`
En el INTERLIR Marketplace, tienes la opción de alquilar direcciones IP que se pueden utilizar como direcciones BYOIP (Bring Your Own IP) de Amazon EC2. Esto te permite traer una parte o la totalidad de tu rango de direcciones IPv4 o IPv6 públicamente enrutables desde tu red local a tu cuenta de AWS (Amazon Web Services). Mientras retienes el control sobre el rango de direcciones, AWS lo anunciará en Internet por defecto. Una vez que integres el rango de direcciones con AWS, estará disponible en tu cuenta de AWS como un grupo de direcciones.
No todas las regiones y recursos admiten BYOIP (Bring Your Own IP). Para ver la lista de regiones y recursos admitidos, consulta la sección de preguntas frecuentes sobre BYOIP.
Contenido
Un estándar de certificado utilizado para cifrar y autenticar datos dentro de una red. AWS utiliza este certificado para validar el control sobre el espacio de direcciones IP a partir de un registro RDAP.
Un recurso de consulta utilizado para acceder a datos de registro. Los clientes actualizan estos datos y AWS los emplea para verificar el control de un espacio de direcciones en los Registros Regionales de Internet (RIR).
Un objeto creado por los RIR para autenticar la publicidad de IP en sistemas autónomos específicos. Esto ayuda a garantizar la validez de la asignación de direcciones IP.
Organizaciones como proveedores de servicios de Internet que asignan bloques de direcciones IP de un RIR a sus clientes. Actúan como intermediarios entre los RIR y los usuarios finales.
Registro de Rango de Direcciones:
Rangos Específicos de Direcciones IPv4 e IPv6:
ROAs y Registros RDAP:
Limitaciones e Integración:
Historial y Soporte de Direcciones IP:
Proceso de Actualización para LIRs:
Un Solo ROA y Registro RDAP para Grandes Bloques CIDR:
El proceso de incorporación de BYOIP consta de dos fases, cada una requiere tres pasos específicos, como se ilustra en el diagrama a continuación.
Fase de Preparación:
1. Generar un par de claves RSA y utilizarlo para crear un certificado X.509 autofirmado con fines de autenticación.
Fase de Configuración RIR:
2. Cargar el certificado auto firmado en los comentarios del registro RDAP de tu RIR.
3. Crear un objeto ROA en tu RIR, especificando el rango de direcciones deseado, los Números de Sistema Autónomo (ASN) permitidos para anunciar el rango y una fecha de vencimiento para el registro con la Infraestructura de Clave Pública de Recursos (RPKI) de tu RIR.
Nota: Un ROA no es necesario para el espacio de direcciones IPv6 no anunciado públicamente.
Para incorporar múltiples rangos de direcciones no contiguas, debes repetir este proceso para cada rango. Sin embargo, si divides un bloque contiguo en diferentes regiones, no es necesario repetir los pasos de preparación y configuración RIR.
La incorporación de un rango de direcciones no afecta a los rangos de direcciones previamente incorporados.
Antes de proceder con la incorporación del rango de direcciones, asegúrate de completar los requisitos previos necesarios. Algunas tareas involucran comandos de Linux, y en Windows, puedes utilizar el Subsistema de Windows para Linux para ejecutar estos comandos.
1. Crear un par de claves para la autenticación de AWS
Utiliza el siguiente procedimiento para crear un certificado X.509 autofirmado y añadirlo al registro RDAP de tu RIR. Este par de claves se utiliza para autenticar el rango de direcciones con el RIR. Los comandos openssl requieren la versión 1.0.2 o posterior de OpenSSL.
Copia los siguientes comandos y reemplaza solo los valores de marcadores de posición (en texto itálico y de color).
Para crear un certificado X.509 autofirmado y añadirlo al registro RDAP
Este procedimiento sigue las mejores prácticas de cifrar tu clave privada RSA y requerir una frase de contraseña para acceder a ella.
2. Subir el registro RDAP en tu RIR
Añade el certificado que creaste anteriormente al registro RDAP de tu RIR. Asegúrate de incluir las cadenas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----
antes y después de la parte codificada. Todo este contenido debe estar en una sola línea larga. El procedimiento para actualizar RDAP depende de tu RIR:
3. Crear un objeto ROA en tu RIR
Crea un objeto ROA para autorizar a los ASN 16509 y 14618 de Amazon a anunciar tu rango de direcciones, así como los ASN que están actualmente autorizados para anunciar el rango de direcciones. Para la Región AWS GovCloud (EE. UU.), autoriza el ASN 8987. Debes establecer la longitud máxima en el tamaño del prefijo más pequeño que deseas incorporar (por ejemplo, /24). Puede tomar hasta 24 horas para que el ROA esté disponible para Amazon. Para obtener más información, consulta a tu RIR:
Antes de migrar anuncios de una carga de trabajo en las instalaciones a AWS, es crucial crear un ROA para tu actual Número de Sistema Autónomo (ASN) existente primero. Solo después de crear el ROA para tu ASN existente, debes proceder a crear los ROAs para los ASN de Amazon. No seguir esta secuencia puede resultar en posibles impactos en tu enrutamiento y anuncios existentes.
Nota: Este paso no es necesario para el espacio de direcciones IPv6 no anunciado públicamente.
