Wie behebe ich häufig auftretende BYOIP-Konfigurationsfehler in meiner VPC?

Kurzbeschreibung

Die folgenden Fehler treten häufig auf, wenn Sie BYOIP in Ihrer VPC konfigurieren:

• Die Route Origin Authorization (ROA) ist nicht gültig oder wurde für die CIDR und autonome Systemnummern von Amazon (ASNs) nicht gefunden.
• In den WHOIS-Bemerkungen wurde kein X509-Zertifikat gefunden.
• Der IP-Bereich ist kein akzeptabler Zuordnungstyp in der zugehörigen Internet Registry.
• Die CidrAuthorizationContext-Signatur kann nicht mit den X509-Zertifikaten in den RIR-Datensätzen (Regional Internet Registries) überprüft werden.
• Ihre IP-Adresse ist im Status Ausstehende Bereitstellung stecken geblieben.

Lösung

Fehler: Die ROA ist nicht gültig oder wurde für CIDR und Amazon-ASNs nicht gefunden

Hinweis: Wenn Sie beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.

Erstellen Sie eine ROA, um die Amazon-ASNs 16509 und 14618 zur Ankündigung Ihrer Adressbereiche zu autorisieren. Es kann bis zu 24 Stunden dauern, bis die ROA die ASNs für Amazon verfügbar macht.

Verwenden Sie den rpki-validator von RIPE, um die ROA-Erstellung und die ASN-Zuordnung zu bestätigen. Verwenden Sie entweder einen Browser oder einen curl-Befehl von der Befehlszeile aus, um die Bestätigung abzuschließen.

Beispiel für einen Browser

https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}

Hinweis: Ersetzen Sie im vorherigen Beispiel X.X.X.X/{prefix-length} durch Ihren Adressbereich.

Beispiel für die Befehlszeile

curl https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}

Hinweis: Ersetzen Sie im vorherigen Beispiel X.X.X.X/{prefix-length} durch Ihren Adressbereich.

Beispiel für eine gültige Ausgabe:

{
  "metadata": {
  "generated": 1685008213,
    "generatedTime": "2023-05-25T09:50:13Z"
  },
  "roas": [
    { "asn": "AS14618", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" },
    { "asn": "AS16509", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" }
  ]
}

Beispiel für eine ungültige Ausgabe:

{
  "metadata": {
  "generated": 1685008305,
    "generatedTime": "2023-05-25T09:51:45Z"
  },
  "roas": [

  ]
}

Führen Sie die folgenden Aufgaben aus, um diesen Fehler zu vermeiden:

• Die ROA muss für beide ASNs für den Nutzungszeitraum gültig sein. Sie muss auch spezifisch für die Adressbereiche sein, die Sie in AWS übernehmen. Weitere Informationen finden Sie im Abschnitt „Vorbereiten Ihres IP-Adressbereichs“ unter Einführung von Bring Your Own IP (BYOIP).
• Warten Sie 24 Stunden, nachdem Sie eine ROA erstellt haben, bevor Sie sie noch einmal bereitstellen.

Fehler: In den WHOIS-Bemerkungen konnte kein X509-Zertifikat gefunden werden

Häufige Gründe für diesen Fehler sind:

• Im RDAP-Datensatz für die RIR wurde kein Zertifikat angegeben.
• Das Zertifikat enthält Zeichen für neue Zeilen.
• Das bereitgestellte Zertifikat ist nicht gültig.
• Das Zertifikat wurde nicht aus dem gültigen Schlüsselpaar generiert.

Stellen Sie sicher, dass Sie das Zertifikat korrekt erstellen und hochladen. Weitere Informationen finden Sie unter Erstellen eines Schlüsselpaars für die AWS-Authentifizierung.

Um diesen Fehler zu beheben, stellen Sie sicher, dass das hochgeladene Zertifikat gültig ist. Sie können WHOIS verwenden, um den Datensatz für den Netzwerkbereich in der RIR zu überprüfen.

Für ARIN:

whois -a <Public IP>

Im Abschnitt Comments (Kommentare) finden Sie den NetRange (Netzwerkbereich). Stellen Sie sicher, dass das Zertifikat im Abschnitt Public Comments (Öffentliche Kommentare) für Ihren Adressbereich hinzugefügt wurde.

Für RIPE:

whois -r <Public IP>

Prüfen Sie den Abschnitt descr (Beschreibung) für das inetnum-Objekt (Netzwerkbereich) in der WHOIS-Anzeige. Stellen Sie sicher, dass das Zertifikat im Feld desc (Beschreibung) für Ihren Adressbereich hinzugefügt wurde.

