Tutorial: Bawa ASN Anda ke IPAM

Mode fokus

Tutorial: Bawa ASN Anda ke IPAM - Amazon Virtual Private Cloud

Prasyarat orientasi untuk ASN Anda Langkah-langkah tutorial

Jika aplikasi Anda menggunakan alamat IP tepercaya dan Nomor Sistem Otonom (ASNs) yang diizinkan oleh mitra atau pelanggan Anda yang tercantum di jaringan mereka, Anda dapat menjalankan aplikasi ini AWS tanpa mengharuskan mitra atau pelanggan Anda untuk mengubah daftar izin mereka.

Autonomous System Number (ASN) adalah nomor unik global yang memungkinkan sekelompok jaringan diidentifikasi melalui internet dan bertukar data routing dengan jaringan lain secara dinamis menggunakan Border Gateway Protocol. Penyedia layanan Internet (ISPs), misalnya, digunakan ASNs untuk mengidentifikasi sumber lalu lintas jaringan. Tidak semua organisasi membeli sendiri ASNs, tetapi untuk organisasi yang melakukannya, mereka dapat membawa ASN mereka. AWS

Bawa nomor sistem otonom Anda sendiri (BYOASN) memungkinkan Anda untuk mengiklankan IPv4 atau IPv6 alamat yang Anda bawa AWS dengan ASN publik Anda sendiri alih-alih ASN. AWS Saat Anda menggunakan BYOASN, lalu lintas yang berasal dari alamat IP Anda membawa ASN Anda alih-alih AWS ASN, dan beban kerja Anda dapat dijangkau oleh pelanggan atau mitra yang telah mengizinkan lalu lintas terdaftar berdasarkan alamat IP dan ASN Anda.

penting

Lengkapi tutorial ini menggunakan akun admin IPAM di Region rumah IPAM Anda.
Tutorial ini mengasumsikan Anda memiliki ASN publik yang ingin Anda bawa ke IPAM dan bahwa Anda telah membawa BYOIP CIDR dan menyediakannya ke kolam di AWS ruang lingkup publik Anda. Anda dapat membawa ASN ke IPAM kapan saja, tetapi untuk menggunakannya, Anda harus mengaitkan dengan CIDR yang telah Anda bawa ke akun Anda. AWS Tutorial ini mengasumsikan bahwa Anda telah melakukan itu. Untuk informasi selengkapnya, lihat Tutorial: Bawa alamat IP Anda ke IPAM.
Anda dapat mengubah antara iklan Anda ASN Anda sendiri atau AWS ASN tanpa penundaan, tetapi Anda terbatas untuk mengubah dari ASN ke AWS ASN Anda sendiri sekali per jam.
Jika BYOIP CIDR Anda saat ini diiklankan, Anda tidak perlu menariknya dari iklan untuk dikaitkan dengan ASN Anda.

Prasyarat orientasi untuk ASN Anda

Anda akan memerlukan yang berikut untuk menyelesaikan tutorial ini:

ASN 2-byte atau 4-byte publik Anda.
Jika Anda sudah membawa rentang alamat IP ke AWS withTutorial: Bawa alamat IP Anda ke IPAM, Anda memerlukan rentang CIDR alamat IP. Anda juga memerlukan kunci pribadi. Anda dapat menggunakan kunci pribadi yang Anda buat saat membawa rentang CIDR alamat IP AWS atau Anda dapat membuat kunci pribadi baru seperti yang dijelaskan dalam Buat kunci pribadi dan buat sertifikat X.509 di Panduan Pengguna Amazon. EC2
Saat Anda membawa rentang IPv6 alamat IPv4 atauTutorial: Bawa alamat IP Anda ke IPAM, Anda membuat sertifikat X.509 dan mengunggah sertifikat X.509 ke catatan RDAP di RIR Anda. AWS Anda harus mengunggah sertifikat yang sama yang Anda buat ke catatan RDAP di RIR Anda untuk ASN. Pastikan untuk memasukkan string -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE----- sebelum dan sesudah bagian yang dikodekan. Semua konten ini harus dalam satu baris panjang. Prosedur untuk memperbarui RDAP tergantung pada RIR Anda:
- Untuk ARIN, gunakan portal Manajer Akun untuk menambahkan sertifikat di bagian “Komentar Publik” untuk objek “Informasi Jaringan” yang mewakili ASN Anda dengan menggunakan opsi “Ubah ASN”. Jangan menambahkannya ke bagian komentar untuk organisasi Anda.
- Untuk RIPE, tambahkan sertifikat sebagai bidang “descr” baru ke objek “aut-num” yang mewakili ASN Anda. Ini biasanya dapat ditemukan di bagian “Sumber Daya Saya” dari
  
