教學課程:將 ASN 帶到 IPAM - Amazon Virtual Private Cloud
您 ASN 的加入先決條件教學步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學課程:將 ASN 帶到 IPAM

如果您的應用程式使用合作夥伴或客戶允許在其網路中列出的受信任 IP 地址和自治系統編號 (ASNs),您可以在 中執行這些應用程式, AWS 而無需您的合作夥伴或客戶變更其允許清單。

自治系統編號 (ASN) 是全域唯一編號,可透過網際網路識別一組網路,並使用邊界閘道通訊協定與其他網路動態交換路由資料。例如,網際網路服務供應商 (ISPs) 會使用 ASNs 來識別網路流量來源。並非所有組織都會購買自己的 ASNs,但對於這樣做的組織,他們可以將其 ASN 帶到其中 AWS。

攜帶您自己的自主系統編號 (BYOASN) 可讓您 AWS 使用自己的公有 IPv4 而非 Word 來公告您帶至 的 ASN 或 AWS ASN IPv6地址。當您使用 BYOASN 時,來自您 IP 地址的流量會承載您的 ASN,而不是 AWS ASN,而且您的工作負載可由根據 IP 地址和 ASN 允許列出流量的客戶或合作夥伴來存取。

重要

  • 使用 IPAM 主區域中的 IPAM 管理員帳戶完成本教學課程。

  • 本教學課程假設您擁有要帶至 IPAM 的公有 ASNCIDR,且您已將 BYOIP 帶至 , AWS 並將其佈建至公有範圍內的集區。您可以隨時將 ASN 帶至 IPAM,但若要使用,您必須與已帶至您 AWS 帳戶的 CIDR 建立關聯。此教學課程假設您已執行下列作業:如需詳細資訊,請參閱教學課程:將您的 IP 位址帶到 IPAM

  • 您可以在廣告您自己的 ASN 或 a AWS ASN 之間進行變更,不會延遲,但您每小時只能從 AWS ASN 變更為您自己的 ASN 一次。

  • 如果您的 BYOIP 目前CIDR是廣告,則不需要將其從廣告中撤回,即可與 ASN 建立關聯。

您 ASN 的加入先決條件

完成本教學課程需要以下各項:

  • 您的公有 2 位元組或 4 位元組 ASN。

  • 如果您已使用 將 IP 地址範圍帶到 AWS 教學課程:將您的 IP 位址帶到 IPAM,則需要 IP 地址 CIDR 範圍。您也需要私有金鑰。您可以使用您為 帶來 IP 地址 CIDR 範圍時建立的私有金鑰, AWS 也可以如建立私有金鑰中所述建立新的私有金鑰,並在 Word 使用者指南中產生 X.509 憑證 EC2

  • 當您 AWS 使用 將 IPv4 或 IPv6 地址範圍帶到 時教學課程:將您的 IP 位址帶到 IPAM,您可以建立 X.509 憑證,並將 X.509 憑證上傳到 RDAP 中的 RIR 記錄。您必須將建立的相同憑證上傳至 RDAP for the RIR 中的 ASN 記錄。請務必包含 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 字串之前和之後的編碼部分。所有這些內容都必須在單獨的長線上。更新 RDAP 的程序取決於您的 RIR:

    • 對於 ARIN,請使用 Account Manager 入口網站,使用「修改文字」選項,在「公開評論」區段中新增代表 ASN 的「網路資訊ASN」物件的憑證。請勿將其新增至您組織的評論區段。

    • 對於 RIPE,將憑證新增為「descr」欄位至代表 ASN 的「aut-num」物件。您通常可以在

      RIPE 資料庫入口網站 。請勿將其新增至組織的註解區段,或「aut-num」物件的「備註」欄位。

    • 對於 APNIC,請將憑證以電子郵件傳送至 helpdesk@apnic.net,以手動將其新增至 ASN 的「備註」欄位。使用 APNIC 的授權聯絡人傳送電子郵件ASN。

  • 當您將 IP 地址範圍帶至 IPAM 時,您可以建立 ROA 來驗證您是否控制要帶至 IPAM 的 IP 地址空間。除了該 ROA 之外,您必須在 RIR 中具有第二個 ROA,其中包含要帶至 IPAM 的 ASN。如果您的 ROA 中沒有第二個 ASN for the RIR,請完成 3。在 ROA 中建立 Word 物件。 RIR忽略其他步驟。

教學步驟

使用 AWS 主控台或 完成下列步驟 AWS CLI。

AWS Management Console

  1. 在 IPAM 開啟 https://console.aws.amazon.com/ipam/ 主控台。

  2. 在左側導覽窗格中,選擇 IPAMs

  3. 選擇您的 IPAM。

  4. 選擇 BYOASNs 索引標籤,然後選擇佈建 BYOASNs

  5. 輸入 ASN。因此,Message (訊息) 欄位會自動填入下一個步驟中需要登入的訊息。

    • 訊息的格式如下,其中 ACCOUNT 是 AWS 您的帳戶號碼,ASN 是您要帶至 IPAM 的 ASN,YYYYMMDD 是訊息的過期日期 (預設為下個月的最後一天)。範例:

