Utilizzare i propri indirizzi IP (BYOIP) in AWS Global Accelerator - AWS Global Accelerator
RequirementsAutorizzazione intervallo di indirizzi IPEseguire il provisioning dell'intervallo di indirizzi da utilizzare con AWS Global AcceleratorPubblicizzazione dell'intervallo di indirizzi attraverso AWSAnnullamento del provisioning dell'intervallo di indirizziCreazione di un acceleratore

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzare i propri indirizzi IP (BYOIP) in AWS Global Accelerator

AWS Global Accelerator utilizza indirizzi IP statici come punti di ingresso per i tuoi acceleratori. Questi indirizzi IP sono anycast da posizioni edge AWS. Per impostazione predefinita, Global Accelerator fornisce indirizzi IP statici dalPool di indirizzi IP Amazon: . Invece di utilizzare gli indirizzi IP forniti da Global Accelerator, è possibile configurare questi punti di ingresso come indirizzi IPv4 da intervalli di indirizzi personalizzati. Questo argomento spiega come utilizzare i propri intervalli di indirizzi IP personalizzati con Global Accelerator.

È possibile impiegare una parte o tutti i propri indirizzi IPv4 pubblici dalla rete locale per il proprio account AWS per l'utilizzo con Global Accelerator. Continuerai a essere il titolare degli intervalli di indirizzi, ma AWS li pubblicizza su Internet.

Non puoi utilizzare gli indirizzi IP che porti ad AWS per un servizio AWS con un altro servizio. I passaggi in questo capitolo descrivono come portare il proprio intervallo di indirizzi IP da utilizzare solo in AWS Global Accelerator. Per informazioni sulla procedura per portare il proprio intervallo di indirizzi IP da utilizzare in Amazon EC2, consultaUtilizzare i propri indirizzi IP (BYOIP)Nella Guida per l'utente di Amazon EC2.

Importante

È necessario smettere di pubblicizzare il proprio intervallo di indirizzi IP da altri percorsi prima di pubblicizzarlo tramite AWS. Se un intervallo di indirizzi IP è multihomed (ovvero, l'intervallo è pubblicizzato da più fornitori di servizi contemporaneamente), non possiamo garantire che il traffico verso l'intervallo di indirizzi entri nella nostra rete o che il flusso di lavoro pubblicitario BYOIP venga completato correttamente.

Dopo aver portato un intervallo di indirizzi ad AWS, viene visualizzato nell'account come un pool di indirizzi. Quando si crea un acceleratore, è possibile assegnargli un indirizzo IP dell'intervallo. Global Accelerator ti assegna un secondo indirizzo IP statico da un intervallo di indirizzi IP Amazon. Se si portano due intervalli di indirizzi IP ad AWS, è possibile assegnare un indirizzo IP da ogni intervallo all'acceleratore. Questa restrizione è dovuta al fatto che Global Accelerator assegna ogni intervallo di indirizzi a una zona di rete diversa, per una disponibilità elevata.

Per utilizzare un intervallo di indirizzi IP personalizzato con Global Accelerator, esaminare i requisiti e quindi seguire i passaggi descritti in questo argomento.

Requirements

Puoi portare fino a due intervalli di indirizzi IP idonei a AWS Global Accelerator per account AWS.

Per essere qualificato, l'intervallo di indirizzi IP deve soddisfare i seguenti requisiti:

  • L'intervallo di indirizzi IP deve essere registrato in uno dei seguenti registri Internet regionali (RIR): American Registry for Internet Numeri (ARIN), Réseaux IP Européens Network Coordination Centre (RIPE) o Asia-Pacific Network Information Centre (APNIC). L'intervallo di indirizzi deve essere registrato in un'entità aziendale o istituzionale. Non può essere registrato per un individuo.

  • L'intervallo di indirizzi più specifico che puoi portare è /24. I primi 24 bit dell'indirizzo IP specificano il numero di rete. Ad esempio, 198.51.100 è il numero di rete per l'indirizzo IP 198.51.100.0.

  • Gli indirizzi IP nell'intervallo di indirizzi deve avere una cronologia pulita. Cioè, non possono avere una cattiva reputazione o essere associati a comportamenti dannosi. È opportuno rifiutare l'intervallo di indirizzi IP se esaminiamo la reputazione dell'intervallo di indirizzi IP e scopra che contiene un indirizzo IP che non ha una cronologia pulita.

