教學課程:ASN將您的 IPAM - Amazon Virtual Private Cloud
您的入職先決條件 ASN教學步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學課程:ASN將您的 IPAM

如果您的應用程式使用的是合作夥伴或客戶允許在其網路中列出的受信任 IP 位址和自治系統編號 (ASNs),您可以在中執行這些應用程式, AWS 而不需要合作夥伴或客戶變更其允許清單。

自主系統編號 (ASN) 是一個全球唯一的數字,它使一組網絡能夠通過互聯網進行識別,並使用邊界網關協議動態地與其他網絡交換路由數據。例如,網際網路服務提供者 (ISPs) 可用ASNs來識別網路流量來源。並非所有組織都購買自己的組織ASNs,但對於這樣做的組織,他們可以ASN將其帶到 AWS。

使用您自己的自主系統號碼 (BYOASN) 可讓您宣傳您 AWS 帶給自己的公眾,ASN而不是 AWS ASN。IPv4 IPv6當您使用時BYOASN,源自 IP 位址的流量會承載您的,而不是傳輸 AWS ASN,ASN而且客戶或合作夥伴可以存取您的工作負載,這些客戶或合作夥伴可以根據您的 IP 位址和列出的流量ASN。

重要

  • 使用您IPAM所在地區的IPAM管理員帳戶完成本教學課程。

  • 本教學課程假設您擁有ASN您想要帶到的公用,IPAM並且您已經將其帶BYOIPCIDR到公用範圍內的集區 AWS 並將其佈建到集區。您可以隨IPAM時帶ASN到,但要使用它,您必須與您帶到帳戶CIDR的 AWS 帳戶建立關聯。此教學課程假設您已執行下列作業:如需詳細資訊,請參閱教學課程:將您的 IP 位址帶到 IPAM

  • 您可以在自己ASN的廣告之間進行更改,也可以 AWS ASN毫不拖延地在廣告之間進行更改,但僅限於每小時從一ASN次更改 AWS ASN為自己的廣告。

  • 如果您目前BYOIPCIDR已刊登廣告,則不必將其從廣告中撤銷即可與您ASN的建立關聯。

您的入職先決條件 ASN

完成本教學課程需要以下各項:

  • 您的公共 2 字節或 4 ASN 字節。

  • 如果您已使用 IP 位址範圍 AWS 教學課程:將您的 IP 位址帶到 IPAM,則需要 IP 位址CIDR範圍。您還需要私鑰。您可以使用在將 IP 位址CIDR範圍帶入時建立的私密金鑰, AWS 也可以按照《使用手冊》中的建立私密金鑰並產生 X.509 憑證中的說明來建立新的私EC2密金鑰。

  • 當您使用IPv4或IPv6位址範圍時 AWS 教學課程:將您的 IP 位址帶到 IPAM,您會建立 X.509 憑證,並將 X.509 憑證上傳至. RDAP RIR 您必須將您建立的相同憑證上傳至RIR的RDAP記錄ASN。請務必包含 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 字串之前和之後的編碼部分。所有這些內容都必須在單獨的長線上。更新程序RDAP取決於您的RIR:

    • 針對ARIN,請使用帳戶管理員入口網站,在「公開註解」區段中新增憑證,以代表您ASN的「網路資訊」物件,使用「修改ASN」選項。請勿將其新增至您組織的評論區段。

    • 對於RIPE,將憑證新增為新的「descr」欄位至代表您的. ASN 您通常可以在

      RIPE數據庫門戶。請勿將其新增至組織的註解區段,或「aut-num」物件的「備註」欄位。

    • 對於APNIC,將憑證以電子郵件傳送至 helpdesk@apnic.net,以手動將其新增至您的ASN. 使用的APNIC授權連絡人傳送電子郵件ASN。

教學步驟

使用 AWS 控制台或完成以下步驟 AWS CLI。

AWS Management Console

  1. 在開啟IPAM主控台https://console.aws.amazon.com/ipam/

  2. 在左側導覽窗格中,選擇IPAMs

  3. 選擇您的IPAM.

  4. 選擇標BYOASNs籤,然後選擇啟動設定BYOASNs

  5. 輸入ASN。因此,Message (訊息) 欄位會自動填入下一個步驟中需要登入的訊息。

    • 消息的格式如下,其中ACCOUNT是您的 AWS 帳戶號碼,ASN是ASN您要帶來的IPAM,並且YYYYMMDD是消息的到期日(默認為下個月的最後一天)。範例:

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. 複製訊息並根據需要將到期日期替換為您自己的值。

  7. 使用私密金鑰簽署訊息。範例:

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. 在「簽名」下,輸入簽名。

  9. (選擇性) 若要啟動設定其他項目ASN,請選擇啟動設定 ASN 您最多可以佈建 5 ASNs。若要增加此配額,請參閱 IPAM 的配額

  10. 選擇 Provision (佈建)。

  11. BYOASNs標籤中檢視啟動設定程序。等待 State (狀態) 從 Pending-provision (待佈建) 變更為 Provisioned (已佈建)。BYOASNs處於「失敗佈建」狀態會在 7 天後自動移除。成功佈建之ASN後,您可以將其與 BYOIPCIDR.

