo de endereços, use o seguinte comando deprovision-byoip-cidr.

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

Pode levar até um dia para desprovisionar um intervalo de endereços.

Trabalhar com o intervalo de endereços

É possível visualizar e trabalhar com os intervalos de endereços IPv4 e IPv6 que você provisionou na conta.

Intervalos de endereços IPv4

É possível criar um endereço IP elástico no grupo de endereços IPv4 e usá-lo com os recursos da AWS como instâncias do EC2, gateways NAT e balanceadores de carga da rede.

Para visualizar informações sobre os grupos de endereços IPv4 que você provisionou na conta, use o seguinte comando describe-public-ipv4-pools.

aws ec2 describe-public-ipv4-pools --region us-east-1

Para criar um endereço IP elástico pelo grupo de endereços IPv4, use o comando allocate-address. É possível usar a opção --public-ipv4-pool para especificar o ID do grupo de endereços retornado por describe-byoip-cidrs. Ou usar a opção --address para especificar um endereço do intervalo de endereços que você provisionou.

Intervalos de endereços IPv6

Para visualizar informações sobre os grupos de endereços IPv6 que você provisionou na conta, use o seguinte comando describe-ipv6-pools.

aws ec2 describe-ipv6-pools --region us-east-1

Para criar uma VPC e especificar um CIDR IPv6 pelo grupo de endereços IPv6, use o seguinte comando create-vpc. Para permitir que a Amazon escolha o CIDR IPv6 do grupo de endereços IPv6, omita a opção --ipv6-cidr-block.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Para associar um bloco CIDR IPv6 do grupo de endereços IPv6 a uma VPC, use o seguinte comando associate-vpc-cidr-block. Para permitir que a Amazon escolha o CIDR IPv6 do grupo de endereços IPv6, omita a opção --ipv6-cidr-block.

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Para visualizar as VPCs e as informações do grupo de endereços IPv6 associado, use o comando describe-vpcs. Para visualizar informações sobre blocos CIDR IPv6 associados de um grupo de endereços IPv6 específico, use o seguinte comando get-associated-ipv6-pool-cidrs.

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

Se você desassociar o bloco CIDR IPv6 da VPC, ele será liberado de volta para o grupo de endereços IPv6.

Validar o BYOIP

  1. Valide o par de chaves x.509 autoassinado

    Valide se o certificado foi carregado e é válido por meio do comando whois.

    Para ARIN, use whois -h whois.arin.net r + 2001:0DB8:6172::/48 para procurar o registro RDAP do intervalo de endereços. Verifique a seção Public Comments para o NetRange (Intervalo de rede) na saída do comando. O certificado deve ser adicionado na seção Public Comments do intervalo de endereços.

    É possível inspecionar o Public Comments que contém o certificado usando o seguinte comando:

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN

    Isso retorna a saída com o conteúdo da chave, que deve ser semelhante ao seguinte:

    Public Comments:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Para RIPE, use whois -r -h whois.ripe.net 2001:0DB8:7269::/48 para procurar o registro RDAP do intervalo de endereços. Verifique a seção descr para o objeto inetnum (intervalo de rede) na saída do comando. O certificado deve ser adicionado como um novo campo descr para o intervalo de endereços.

    É possível inspecionar o descr que contém o certificado usando o seguinte comando:

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    Isso retorna a saída com o conteúdo da chave, que deve ser semelhante ao seguinte:

    descr:
-----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8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-----END CERTIFICATE-----

    Para AONIC, use whois -h whois.apnic.net 2001:0DB8:6170::/48 para procurar o registro RDAP do intervalo de endereços BYOIP. Verifique a seção remarks para o objeto inetnum (intervalo de rede) na saída do comando. O certificado deve ser adicionado como um novo campo remarks para o intervalo de endereços.

    É possível inspecionar o remarks que contém o certificado usando o seguinte comando:

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    Isso retorna a saída com o conteúdo da chave, que deve ser semelhante ao seguinte:

    remarks:
-----BEGIN CERTIFICATE-----
MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE
LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA
hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC
wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0
NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN
rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2
VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb
W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc
R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9
prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug
mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k
Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf
xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww
3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT
AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA
QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF
08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS
Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35
UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4
ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90
MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF
-----END CERTIFICATE-----

  2. Validar a criação de um objeto ROA

    Valide a criação bem-sucedida de objetos ROA usando a API RIPEstat Data. Certifique-se de testar o intervalo de endereços em relação aos Amazon ASNs 16509 e 14618, além dos ASNs atualmente autorizados a anunciar o intervalo de endereços.

    É possível inspecionar os objetos ROA de diferentes Amazon ASNs com seu intervalo de endereços usando o seguinte comando:

    curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR

    Neste exemplo de saída, a resposta tem resultado de "status": "valid" para o Amazon ASN 16509. Isso indica que o objeto ROA para o intervalo de endereços foi criado com êxito:

    {
    "messages": [],
    "see_also": [],
    "version": "0.3",
    "data_call_name": "rpki-validation",
    "data_call_status": "supported",
    "cached": false,
    "data": {
        "validating_roas": [
            {
                "origin": "16509",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "valid"
            },
            {
                "origin": "14618",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            },
            {
                "origin": "64496",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            }
        ],
        "status": "valid",
        "validator": "routinator",
        "resource": "16509",
        "prefix": "2001:0DB8::/32"
    },
    "query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f",
    "process_time": 58,
    "server_id": "app116",
    "build_version": "live.2023.2.1.142",
    "status": "ok",
    "status_code": 200,
    "time": "2023-02-24T15:24:30.773654"
}

Um status de “unknown” indica que o objeto ROA para o intervalo de endereços não foi criado. Um status de “invalid_asn” indica que o objeto ROA para o intervalo de endereços não foi criado com êxito.

Disponibilidade regional

No momento, o recurso BYOIP está disponível em todas as regiões da AWS comerciais, exceto nas regiões localizadas na China.

Disponibilidade da zona local

Uma Local Zone é uma extensão de uma região da AWS na proximidade geográfica dos usuários. As zonas locais são agrupadas em “grupos de borda de rede”. Na AWS, um grupo de borda de rede é uma coleção de zonas de disponibilidade (AZs), zonas locais ou zonas de comprimento de onda das quais a AWS anuncia um endereço IP público. As zonas locais podem ter grupos de borda de rede diferentes das AZs em uma região da AWS para garantir a latência ou a distância física mínimas entre a rede da AWS e os clientes que acessam os recursos nessas zonas.

Você pode provisionar intervalos de endereços BYOIPv4 e anunciá-los nos seguintes grupos de borda de rede da zona local usando a opção --network-border-group:

  • us-east-1-dfw-2

  • us-west-2-lax-1

  • us-west-2-phx-2

Se você tiver zonas locais habilitadas (consulte Enable a Local Zone), é possível escolher um grupo de borda de rede para zonas locais ao provisionar e anunciar um CIDR BYOIPv4. Escolha o grupo de bordas de rede com cuidado, pois o EIP e o AWS recurso ao qual ele está associado devem residir no mesmo grupo de bordas de rede.

nota

No momento, não é possível provisionar ou anunciar intervalos de endereços BYOIPv6 em zonas locais.

Saiba mais

Para obter mais informações, consulte o Conversa técnica online da AWS Mergulho profundo em Traga seu próprio IP.