Für APNIC:

whois -A <Public IP>

Prüfen Sie den Abschnitt remarks (Anmerkungen) für das inetnum-Objekt (Netzwerkbereich) in der WHOIS-Anzeige. Stellen Sie sicher, dass sich das Zertifikat im Feld remarks (Anmerkungen) für Ihren Adressbereich befindet.

Gehen Sie nach Abschluss der vorherigen Prüfung wie folgt vor:

1. Wenn kein Zertifikat vorhanden ist, erstellen Sie ein neues Zertifikat. Laden Sie es dann gemäß den Schritten im Abschnitt „Lösung“ dieses Artikels hoch.
   Wenn ein Zertifikat vorhanden ist, stellen Sie sicher, dass keine neuen Zeilen vorhanden sind. Wenn neue Zeilen vorhanden sind, entfernen Sie diese wie im folgenden Beispiel gezeigt:

   openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

2. Stellen Sie sicher, dass das bereitgestellte Zertifikat gültig ist. Kopieren Sie dazu den Inhalt des Zertifikats in eine neue Datei und führen Sie den folgenden Befehl aus:

   openssl x509 -in example.crt -text -noout

   Wenn Sie den Fehler unable to load certificate (Laden des Zertifikats nicht möglich) erhalten, fügen Sie eine neue Zeile nach BEGIN CERTIFICATE (Anfang des Zertifikats) und eine weitere neue Zeile vor END CERTIFICATE (Ende des Zertifikats) hinzu.

3. Wenn keiner der oben genannten Punkte zutrifft, wurde das Zertifikat mit einem falschen Schlüsselpaar generiert.

Fehler: Der IP-Bereich ist kein akzeptabler Zuordnungstyp in der zugehörigen Internet Registry

Mögliche Gründe für diesen Fehler sind:

• Der RIR-Zuordnungstyp für den Adressbereich ist falsch.
• Die Registry wird nicht unterstützt.

Es gibt fünf Regional Internet Registries (RIR): AFRINIC, ARIN, APNIC, LACNIC und RIPE. AWS unterstützt ARIN-, RIPE- und APNIC-registrierte Präfixe.

Verwenden Sie WHOIS, um die RIR zu überprüfen:

whois <public ip>

Für RIPE: Vergewissern Sie sich, dass der Status ALLOCATED PA, LEGACY oder ASSIGNED PI lautet.

Für ARIN: Stellen Sie sicher, dass der NetType Direct Allocation oder Direct Assignment ist.

Für APNIC: Vergewissern Sie sich, dass der Status ALLOCATED PORTABLE oder ASSIGNED PORTABLE lautet.

Hinweis: In einigen Kommentaren wird möglicherweise angegeben, dass ** Adressen in diesem Block nicht portabel** sind. Dieser Kommentar ist eine zusätzliche Bestätigung, dass die RIR diesen Adressbereich nicht bereitstellen kann.

Der vorherige Fehler tritt aus folgenden Gründen auf:

• Der Status (für RIPE und APNIC) oder NetType (für ARIN) ist keiner der oben genannten Werte.
• Die Registry wird nicht unterstützt.

Fehler: Die CidrAuthorizationContext-Signatur kann nicht mit den X509-Zertifikaten in den RIR-Datensätzen überprüft werden

Wenn Sie die Adressbereiche bereitstellen, muss AWS die Signatur für den API-Aufruf überprüfen. AWS verwendet den vom Zertifikat abgeleiteten öffentlichen Schlüssel, um die Signatur im API-Aufruf aws ec2 provision-byoip-cidr zu überprüfen. Dieser Fehler weist darauf hin, dass die bereitgestellte Signatur nicht kryptografisch überprüft wurde.

Folgende sind häufige Gründe für diesen Fehler:

• Sie verwenden bei der Bereitstellung nicht die richtige Signatur.
• Sie haben die Nachricht mit dem falschen privaten Schlüssel signiert.
• Sie haben das falsche Zertifikat in den RDAP-Datensatz mit der RIR hochgeladen.

Fehler: Ihre IP-Adresse ist Status „Ausstehende Bereitstellung“ stecken geblieben

Es kann bis zu einer Woche dauern, bis der Bereitstellungsprozess für öffentlich bewerbbare Bereiche abgeschlossen ist. Verwenden Sie den Befehl describe-byoip-cidrs, um den Fortschritt zu überwachen, wie im folgenden Beispiel gezeigt:

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Wenn sich der Status in Fehlgeschlagene Bereitstellung ändert, müssen Sie den Befehl provision-byoip-cidr command erneut ausführen, nachdem die Probleme behoben wurden.

Weitere Informationen finden Sie unter Bereitstellung eines öffentlich beworbenen Adressbereichs in AWS.

Ähnliche Informationen

Bring Your Own IP addresses (BYOIP) in Amazon Elastic Compute Cloud (Amazon EC2)

Bring Your Own IP