Como soluciono erros comuns de configuração BYOIP na minha VPC?

6 minuto de leitura
0

Quero configurar o recurso Traga seu próprio IP (BYOIP) para minha Amazon Virtual Private Cloud (Amazon VPC).

Descrição breve

A seguir estão os erros comuns que ocorrem quando você configura o BYOIP na sua VPC:

  • A Autorização de origem da rota (ROA) não é válida ou não foi encontrada para o CIDR e os Números de sistema autônomo da Amazon (ASNs).
  • Um certificado X509 não foi encontrado nas observações do WHOIS.
  • O intervalo de IP não é um tipo de alocação aceitável no registro da Internet associado.
  • A assinatura CIDRAuthorizationContext não pode ser verificada com os certificados X509 nos Registros regionais da Internet (RIR).
  • Seu endereço IP está preso no estado de provisão pendente.

Resolução

Erro: A ROA não é válida ou não foi encontrada para o CIDR e os ASNs da Amazon

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.

Crie uma ROA para autorizar os ASNs 16509 e 14618 da Amazon a anunciar seus intervalos de endereços. Leva até 24 horas para a ROA disponibilizar os ASNs para a Amazon.

Para confirmar a criação da ROA e o mapeamento dos ASNs, use o rpki-validator do RIPE. Use um navegador ou curl na linha de comando para concluir a confirmação.

**Exemplo de navegador **

https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}

Observação: no exemplo anterior, substitua X.X.X.X/{prefix-length} pelo seu intervalo de endereços.

Exemplo de linha de comando

curl https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}

Observação: no exemplo anterior, substitua X.X.X.X/{prefix-length} pelo seu intervalo de endereços.

Exemplo de saída válida:

{
  "metadata": {
  "generated": 1685008213,
    "generatedTime": "2023-05-25T09:50:13Z"
  },
  "roas": [
    { "asn": "AS14618", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" },
    { "asn": "AS16509", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" }
  ]
}

Exemplo de saída inválida:

{
  "metadata": {
  "generated": 1685008305,
    "generatedTime": "2023-05-25T09:51:45Z"
  },
  "roas": [

  ]
}

Para evitar esse erro, conclua as seguintes tarefas:

Erro: Nenhum certificado X509 foi encontrado nas observações do WHOIS

Os motivos comuns para esse erro incluem os seguintes:

  • Não há um certificado no registro RDAP para o RIR.
  • Há novos caracteres de linha no certificado.
  • O certificado não é válido.
  • O certificado não é gerado a partir do par de chaves válido.

Certifique-se de criar e carregar o certificado corretamente. Para mais informações, consulte Create a key pair for AWS authentication (Criar um par de chaves para autenticação da AWS).

Para solucionar esse erro, verifique se o certificado carregado é válido. Use o WHOIS para verificar o registro do alcance da rede no RIR.

Para o ARIN:

whois -a <Public IP>

Verifique a seção Comments (Comentários) sobre NetRange (intervalo de rede). Adicione o certificado à seção Public Comments (Comentários públicos) para sua faixa de endereços.

Para o RIPE:

whois -r <Public IP>

Verifique a seção descr sobre o objeto inetnum (intervalo de rede) na tela do WHOIS. Adicione o certificado ao campo desc para seu intervalo de endereços.

Para o APNIC:

whois -A <Public IP>

Verifique a seção remarks sobre o objeto inetnum (intervalo de rede) na tela do WHOIS. Certifique-se de que o certificado esteja no campo remarks do seu intervalo de endereços.

Depois de concluir a verificação, conclua as seguintes tarefas:

  1. Se não houver um certificado, crie um novo. Em seguida, siga as etapas descritas na seção Resolução deste artigo para carregá-lo.
    Se houver um certificado, certifique-se de que não haja novas linhas. Se houver novas linhas, remova-as conforme mostrado no exemplo a seguir:

    openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer
  2. Verifique se o certificado é válido. Para fazer isso, copie o conteúdo do certificado em um novo arquivo e execute o seguinte comando:

    openssl x509 -in example.crt -text -noout

    Se você receber um erro informando que não é possível carregar o certificado, adicione uma nova linha após BEGIN CERTIFICATE e outra nova linha antes de END CERTIFICATE.

  3. Se nenhuma das opções acima for aplicável, um par de chaves incorreto foi usado para gerar o certificado.

Erro: O intervalo de IP não é um tipo de alocação aceitável no registro da Internet associado

A seguir estão os motivos desse erro:

  • O tipo de alocação RIR para o intervalo de endereços está errado.
  • Não há suporte para o registro.

Existem cinco registros regionais da internet (RIR): AFRINIC, ARIN, APNIC, LACNIC e RIPE. A AWS oferece suporte aos prefixos registrados do ARIN, RIPE e APNIC.

Para verificar o RIR, use o WHOIS:

whois <public ip>

Para o RIPE: Verifique se o Status é ALLOCATED PA, LEGACY ou ASSIGNED PI.

Para o ARIN: Verifique se o NetType é Alocação direta ou Atribuição direta.

Para o APNIC: Verifique se o Status é ALLOCATED PORTABLE ou ASSIGNED PORTABLE.

Observação: alguns comentários podem indicar que os Endereços dentro desse bloco não são portáveis. Esse comentário é uma confirmação adicional de que o RIR não pode provisionar esse intervalo de endereços.

O erro anterior ocorre pelos seguintes motivos:

  • O Status (para RIPE e APNIC) ou o NetType (para ARIN) não é nenhum dos status listados na seção anterior.
  • Não há suporte para o registro.

Erro: A assinatura CidrAuthorizationContext não pode ser verificada com os certificados X509 nos registros RIR

Quando você provisiona os intervalos de endereços, a AWS deve verificar a assinatura da chamada de API. A AWS usa a chave pública derivada do certificado para verificar a assinatura na chamada de API aws ec2 provision-byoip-cidr. Esse erro indica uma falha na verificação criptográfica da assinatura.

A seguir estão os motivos comuns para esse erro:

  • Ao provisionar, você não está usando a assinatura correta.
  • Você assinou a mensagem com a chave privada errada.
  • Você carregou o certificado errado no registro RDAP com o RIR

Erro: Seu endereço IP está preso no estado de “provisão pendente”

Demora até uma semana para concluir o processo de provisionamento de intervalos anunciáveis publicamente. Use o comando describe-byoip-cidrs para monitorar o progresso, conforme mostrado no exemplo a seguir:

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Se o status mudar para failed-provision, execute o comando provision-byoip-cidr command novamente depois de resolver os problemas.

Para mais informações, consulte Provision a publicly advertised address range in AWS (Provisionar um intervalo de endereços publicamente anunciados na AWS).

Informações relacionadas

Traga seus próprios endereços IP (BYOIP) no Amazon Elastic Compute Cloud (Amazon EC2)

Traga seu próprio IP

AWS OFICIAL
AWS OFICIALAtualizada há 8 meses