Tutorial: Traga o seu ASN para o IPAM
Se os seus aplicativos estiverem utilizando endereços IP confiáveis e Números de Sistemas Autônomos (ASNs) que seus parceiros ou clientes permitiram listar em suas redes, é possível executar esses aplicativos em AWS sem a necessidade de solicitar que seus parceiros ou clientes modifiquem suas listas de permissão.
Um número de sistema autônomo (ASN) é uma designação globalmente exclusiva que possibilita a identificação de um conjunto de redes na Internet e a troca dinâmica de dados de roteamento com outras redes por meio do Border Gateway Protocol. Os provedores de serviços de Internet (ISPs), por exemplo, utilizam ASNs para reconhecer a origem do tráfego de rede. Embora nem todas as organizações adquiram seus próprios ASNs, aquelas que o fazem têm a opção de trazer seu ASN para a AWS.
A funcionalidade BYOASN (Bring your own autonomous system number) permite anunciar os endereços IPv4 ou IPv6 que você traz para a AWS com seu próprio ASN público, em vez do ASN da AWS. Ao utilizar o BYOASN, o tráfego originado a partir do seu endereço IP exibe o seu ASN, em vez do ASN da AWS, permitindo que suas cargas de trabalho sejam acessadas por clientes ou parceiros que autorizaram o tráfego com base no seu endereço IP e ASN.
Para seguir este tutorial, é necessário concluir as etapas usando a conta de administrador do IPAM na região inicial do seu IPAM.
Pressupõe-se que você seja o proprietário do ASN público que deseja trazer para o IPAM e que já tenha trazido um CIDR BYOIP para AWS e o provisionado para um pool no seu escopo público. Embora seja possível trazer um ASN para o IPAM a qualquer momento, é necessário associá-lo a um CIDR que tenha sido previamente trazido para a sua conta da AWS para utilizá-lo. Este tutorial pressupõe que você já tenha feito isso. Para ter mais informações, consulte Tutorial: trazer seus endereços IP para o IPAM.
É possível alternar entre anunciar o seu próprio ASN ou um ASN AWS sem demora, mas há uma restrição que limita a mudança de um ASN AWS para o seu próprio ASN a uma vez por hora.
Caso o seu CIDR BYOIP esteja atualmente sendo anunciado, não é necessário retirá-lo da publicidade antes de associá-lo ao seu ASN.
Pré-requisitos de integração para seu ASN
Você precisará do seguinte para concluir este tutorial:
-
Seu ASN público de 2 ou 4 bytes.
-
Se você já trouxe um intervalo de endereços IP para a AWS com Tutorial: trazer seus endereços IP para o IPAM, precisará do intervalo CIDR de endereços IP. Você também precisará de uma chave privada. Você pode usar a chave privada que criou quando trouxe o intervalo CIDR de endereços IP para a AWS ou criar uma nova chave privada conforme descrito em Criar uma chave privada e gerar um certificado X.509 no Guia do usuário do EC2.
-
Quando traz um intervalo de endereços IPv4 ou IPv6 para a AWS com Tutorial: trazer seus endereços IP para o IPAM, você cria um certificado X.509 e carrega-o no registro RDAP no RIR. Você deve carregar o mesmo certificado que criou no registro RDAP em seu RIR para o ASN. Certifique-se de incluir as strings -----BEGIN CERTIFICATE-----
e -----END CERTIFICATE-----
antes e depois da parte codificada. Todo esse conteúdo deve estar em uma única e longa linha. O procedimento para atualizar o RDAP depende do RIR:
-
Para o ARIN, use o portal do Account Manager para adicionar o certificado na seção “Comentários públicos” para o objeto “Informações de rede” que representa seu ASN usando a opção “Modificar ASN”. Não o adicione à seção de comentários da sua organização.
-
Para o RIPE, adicione o certificado como um novo campo “descr” ao objeto “aut-num” que representa seu ASN. Geralmente, eles podem ser encontrados na seção “Meus recursos” do
portal do banco de dados RIPE. Não o adicione à seção de comentários da sua organização ou ao campo “comentários” do objeto “aut-num”.
-
Para o APNIC, envie o certificado por e-mail para helpdesk@apnic.net para adicioná-lo manualmente ao campo “observações” do seu ASN. Envie o e-mail usando o contato autorizado do APNIC para o ASN.
-
Ao trazer um intervalo de endereços IP para o IPAM, você cria uma ROA para confirmar que controla o espaço de endereço IP que está trazendo para o IPAM. Além dessa ROA, você deve ter uma segunda ROA no RIR com o ASN que você está trazendo para o IPAM. Se você não tiver essa segunda ROA para o ASN no RIR, conclua o item 3. Criar um objeto ROA no seu RIR. Ignore as outras etapas.
Etapas do tutorial
Conclua as etapas abaixo usando o AWS console ou o AWS CLI.
- AWS Management Console
-
Abra o console do IPAM em https://console.aws.amazon.com/ipam/.
No painel de navegação, selecione IPAMs.
Escolha seu IPAM.
Escolha a guia BYOASNS e escolha Provisionar por OASNS.
Insira o ASN. Como resultado, o campo Mensagem é preenchido automaticamente com a mensagem que você precisará assinar na próxima etapa.