Inoltre, sono necessari i seguenti tipi o stati di rete di allocazione e assegnazione, a seconda della posizione in cui è stato registrato l'intervallo di indirizzi IP:

  • ARIN:Direct AllocationeDirect AssignmentTipi di rete

  • MATURI:ALLOCATED PA,LEGACY, eASSIGNED PIStati di allocazione

  • APNIC:ALLOCATED PORTABLEeASSIGNED PORTABLEStati di allocazione

Preparazione per portare il proprio intervallo di indirizzi IP all'account AWS: Autorizzazione

Per garantire che solo tu possa portare lo spazio del tuo indirizzo IP ad Amazon, abbiamo bisogno di due autorizzazioni:

  • Devi autorizzare Amazon a pubblicizzare l'intervallo di indirizzi IP.

  • È necessario fornire la prova che si possiede l'intervallo di indirizzi IP e quindi avere l'autorità di portarlo ad AWS.

    Nota

    Quando usi BYOIP per portare un intervallo di indirizzi IP in AWS, non puoi trasferire la proprietà di tale intervallo di indirizzi a un altro account o società mentre lo pubblicizziamo. Inoltre, non è possibile trasferire direttamente un intervallo di indirizzi IP da un account AWS a un altro account. Per trasferire la proprietà o per trasferire tra account AWS, è necessario annullare il provisioning dell'intervallo di indirizzi e quindi il nuovo proprietario deve seguire i passaggi per aggiungere l'intervallo di indirizzi al proprio account AWS.

Per autorizzare Amazon a pubblicizzare l'intervallo di indirizzi IP, fornisci ad Amazon un messaggio di autorizzazione firmato. Utilizzare un'autorizzazione origine route (ROA) per fornire questa autorizzazione. Un ROA è un'istruzione crittografica relativa agli annunci route creati tramite il tuo registro Internet regionale (RIR). Un ROA contiene l'intervallo di indirizzi IP, gli Autonomous System Numeri (ASN) autorizzati a pubblicizzare l'intervallo di indirizzi IP e una data di scadenza. Il ROA autorizza Amazon a pubblicizzare un intervallo di indirizzi IP nell'ambito di un sistema autonomo specifico (AS).

Un ROA non autorizza il tuo account AWS a portare l'intervallo di indirizzi IP in AWS. Per fornire questa autorizzazione, è necessario pubblicare un certificato X.509 autofirmato nelle osservazioni Registry Data Access Protocol (RDAP) per l'intervallo di indirizzi IP. Il certificato contiene una chiave pubblica che AWS impiega per verificare la firma del contesto di autorizzazione fornito. Mantenere la chiave privata sicura e utilizzarla per firmare il messaggio del contesto di autorizzazione.

Le sezioni seguenti forniscono informazioni dettagliate su come completare queste attività di autorizzazione. I comandi di questi passaggi sono supportati su Linux. Se si utilizza Windows, è possibile accedere alSottosistema Windows per Linuxper eseguire i comandi Linux.

Passi per fornire l'autorizzazione

Fase 1: Creazione di un oggetto ROA

Crea un oggetto ROA per autorizzare Amazon ASN 16509 a pubblicizzare il tuo intervallo di indirizzi IP e gli ASN autorizzati a pubblicizzare l'intervallo di indirizzi IP. Il ROA deve contenere l'indirizzo IP /24 che si desidera portare in AWS ed è necessario impostare la lunghezza massima su /24.

Per ulteriori informazioni sulla creazione di una richiesta di ROA, vedere le sezioni seguenti, a seconda della posizione in cui è stato registrato l'intervallo di indirizzi IP:

Fase 2: Creazione di un certificato autofirmato X.509

Utilizzare una key pair e un certificato autofirmato X.509 e aggiungere il certificato al record RDAP per il RIR. Di seguito viene descritto come eseguire queste attività.

Nota

LaopensslIn questa procedura è necessario OpenSSL versione 1.0.2 o successive.

