Traga seus próprios endereços IP (BYOIP) no AWS Global Accelerator - AWS Global Accelerator

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Traga seus próprios endereços IP (BYOIP) no AWS Global Accelerator

O AWS Global Accelerator usa endereços IP estáticos como pontos de entrada para seus aceleradores. Esses endereços IP são anycast de pontos de presença da AWS. Por padrão, o Global Accelerator fornece endereços IP estáticos doGrupo de endereços IP da Amazon. Em vez de usar os endereços IP fornecidos pelo Global Accelerator, você pode configurar esses pontos de entrada para serem endereços IPv4 de seus próprios intervalos de endereços. Este tópico explica como usar seus próprios intervalos de endereços IP com o Global Accelerator.

É possível trazer parte ou todo o intervalo de endereços IPv4 públicos da rede local para sua conta da AWS para uso com o Global Accelerator. Você continua a ter os intervalos de endereços, mas a AWS os anuncia na Internet.

Você não pode usar os endereços IP que você traz para a AWS para um serviço da AWS com outro serviço. As etapas neste capítulo descrevem como trazer seu próprio intervalo de endereços IP para uso somente no AWS Global Accelerator. Para obter as etapas para trazer seu próprio intervalo de endereços IP para uso no Amazon EC2, consulteTraga seus próprios endereços IP (BYOIP)No Guia do usuário do Amazon EC2.

Importante

Você deve parar de anunciar seu intervalo de endereços IP em outros locais antes de anunciá-lo por meio da AWS. Se um intervalo de endereços IP for multihomed (ou seja, o intervalo é anunciado por vários provedores de serviços ao mesmo tempo), não podemos garantir que o tráfego para o intervalo de endereços entre em nossa rede ou que seu fluxo de trabalho de publicidade BYOIP será concluído com êxito.

Depois de trazer um intervalo de endereços para a AWS, ele aparece em sua conta como um grupo de endereços. Ao criar um acelerador, você pode atribuir um endereço IP do seu intervalo a ele. O Global Accelerator atribui a você um segundo endereço IP estático de um intervalo de endereços IP da Amazon. Se você trazer dois intervalos de endereços IP para a AWS, poderá atribuir um endereço IP de cada intervalo ao acelerador. Essa restrição ocorre porque o Global Accelerator atribui cada intervalo de endereços a uma zona de rede diferente, para alta disponibilidade.

Para usar seu próprio intervalo de endereços IP com o Global Accelerator, revise os requisitos e siga as etapas fornecidas neste tópico.

Requirements

Você pode trazer até dois intervalos de endereços IP qualificados para o AWS Global Accelerator por conta da AWS.

Para se qualificar, seu intervalo de endereços IP deve atender aos seguintes requisitos:

  • O intervalo de endereços IP deve ser registrado em um dos seguintes registros de Internet regionais (RIRs): o American Registry for Internet Numbers (ARIN) ou o Réseaux IP Européens Network Coordination Centre (RIPE) ou o Asia-Pacific Network Information Centre (APNIC). O intervalo de endereços deve ser registrado como uma entidade empresarial ou institucional. Ele não pode ser registrado como um indivíduo.

  • O intervalo de endereços mais específico que pode ser trazido é /24. Os primeiros 24 bits do endereço IP especificam o número da rede. Por exemplo, 198.51.100 é o número de rede para o endereço IP 198.51.100.0.

  • Os endereços IP no intervalo de endereços devem ter um histórico limpo. Ou seja, eles não podem ter uma má reputação ou estar associados a comportamentos maliciosos. Reservamo-nos o direito de rejeitar o intervalo de endereços IP se investigarmos a reputação do intervalo de endereços IP e descobrirmos que ele contém um endereço IP que não tenha um histórico limpo.

Além disso, exigimos os seguintes tipos ou status de rede de alocação e atribuição, dependendo de onde você registrou seu intervalo de endereços IP:

  • ARIN:Direct AllocationeDirect AssignmentTipos de rede

  • MADURA:ALLOCATED PA,LEGACY, eASSIGNED PIStatus de alocação

  • APNIC:ALLOCATED PORTABLEeASSIGNED PORTABLEStatus de alocação

Preparar-se para levar seu intervalo de endereços IP para sua conta da AWS: Autorização

Para garantir que somente você possa trazer seu espaço de endereço IP para a Amazon, precisamos de duas autorizações:

  • Você deve autorizar a Amazon a anunciar o intervalo de endereços IP.

  • Você deve fornecer prova de que é proprietário do intervalo de endereços IP e, portanto, ter autoridade para trazê-lo para a AWS.

    nota

    Quando você usa o BYOIP para trazer um intervalo de endereços IP para a AWS, não é possível transferir a propriedade desse intervalo de endereços para uma conta ou empresa diferente enquanto o publicamos. Você também não pode transferir diretamente um intervalo de endereços IP de uma conta da AWS para outra conta. Para transferir a propriedade ou para transferir entre contas da AWS, você deve desprovisionar o intervalo de endereços e, em seguida, o novo proprietário deve seguir as etapas para adicionar o intervalo de endereços à sua conta da AWS.