A estrutura da mensagem é a seguinte, em que ACCOUNT é o número da sua conta AWS, ASN é o número de Sistema Autônomo (ASN) que você está fornecendo ao IPAM, e AAAAMMDD é a data de expiração da mensagem (padrão: último dia do mês seguinte). Exemplo:
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
Copie a mensagem e substitua a data de validade pelo seu próprio valor, se quiser.
Assine a mensagem usando a chave privada. Exemplo:
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
Em Assinatura, insira a assinatura.
(Opcional) Para provisionar outro ASN, escolha Provisionar outro ASN. Você pode provisionar até 5 ASNs. Para aumentar essa cota, consulte o Cotas para o IPAM.
Escolha Provisionar.
Veja o processo de provisionamento na guia BYOASNs. Aguarde até que o status mude de Provisão pendente para Provisionado. Os BYOASNs em um status de provisão com falha são removidos automaticamente após 7 dias. Depois que o ASN for provisionado com sucesso, você poderá associá-lo a um CIDR BYOIP.
No painel de navegação à esquerda, escolha Grupos.
Escolha seu escopo público. Para obter mais informações sobre escopos, consulte Como funciona o IPAM.
Escolha um grupo regional que tenha um CIDR BYOIP provisionado. O grupo deve ter o serviço definido como EC2 e deve ter uma localidade escolhida.
Escolha a guia CIDRs e selecione um CIDR BYOIP.
Escolha Ações > Gerenciar associações BYOASN.
Em BYOASNs associadas, escolha o ASN que você trouxe para AWS. Se você tiver vários ASNs, poderá associar vários ASNs ao CIDR BYOIP. Você pode associar o máximo de ASNs que puder trazer para o IPAM. Observe que você pode trazer até 5 ASNs para o IPAM por padrão. Para ter mais informações, consulte Cotas para o IPAM.
Selecione Associar.
Aguarde a conclusão da associação com o ASN. Depois que o ASN for associado com sucesso ao CIDR BYOIP, você poderá anunciar o CIDR BYOIP novamente.
Escolha a guia CIDRs do grupo.
Selecione o CIDR de BYOIP e escolha Actions (Ações) >Advertise (Anunciar). Como resultado, suas opções de ASN são exibidas: o ASN da Amazon e todos os ASNs que você trouxe para o IPAM.
Selecione o ASN que você trouxe para o IPAM e escolha Anunciar CIDR. Como resultado, o CIDR BYOIP é anunciado e o valor na coluna Anúncios muda de Withdrawn Retirado para Anunciado. A coluna Número do Sistema Autônomo exibe o ASN associado ao CIDR.
(opcional) Se você decidir que deseja alterar a associação de ASN de volta para o Amazon ASN, selecione o CIDR BYOIP e escolha Ações > Anunciar novamente. Desta vez, escolha o Amazon ASN. Você pode voltar ao ASN da Amazon a qualquer momento, mas só pode mudar para um ASN personalizado uma vez a cada hora.
O tutorial está completo.
Limpeza
Desassocie o ASN do CIDR BYOIP
Para retirar o BYOIP CIDR da publicidade, em seu grupo no escopo público, escolha o BYOIP CIDR e selecione Ações > Retirar anúncio.
Para desassociar o ASN do CIDR, escolha Ações > Gerenciar associações BYOASN.
Desprovisionar o ASN
Para desprovisionar o ASN, escolha o ASN e escolha Desprovisionar ASN na guia ByOASNS. Como resultado, o ASN é desprovisionado. Os BYOASNs em um status de desprovisionado são removidos automaticamente após 7 dias.
A limpeza está completa.
- Command line
-
Provisione seu ASN incluindo seu ASN e a mensagem de autorização. A assinatura é a mensagem assinada com sua chave privada.
aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"
Descreva seu ASN para monitorar o processo de provisionamento. Se a solicitação for bem-sucedida, você deverá ver o provisionStatus definido como provisionado após alguns minutos.
aws ec2 describe-ipam-byoasn
Associe seu ASN ao seu CIDR BYOIP. Qualquer ASN personalizado a partir do qual você deseja anunciar deve primeiro ser associado ao seu CIDR.
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
Descreva seu CIDR para acompanhar o processo de associação.
aws ec2 describe-byoip-cidrs --max-results 10
Anuncie seu CIDR com seu ASN. Se o CIDR já estiver anunciado, isso trocará o ASN de origem do da Amazon para o seu.
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
Descreva seu CIDR para ver a alteração do estado do ASN de associado para anunciado.
aws ec2 describe-byoip-cidrs --max-results 10
O tutorial está completo.
Limpeza
Execute um destes procedimentos:
Para retirar apenas o anúncio de ASN e voltar a usar os ASNs da Amazon, mantendo o CIDR anunciado, você deve chamar advertise-byoip-cidr com o valor AWS especial para o parâmetro asn. Você pode voltar ao ASN da Amazon a qualquer momento, mas só pode mudar para um ASN personalizado uma vez a cada hora.
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n
Para retirar seu anúncio CIDR e ASN simultaneamente, você pode chamar draw-byoip-cidr.
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
Para limpar seu ASN, você deve primeiro desassociá-lo do seu CIDR BYOIP.
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
Depois que seu ASN for desassociado de todos os CIDRs BYOIP aos quais você o associou, você poderá desprovisioná-lo.
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345
O CIDR BYOIP também pode ser desprovisionado quando todas as associações de ASN forem removidas.
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n
Confirme o desprovisionamento.
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0
A limpeza está completa.