` Использование собственных IP-адресов (BYOIP) в Amazon EC2 - Interlir networks marketplace
bgunderlay bgunderlay bgunderlay

Использование собственных IP-адресов (BYOIP) в Amazon EC2

На INTERLIR Marketplace вы можете арендовать IP-адреса, которые можно использовать в качестве адресов BYOIP (Bring Your Own IP) в Amazon EC2. Это позволяет вам перенести часть или весь диапазон публичных маршрутизируемых IPv4 или IPv6 адресов из вашей локальной сети в ваш аккаунт AWS (Amazon Web Services). Вы сохраняете контроль над диапазоном адресов, в то время как AWS по умолчанию рекламирует его в интернете. После интеграции диапазона адресов с AWS он будет доступен в вашем аккаунте AWS как пул адресов.

Не все регионы и ресурсы поддерживают BYOIP

Для получения списка поддерживаемых регионов и ресурсов, пожалуйста, ознакомьтесь с FAQ по BYOIP.

Определения для BYOIP (Bring Your Own IP)

  1. Самоподписанный сертификат X.509 — стандарт сертификата, используемый для шифрования и аутентификации данных в сети. AWS использует этот сертификат для проверки контроля над IP-пространством из записи RDAP.
  2. Протокол доступа к регистрационным данным (RDAP) — ресурс запроса, используемый для доступа к регистрационным данным. Клиенты обновляют эти данные, а AWS использует их для проверки контроля над адресным пространством в региональных интернет-регистрах (RIR).
  3. Авторизация происхождения маршрута (ROA) — объект, создаваемый RIR для аутентификации рекламы IP в определенных автономных системах. Это помогает обеспечить действительность распределения IP-адресов.
  4. Локальный интернет-регистратор (LIR) — организации, такие как интернет-провайдеры, которые распределяют блоки IP-адресов от RIR своим клиентам. Они действуют как посредники между RIR и конечными пользователями.

Требования и ограничения для BYOIP

Регистрация диапазона адресов:

  1. Диапазон адресов должен быть зарегистрирован в региональном интернет-регистре (RIR), таком как ARIN, RIPE или APNIC.
  2. Регистрация должна быть оформлена на бизнес или институциональное лицо и не может быть зарегистрирована на физическое лицо.

Специфические диапазоны IPv4 и IPv6:

  1. Самый специфичный допустимый диапазон IPv4 — /24.
  2. Самый специфичный допустимый диапазон IPv6 — /48 для публично рекламируемых CIDR и /56 для непублично рекламируемых CIDR.

ROA и записи RDAP:

  1. ROA не требуются для непублично рекламируемых диапазонов CIDR, но записи RDAP все равно должны быть обновлены.

Ограничения и интеграция:

  1. Каждый диапазон адресов может быть использован только в одном регионе AWS одновременно.
  2. Всего можно использовать до пяти диапазонов IPv4 и IPv6 в вашем аккаунте AWS на регион.
  3. Диапазоны IP-адресов не могут быть разделены с другими аккаунтами AWS, если не интегрированы с Amazon VPC IP Address Manager (IPAM) и AWS Organizations.

История IP-адресов и поддержка:

  1. Диапазоны IP-адресов должны иметь чистую историю; AWS оставляет за собой право отклонить диапазон с плохой репутацией или связанный с вредоносной деятельностью.
  2. Поддержка для устаревших распределений от AWS не предусмотрена.

Процесс обновления для LIR:

  1. LIR обычно используют ручной процесс обновления записей, который может занять несколько дней.

Одиночный ROA и запись RDAP для больших блоков CIDR:

  1. Для большого блока CIDR необходим один объект ROA и одна запись RDAP; несколько меньших блоков CIDR из того же диапазона могут быть переданы в AWS с использованием этого единственного объекта и записи.

Предварительные условия для подключения вашего диапазона адресов BYOIP

Подготовительный этап:

  1. Сгенерируйте пару RSA-ключей и используйте ее для создания самоподписанного сертификата X.509 для аутентификации.

Этап конфигурации RIR:

  1. Загрузите самоподписанный сертификат в комментарии к вашей записи RDAP.
  2. Создайте объект ROA в вашем RIR, указав желаемый диапазон адресов, разрешенные автономные системы (ASN) для объявления диапазона и дату истечения срока регистрации в инфраструктуре открытых ключей ресурсов (RPKI) вашего RIR.

Примечание: ROA не требуется для непублично рекламируемого пространства IPv6.

Требования и ограничения для BYOIP

Регистрация диапазона адресов:

  1. Диапазон должен быть зарегистрирован в RIR (ARIN, RIPE, APNIC).
  2. Регистрация должна быть на юридическое лицо, а не на физическое лицо.

