Se os seus aplicativos estiverem utilizando endereços IP confiáveis e Números de Sistemas Autônomos (ASNs) que seus parceiros ou clientes permitiram listar em suas redes, é possível executar esses aplicativos em AWS sem a necessidade de solicitar que seus parceiros ou clientes modifiquem suas listas de permissão.
Um número de sistema autônomo (ASN) é uma designação globalmente exclusiva que possibilita a identificação de um conjunto de redes na Internet e a troca dinâmica de dados de roteamento com outras redes por meio do Border Gateway Protocol
A funcionalidade BYOASN (Bring your own autonomous system number) permite anunciar os endereços IPv4 ou IPv6 que você traz para a AWS com seu próprio ASN público, em vez do ASN da AWS. Ao utilizar o BYOASN, o tráfego originado a partir do seu endereço IP exibe o seu ASN, em vez do ASN da AWS, permitindo que suas cargas de trabalho sejam acessadas por clientes ou parceiros que autorizaram o tráfego com base no seu endereço IP e ASN.
Importante
Para seguir este tutorial, é necessário concluir as etapas usando a conta de administrador do IPAM na região inicial do seu IPAM.
Pressupõe-se que você seja o proprietário do ASN público que deseja trazer para o IPAM e que já tenha trazido um CIDR BYOIP para AWS e o provisionado para um pool no seu escopo público. Embora seja possível trazer um ASN para o IPAM a qualquer momento, é necessário associá-lo a um CIDR que tenha sido previamente trazido para a sua conta da AWS para utilizá-lo. Este tutorial pressupõe que você já tenha feito isso. Para ter mais informações, consulte Tutorial: trazer seus endereços IP para o IPAM.
É possível alternar entre anunciar o seu próprio ASN ou um ASN AWS sem demora, mas há uma restrição que limita a mudança de um ASN AWS para o seu próprio ASN a uma vez por hora.
Caso o seu CIDR BYOIP esteja atualmente sendo anunciado, não é necessário retirá-lo da publicidade antes de associá-lo ao seu ASN.
Pré-requisitos de integração para seu ASN
Você precisará do seguinte para concluir este tutorial:
-
Seu ASN público de 2 ou 4 bytes.
-
Se você já trouxe um intervalo de endereços IP para a AWS com Tutorial: trazer seus endereços IP para o IPAM, precisará do intervalo CIDR de endereços IP. Você também precisará de uma chave privada. É possível usar a chave privada que foi criada ao importar o intervalo de CIDR do endereço IP para a AWS ou criar uma nova chave privada, como descrito em Crie uma chave privada e gere um certificado X.509 no Guia do usuário do Amazon EC2.
-
Quando traz um intervalo de endereços IPv4 ou IPv6 para a AWS com Tutorial: trazer seus endereços IP para o IPAM, você cria um certificado X.509 e carrega-o no registro RDAP no RIR. Você deve carregar o mesmo certificado que criou no registro RDAP em seu RIR para o ASN. Certifique-se de incluir as strings
-----BEGIN CERTIFICATE-----e-----END CERTIFICATE-----antes e depois da parte codificada. Todo esse conteúdo deve estar em uma única e longa linha. O procedimento para atualizar o RDAP depende do RIR:-
Para o ARIN, use o portal do Account Manager
para adicionar o certificado na seção “Comentários públicos” para o objeto “Informações de rede” que representa seu ASN usando a opção “Modificar ASN”. Não o adicione à seção de comentários da sua organização. -
Para o RIPE, adicione o certificado como um novo campo “descr” ao objeto “aut-num” que representa seu ASN. Geralmente, eles podem ser encontrados na seção “Meus recursos” do
portal do banco de dados RIPE
. Não o adicione à seção de comentários da sua organização ou ao campo “comentários” do objeto “aut-num”. -
Para o APNIC, envie o certificado por e-mail para helpdesk@apnic.net
para adicioná-lo manualmente ao campo “observações” do seu ASN. Envie o e-mail usando o contato autorizado do APNIC para o ASN.
-
-
Ao trazer um intervalo de endereços IP para o IPAM, você cria uma ROA para confirmar que controla o espaço de endereço IP que está trazendo para o IPAM. Além dessa ROA, você deve ter uma segunda ROA no RIR com o ASN que você está trazendo para o IPAM. Se você não tiver essa segunda ROA para o ASN no RIR, conclua o item 3. Criar um objeto ROA no seu RIR. Ignore as outras etapas.