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. 複製訊息並根據需要將到期日期替換為您自己的值。

  7. 使用私有金鑰簽署訊息。範例:

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. 簽章下,輸入簽章。

  9. (選用) 若要佈建另一個 ASN,請選擇佈建另一個 ASN。您最多可以佈建 5 個 ASNs。若要增加此配額,請參閱 IPAM 的配額

  10. 選擇 Provision (佈建)。

  11. BYOASNs 索引標籤中檢視佈建程序。等待 State (狀態) 從 Pending-provision (待佈建) 變更為 Provisioned (已佈建)。7 天後會自動移除處於佈建失敗狀態的BYOASNs。成功佈建 ASN 後,您就可以將其與 BYOIP 建立關聯CIDR。

  12. 在左側導覽窗格中,選擇 Pools (集區)。

  13. 選擇公有範圍。如需有關範圍的詳細資訊,請參閱 IPAM 的運作方式

  14. 選擇已佈建 BYOIP 的區域集CIDR。集區必須具有設定為 EC2 的服務,且必須選擇地區設定。

  15. 選擇 CIDRs 索引標籤,然後選擇 BYOIPCIDR。

  16. 選擇動作 > 管理 BYOASN 關聯

  17. 關聯的 BYOASNs 下,選擇您帶往的 ASN AWS。如果您有多個 ASNs,您可以將多個 ASNs 與 BYOIP 建立關聯CIDR。您可以建立盡可能多的 ASNs 關聯IPAM。請注意,預設情況下,您最多可以帶 5 個 ASNs 轉 IPAM。如需詳細資訊,請參閱IPAM 的配額

  18. 選擇關聯

  19. 等待 ASN 關聯完成。一旦 ASN 成功與 BYOIP 建立關聯CIDR,您就可以CIDR再次公告 BYOIP。

  20. 選擇集區 CIDRs 索引標籤。

  21. 選取BYOIPCIDR,然後選擇動作 > 廣告。因此,會顯示您的 ASN 選項:Amazon ASN 和您帶至 ASNs 的任何 IPAM。

  22. 選取您帶至 ASN 的 IPAM,然後選擇公告 CIDR。因此,CIDR公告 BYOIP,而廣告欄中的值會從撤銷變更為公告。自治系統編號欄會顯示與 ASN 相關聯的 CIDR。

  23. (選用) 如果您決定將 ASN 關聯變更回 Amazon ASN,請選取 BYOIP,CIDR然後再次選擇動作 > 公告。這次,請選擇 Amazon ASN。您可以隨時切換回 Amazon ASN,但您只能每小時變更一次自訂 ASN。

此教學課程完成。

清除

  1. 取消 ASN 與 BYOIP 的關聯 CIDR

    • 若要CIDR從廣告中撤銷 BYOIP,請在公有範圍內的集區中,選擇 BYOIP CIDR並選擇動作 > 從廣告中撤銷

    • 若要取消 ASN 與 CIDR 的關聯,請選擇動作 > 管理 BYOASN 關聯

  2. 取消佈建 ASN

    • 若要取消佈建 ASN,請在 BYOASNs 索引標籤中選擇 ASN,然後選擇取消佈建 ASN。因此,會取消佈建 ASN。處於取消佈建狀態的BYOASNs會在 7 天後自動移除。

清理完成。

Command line

  1. 透過包含您的 ASN 和授權訊息來佈建您的 ASN。簽章是使用私有金鑰簽署的訊息。

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. 描述您的 ASN 以追蹤佈建程序。如果請求成功,您應該會在幾分鐘後看到設定為佈建的 ProvisionStatus

    aws ec2 describe-ipam-byoasn

  3. 將 ASN 與 BYOIP 建立關聯CIDR。您希望從中發佈的任何自訂 ASN 必須先與您的 CIDR 建立關聯。

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. 描述您的 CIDR 以追蹤關聯程序。

    aws ec2 describe-byoip-cidrs --max-results 10

  5. 使用 CIDR 公告您的 ASN。如果 CIDR 已公告,這會將原始 ASN 從 Amazon 轉換為您的 Word。

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. 描述您的 CIDR,以查看從關聯已公告的 ASN 狀態變更。

    aws ec2 describe-byoip-cidrs --max-results 10

此教學課程完成。

清除

  1. 執行以下任意一項:

    • 若要僅撤銷您的 ASN 廣告,並返回使用 Amazon ASNs,同時保持 CIDR 的廣告,您必須呼叫具有 asn 參數特殊 AWS 值的 advertise-byoip-cidr。您可以隨時切換回 Amazon ASN,但您只能每小時變更一次自訂 ASN。

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • 若要同時撤銷 CIDR 和 ASN 廣告,您可以呼叫 withdraw-byoip-cidr。

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. 若要清除 ASN,您必須先將其與 BYOIP 取消關聯CIDR。

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. 一旦 ASN 與您關聯的所有 BYOIP 取消CIDRs關聯後,您就可以取消佈建。

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. 一旦移除所有 BYOIP 關聯,CIDR也可以取消佈建 ASN Word。

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. 確認取消佈建。

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

清理完成。