Специфические диапазоны IPv4 и IPv6:

  1. Минимальный допустимый диапазон IPv4 — /24.
  2. Минимальный допустимый диапазон IPv6 — /48 для публично рекламируемых CIDR и /56 для непублично рекламируемых CIDR.

ROA и записи RDAP:

  1. ROA не требуется для непублично рекламируемых диапазонов CIDR, но записи RDAP должны быть обновлены.

Ограничения и интеграция:

  1. Каждый диапазон может быть использован только в одном регионе AWS одновременно.
  2. Можно использовать до пяти диапазонов IPv4 и IPv6 в одном регионе AWS.
  3. Диапазоны IP-адресов не могут быть разделены между аккаунтами AWS через AWS RAM, если не интегрированы с Amazon VPC IP Address Manager (IPAM) и AWS Organizations.

История IP-адресов и поддержка:

  1. Диапазоны IP должны иметь чистую историю; AWS может отклонить диапазон с плохой репутацией или связанный с вредоносной деятельностью.
  2. AWS не поддерживает устаревшие распределения.

Процесс обновления для LIR:

  1. LIR обычно используют ручной процесс обновления записей, который может занять несколько дней.

Одиночный ROA и запись RDAP для больших блоков CIDR:

  1. Для большого блока CIDR необходим один объект ROA и одна запись RDAP; несколько меньших блоков CIDR из того же диапазона могут быть переданы в AWS с использованием этого единственного объекта и записи.

Подготовка к процессу подключения BYOIP

Процесс подключения BYOIP состоит из двух фаз, каждая из которых требует выполнения трех конкретных шагов:

Подготовительный этап:

  1. Создайте пару ключей RSA и используйте их для создания самоподписанного сертификата X.509 для аутентификации.

Этап конфигурации RIR:

  1. Загрузите самоподписанный сертификат в комментарии к вашей записи RDAP.
  2. Создайте объект ROA в вашем RIR, указав желаемый диапазон адресов, разрешенные ASN для объявления диапазона и дату истечения срока регистрации в RPKI вашего RIR.

Примечание: ROA не требуется для непублично рекламируемого пространства IPv6.

Чтобы использовать несколько непоследовательных диапазонов адресов, повторите этот процесс для каждого диапазона. Если вы разбиваете непрерывный блок по разным регионам, этапы подготовки и конфигурации RIR повторять не нужно.

Подключение диапазона адресов не влияет на ранее подключенные диапазоны.

Перед началом подключения диапазона адресов убедитесь, что выполнили все необходимые предварительные условия. Некоторые задачи требуют выполнения команд Linux, и на Windows можно использовать Windows Subsystem for Linux для их выполнения.

1. Создание ключевой пары для аутентификации в AWS

Следуйте данной процедуре для создания самоподписанного сертификата X.509 и добавления его в запись RDAP вашего RIR. Эта ключевая пара используется для аутентификации диапазона адресов в RIR. Команды openssl требуют версию OpenSSL 1.0.2 или новее.

Скопируйте следующие команды и замените только значения-заполнители (выделены цветным курсивом).

Для создания самоподписанного сертификата X.509 и добавления его в запись RDAP

Эта процедура следует лучшей практике шифрования вашего частного ключа RSA и требует пароль для доступа к нему.

2. Загрузка записи RDAP в ваш RIR

Добавьте сертификат, который вы ранее создали, в запись RDAP для вашего RIR. Убедитесь, что включили строки ——BEGIN CERTIFICATE—— и ——END CERTIFICATE—— до и после закодированной части. Весь этот контент должен быть на одной длинной строке. Процедура обновления RDAP зависит от вашего RIR:

  1. Для ARIN добавьте сертификат в раздел «Public Comments» для вашего диапазона адресов. Не добавляйте его в раздел комментариев для вашей организации.
  2. Для RIPE добавьте сертификат как новое поле «descr» для вашего диапазона адресов. Не добавляйте его в раздел комментариев для вашей организации.
  3. Для APNIC отправьте публичный ключ по электронной почте на helpdesk@apnic.net для ручного добавления в поле «remarks» для вашего диапазона адресов. Отправьте письмо, используя авторизованный контакт APNIC для IP-адресов.

3. Создание объекта ROA в вашем RIR

Создайте объект ROA, чтобы авторизовать ASN Amazon 16509 и 14618 для объявления вашего диапазона адресов, а также текущие ASN, которые уже авторизованы для объявления диапазона. Для региона AWS GovCloud (US) авторизуйте ASN 8987. Вы должны установить максимальную длину, равную размеру самого маленького префикса, который вы хотите подключить (например, /24). Для получения дополнительной информации обратитесь к вашему RIR:

  1. ARIN — запросы ROA
  2. RIPE — управление ROA
  3. APNIC — управление маршрутами

Перед миграцией объявлений с рабочей нагрузки на месте в AWS важно сначала создать ROA для вашего существующего ASN. Только после создания ROA для вашего существующего ASN следует создавать ROA для ASN Amazon. Несоблюдение этого порядка может привести к возможным проблемам с маршрутизацией и объявлениями.