  Portal Database RIPE. Jangan menambahkannya ke bagian komentar untuk organisasi Anda atau bidang “komentar” dari objek “aut-num”.
- Untuk APNIC, kirim email sertifikat ke helpdesk@apnic.net untuk menambahkannya secara manual ke bidang “komentar” untuk ASN Anda. Kirim email menggunakan kontak resmi APNIC untuk ASN.
Saat Anda membawa rentang alamat IP ke IPAM, Anda membuat ROA untuk memverifikasi bahwa Anda mengontrol ruang alamat IP yang Anda bawa ke IPAM. Selain ROA itu, Anda harus memiliki ROA kedua di RIR Anda dengan ASN yang Anda bawa ke IPAM. Jika Anda tidak memiliki ROA kedua ini untuk ASN di RIR Anda, selesaikan 3. Buat objek ROA di RIR Anda. Abaikan langkah-langkah lainnya.

Langkah-langkah tutorial

Selesaikan langkah-langkah di bawah ini menggunakan AWS konsol atau AWS CLI.

AWS Management Console

Buka konsol IPAM di https://console.aws.amazon.com/ipam/.
Di panel navigasi kiri, pilih IPAMs.
Pilih IPAM Anda.
Pilih BYOASNstab dan pilih Ketentuan BYOASNs.
Masukkan ASN. Akibatnya, bidang Pesan secara otomatis diisi dengan pesan yang Anda perlukan untuk masuk pada langkah berikutnya.
- Format pesan adalah sebagai berikut, di mana AKUN adalah nomor AWS akun Anda, ASN adalah ASN yang Anda bawa ke IPAM, dan YYYYMMDD adalah tanggal kedaluwarsa pesan (yang default ke hari terakhir bulan berikutnya). Contoh:
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
Salin pesan dan ganti tanggal kedaluwarsa dengan nilai Anda sendiri jika Anda mau.

Tanda tangani pesan menggunakan kunci pribadi. Contoh:


signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

Di bawah Tanda Tangan, masukkan tanda tangan.
(Opsional) Untuk menyediakan ASN lain, pilih Ketentuan ASN lain. Anda dapat menyediakan hingga 5 ASNs. Untuk meningkatkan kuota ini, lihatKuota untuk IPAM Anda.
Pilih Ketentuan.
Lihat proses penyediaan di tab. BYOASNs Tunggu Negara berubah dari Pending-provision ke Provisioned. BYOASNs dalam status Gagal ketentuan secara otomatis dihapus setelah 7 hari. Setelah ASN berhasil disediakan, Anda dapat mengaitkannya dengan BYOIP CIDR.
Di panel navigasi kiri, pilih Pools.
Pilih ruang lingkup publik Anda. Untuk informasi lebih lanjut tentang cakupan, lihatBagaimana IPAM bekerja.
Pilih kolam regional yang memiliki BYOIP CIDR yang disediakan untuknya. Kolam harus memiliki Layanan yang disetel ke EC2dan harus memiliki lokal yang dipilih.
Pilih CIDRstab dan pilih BYOIP CIDR.
Pilih Tindakan > Kelola asosiasi BYOASN.
Di bawah Associated BYOASNs, pilih ASN yang Anda bawa. AWS Jika Anda memiliki beberapa ASNs, Anda dapat mengaitkan beberapa ASNs ke BYOIP CIDR. Anda dapat mengasosiasikan ASNs sebanyak yang dapat Anda bawa ke IPAM. Perhatikan bahwa Anda dapat membawa hingga 5 ASNs ke IPAM secara default. Untuk informasi selengkapnya, lihat Kuota untuk IPAM Anda.
Pilih Kaitkan.
Tunggu asosiasi ASN selesai. Setelah ASN berhasil dikaitkan dengan BYOIP CIDR, Anda dapat mengiklankan BYOIP CIDR lagi.
Pilih CIDRstab kolam renang.
Pilih CIDR BYOIP dan pilih Actions > Advertise. Akibatnya, opsi ASN Anda ditampilkan: Amazon ASN dan apa pun yang ASNs Anda bawa ke IPAM.
Pilih ASN yang Anda bawa ke IPAM dan pilih Iklan CIDR. Akibatnya, CIDR BYOIP diiklankan dan nilai di kolom Iklan berubah dari Ditarik ke Iklan. Kolom Autonomous System Number menampilkan ASN yang terkait dengan CIDR.
(opsional) Jika Anda memutuskan ingin mengubah asosiasi ASN kembali ke Amazon ASN, pilih CIDR BYOIP dan pilih Tindakan > Beriklan lagi. Kali ini, pilih Amazon ASN. Anda dapat menukar kembali ke Amazon ASN kapan saja, tetapi Anda hanya dapat mengubah ke ASN khusus setiap jam sekali.