  12. 在左側導覽窗格中,選擇 Pools (集區)。

  13. 選擇公有範圍。如需有關範圍的詳細資訊,請參閱 如何IPAM工作

  14. 選擇已BYOIPCIDR佈建的地區集區。集區必須將「服務」設定為,EC2且必須選擇地區設定。

  15. 選擇標CIDRs籤,然後選取一個BYOIPCIDR。

  16. 選擇「動作 > 管理BYOASN關聯」。

  17. 關聯下BYOASNs,選擇ASN您帶來的 AWS。如果您有多個ASNs,您可以將多個關聯ASNs到 BYOIPCIDR. 您可以關聯盡可能多ASNs的,你可以帶來IPAM。請注意,默認情況IPAM下,您最多可以調出 5 ASNs。如需詳細資訊,請參閱IPAM 的配額

  18. 選擇關聯

  19. 等待關ASN聯完成。與成功關聯後 BYOIPCIDR,您可以BYOIPCIDR再次通告。ASN

  20. 選擇繼任區CIDRs索引標籤。

  21. 選取,BYOIPCIDR然後選擇「動作」>「通告」。結果,將顯示您的ASN選項:Amazon ASN 和ASNs您帶來的任何選項IPAM。

  22. 選擇ASN您帶來的,然後選擇「通告」CIDR。IPAM如此一來,BYOIPCIDR就會廣告,且 [廣告] 欄中的值會從 [撤回] 變更為 [已廣告]。「自治系統編號」欄會顯示與ASN相關聯的CIDR。

  23. (選擇性) 如果您決定要將ASN關聯變更回 AmazonASN,請選取BYOIPCIDR並再次選擇「動作」>「通告」。這一次,選擇 Amazon ASN。您可以隨ASN時換回 Amazon,但是每小時只能更改為自定義ASN一次。

此教學課程完成。

清除

  1. 取消與的ASN關聯 BYOIP CIDR

    • 要退出BYOIPCIDR廣告,請在公共範圍內的游泳池中,選擇BYOIPCIDR並選擇「操作」 >「退出廣告」。

    • 若要取消與的ASN關聯CIDR,請選擇「動作」 >「管理BYOASN關聯」。

  2. 取消佈建 ASN

    • 若要取消佈建ASN,請在BYOASNs索引標籤中選擇,ASN然後選擇取消ASN提供。因此,會取ASN消佈建。BYOASNs處於「取消佈建」狀態會在 7 天後自動移除。

清理完成。

Command line

  1. ASN通過包括您的授權消息ASN來提供您的。簽名是使用您的私鑰簽名的消息。

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. 描述您ASN要追蹤佈建程序。如果要求成功,您應該會在幾分鐘後看到已佈建ProvisionStatus設定。

    aws ec2 describe-ipam-byoasn

  3. 將您ASN的 BYOIPCIDR. ASN您想要宣傳的任何自訂必須先與您的CIDR.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. 描述你CIDR跟踪關聯過程。

    aws ec2 describe-byoip-cidrs --max-results 10

  5. CIDR與您的ASN. 如果CIDR已經廣告,這將ASN從亞馬遜的來源交換到您的。

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. 描述你看CIDR到從關聯廣告的ASN狀態變化。

    aws ec2 describe-byoip-cidrs --max-results 10

此教學課程完成。

清除

  1. 執行以下任意一項:

    • 要僅撤回您的ASN廣告並返回使用 Amazon,ASNs同時保留廣CIDR告,您必須使 advertise-byoip-cidr 用 asn 參數的特殊 AWS 值調用。您可以隨ASN時換回 Amazon,但是每小時只能更改為自定義ASN一次。

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • 要同時撤回您CIDR的ASN廣告,您可以致電 withdraw-byoip-cidr。

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. 要清理您的ASN,您必須首先將其與. BYOIP CIDR 

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. 一旦與您ASN關聯的所有BYOIPCIDRs與之關聯斷開關聯,您可以取消佈建它。

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. 移除所有ASN關聯後,也BYOIPCIDR可以取消佈建。

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. 確認取消佈建。

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

清理完成。