Примечание: этот шаг не требуется для непублично рекламируемого пространства IPv6.

Шаги для подключения вашего BYOIP   

Процесс подключения BYOIP включает следующие задачи в зависимости от ваших потребностей:

Содержание

  1. Подготовка публичного диапазона адресов для использования в AWS
  2. Подготовка диапазона IPv6, не рекламируемого публично
  3. Реклама диапазона адресов через AWS
  4. Деактивация диапазона адресов

Подготовка публичного диапазона адресов для использования в AWS

При подготовке диапазона адресов для использования с AWS вы заявляете, что контролируете этот диапазон и предоставляете Amazon право на его рекламу. Для подтверждения владения диапазоном требуется подписанное авторизационное сообщение.

Подготовка диапазона адресов

1. Составление сообщения

Создайте текстовое авторизационное сообщение. Формат сообщения следующий, где дата — это дата истечения срока действия сообщения:

1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

Замените значения на свои:

text_message=»1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS»

2. Подписание сообщения

Подпишите сообщение, используя приватный ключ, созданный ранее. Полученная подпись — это длинная строка, которую нужно будет использовать в следующем шаге.

Важно: рекомендуется скопировать и вставить эту команду. За исключением содержимого сообщения, не изменяйте и не заменяйте никакие значения:

signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr — ‘+=/’ ‘-_~’ | tr -d «\n»)

3. Подготовка адреса

Используйте команду AWS CLI provision-byoip-cidr, чтобы подготовить диапазон адресов. Опция —cidr-authorization-context использует строки сообщения и подписи, созданные ранее.

Важно: укажите регион AWS, если он отличается от настроек по умолчанию в вашей конфигурации AWS CLI:

aws ec2 provision-byoip-cidr —cidr address-range —cidr-authorization-context Message=»$text_message»,Signature=»$signed_message» —region us-east-1

Подготовка диапазона адресов — это асинхронная операция, поэтому вызов возвращается сразу, но диапазон адресов не готов к использованию, пока его статус не изменится с pending-provision на provisioned.

4. Мониторинг процесса

Процесс подготовки для публично рекламируемых диапазонов может занять до недели. Используйте команду describe-byoip-cidrs для мониторинга процесса, как в этом примере:

aws ec2 describe-byoip-cidrs —max-results 5 —region us-east-1

Если во время подготовки возникнут проблемы и статус перейдет в failed-provision, необходимо повторно выполнить команду provision-byoip-cidr после устранения проблем.

Провизирование диапазона IPv6-адресов, который не будет публично рекламироваться

По умолчанию при провизировании диапазона адресов он рекламируется в интернете. Однако для диапазонов IPv6 вы можете настроить их как непубличные, то есть они не будут рекламироваться в интернете. Процесс провизирования непубличных маршрутов обычно занимает несколько минут. При ассоциации непубличного IPv6 CIDR с виртуальной частной облачной (VPC) сетью, доступ к этому диапазону возможен только через гибридные варианты подключения, такие как AWS Direct Connect, AWS Site-to-Site VPN или Amazon VPC Transit Gateways.

Для непубличных диапазонов адресов не требуется создавать Route Origin Authorization (ROA) в процессе провизирования.

Важно:

  1. Вы можете указать, будет ли диапазон адресов публично рекламируемым, только на этапе провизирования. Позже изменить этот статус нельзя.

Чтобы провизировать диапазон IPv6, который не будет публично рекламироваться, используйте следующую команду provision-byoip-cidr.

aws ec2 provision-byoip-cidr —cidr address-range —cidr-authorization-context Message=»$text_message»,Signature=»$signed_message» —no-publicly-advertisable —region us-east-1

Реклама диапазона адресов через AWS

После провизирования диапазона адресов его можно рекламировать. Важно отметить, что необходимо рекламировать именно тот диапазон, который был провизирован, а не его часть.

Если вы провизировали диапазон IPv6, который не будет публично рекламироваться, этот шаг можно пропустить.

Перед рекламой диапазона через AWS рекомендуется остановить его рекламу из других мест, чтобы избежать проблем с поддержкой и устранением неполадок. Для этого настройте свои ресурсы AWS на использование адреса из вашего пула перед рекламой и одновременно остановите рекламу из текущего местоположения и начните рекламу через AWS.