Para autorizar a Amazon a anunciar o intervalo de endereços IP, forneça à Amazon uma mensagem de autorização assinada. Use uma Autorização de Origem de Rota (ROA) para fornecer essa autorização. Um ROA é uma declaração de criptografia sobre os anúncios de sua rota que você cria por meio de seu Regional Internet Registry (RIR). Um ROA contém o intervalo de endereços IP, os números de sistema autônomo (ASNs) com permissão para anunciar o intervalo de endereços IP e uma data de expiração. O ROA autoriza a Amazon a anunciar um intervalo de endereços IP em um sistema autônomo (AS) específico.

Um ROA não autoriza sua conta da AWS a levar o intervalo de endereços IP para a AWS. Para fornecer essa autorização, você deve publicar um certificado X.509 autoassinado nas observações do protocolo de acesso de dados de registro (RDAP) para o intervalo de endereços IP. O certificado contém uma chave pública, que a AWS usa para verificar a assinatura do contexto de autorização que você fornece. Mantenha sua chave privada segura e use-a para assinar a mensagem em contexto de autorização.

As seções a seguir apresentam etapas detalhadas para concluir essas tarefas de autorização. Os comandos nestas etapas são aceitos no Linux. Se você usa o Windows, você pode acessar oSubssistema Windows para Linuxpara executar comandos do Linux.

Etapas para fornecer autorização

Etapa 1: Criar um objeto ROA

Crie um objeto ROA para autorizar o Amazon ASNs 16509 a anunciar seu intervalo de endereços IP, bem como os ASNs atualmente autorizados a anunciar o intervalo de endereços IP. O ROA deve conter o endereço IP /24 que você deseja levar para a AWS e você deve definir o tamanho máximo como /24.

Para obter mais informações sobre como criar uma solicitação de ROA, consulte as seções a seguir, dependendo de onde você registrou seu intervalo de endereços IP:

Etapa 2: Criar um certificado autoassinado X.509

Crie um key pair e um certificado X.509 autoassinado e adicione o certificado ao registro RDAP para seu RIR. As etapas a seguir descrevem como executar essas tarefas.

nota

OopensslEsses passos requerem o OpenSSL versão 1.0.2 ou posterior.

Para criar e adicionar um certificado X.509

  1. Gere um key pair RSA de 2048 bits usando o seguinte comando.

    openssl genrsa -out private.key 2048
  2. Crie um certificado X.509 público a partir do key pair usando o seguinte comando.

    openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

    Neste exemplo, o certificado expira em 365 dias, após o qual ele não é mais confiável. Ao executar o comando, defina o–dayspara o valor desejado para a expiração correta. Quando forem solicitadas outras informações, aceite os valores padrão.

  3. Atualize o registro RDAP para seu RIR com o certificado X.509 usando as etapas a seguir, dependendo do seu RIR.

    1. Exibir seu certificado usando o comando a seguir.

      cat publickey.cer
    2. Adicione o certificado fazendo o seguinte:

      Importante

      Certifique-se de incluir o-----BEGIN CERTIFICATE-----e-----END CERTIFICATE-----Do certificado.

      • No ARIN, inclua o certificado noPublic CommentsPara obter o intervalo de endereços IP.

      • No RIPE, inclua o certificado como um novodescrPara o intervalo de endereços IP.

      • Para APNIC, envie a chave pública por e-mail parahelpdesk@apnic.netO contato autorizado da APNIC para os endereços IP, para solicitar que eles o adicionem manualmente aoremarksfield.

Etapa 3: Criar uma mensagem de autorização assinada

Crie a mensagem de autorização assinada para permitir que a Amazon anuncie seu intervalo de endereços IP.

O formato da mensagem é o seguinte, em que oYYYYMMDDdata é a data de expiração da mensagem.

1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS

Para criar a mensagem de autorização assinada

  1. Crie uma mensagem de autorização de texto não criptografado e armazene-a em uma variável chamadatext_message, como mostra o exemplo a seguir. Substitua o número de conta, o intervalo de endereços IP e a data de expiração de exemplo por seus próprios valores.

    text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"
  2. Assine a mensagem de autorização emtext_messageUsando o key pair que você criou na seção anterior.

  3. Armazena a mensagem em uma variável chamadasigned_message, como mostra o exemplo a seguir.

    signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

Provisionar o intervalo de endereços para uso com o AWS Global Accelerator

Ao provisionar um intervalo de endereços para uso com a AWS, você está confirmando que é o proprietário do intervalo de endereços e autoriza a a Amazon a anunciá-lo. Vamos verificar se você possui o intervalo de endereços.

