Tutorial: Traga o seu ASN para o IPAM - Amazon Virtual Private Cloud
Pré-requisitos de integração para seu ASNEtapas do tutorial

Tutorial: Traga o seu ASN para o IPAM

Se os seus aplicativos estiverem utilizando endereços IP confiáveis e Números de Sistemas Autônomos (ASNs) que seus parceiros ou clientes permitiram listar em suas redes, é possível executar esses aplicativos em AWS sem a necessidade de solicitar que seus parceiros ou clientes modifiquem suas listas de permissão.

Um número de sistema autônomo (ASN) é uma designação globalmente exclusiva que possibilita a identificação de um conjunto de redes na Internet e a troca dinâmica de dados de roteamento com outras redes por meio do Border Gateway Protocol. Os provedores de serviços de Internet (ISPs), por exemplo, utilizam ASNs para reconhecer a origem do tráfego de rede. Embora nem todas as organizações adquiram seus próprios ASNs, aquelas que o fazem têm a opção de trazer seu ASN para a AWS.

A funcionalidade BYOASN (Bring your own autonomous system number) possibilita anunciar os endereços IP que você trouxe para a AWS com seu próprio ASN público, em vez de utilizar o ASN da AWS. Ao utilizar o BYOASN, o tráfego originado a partir do seu endereço IP exibe o seu ASN, em vez do ASN da AWS, permitindo que suas cargas de trabalho sejam acessadas por clientes ou parceiros que autorizaram o tráfego com base no seu endereço IP e ASN.

Importante

  • Para seguir este tutorial, é necessário concluir as etapas usando a conta de administrador do IPAM na região inicial do seu IPAM.

  • Pressupõe-se que você seja o proprietário do ASN público que deseja trazer para o IPAM e que já tenha trazido um CIDR BYOIP para AWS e o provisionado para um pool no seu escopo público. Embora seja possível trazer um ASN para o IPAM a qualquer momento, é necessário associá-lo a um CIDR que tenha sido previamente trazido para a sua conta da AWS para utilizá-lo. Este tutorial pressupõe que você já tenha feito isso. Para ter mais informações, consulte Tutorial: trazer seus endereços IP para o IPAM.

  • É possível alternar entre anunciar o seu próprio ASN ou um ASN AWS sem demora, mas há uma restrição que limita a mudança de um ASN AWS para o seu próprio ASN a uma vez por hora.

  • Caso o seu CIDR BYOIP esteja atualmente sendo anunciado, não é necessário retirá-lo da publicidade antes de associá-lo ao seu ASN.

Pré-requisitos de integração para seu ASN

Você precisará do seguinte para concluir este tutorial:

  • Seu ASN público de 2 ou 4 bytes.

  • Se você já trouxe um intervalo de endereços IP para a AWS com Tutorial: trazer seus endereços IP para o IPAM, precisará do intervalo CIDR de endereços IP. Você também precisará de uma chave privada. Você pode usar a chave privada que criou quando trouxe o intervalo CIDR de endereços IP para a AWS ou criar uma nova chave privada conforme descrito em Criar uma chave privada e gerar um certificado X.509 no Guia do usuário do EC2.

  • Ao trazer um intervalo de endereços IP para a AWS com o Tutorial: trazer seus endereços IP para o IPAM, você cria um certificado X.509 e carrega o certificado X.509 no registro RDAP em seu RIR. Você deve carregar o mesmo certificado que criou no registro RDAP em seu RIR para o ASN. Certifique-se de incluir as strings -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- antes e depois da parte codificada. Todo esse conteúdo deve estar em uma única e longa linha. O procedimento para atualizar o RDAP depende do RIR:

    • Para o ARIN, use o portal do Account Manager para adicionar o certificado na seção “Comentários públicos” para o objeto “Informações de rede” que representa seu ASN usando a opção “Modificar ASN”. Não o adicione à seção de comentários da sua organização.

    • Para o RIPE, adicione o certificado como um novo campo “descr” ao objeto “aut-num” que representa seu ASN. Geralmente, eles podem ser encontrados na seção “Meus recursos” do

      portal do banco de dados RIPE. Não o adicione à seção de comentários da sua organização ou ao campo “comentários” do objeto “aut-num”.

    • Para o APNIC, envie o certificado por e-mail para helpdesk@apnic.net para adicioná-lo manualmente ao campo “observações” do seu ASN. Envie o e-mail usando o contato autorizado do APNIC para o ASN.

Etapas do tutorial

Conclua as etapas abaixo usando o AWS console ou o AWS CLI.

AWS Management Console

  1. Abra o console do IPAM em https://console.aws.amazon.com/ipam/.

  2. No painel de navegação, selecione IPAMs.

  3. Escolha seu IPAM.

  4. Escolha a guia BYOASNS e escolha Provisionar por OASNS.

  5. Insira o ASN. Como resultado, o campo Mensagem é preenchido automaticamente com a mensagem que você precisará assinar na próxima etapa.

    • A estrutura da mensagem é a seguinte, em que ACCOUNT é o número da sua conta AWS, ASN é o número de Sistema Autônomo (ASN) que você está fornecendo ao IPAM, e AAAAMMDD é a data de expiração da mensagem (padrão: último dia do mês seguinte). Exemplo:

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Copie a mensagem e substitua a data de validade pelo seu próprio valor, se quiser.