Ограничения

  1. Команду advertise-byoip-cidr можно запускать не чаще одного раза в 10 секунд, даже если каждый раз указываются разные диапазоны адресов.
  2. Команду withdraw-byoip-cidr можно запускать не чаще одного раза в 10 секунд, даже если каждый раз указываются разные диапазоны адресов.

Для рекламы диапазона используйте следующую команду advertise-byoip-cidr:

aws ec2 advertise-byoip-cidr —cidr address-range —region us-east-1

Для остановки рекламы диапазона используйте следующую команду withdraw-byoip-cidr:

aws ec2 withdraw-byoip-cidr —cidr address-range —region us-east-1

Депровизирование диапазона адресов

Чтобы прекратить использование диапазона адресов с AWS, сначала освободите все Elastic IP адреса и отсоедините любые IPv6 CIDR блоки, которые все еще выделены из пула адресов. Затем остановите рекламу диапазона и, наконец, депровизируйте диапазон.

Нельзя депровизировать часть диапазона адресов. Если вам нужен более конкретный диапазон адресов для использования с AWS, депровизируйте весь диапазон и провизируйте более конкретный диапазон.

(IPv4) Для освобождения каждого Elastic IP адреса используйте следующую команду release-address:

aws ec2 release-address —allocation-id eipalloc-12345678abcabcabc —region us-east-1

(IPv6) Для отсоединения блока IPv6 CIDR используйте следующую команду disassociate-vpc-cidr-block:

aws ec2 disassociate-vpc-cidr-block —association-id vpc-cidr-assoc-12345abcd1234abc1 —region us-east-1

Чтобы остановить рекламу диапазона адресов, используйте следующую команду withdraw-byoip-cidr:

aws ec2 withdraw-byoip-cidr —cidr address-range —region us-east-1

Чтобы депровизировать диапазон адресов, используйте следующую команду deprovision-byoip-cidr:

aws ec2 deprovision-byoip-cidr —cidr address-range —region us-east-1

Процесс депровизирования диапазона адресов может занять до одного дня.

Работа с вашим диапазоном адресов

Вы можете просматривать и использовать диапазоны IPv4 и IPv6 адресов, которые вы провизировали в своем аккаунте.

Диапазоны адресов IPv4

Вы можете создать Elastic IP адрес из вашего пула адресов IPv4 и использовать его с ресурсами AWS, такими как экземпляры EC2, NAT-шлюзы и Network Load Balancers.

Чтобы просмотреть информацию о пулах IPv4 адресов, которые вы провизировали в своем аккаунте, используйте следующую команду:

aws ec2 describe-public-ipv4-pools —region us-east-1Чтобы создать Elastic IP адрес из вашего пула IPv4 адресов, используйте команду allocate-address. Вы можете использовать опцию —public-ipv4-pool для указания ID пула адресов, возвращенного командой describe-byoip-cidrs. Или вы можете использовать опцию —address для указания адреса из диапазона, который вы провизировали.

Евгений Севастьянов

Руководитель технической поддержки

    Ready to get started?




    Статьи
    InterLIR: Брокер IPv4-адресов и рынок сетевых решений
    InterLIR: Брокер IPv4-адресов и рынок сетевых решений

    InterLIR GmbH — это площадка, которая стремится решить

    More
    Перераспределение IP-пространства
    Перераспределение IP-пространства

    Эффективное использование существующего адресного

    More
    Гид по регистрации ASN
    Гид по регистрации ASN

    Мир интернет-соединений и управления сетями

    More
    Различие между VLSM и CIDR
    Различие между VLSM и CIDR

    В огромном и сложном мире сетевых технологий

    More
    Текущие тенденции на рынке передачи IPv4
    Текущие тенденции на рынке передачи IPv4

    В мире сетевых технологий ценность и спрос на

    More
    Использование данных о местоположении IP-адресов для улучшения сетевого взаимодействия
    Использование данных о местоположении IP-адресов для улучшения сетевого взаимодействия

    «Использование данных о местоположении IP-адресов

    More
    Понимание и получение автономных системных номеров (ASN)
    Понимание и получение автономных системных номеров (ASN)

    В огромном и взаимосвязанном мире интернета

    More
    Расшифровка обратного DNS (rDNS)
    Расшифровка обратного DNS (rDNS)

    В эпоху цифровых технологий, где каждое онлайн-взаимодействие

    More
    Внедрение NAT: ключевые преимущества и стратегии сетевого взаимодействия
    Внедрение NAT: ключевые преимущества и стратегии сетевого взаимодействия

    Сетевое преобразование адресов (NAT) — это средство

    More
    Что такое WHOIS: дешифровка цифрового каталога
    Что такое WHOIS: дешифровка цифрового каталога

    В необъятном мире цифровых технологий знание

    More