Você deve provisionar seu intervalo de endereços usando as operações da CLI ou da API do Global Accelerator. Essa funcionalidade não está disponível no console da AWS.

Para provisionar o intervalo de endereços, use o seguinteProvisionByoipCIDRComando da. O--cidr-authorization-contextO parâmetro usa as variáveis criadas na seção anterior, não a mensagem ROA.

aws globalaccelerator provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message"

Veja a seguir um exemplo de provisionamento de um intervalo de endereços.

aws globalaccelerator provision-byoip-cidr --cidr 203.0.113.25/24 --cidr-authorization-context Message="$text_message",Signature="$signed_message"

O provisionamento de um intervalo de endereços é uma operação assíncrona, de modo que a chamada retorna imediatamente. No entanto, o intervalo de endereços não está pronto para usar até que seu estado seja alterado dePENDING_PROVISIONINGparaREADY. Pode levar até 3 semanas para concluir o processo de provisionamento. Para monitorar o estado dos intervalos de endereços provisionados por você, use o seguinteListbyoipcidrsComando da :

aws globalaccelerator list-byoip-cidrs

Para ver uma lista dos estados de um intervalo de endereços IP, consultebyOipCIDR.

Quando o intervalo de endereços IP é provisionado, oStateRetornado porlist-byoip-cidrséREADY. Por exemplo:

{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "READY" } ] }

Anunciar o intervalo de endereços por meio da AWS

Após ser provisionado, o intervalo de endereços estará pronto para ser anunciado. É necessário anunciar o intervalo de endereço exato que você provisionou. Não é possível anunciar apenas uma parte do intervalo de endereço provisionado. Além disso, você deve parar de anunciar seu intervalo de endereços IP em outros locais antes de anunciá-lo por meio da AWS.

Você deve anunciar (ou interromper a publicidade) seu intervalo de endereços usando as operações da CLI ou da API do Global Accelerator. Essa funcionalidade não está disponível no console da AWS.

Importante

Certifique-se de que seu intervalo de endereços IP seja anunciado pela AWS antes de usar um endereço IP do seu pool com o Global Accelerator.

Para anunciar o intervalo de endereços, use o seguintePublicidade ByoipcidrComando da.

aws globalaccelerator advertise-byoip-cidr --cidr address-range

Veja a seguir um exemplo de solicitação do Global Accelerator para anunciar um intervalo de endereços.

aws globalaccelerator advertise-byoip-cidr --cidr 203.0.113.0/24

Para monitorar o estado dos intervalos de endereços anunciados por você, use o seguinteListbyoipcidrsComando da.

aws globalaccelerator list-byoip-cidrs

Quando o intervalo de endereços IP é anunciado, oStateRetornado porlist-byoip-cidrséADVERTISING. Por exemplo:

{ "ByoipCidrs": [ { "Cidr": "203.0.113.0/24", "State": "ADVERTISING" } ] }

Para interromper o anúncio do intervalo de endereços, use o seguintewithdraw-byoip-cidrComando da.

Importante

Para parar de anunciar seu intervalo de endereços, primeiro você deve remover todos os aceleradores que tenham endereços IP estáticos alocados do pool de endereços. Para excluir um acelerador usando o console ou usando operações de API, consulte Exclui um acelerador.

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

Veja a seguir um exemplo de solicitação do Global Accelerator para retirar um intervalo de endereços.

aws globalaccelerator withdraw-byoip-cidr --cidr 203.0.113.25/24

Desprovisionar o intervalo de endereços

Para parar de usar seu intervalo de endereços com a AWS, primeiro você deve remover todos os aceleradores com endereços IP estáticos alocados do grupo de endereços e parar de anunciar seu intervalo de endereços. Depois de concluir essas etapas, você pode desprovisionar o intervalo de endereços.

Você deve interromper a publicidade e desprovisionar seu intervalo de endereços usando as operações da CLI ou da API do Global Accelerator. Essa funcionalidade não está disponível no console da AWS.

Etapa 1: Exclua todos os aceleradores associados.Para excluir um acelerador usando o console ou usando operações de API, consulte Exclui um acelerador.

Etapa 2. Pare de anunciar o intervalo de endereços. Para interromper o anúncio do intervalo, use o seguinteLevantamentooIPCIDRComando da.

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

Etapa 3. Desprovisionar o intervalo de endereços. Para desprovisionar o intervalo, use o seguinteDeprovisionbyoipCIDRComando da.

aws globalaccelerator deprovision-byoip-cidr --cidr address-range

Crie um acelerador com seus endereços IP

Agora você pode criar um acelerador com seus endereços IP. Se você trouxe um intervalo de endereços para a AWS, poderá atribuir um endereço IP ao acelerador. Se você trouxe dois intervalos de endereços, poderá atribuir um endereço IP de cada intervalo de endereços ao acelerador.

Você tem várias opções para criar um acelerador usando seus próprios endereços IP para os endereços IP estáticos: