`
На INTERLIR Marketplace вы можете арендовать IP-адреса, которые можно использовать в качестве адресов BYOIP (Bring Your Own IP) в Amazon EC2. Это позволяет вам перенести часть или весь диапазон публичных маршрутизируемых IPv4 или IPv6 адресов из вашей локальной сети в ваш аккаунт AWS (Amazon Web Services). Вы сохраняете контроль над диапазоном адресов, в то время как AWS по умолчанию рекламирует его в интернете. После интеграции диапазона адресов с AWS он будет доступен в вашем аккаунте AWS как пул адресов.
Не все регионы и ресурсы поддерживают BYOIP
Для получения списка поддерживаемых регионов и ресурсов, пожалуйста, ознакомьтесь с FAQ по BYOIP.
Регистрация диапазона адресов:
Специфические диапазоны IPv4 и IPv6:
ROA и записи RDAP:
Ограничения и интеграция:
История IP-адресов и поддержка:
Процесс обновления для LIR:
Одиночный ROA и запись RDAP для больших блоков CIDR:
Подготовительный этап:
Этап конфигурации RIR:
Примечание: ROA не требуется для непублично рекламируемого пространства IPv6.
Регистрация диапазона адресов:
Специфические диапазоны IPv4 и IPv6:
ROA и записи RDAP:
Ограничения и интеграция:
История IP-адресов и поддержка:
Процесс обновления для LIR:
Одиночный ROA и запись RDAP для больших блоков CIDR:
Процесс подключения BYOIP состоит из двух фаз, каждая из которых требует выполнения трех конкретных шагов:
Подготовительный этап:
Этап конфигурации RIR:
Примечание: ROA не требуется для непублично рекламируемого пространства IPv6.
Чтобы использовать несколько непоследовательных диапазонов адресов, повторите этот процесс для каждого диапазона. Если вы разбиваете непрерывный блок по разным регионам, этапы подготовки и конфигурации RIR повторять не нужно.
Подключение диапазона адресов не влияет на ранее подключенные диапазоны.
Перед началом подключения диапазона адресов убедитесь, что выполнили все необходимые предварительные условия. Некоторые задачи требуют выполнения команд Linux, и на Windows можно использовать Windows Subsystem for Linux для их выполнения.
Следуйте данной процедуре для создания самоподписанного сертификата X.509 и добавления его в запись RDAP вашего RIR. Эта ключевая пара используется для аутентификации диапазона адресов в RIR. Команды openssl требуют версию OpenSSL 1.0.2 или новее.
Скопируйте следующие команды и замените только значения-заполнители (выделены цветным курсивом).
Для создания самоподписанного сертификата X.509 и добавления его в запись RDAP
Эта процедура следует лучшей практике шифрования вашего частного ключа RSA и требует пароль для доступа к нему.
Добавьте сертификат, который вы ранее создали, в запись RDAP для вашего RIR. Убедитесь, что включили строки —–BEGIN CERTIFICATE—– и —–END CERTIFICATE—– до и после закодированной части. Весь этот контент должен быть на одной длинной строке. Процедура обновления RDAP зависит от вашего RIR:
Создайте объект ROA, чтобы авторизовать ASN Amazon 16509 и 14618 для объявления вашего диапазона адресов, а также текущие ASN, которые уже авторизованы для объявления диапазона. Для региона AWS GovCloud (US) авторизуйте ASN 8987. Вы должны установить максимальную длину, равную размеру самого маленького префикса, который вы хотите подключить (например, /24). Для получения дополнительной информации обратитесь к вашему RIR:
Перед миграцией объявлений с рабочей нагрузки на месте в AWS важно сначала создать ROA для вашего существующего ASN. Только после создания ROA для вашего существующего ASN следует создавать ROA для ASN Amazon. Несоблюдение этого порядка может привести к возможным проблемам с маршрутизацией и объявлениями.
Примечание: этот шаг не требуется для непублично рекламируемого пространства IPv6.
Процесс подключения BYOIP включает следующие задачи в зависимости от ваших потребностей:
При подготовке диапазона адресов для использования с AWS вы заявляете, что контролируете этот диапазон и предоставляете Amazon право на его рекламу. Для подтверждения владения диапазоном требуется подписанное авторизационное сообщение.
Подготовка диапазона адресов
Создайте текстовое авторизационное сообщение. Формат сообщения следующий, где дата — это дата истечения срока действия сообщения:
1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS
Замените значения на свои:
text_message=”1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS”
Подпишите сообщение, используя приватный ключ, созданный ранее. Полученная подпись — это длинная строка, которую нужно будет использовать в следующем шаге.
Важно: рекомендуется скопировать и вставить эту команду. За исключением содержимого сообщения, не изменяйте и не заменяйте никакие значения:
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr — ‘+=/’ ‘-_~’ | tr -d “\n”)
Используйте команду AWS CLI provision-byoip-cidr, чтобы подготовить диапазон адресов. Опция –cidr-authorization-context использует строки сообщения и подписи, созданные ранее.