Tutorialnya selesai.

Pembersihan

Putuskan ASN dari BYOIP CIDR
- Untuk menarik BYOIP CIDR dari iklan, di kolam Anda di ruang lingkup publik, pilih CIDR BYOIP dan pilih Tindakan > Penarikan dari iklan.
- Untuk memisahkan ASN dari CIDR, pilih Tindakan > Kelola asosiasi BYOASN.
Penundaan ASN
- Untuk membatalkan ASN, di BYOASNs tab, pilih ASN dan pilih Deprovision ASN. Akibatnya, ASN dideprovisi. BYOASNs dalam keadaan Deprovisioned secara otomatis dihapus setelah 7 hari.

Pembersihan selesai.

Command line

Menyediakan ASN Anda dengan menyertakan ASN dan pesan otorisasi Anda. Tanda tangan adalah pesan yang ditandatangani dengan kunci pribadi Anda.


aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

Jelaskan ASN Anda untuk melacak proses penyediaan. Jika permintaan berhasil, Anda akan melihat ProvisionStatusset ke provisioned setelah beberapa menit.
```
aws ec2 describe-ipam-byoasn 
```
Kaitkan ASN Anda dengan BYOIP CIDR Anda. ASN kustom apa pun yang ingin Anda iklankan harus terlebih dahulu dikaitkan dengan CIDR Anda.
```
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Jelaskan CIDR Anda untuk melacak proses asosiasi.
```
aws ec2 describe-byoip-cidrs --max-results 10
```
Iklankan CIDR Anda dengan ASN Anda. Jika CIDR sudah diiklankan, ini akan menukar ASN asal dari Amazon ke milik Anda.
```
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Jelaskan CIDR Anda untuk melihat perubahan status ASN dari terkait ke yang diiklankan.
```
aws ec2 describe-byoip-cidrs --max-results 10
```

Tutorialnya selesai.