Per creare e aggiungere un certificato X.509

  1. Generare una key pair RSA a 2048 bit utilizzando il comando seguente.

    openssl genrsa -out private.key 2048

  2. Utilizzare il comando seguente per creare un certificato X.509 pubblico dalla key pair.

    openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

    In questo esempio, il certificato scade tra 365 giorni; dopo tale data diventa inaffidabile. Quando si esegue il comando, assicurarsi di impostare il valore–daysal valore desiderato per la scadenza corretta. Quando viene richiesto di immettere altre informazioni, è possibile accettare i valori predefiniti.

  3. Aggiorna il record RDAP per il tuo RIR con il certificato X.509 utilizzando la seguente procedura, a seconda del RIR.

    1. Visualizzare il certificato utilizzando il comando seguente.

      cat publickey.cer

    2. Aggiungere il certificato effettuando le seguenti operazioni:

      Importante

      Assicurati di includere il-----BEGIN CERTIFICATE-----e-----END CERTIFICATE-----Dal certificato.

      • Per ARIN, aggiungere il certificato nellaPublic CommentsPer l'intervallo di indirizzi IP.

      • Per RIPE, aggiungere il certificato come nuovodescrPer l'intervallo di indirizzi IP.

      • Per APNIC, inviare la chiave pubblica via e-mail ahelpdesk@apnic.net, il contatto autorizzato APNIC per gli indirizzi IP, per richiedere di aggiungerlo manualmente alremarksCampo.

Fase 3: Creazione di un messaggio di autorizzazione firmato

Crea il messaggio di autorizzazione firmato per consentire ad Amazon di pubblicizzare il tuo intervallo di indirizzi IP.

Il formato del messaggio è il seguente, in cui il valoreYYYYMMDDdata è la data di scadenza del messaggio.

1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS

Per creare il messaggio di autorizzazione firmato

  1. Crea un messaggio di autorizzazione in testo normale e archivialo in una variabile denominatatext_message, come illustrato nell'esempio seguente. Sostituire il numero di account di esempio, l'intervallo di indirizzi IP e la data di scadenza con i valori preferiti.

    text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"

  2. Firma il messaggio di autorizzazione intext_messageUtilizzando la key pair creata nella sezione precedente.

  3. Memorizzare il messaggio in una variabile denominatasigned_message, come illustrato nell'esempio seguente.

    signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt 
						rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | 
						tr -- '+=/' '-_~' | tr -d "\n")

Eseguire il provisioning dell'intervallo di indirizzi da utilizzare con AWS Global Accelerator

Quando effettui il provisioning di un intervallo di indirizzi per l'uso con AWS, confermi di essere il proprietario dell'intervallo di indirizzi e che autorizzi Amazon a pubblicizzarlo. Verifichiamo che tu sia il proprietario dell'intervallo di indirizzi.

È necessario eseguire il provisioning dell'intervallo di indirizzi utilizzando le operazioni CLI o Global Accelerator API. Questa funzionalità non è disponibile nella console AWS.

Per effettuare il provisioning dell'intervallo di indirizzi, utilizza quanto segueProvisionByoipCidrComando. La--cidr-authorization-contextUtilizza le variabili create nella sezione precedente, non il messaggio ROA.

aws globalaccelerator provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message"

Di seguito è riportato un esempio di provisioning di un intervallo di indirizzi.

aws globalaccelerator provision-byoip-cidr 
    --cidr 203.0.113.25/24
    --cidr-authorization-context Message="$text_message",Signature="$signed_message"

Il provisioning di un intervallo di indirizzi è un'operazione asincrona, pertanto la chiamata ritorna immediatamente. Tuttavia, l'intervallo di indirizzi non è pronto per l'uso fino a quando il suo stato non cambia daPENDING_PROVISIONINGDa aREADY: . Il completamento del processo di provisioning può richiedere fino a 3 settimane. Per monitorare lo stato degli intervalli di indirizzi di cui è stato eseguito il provisioning, utilizzare la seguenteListByoIPcidrsComando :

aws globalaccelerator list-byoip-cidrs

Per visualizzare un elenco degli stati per un intervallo di indirizzi IP, vedereByoIPCIDR: .

