Come posso risolvere gli errori di configurazione BYOIP più comuni nel mio VPC?

Breve descrizione

Di seguito sono riportati gli errori più comuni che si verificano quando si configura BYOIP nel cloud privato virtuale:

• La Route Origin Authorization (ROA) non è valida o non è stata trovata per i numeri CIDR e Numero di sistema autonomo (ASN) di Amazon.
• Non è stato trovato un certificato X509 nelle osservazioni WHOIS.
• L'intervallo IP non è un tipo di allocazione accettabile nel registro Internet associato.
• La firma CidrAuthorizationContext non può essere verificata con i certificati X509 presenti nei registri RIR (Regional Internet Registries).
• Il tuo indirizzo IP è bloccato nello stato di pending-provision.

Risoluzione

Errore: Il ROA non è valido o non è stato trovato per CIDR e Amazon ASN

Nota: Se rilevi errori durante l'esecuzione dell’Interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

Crea un ROA per autorizzare Amazon ASN 16509 e 14618 a pubblicizzare i tuoi intervalli di indirizzi. Il ROA impiega fino a 24 ore per rendere disponibili gli ASN per Amazon.

Per confermare la creazione di ROA e la mappatura ASN, usa rpki-validator di RIPE. Usa un browser o un curl dalla riga di comando per completare la conferma.

Esempio di browser

https://rpki-validator.ripe.net/json?select-prefix= X.X.X.X/{prefix-length}

Nota: Nell'esempio precedente, sostituisci X.X.X.X/ {prefix-length} con il tuo intervallo di indirizzi.

Esempio di riga di comando

curl https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}

Nota: Nell'esempio precedente, sostituisci X.X.X.X/ {prefix-length} con il tuo intervallo di indirizzi.

Esempio di output valido:

{
  "metadata": {
  "generated": 1685008213,
    "generatedTime": "2023-05-25T09:50:13Z"
  },
  "roas": [
    { "asn": "AS14618", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" },
    { "asn": "AS16509", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" }
  ]
}

Esempio di output non valido:

{
  "metadata": {
  "generated": 1685008305,
    "generatedTime": "2023-05-25T09:51:45Z"
  },
  "roas": [

  ]
}

Per evitare questo errore, completa le seguenti attività:

• Il ROA deve essere valido per entrambi gli ASN per il periodo di utilizzo. Inoltre, deve essere specifico per gli intervalli di indirizzi che inserisci in AWS. Per maggiori informazioni, consulta la sezione "Preparazione dell'intervallo di indirizzi IP" in Introduzione a Porta il tuo indirizzo IP (BYOIP).
• Attendi 24 ore dopo aver creato un ROA prima di effettuare nuovamente il provisioning.

Errore: Nessun certificato X509 è stato trovato nelle osservazioni WHOIS

I motivi più comuni di questo errore includono i seguenti motivi:

• Non è presente un certificato nel record RDAP per il RIR.
• Nel certificato sono presenti nuovi caratteri di riga.
• Il certificato non è valido.
• Il certificato non viene generato dalla coppia di chiavi valida.

Assicurati di creare e caricare il certificato correttamente. Per ulteriori informazioni, consulta Creare una coppia di chiavi per l'autenticazione AWS.

Per risolvere questo errore, verifica che il certificato caricato sia valido. Usa WHOIS per controllare il record relativo all'intervallo di rete nel RIR.

Per ARIN:

whois -a <Public IP>

Controlla la sezione Commenti per NetRange (intervallo di rete). Aggiungi il certificato alla sezione Commenti pubblici per il tuo intervallo di indirizzi.

Per RIPE:

whois -r <Public IP>

Controlla la sezione descr per l'oggetto inetnum (intervallo di rete) nel display WHOIS. Aggiungi il certificato al campo desc per il tuo intervallo di indirizzi.

Per APNIC:

whois -A <Public IP>

Controlla la sezione delle osservazioni per l'oggetto inetnum (intervallo di rete) nel display WHOIS. Assicurati che il certificato sia nel campo delle osservazioni relativo all'intervallo di indirizzi.

Dopo aver completato il controllo, completa le seguenti attività:

1. Se non esiste un certificato, crea un nuovo certificato. Quindi, segui i passaggi descritti nella sezione Risoluzione di questo articolo per caricarlo.
   Se c'è un certificato, assicurati che non ci siano nuove righe. Se sono presenti nuove righe, rimuovile come mostrato nell'esempio seguente:

   openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

2. Verifica che il certificato sia valido. A tale scopo, copia il contenuto del certificato in un nuovo file ed esegui il seguente comando:

   openssl x509 -in example.crt -text -noout

   Se ricevi un errore relativo all'impossibilità di caricare il certificato, aggiungi una nuova riga dopo BEGIN CERTIFICATE e un'altra nuova riga prima di END CERTIFICATE.

3. Se nessuna delle condizioni precedenti si applica, è stata utilizzata una coppia di chiavi errata per generare il certificato.

Errore: L'intervallo IP non è un tipo di allocazione accettabile nel registro Internet associato

I motivi di questo errore sono i seguenti:

• Il tipo di allocazione RIR per l'intervallo di indirizzi è errato.
• Il registro non è supportato.

Esistono cinque registri Internet regionali (RIR): AFRINIC, ARIN, APNIC, LACNIC e RIPE. AWS supporta i prefissi registrati ARIN, RIPE e APNIC.

Per verificare il RIR, usa WHOIS:

whois <public ip>

Per RIPE: Verificare che lo Stato sia ALLOCATED PA, LEGACY o ASSIGNED PI.

Per ARIN: Verificare che NetType sia Allocazione diretta o Assegnazione diretta.

Per APNIC: Verificare che lo Stato sia ALLOCATED PORTABLE o ASSIGNED PORTABLE.

Nota: Alcuni commenti potrebbero indicare che gli Indirizzi all'interno di questo blocco non sono portabili. Questo commento è un'ulteriore conferma che il RIR non può fornire quell'intervallo di indirizzi.

L'errore precedente si verifica per i seguenti motivi:

• Lo Stato (per RIPE e APNIC) o NetType (per ARIN) non è uno degli stati elencati nella sezione precedente.
• Il registro non è supportato.

Errore: La firma di CidrAuthorizationContext non può essere verificata con i certificati X509 nei record RIR

Quando fornisci gli intervalli di indirizzi, AWS deve verificare la firma per la chiamata API. AWS utilizza la chiave pubblica derivata dal certificato per verificare la firma nella chiamata API aws ec2 provision-byoip-cidr. Questo errore indica una mancata verifica crittografica della firma.

I motivi più comuni di questo errore sono i seguenti:

• Quando effettui il provisioning, non stai utilizzando la firma corretta.
• Hai firmato il messaggio con la chiave privata sbagliata.
• Hai caricato il certificato errato nel record RDAP con il RIR

Errore: Il tuo indirizzo IP è bloccato nello stato "pending-provision"

È necessaria fino a una settimana per completare il processo di fornitura di gamme pubblicizzabili pubblicamente. Usa il comando describe-byoip-cidrs per monitorare i progressi, come mostrato nell'esempio seguente:

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Se lo stato cambia in failed-provision, esegui nuovamente il comando provision-byoip-cidr dopo aver risolto i problemi.

Per ulteriori informazioni, consulta Fornire un intervallo di indirizzi pubblicamente pubblicizzato in AWS.

Informazioni correlate

Porta i tuoi indirizzi IP (BYOIP) in Amazon Elastic Compute Cloud (Amazon EC2)

Porta il tuo IP