Pembersihan

Lakukan salah satu hal berikut ini:
- Untuk menarik hanya iklan ASN Anda dan kembali menggunakan Amazon ASNs sambil tetap mengiklankan CIDR, Anda harus menelepon advertise-byoip-cidr dengan AWS nilai khusus untuk parameter asn. Anda dapat menukar kembali ke Amazon ASN kapan saja, tetapi Anda hanya dapat mengubah ke ASN khusus setiap jam sekali.
```
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n 
```
- Untuk menarik iklan CIDR dan ASN Anda secara bersamaan, Anda dapat menelepon. withdraw-byoip-cidr
```
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
```
Untuk membersihkan ASN Anda, Anda harus terlebih dahulu memisahkannya dari BYOIP CIDR Anda.
```
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Setelah ASN Anda dipisahkan dari semua BYOIP CIDRs yang Anda kaitkan, Anda dapat membatasinya.
```
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345 
```

BYOIP CIDR juga dapat dideprovisioned setelah semua asosiasi ASN dihapus.


aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

Konfirmasikan deprovisioning.


aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Pembersihan selesai.

anchor anchor

Buka konsol IPAM di https://console.aws.amazon.com/ipam/.
Di panel navigasi kiri, pilih IPAMs.
Pilih IPAM Anda.
Pilih BYOASNstab dan pilih Ketentuan BYOASNs.
Masukkan ASN. Akibatnya, bidang Pesan secara otomatis diisi dengan pesan yang Anda perlukan untuk masuk pada langkah berikutnya.
- Format pesan adalah sebagai berikut, di mana AKUN adalah nomor AWS akun Anda, ASN adalah ASN yang Anda bawa ke IPAM, dan YYYYMMDD adalah tanggal kedaluwarsa pesan (yang default ke hari terakhir bulan berikutnya). Contoh:
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
Salin pesan dan ganti tanggal kedaluwarsa dengan nilai Anda sendiri jika Anda mau.

Tanda tangani pesan menggunakan kunci pribadi. Contoh:


signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

Di bawah Tanda Tangan, masukkan tanda tangan.
(Opsional) Untuk menyediakan ASN lain, pilih Ketentuan ASN lain. Anda dapat menyediakan hingga 5 ASNs. Untuk meningkatkan kuota ini, lihatKuota untuk IPAM Anda.
Pilih Ketentuan.
Lihat proses penyediaan di tab. BYOASNs Tunggu Negara berubah dari Pending-provision ke Provisioned. BYOASNs dalam status Gagal ketentuan secara otomatis dihapus setelah 7 hari. Setelah ASN berhasil disediakan, Anda dapat mengaitkannya dengan BYOIP CIDR.
Di panel navigasi kiri, pilih Pools.
Pilih ruang lingkup publik Anda. Untuk informasi lebih lanjut tentang cakupan, lihatBagaimana IPAM bekerja.
Pilih kolam regional yang memiliki BYOIP CIDR yang disediakan untuknya. Kolam harus memiliki Layanan yang disetel ke EC2dan harus memiliki lokal yang dipilih.
Pilih CIDRstab dan pilih BYOIP CIDR.
Pilih Tindakan > Kelola asosiasi BYOASN.
Di bawah Associated BYOASNs, pilih ASN yang Anda bawa. AWS Jika Anda memiliki beberapa ASNs, Anda dapat mengaitkan beberapa ASNs ke BYOIP CIDR. Anda dapat mengasosiasikan ASNs sebanyak yang dapat Anda bawa ke IPAM. Perhatikan bahwa Anda dapat membawa hingga 5 ASNs ke IPAM secara default. Untuk informasi selengkapnya, lihat Kuota untuk IPAM Anda.
Pilih Kaitkan.
Tunggu asosiasi ASN selesai. Setelah ASN berhasil dikaitkan dengan BYOIP CIDR, Anda dapat mengiklankan BYOIP CIDR lagi.
Pilih CIDRstab kolam renang.
Pilih CIDR BYOIP dan pilih Actions > Advertise. Akibatnya, opsi ASN Anda ditampilkan: Amazon ASN dan apa pun yang ASNs Anda bawa ke IPAM.
Pilih ASN yang Anda bawa ke IPAM dan pilih Iklan CIDR. Akibatnya, CIDR BYOIP diiklankan dan nilai di kolom Iklan berubah dari Ditarik ke Iklan. Kolom Autonomous System Number menampilkan ASN yang terkait dengan CIDR.
(opsional) Jika Anda memutuskan ingin mengubah asosiasi ASN kembali ke Amazon ASN, pilih CIDR BYOIP dan pilih Tindakan > Beriklan lagi. Kali ini, pilih Amazon ASN. Anda dapat menukar kembali ke Amazon ASN kapan saja, tetapi Anda hanya dapat mengubah ke ASN khusus setiap jam sekali.

Tutorialnya selesai.

Pembersihan

Putuskan ASN dari BYOIP CIDR
- Untuk menarik BYOIP CIDR dari iklan, di kolam Anda di ruang lingkup publik, pilih CIDR BYOIP dan pilih Tindakan > Penarikan dari iklan.
- Untuk memisahkan ASN dari CIDR, pilih Tindakan > Kelola asosiasi BYOASN.
Penundaan ASN
- Untuk membatalkan ASN, di BYOASNs tab, pilih ASN dan pilih Deprovision ASN. Akibatnya, ASN dideprovisi. BYOASNs dalam keadaan Deprovisioned secara otomatis dihapus setelah 7 hari.