El proceso de incorporación de BYOIP tiene las siguientes tareas según tus necesidades:
Temas
Provisionar un rango de direcciones anunciado públicamente en AWS
Cuando provisionas un rango de direcciones para usarlo con AWS, estás declarando que tienes control sobre el rango de direcciones y otorgando a Amazon la autorización para anunciarlo. Para verificar tu propiedad del rango de direcciones, requerimos un mensaje de autorización firmado. Este mensaje se firma utilizando el par de claves X.509 autofirmado que utilizaste para actualizar el registro RDAP con el certificado X.509. AWS exige un mensaje de autorización firmado criptográficamente, que luego se presenta al Registro Regional de Internet (RIR). El RIR autentica la firma con el certificado que agregaste a RDAP y verifica los detalles de autorización con la Autorización de Origen de Ruta (ROA). Este proceso de verificación garantiza la legítima propiedad y el manejo adecuado del rango de direcciones.
Provisión del rango de direcciones
1|aws|cuenta|cidr|AAAAMMDD|SHA256|RSAPSS
. text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"
. Esto no debe confundirse con un mensaje ROA, que tiene una apariencia similar.signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
.--cidr-authorization-context
utiliza las cadenas de mensaje y firma que creaste anteriormente.aws ec2 provision-byoip-cidr --cidr rango-de-direcciones --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1
pending-provision
a provisioned
.aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1
Si hay problemas durante la provisión y el estado cambia a failed-provision
, debes ejecutar nuevamente el comando provision-byoip-cidr
después de que los problemas hayan sido resueltos.
Por defecto, cuando provisiónas un rango de direcciones, se configura para ser anunciado públicamente en internet. Sin embargo, para los rangos de direcciones IPv6, tienes la opción de provisionarlos como no públicos, lo que significa que no serán anunciados en internet. El proceso de provisión para rutas no anunciadas públicamente suele completarse en pocos minutos. Cuando asocias un bloque CIDR IPv6 no público con una Virtual Private Cloud (VPC), el acceso al CIDR IPv6 solo es posible a través de opciones de conectividad híbrida que admitan IPv6, como AWS Direct Connect, AWS Site-to-Site VPN o Amazon VPC Transit Gateways.
Para los rangos de direcciones no públicos, no es necesario crear una Autorización de Origen de Ruta (ROA) durante el proceso de provisión.
Importante:
Solo puedes especificar si un rango de direcciones se anunciará públicamente durante la provisión. No puedes cambiar el estado de anunciar públicamente más adelante.
Para provisionar un rango de direcciones IPv6 que no se anunciará públicamente, utiliza el siguiente comando provision-byoip-cidr.
aws ec2 provision-byoip-cidr --cidr rango-de-direcciones --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1
Una vez que el rango de direcciones esté provisto, estará listo para ser anunciado. Es importante tener en cuenta que debes anunciar exactamente el rango de direcciones que se provisionó y no puedes anunciar solo una parte de él.
Si has provisto un rango de direcciones IPv6 que no se anunciará públicamente, puedes omitir este paso.
Antes de anunciar el rango de direcciones a través de AWS, te recomendamos que detengas su anuncio desde otras ubicaciones. Continuar anunciando el mismo rango de direcciones IP desde otras ubicaciones puede llevar a un soporte y solución de problemas poco confiables. Para garantizar una transición fluida, puedes configurar tus recursos de AWS para utilizar una dirección de tu pool de direcciones antes de que se anuncie, y luego detener simultáneamente el anuncio desde la ubicación actual y comenzar a anunciarlo a través de AWS. Para obtener una guía detallada sobre cómo asignar una dirección IP elástica de tu pool de direcciones, consulta las instrucciones para «Asignar una dirección IP elástica».
Para anunciar el rango de direcciones, utiliza el siguiente comando advertise-byoip-cidr.
aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1
Para dejar de anunciar el rango de direcciones, utiliza el siguiente comando advertise-byoip-cidr.
aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1
Para dejar de utilizar tu rango de direcciones con AWS, primero libera cualquier dirección IP elástica y desasocia cualquier bloque CIDR IPv6 que todavía esté asignado al pool de direcciones. Luego, detén la publicación del rango de direcciones y, finalmente, desaprovisiona el rango de direcciones.
No puedes desaprovisionar una porción del rango de direcciones. Si deseas utilizar un rango de direcciones más específico con AWS, desaprueba todo el rango de direcciones y aprovisiona un rango de direcciones más específico.
(IPv4) Para liberar cada dirección IP elástica, utiliza el siguiente comando release-address.
aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1
(IPv6) Para desasociar un bloque CIDR IPv6, utiliza el siguiente comando disassociate-vpc-cidr-block.
aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1
Para dejar de anunciar el rango de direcciones, utiliza el siguiente comando advertise-byoip-cidr.
aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1
Para desaprovisionar el rango de direcciones, utiliza el siguiente comando deprovision-byoip-cidr.
aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1
Puede tomar hasta un día desaprobar un rango de direcciones.
Trabaja con tu rango de direcciones
Puedes ver y utilizar los rangos de direcciones IPv4 e IPv6 que has aprovisionado en tu cuenta.
Puedes crear una dirección IP elástica a partir de tu grupo de direcciones IPv4 y utilizarla con tus recursos de AWS, como instancias EC2, pasarelas NAT y balanceadores de carga de red. Para ver información sobre los grupos de direcciones IPv4 que has aprovisionado en tu cuenta, utiliza el siguiente comando describe-public-ipv4-pools.
aws ec2 describe-public-ipv4-pools --region us-east-1
Para crear una dirección IP elástica a partir de tu grupo de direcciones IPv4, utiliza el comando allocate-address. Puedes utilizar la opción --public-ipv4-pool
para especificar el ID del grupo de direcciones devuelto por describe-byoip-cidrs
. O puedes usar la opción --address
para especificar una dirección del rango de direcciones que has aprovisionado.
Evgeny Sevastyanov
Client Support Teamleader