Im INTERLIR Marketplace haben Sie die Möglichkeit, IP-Adressen zu mieten, die als Amazon EC2 BYOIP (Bring Your Own IP) Adressen genutzt werden können. Dies ermöglicht es Ihnen, einen Teil oder Ihren gesamten öffentlich routbaren IPv4- oder IPv6-Adressbereich von Ihrem lokalen Netzwerk zu Ihrem AWS (Amazon Web Services)-Konto zu bringen. Während Sie die Kontrolle über den Adressbereich behalten, wird AWS ihn standardmäßig im Internet werben. Sobald Sie den Adressbereich mit AWS integrieren, steht er Ihnen in Ihrem AWS-Konto als Adresspool zur Verfügung.
Nicht alle Regionen und Ressourcen unterstützen BYOIP (Bring Your Own IP). Um die Liste der unterstützten Regionen und Ressourcen zu finden, lesen Sie bitte die BYOIP-FAQ.
Inhalt
Registrierung des Adressbereichs:
Spezifische IPv4- und IPv6-Adressbereiche:
ROAs und RDAP-Datensätze:
Einschränkungen und Integration:
IP-Adressverlauf und Unterstützung:
Update-Prozess für LIRs (Local Internet Registries):
Einzelnes ROA und RDAP-Datensatz für große CIDR-Blöcke:
1. Erstellen Sie ein Schlüsselpaar für die AWS-Authentifizierung
Verwenden Sie das folgende Verfahren, um ein selbstsigniertes X.509-Zertifikat zu erstellen und es dem RDAP-Datensatz für Ihr RIR hinzuzufügen. Dieses Schlüsselpaar wird verwendet, um den Adressbereich gegenüber dem RIR zu authentifizieren. Die openssl-Befehle erfordern OpenSSL Version 1.0.2 oder höher.
Kopieren Sie die folgenden Befehle und ersetzen Sie nur die Platzhalterwerte (in farbig kursivem Text).
Um ein selbstsigniertes X.509-Zertifikat zu erstellen und es dem RDAP-Datensatz hinzuzufügen
Dieses Verfahren folgt bewährten Praktiken und verschlüsselt Ihren privaten RSA-Schlüssel und erfordert eine Passphrase, um darauf zugreifen zu können.
2. Laden Sie den RDAP-Datensatz in Ihr RIR hoch
Fügen Sie das zuvor erstellte Zertifikat dem RDAP-Datensatz für Ihr RIR hinzu. Stellen Sie sicher, dass Sie die Zeichenfolgen „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“ vor und nach dem codierten Teil einfügen. Der gesamte Inhalt muss in einer einzigen, langen Zeile stehen. Das Verfahren zum Aktualisieren von RDAP hängt von Ihrem RIR ab:
3. Erstellen Sie ein ROA-Objekt in Ihrem RIR
Erstellen Sie ein ROA-Objekt, um die Amazon ASNs 16509 und 14618 zur Anzeige Ihres Adressbereichs zu autorisieren, sowie die ASNs, die derzeit zur Anzeige des Adressbereichs autorisiert sind. Für die AWS GovCloud (US)-Region autorisieren Sie ASN 8987. Sie müssen die maximale Länge auf die Größe des kleinsten Präfixes setzen, den Sie mitbringen möchten (z. B. /24). Es kann bis zu 24 Stunden dauern, bis das ROA für Amazon verfügbar ist. Weitere Informationen finden Sie bei Ihrem RIR:
Bevor Sie Werbeanzeigen von einer lokal ausgeführten Arbeitsauslastung zu AWS migrieren, ist es entscheidend, zuerst eine Route Origin Authorization (ROA) für Ihre vorhandene Autonomous System Number (ASN) zu erstellen. Erst nachdem Sie die ROA für Ihre vorhandene ASN erstellt haben, sollten Sie mit der Erstellung der ROAs für die Amazon-ASNs fortfahren. Wenn Sie dieser Reihenfolge nicht folgen, kann dies Auswirkungen auf Ihre vorhandene Routing- und Werbeanzeigen haben.