Quando viene eseguito il provisioning dell'intervallo di indirizzi IP, ilStateIl valore restituito dalist-byoip-cidrsèREADY: . Ad esempio:

{
    "ByoipCidrs": [
        {
            "Cidr": "203.0.113.0/24",
            "State": "READY"
        }
    ]
}

Pubblicizzazione dell'intervallo di indirizzi attraverso AWS

Dopo aver eseguito il provisioning, l'intervallo di indirizzi è pronto per essere pubblicizzato. Deve essere pubblicizzato l'intervallo di indirizzi esatto oggetto del provisioning. Non può essere pubblicizzata solo una parte dell'intervallo di indirizzi oggetto del provisioning. È inoltre necessario smettere di pubblicizzare il proprio intervallo di indirizzi IP da altri percorsi prima di pubblicizzarlo tramite AWS.

Devi pubblicizzare (o interrompere la pubblicità) il tuo intervallo di indirizzi utilizzando le operazioni CLI o Global Accelerator API. Questa funzionalità non è disponibile nella console AWS.

Importante

Assicurati che l'intervallo di indirizzi IP sia pubblicizzato da AWS prima di utilizzare un indirizzo IP del pool con Global Accelerator.

Per pubblicizzare l'intervallo di indirizzi, utilizza quanto seguePubblicitàByoIPCIDRComando.

aws globalaccelerator advertise-byoip-cidr --cidr address-range

Di seguito è riportato un esempio di richiesta di Global Accelerator per pubblicizzare un intervallo di indirizzi.

aws globalaccelerator advertise-byoip-cidr --cidr 203.0.113.0/24

Per monitorare lo stato degli intervalli di indirizzi pubblicati, utilizzare la seguenteListByoIPcidrsComando.

aws globalaccelerator list-byoip-cidrs

Quando il tuo intervallo di indirizzi IP viene pubblicizzato, ilStateIl valore restituito dalist-byoip-cidrsèADVERTISING: . Ad esempio:

{
    "ByoipCidrs": [
        {
            "Cidr": "203.0.113.0/24",
            "State": "ADVERTISING"
        }
    ]
}

Per smettere di pubblicizzare un intervallo di indirizzi, utilizza quanto seguewithdraw-byoip-cidrComando.

Importante

Per interrompere la pubblicità dell'intervallo di indirizzi, è innanzitutto necessario rimuovere tutti gli acceleratori con indirizzi IP statici allocati dal pool di indirizzi. Per eliminare un acceleratore utilizzando la console o le operazioni API, vedere Eliminazione di un acceleratore: .

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

Di seguito è riportato un esempio di richiesta di Global Accelerator di ritirare un intervallo di indirizzi.

aws globalaccelerator withdraw-byoip-cidr 
    --cidr 203.0.113.25/24

Annullamento del provisioning dell'intervallo di indirizzi

Per interrompere l'utilizzo dell'intervallo di indirizzi con AWS, è necessario rimuovere gli acceleratori con indirizzi IP statici allocati dal pool di indirizzi e interrompere la pubblicità dell'intervallo di indirizzi. Dopo aver completato questi passaggi, è possibile annullare il provisioning dell'intervallo di indirizzi.

È necessario interrompere la pubblicità e annullare il provisioning dell'intervallo di indirizzi utilizzando le operazioni CLI o Global Accelerator API. Questa funzionalità non è disponibile nella console AWS.

Fase 1: Eliminare gli acceleratori associati.Per eliminare un acceleratore utilizzando la console o le operazioni API, vedere Eliminazione di un acceleratore: .

Fase 2. Interrompi la pubblicità dell'intervallo di indirizzi. Per smettere di pubblicizzare un intervallo, utilizza quanto seguePrelissoIpcidrComando.

aws globalaccelerator withdraw-byoip-cidr --cidr address-range

Fase 3. Annullamento del provisioning dell'intervallo di indirizzi Per annullare il provisioning dell'intervallo, utilizzare il seguenteDeprovisioning ByoIPCIDRComando.

aws globalaccelerator deprovision-byoip-cidr --cidr address-range

Crea un acceleratore con i tuoi indirizzi IP

Ora puoi creare un acceleratore con i tuoi indirizzi IP. Se hai portato un intervallo di indirizzi ad AWS, puoi assegnare un indirizzo IP all'acceleratore. Se sono stati portati due intervalli di indirizzi, è possibile assegnare un indirizzo IP da ogni intervallo di indirizzi all'acceleratore.

Sono disponibili diverse opzioni per creare un acceleratore utilizzando i propri indirizzi IP per gli indirizzi IP statici: