教程:自带 ASN 到 IPAM 中
如果您的应用程序使用的是合作伙伴或客户允许在其网络中列出的可信 IP 地址和自治系统号(ASN),则无需合作伙伴或客户更改允许列表,即可在 AWS 中运行这些应用程序。
自治系统号(ASN)是一个全球唯一的号码,允许通过互联网识别一组网络,并使用边界网关协议与其他网络动态交换路由数据。例如,互联网服务提供商(ISP)使用 ASN 来识别网络流量来源。并非所有组织都自己购买 ASN,但对于购买了 ASN 的组织,它们可以将自己的 ASN 带到 AWS。
通过自带自治系统号(ASN),您能够使用自己的公有 ASN(而不是 AWS ASN)来公开发布自己引入 AWS 的 IPv4 或 IPv6 地址。当您使用 BYOASN 时,来自您的 IP 地址的流量会携带您的 ASN(而不是 AWS ASN),并且根据您的 IP 地址和 ASN 允许列出的流量的客户或合作伙伴可以访问您的工作负载。
使用您的 IPAM 主区域的 IPAM 管理员账户完成本教程。
本教程假定您拥有想要带入 IPAM 的公共 ASN,并且您已经将 BYOIP CIDR 带入 AWS 并配置到公有范围内的池中。您可以随时将 ASN 带入 IPAM,但要使用该 ASN,您必须关联已带入 AWS 账户的 CIDR。本教程假定您已完成这一操作。有关更多信息,请参阅 教程:将 IP 地址带入 IPAM。
您可以即时在广告自己的 ASN 或 AWS ASN 之间切换,但每小时只能从 AWS ASN 更改为自己的 ASN 一次。
如果您的 BYOIP CIDR 当前已广告,则无需将其从广告中撤回即可与您的 ASN 关联。
ASN 的载入先决条件
要完成本教程,您需要做以下准备:
-
您的 2 字节或 4 字节的公有 ASN。
-
如果您已经通过 教程:将 IP 地址带入 IPAM 将一个 IP 地址范围带到 AWS,那么您需要该 IP 地址的 CIDR 范围。您还需要一个私有密钥。您可以使用在将 IP 地址 CIDR 范围带到 AWS 时创建的私有密钥,也可以按照《EC2 用户指南》的创建私有密钥并生成 X.509 证书中所述创建新的私有密钥。
-
当您通过 教程:将 IP 地址带入 IPAM 将 IPv4 或 IPv6 地址范围引入 AWS 时,可以创建 X.509 证书,然后将 X.509 证书上传到 RIR 中的 RDAP 记录。您必须将创建的同一证书上传到 ASN 的 RIR 中的 RDAP 记录中。请务必在编码部分前后包含 -----BEGIN CERTIFICATE-----
和 -----END CERTIFICATE-----
字符串。所有这些内容必须都在单个长线上。更新 RDAP 的过程取决于您的 RIR:
-
对于 ARIN,使用客户经理门户,通过“修改 ASN”选项在代表您的 ASN 的“网络信息”对象的“公共注释”部分中添加证书。请勿将其添加到您组织的注释部分。
-
对于 RIPE,将证书作为新的“descr”字段添加到代表您的 ASN 的“aut-num”对象。通常可在
RIPE 数据库门户的“我的资源”部分中了解到相关信息。请勿将其添加到您所在组织的注释部分或“aut-num”对象的“备注”字段中。
-
对于 APNIC,通过电子邮件将证书发送到 helpdesk@apnic.net,以手动将其添加到您的 ASN 的“备注”字段中。请以 ASN 的 APNIC 授权联系人身份发送电子邮件。
-
将 IP 地址范围带入 IPAM 时,可创建一个 ROA 来验证自己是否控制了带入 IPAM 的 IP 地址空间。除了该 ROA 之外,您的 RIR 中还必须有第二个 ROA,其中包含要带入 IPAM 的 ASN。如果 RIR 中没有 ASN 的第二个 ROA,请完成 3. 在 RIR 中创建 ROA 对象。忽略其他步骤。
教程步骤
使用 AWS 管理控制台或 AWS CLI,完成以下步骤。
- AWS Management Console
-
在 https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。
在左侧导航窗格中,选择 IPAM。
选择您的 IPAM。
选择 BYOASN 选项卡,然后选择预置 BYOASN。
输入 ASN。接下来,消息字段会自动填充您在下一步中需要登录的消息。
复制该信息,并根据需要使用您自己的值替换到期日期。
使用私有密钥对消息进行签名。例如:
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
在签名下,输入签名。
(可选)要预置另一个 ASN,请选择预置其他 ASN。您最多可以预置 5 个 ASN。要增加此配额,请参阅IPAM 的配额。
选择预置。