Etapas do tutorial
Conclua as etapas abaixo usando o AWS console ou o AWS CLI.
Abra o console do IPAM em https://console.aws.amazon.com/ipam/
. No painel de navegação, selecione IPAMs.
Escolha seu IPAM.
Escolha a guia BYOASNS e escolha Provisionar por OASNS.
Insira o ASN. Como resultado, o campo Mensagem é preenchido automaticamente com a mensagem que você precisará assinar na próxima etapa.
A estrutura da mensagem é a seguinte, em que ACCOUNT é o número da sua conta AWS, ASN é o número de Sistema Autônomo (ASN) que você está fornecendo ao IPAM, e AAAAMMDD é a data de expiração da mensagem (padrão: último dia do mês seguinte). Exemplo: .
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
Copie a mensagem e substitua a data de validade pelo seu próprio valor, se quiser.
Assine a mensagem usando a chave privada. Exemplo: .
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")Em Assinatura, insira a assinatura.
(Opcional) Para provisionar outro ASN, escolha Provisionar outro ASN. Você pode provisionar até 5 ASNs. Para aumentar essa cota, consulte o Cotas para o IPAM.
Escolha Provisionar.
Veja o processo de provisionamento na guia BYOASNs. Aguarde até que o status mude de Provisão pendente para Provisionado. Os BYOASNs em um status de provisão com falha são removidos automaticamente após 7 dias. Depois que o ASN for provisionado com sucesso, você poderá associá-lo a um CIDR BYOIP.
No painel de navegação à esquerda, escolha Grupos.
Escolha seu escopo público. Para obter mais informações sobre escopos, consulte Como funciona o IPAM.
Escolha um grupo regional que tenha um CIDR BYOIP provisionado. O grupo deve ter o serviço definido como EC2 e deve ter uma localidade escolhida.
Escolha a guia CIDRs e selecione um CIDR BYOIP.
Escolha Ações > Gerenciar associações BYOASN.
Em BYOASNs associadas, escolha o ASN que você trouxe para AWS. Se você tiver vários ASNs, poderá associar vários ASNs ao CIDR BYOIP. Você pode associar o máximo de ASNs que puder trazer para o IPAM. Observe que você pode trazer até 5 ASNs para o IPAM por padrão. Para ter mais informações, consulte Cotas para o IPAM.
Selecione Associar .
Aguarde a conclusão da associação com o ASN. Depois que o ASN for associado com sucesso ao CIDR BYOIP, você poderá anunciar o CIDR BYOIP novamente.
Escolha a guia CIDRs do grupo.
Selecione o CIDR de BYOIP e escolha Actions (Ações) >Advertise (Anunciar). Como resultado, suas opções de ASN são exibidas: o ASN da Amazon e todos os ASNs que você trouxe para o IPAM.
Selecione o ASN que você trouxe para o IPAM e escolha Anunciar CIDR. Como resultado, o CIDR BYOIP é anunciado e o valor na coluna Anúncios muda de Withdrawn Retirado para Anunciado. A coluna Número do Sistema Autônomo exibe o ASN associado ao CIDR.
(opcional) Se você decidir que deseja alterar a associação de ASN de volta para o Amazon ASN, selecione o CIDR BYOIP e escolha Ações > Anunciar novamente. Desta vez, escolha o Amazon ASN. Você pode voltar ao ASN da Amazon a qualquer momento, mas só pode mudar para um ASN personalizado uma vez a cada hora.
O tutorial está completo.
Limpeza
Desassocie o ASN do CIDR BYOIP
Para retirar o BYOIP CIDR da publicidade, em seu grupo no escopo público, escolha o BYOIP CIDR e selecione Ações > Retirar anúncio.
Para desassociar o ASN do CIDR, escolha Ações > Gerenciar associações BYOASN.
Desprovisionar o ASN
Para desprovisionar o ASN, escolha o ASN e escolha Desprovisionar ASN na guia ByOASNS. Como resultado, o ASN é desprovisionado. Os BYOASNs em um status de desprovisionado são removidos automaticamente após 7 dias.
A limpeza está completa.