  7. Assine a mensagem usando a chave privada. Exemplo:

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. Em Assinatura, insira a assinatura.

  9. (Opcional) Para provisionar outro ASN, escolha Provisionar outro ASN. Você pode provisionar até 5 ASNs. Para aumentar essa cota, consulte o Cotas para o IPAM.

  10. Escolha Provisionar.

  11. Veja o processo de provisionamento na guia BYOASNs. Aguarde até que o status mude de Provisão pendente para Provisionado. Os BYOASNs em um status de provisão com falha são removidos automaticamente após 7 dias. Depois que o ASN for provisionado com sucesso, você poderá associá-lo a um CIDR BYOIP.

  12. No painel de navegação à esquerda, escolha Grupos.

  13. Escolha seu escopo público. Para obter mais informações sobre escopos, consulte Como funciona o IPAM.

  14. Escolha um grupo regional que tenha um CIDR BYOIP provisionado. O grupo deve ter o serviço definido como EC2 e deve ter uma localidade escolhida.

  15. Escolha a guia CIDRs e selecione um CIDR BYOIP.

  16. Escolha Ações > Gerenciar associações BYOASN.

  17. Em BYOASNs associadas, escolha o ASN que você trouxe para AWS. Se você tiver vários ASNs, poderá associar vários ASNs ao CIDR BYOIP. Você pode associar o máximo de ASNs que puder trazer para o IPAM. Observe que você pode trazer até 5 ASNs para o IPAM por padrão. Para ter mais informações, consulte Cotas para o IPAM.

  18. Selecione Associar.

  19. Aguarde a conclusão da associação com o ASN. Depois que o ASN for associado com sucesso ao CIDR BYOIP, você poderá anunciar o CIDR BYOIP novamente.

  20. Escolha a guia CIDRs do grupo.

  21. Selecione o CIDR de BYOIP e escolha Actions (Ações) >Advertise (Anunciar). Como resultado, suas opções de ASN são exibidas: o ASN da Amazon e todos os ASNs que você trouxe para o IPAM.

  22. Selecione o ASN que você trouxe para o IPAM e escolha Anunciar CIDR. Como resultado, o CIDR BYOIP é anunciado e o valor na coluna Anúncios muda de Withdrawn Retirado para Anunciado. A coluna Número do Sistema Autônomo exibe o ASN associado ao CIDR.

  23. (opcional) Se você decidir que deseja alterar a associação de ASN de volta para o Amazon ASN, selecione o CIDR BYOIP e escolha Ações > Anunciar novamente. Desta vez, escolha o Amazon ASN. Você pode voltar ao ASN da Amazon a qualquer momento, mas só pode mudar para um ASN personalizado uma vez a cada hora.

O tutorial está completo.

Limpeza

  1. Desassocie o ASN do CIDR BYOIP

    • Para retirar o BYOIP CIDR da publicidade, em seu grupo no escopo público, escolha o BYOIP CIDR e selecione Ações > Retirar anúncio.

    • Para desassociar o ASN do CIDR, escolha Ações > Gerenciar associações BYOASN.

  2. Desprovisionar o ASN

    • Para desprovisionar o ASN, escolha o ASN e escolha Desprovisionar ASN na guia ByOASNS. Como resultado, o ASN é desprovisionado. Os BYOASNs em um status de desprovisionado são removidos automaticamente após 7 dias.

A limpeza está completa.

Command line

  1. Provisione seu ASN incluindo seu ASN e a mensagem de autorização. A assinatura é a mensagem assinada com sua chave privada.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Descreva seu ASN para monitorar o processo de provisionamento. Se a solicitação for bem-sucedida, você deverá ver o provisionStatus definido como provisionado após alguns minutos.

    aws ec2 describe-ipam-byoasn

  3. Associe seu ASN ao seu CIDR BYOIP. Qualquer ASN personalizado a partir do qual você deseja anunciar deve primeiro ser associado ao seu CIDR.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Descreva seu CIDR para acompanhar o processo de associação.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Anuncie seu CIDR com seu ASN. Se o CIDR já estiver anunciado, isso trocará o ASN de origem do da Amazon para o seu.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Descreva seu CIDR para ver a alteração do estado do ASN de associado para anunciado.

    aws ec2 describe-byoip-cidrs --max-results 10

O tutorial está completo.

Limpeza

  1. Execute um destes procedimentos:

    • Para retirar apenas o anúncio de ASN e voltar a usar os ASNs da Amazon, mantendo o CIDR anunciado, você deve chamar advertise-byoip-cidr com o valor AWS especial para o parâmetro asn. Você pode voltar ao ASN da Amazon a qualquer momento, mas só pode mudar para um ASN personalizado uma vez a cada hora.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Para retirar seu anúncio CIDR e ASN simultaneamente, você pode chamar draw-byoip-cidr.

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Para limpar seu ASN, você deve primeiro desassociá-lo do seu CIDR BYOIP.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Depois que seu ASN for desassociado de todos os CIDRs BYOIP aos quais você o associou, você poderá desprovisioná-lo.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. O CIDR BYOIP também pode ser desprovisionado quando todas as associações de ASN forem removidas.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Confirme o desprovisionamento.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

A limpeza está completa.