在 BYOASN 选项卡中查看预置过程。等待状态从待预置更改为已预置。处于预置失败状态的 BYOASN 将在 7 天后自动删除。成功预置 ASN 后,您可以将其与 BYOIP CIDR 关联。
在左侧导航窗格中,选择池。
选择您的公有范围。有关范围的更多信息,请参阅 IPAM 的工作原理。
选择已为其预置 BYOIP CIDR 的区域池。该池必须将服务设置为 EC2,并且必须选择一个区域设置。
选择 CIDR 选项卡,然后选择一个 BYOIP CIDR。
选择操作 > 管理 BYOASN 关联。
在已关联的 BYOASN 下,选择您带入 AWS 的 ASN。如果您有多个 ASN,则可以将多个 ASN 关联到 BYOIP CIDR。您可以将尽可能多的 ASN 关联到 IPAM。请注意,默认情况下,您最多可以将 5 个 ASN 带入 IPAM。有关更多信息,请参阅 IPAM 的配额。
选择关联。
等待 ASN 关联完成。在 ASN 成功与 BYOIP CIDR 关联后,您可以再次广告 BYOIP CIDR。
选择池 CIDR 选项卡。
选择 BYOIP CIDR,然后选择操作 > 广告。接下来,系统会显示您的 ASN 选项:Amazon ASN 和您带入 IPAM 的所有 ASN。
选择您带入 IPAM 的 ASN,然后选择广告 CIDR。这样一来,将广告 BYOIP CIDR,并且广告列中的值将从“已撤回”变为“已刊登广告”。自治系统号列显示与 CIDR 关联的 ASN。
(可选)如果您决定要将 ASN 关联更改回 Amazon ASN,选择 BYOIP CIDR,然后再次选择操作 > 广告。这一次我们选择 Amazon ASN。您可以随时换回 Amazon ASN,但每小时只能更改为自定义 ASN 一次。
本教程已完成。
清理
解除 ASN 与 BYOIP CIDR 的关联
取消预置 ASN
清理完成。
- Command line
-
通过包含您的 ASN 和授权消息来预置您的 ASN。签名是用您的私有密钥签署的消息。
aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"
描述您的 ASN 以跟踪预置过程。如果请求成功,您应该会在几分钟后看到预置状态被设置为已预置。
aws ec2 describe-ipam-byoasn
将您的 ASN 与 BYOIP CIDR 关联。您希望从中广告的任何自定义 ASN 都必须先与您的 CIDR 关联。
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
描述您的 CIDR 以跟踪关联流程。
aws ec2 describe-byoip-cidrs --max-results 10
使用您的 ASN 广告您的 CIDR。如果 CIDR 已广告,则会将源于 Amazon 的 ASN 换成您的 ASN。
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
描述您的 CIDR 以查看 ASN 状态从已关联更改为已刊登广告。
aws ec2 describe-byoip-cidrs --max-results 10
本教程已完成。
清理
请执行以下操作之一:
要仅撤回您的 ASN 广告并重新使用 Amazon ASN,同时保留已广告的 CIDR,您必须使用 asn 参数的特殊 AWS 值调用 advertise-byoip-cidr。您可以随时换回 Amazon ASN,但每小时只能更改为自定义 ASN 一次。
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n
要同时撤回您的 CIDR 和 ASN 广告,你可以调用 withdraw-byoip-cidr。
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
要清理您的 ASN,您必须先取消其与 BYOIP CIDR 的关联。
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
您的 ASN 与已关联的所有 BYOIP CIDR 取消关联后,就可以取消其预置。
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345
删除所有 ASN 关联后,也可以取消预置 BYOIP CIDR。
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n
确认取消预置。
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0
清理已完成。