Важно: укажите регион AWS, если он отличается от настроек по умолчанию в вашей конфигурации AWS CLI:
aws ec2 provision-byoip-cidr –cidr address-range –cidr-authorization-context Message=”$text_message”,Signature=”$signed_message” –region us-east-1
Подготовка диапазона адресов — это асинхронная операция, поэтому вызов возвращается сразу, но диапазон адресов не готов к использованию, пока его статус не изменится с pending-provision на provisioned.
Процесс подготовки для публично рекламируемых диапазонов может занять до недели. Используйте команду describe-byoip-cidrs для мониторинга процесса, как в этом примере:
aws ec2 describe-byoip-cidrs –max-results 5 –region us-east-1
Если во время подготовки возникнут проблемы и статус перейдет в failed-provision, необходимо повторно выполнить команду provision-byoip-cidr после устранения проблем.
По умолчанию при провизировании диапазона адресов он рекламируется в интернете. Однако для диапазонов IPv6 вы можете настроить их как непубличные, то есть они не будут рекламироваться в интернете. Процесс провизирования непубличных маршрутов обычно занимает несколько минут. При ассоциации непубличного IPv6 CIDR с виртуальной частной облачной (VPC) сетью, доступ к этому диапазону возможен только через гибридные варианты подключения, такие как AWS Direct Connect, AWS Site-to-Site VPN или Amazon VPC Transit Gateways.
Для непубличных диапазонов адресов не требуется создавать Route Origin Authorization (ROA) в процессе провизирования.
Важно:
Чтобы провизировать диапазон IPv6, который не будет публично рекламироваться, используйте следующую команду provision-byoip-cidr.
aws ec2 provision-byoip-cidr –cidr address-range –cidr-authorization-context Message=”$text_message”,Signature=”$signed_message” –no-publicly-advertisable –region us-east-1
После провизирования диапазона адресов его можно рекламировать. Важно отметить, что необходимо рекламировать именно тот диапазон, который был провизирован, а не его часть.
Если вы провизировали диапазон IPv6, который не будет публично рекламироваться, этот шаг можно пропустить.
Перед рекламой диапазона через AWS рекомендуется остановить его рекламу из других мест, чтобы избежать проблем с поддержкой и устранением неполадок. Для этого настройте свои ресурсы AWS на использование адреса из вашего пула перед рекламой и одновременно остановите рекламу из текущего местоположения и начните рекламу через AWS.
Ограничения
Для рекламы диапазона используйте следующую команду advertise-byoip-cidr:
aws ec2 advertise-byoip-cidr –cidr address-range –region us-east-1
Для остановки рекламы диапазона используйте следующую команду withdraw-byoip-cidr:
aws ec2 withdraw-byoip-cidr –cidr address-range –region us-east-1
Чтобы прекратить использование диапазона адресов с AWS, сначала освободите все Elastic IP адреса и отсоедините любые IPv6 CIDR блоки, которые все еще выделены из пула адресов. Затем остановите рекламу диапазона и, наконец, депровизируйте диапазон.
Нельзя депровизировать часть диапазона адресов. Если вам нужен более конкретный диапазон адресов для использования с AWS, депровизируйте весь диапазон и провизируйте более конкретный диапазон.
(IPv4) Для освобождения каждого Elastic IP адреса используйте следующую команду release-address:
aws ec2 release-address –allocation-id eipalloc-12345678abcabcabc –region us-east-1
(IPv6) Для отсоединения блока IPv6 CIDR используйте следующую команду disassociate-vpc-cidr-block:
aws ec2 disassociate-vpc-cidr-block –association-id vpc-cidr-assoc-12345abcd1234abc1 –region us-east-1
Чтобы остановить рекламу диапазона адресов, используйте следующую команду withdraw-byoip-cidr:
aws ec2 withdraw-byoip-cidr –cidr address-range –region us-east-1
Чтобы депровизировать диапазон адресов, используйте следующую команду deprovision-byoip-cidr:
aws ec2 deprovision-byoip-cidr –cidr address-range –region us-east-1
Процесс депровизирования диапазона адресов может занять до одного дня.
Вы можете просматривать и использовать диапазоны IPv4 и IPv6 адресов, которые вы провизировали в своем аккаунте.
Вы можете создать Elastic IP адрес из вашего пула адресов IPv4 и использовать его с ресурсами AWS, такими как экземпляры EC2, NAT-шлюзы и Network Load Balancers.
Чтобы просмотреть информацию о пулах IPv4 адресов, которые вы провизировали в своем аккаунте, используйте следующую команду:
aws ec2 describe-public-ipv4-pools –region us-east-1Чтобы создать Elastic IP адрес из вашего пула IPv4 адресов, используйте команду allocate-address. Вы можете использовать опцию –public-ipv4-pool для указания ID пула адресов, возвращенного командой describe-byoip-cidrs. Или вы можете использовать опцию –address для указания адреса из диапазона, который вы провизировали.
Евгений Севастьянов
Руководитель технической поддержки