Hinweis: Dieser Schritt ist für nicht öffentlich beworbene IPv6-Adressbereiche nicht erforderlich.
Der Integrationsprozess für BYOIP umfasst je nach Ihren Anforderungen folgende Aufgaben:
Themen
1. Bereitstellung eines öffentlich beworbenen Adressbereichs in AWS
2. Bereitstellung eines nicht öffentlich beworbenen IPv6-Adressbereichs
3. Den Adressbereich über AWS bewerben
4. Den Adressbereich deprovisionieren
Bitte beachten Sie, dass die spezifischen Schritte und Anforderungen je nach den Bedürfnissen Ihres Unternehmens variieren können. Es ist wichtig, sorgfältig die Anweisungen und Richtlinien zu befolgen, um eine reibungslose Integration Ihres BYOIP in die AWS-Plattform zu gewährleisten.
Wenn Sie einen Adressbereich für die Verwendung mit AWS bereitstellen, erklären Sie, dass Sie die Kontrolle über den Adressbereich haben und Amazon die Autorisierung zur Bewerbung erteilen. Um Ihre Eigentümerschaft an dem Adressbereich zu überprüfen, benötigen wir eine signierte Autorisierungsnachricht. Diese Nachricht wird mithilfe des selbstsignierten X.509-Schlüsselpaars signiert, das Sie verwendet haben, um den RDAP-Eintrag mit dem X.509-Zertifikat zu aktualisieren. AWS verlangt eine kryptografisch signierte Autorisierungsnachricht, die dann an das Regionale Internet-Register (RIR) vorgelegt wird. Das RIR authentifiziert die Signatur anhand des Zertifikats, das Sie in RDAP hinzugefügt haben, und überprüft die Autorisierungsdetails anhand der Route Origin Authorization (ROA). Dieser Verifizierungsprozess gewährleistet die rechtmäßige Eigentümerschaft und ordnungsgemäße Verwaltung des Adressbereichs.
Bereitstellung des Adressbereichs:
1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS Ersetzen Sie die Kontonummer, den Adressbereich und das Ablaufdatum durch Ihre eigenen Werte, um eine Nachricht zu erstellen, die der folgenden ähnelt: text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS". Dies darf nicht mit einer ROA-Nachricht verwechselt werden, die ähnlich aussieht.signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n").--cidr-authorization-context verwendet die zuvor erstellten Nachrichten- und Signaturzeichenfolgen."Default region name" abweicht.aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1pending-provision“ zu „provisioned“ wechselt.aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1failed-provision“ wechselt, müssen Sie den Befehl provision-byoip-cidr erneut ausführen, nachdem die Probleme behoben wurden.Standardmäßig wird bei der Bereitstellung eines Adressbereichs dieser so eingestellt, dass er im Internet öffentlich beworben wird. Bei IPv6-Adressbereichen haben Sie jedoch die Möglichkeit, sie als nicht öffentlich bereitzustellen, was bedeutet, dass sie nicht für das Internet beworben werden. Der Bereitstellungsprozess für nicht öffentlich beworbene Routen ist in der Regel innerhalb weniger Minuten abgeschlossen. Wenn Sie einen nicht öffentlichen IPv6-CIDR-Block mit einem Virtual Private Cloud (VPC) verknüpfen, ist der Zugriff auf den IPv6-CIDR nur über Hybridverbindungsoptionen möglich, die IPv6 unterstützen, wie AWS Direct Connect, AWS Site-to-Site VPN oder Amazon VPC Transit Gateways.
Für nicht öffentlich beworbene Adressbereiche besteht keine Notwendigkeit, während des Bereitstellungsprozesses eine Route Origin Authorization (ROA) zu erstellen.
Wichtig:
Sie können nur während der Bereitstellung angeben, ob ein Adressbereich öffentlich beworben wird. Sie können den Bewerbungsstatus später nicht ändern.
Um einen IPv6-Adressbereich zu bereitstellen, der nicht öffentlich beworben wird, verwenden Sie den folgenden Befehl provision-byoip-cidr.
aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1
Sie können den Befehl advertise-byoip-cidr höchstens einmal alle 10 Sekunden ausführen, selbst wenn Sie jedes Mal unterschiedliche Adressbereiche angeben.
Sie können den Befehl withdraw-byoip-cidr höchstens einmal alle 10 Sekunden ausführen, selbst wenn Sie jedes Mal unterschiedliche Adressbereiche angeben.
Um den Adressbereich zu bewerben, verwenden Sie den folgenden Befehl advertise-byoip-cidr.
aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1
Um die Bewerbung des Adressbereichs zu beenden, verwenden Sie den folgenden Befehl withdraw-byoip-cidr.
aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1
Um Ihren Adressbereich bei AWS nicht mehr zu nutzen, müssen Sie zuerst alle Elastic IP-Adressen freigeben und alle noch zugewiesenen IPv6-CIDR-Blöcke aus dem Adresspool entfernen. Anschließend beenden Sie die Bewerbung des Adressbereichs und deprovisionieren schließlich den Adressbereich.
Sie können nur den gesamten Adressbereich deprovisionieren. Wenn Sie einen spezifischeren Adressbereich bei AWS nutzen möchten, müssen Sie den gesamten Adressbereich deprovisionieren und einen spezifischeren Adressbereich bereitstellen.
Zur Freigabe jeder Elastic IP-Adresse (IPv4) verwenden Sie den folgenden Befehl release-address.
aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1
Um eine IPv6-CIDR-Block zu dissoziieren, verwenden Sie den folgenden Befehl disassociate-vpc-cidr-block.
aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1
Um die Werbung für den Adressbereich zu beenden, verwenden Sie den folgenden Befehl withdraw-byoip-cidr.
aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1
Um den Adressbereich zu deprovisionieren, verwenden Sie den folgenden Befehl deprovision-byoip-cidr.
aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1
Es kann bis zu einem Tag dauern, um einen Adressbereich zu deprovisionieren.
Sie können die IPv4- und IPv6-Adressbereiche, die Sie in Ihrem Konto bereitgestellt haben, einsehen und verwenden.
Sie können eine Elastic IP-Adresse aus Ihrem IPv4-Adresspool erstellen und sie mit Ihren AWS-Ressourcen wie EC2-Instanzen, NAT-Gateways und Network Load Balancern verwenden.
Um Informationen über die IPv4-Adresspools anzuzeigen, die Sie in Ihrem Konto bereitgestellt haben, verwenden Sie den folgenden Befehl describe-public-ipv4-pools.
aws ec2 describe-public-ipv4-pools --region us-east-1
Um eine Elastic IP-Adresse aus Ihrem IPv4-Adresspool zu erstellen, verwenden Sie den Befehl „allocate-address“. Sie können die Option „--public-ipv4-pool“ verwenden, um die ID des Adresspools anzugeben, die durch „describe-byoip-cidrs“ zurückgegeben wird. Alternativ können Sie die Option „--address“ verwenden, um eine Adresse aus dem Adressbereich anzugeben, den Sie bereitgestellt haben.
Evgeny Sevastyanov
Client Support Teamleader
Die Erschöpfung der IPv4-Adressen ist ein dringendes Problem, und Unternehmen erkennen
Die effiziente Nutzung des bestehenden IPv4-Adressraums ist ein möglicher Ansatz,
InterLIR GmbH ist eine Marktplatzlösung, die sich zum Ziel gesetzt hat, Netzwerkverfügbarkeitsprobleme
Auch wenn Sie nicht vorhaben, Ihr IPv4-Netzwerk zu verkaufen, gibt es immer noch
IPv4-Adressen sind eine begrenzte Ressource, die schneller erschöpft sein könnte
Eine Internet Protocol (IP)-Adresse ist eine eindeutige Kennung, die jedem mit dem
Die steigende Nachfrage nach IP-Blöcken hat die Preise in die Höhe getrieben und
Netzwerk-IP-Adressen variieren und erfordern eine fachkundige Beratung für Netzwerkbetreiber.
Inhaltsverzeichnis Einführung Kategorien von IP-Blocklisten Funktionalität von
