VPC에서 일반적인 BYOIP 구성 오류를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 4월 5일

Amazon Virtual Private Cloud(Amazon VPC)에서 Bring your own IP(BYOIP)를 구성하려고 합니다. 일반적인 오류를 해결하려면 어떻게 해야 합니까?

간략한 설명

다음은 VPC에서 BYOIP를 구성할 때 발생할 수 있는 일반적인 오류입니다.

제공된 CIDR 및 Amazon ASN에 대해 경로원점인증서(ROA)가 유효하지 않거나 이 인증서를 찾을 수 없습니다.
WHOIS 설명(remarks)에서 X509 인증서를 찾을 수 없습니다.
IP 범위가 연결된 인터넷 레지스트리에서 허용되는 할당 유형이 아닙니다.
지역 인터넷 레지스트리(RIR) 레코드의 X509 인증서로 CidrAuthorizationContext 서명을 확인할 수 없습니다.
IP 주소가 pending-provision 상태에서 멈춥니다.

해결 방법

오류: 제공된 CIDR 및 Amazon ASN에 대해 ROA가 유효하지 않거나 이 인증서를 찾을 수 없습니다.

ROA를 생성하여 Amazon ASN 16509 및 14618에서 사용자의 주소 범위를 노출하도록 허용합니다. ROA가 Amazon에서 ASN을 사용할 수 있도록 하는 데 최대 24시간이 걸릴 수 있습니다.

ROA 생성 및 ASN 매핑을 확인하려면 WHOIS를 사용하세요.

$ whois -h whois.bgpmon.net " --roa 16509 <Customer IP/CIDR> "
$ whois -h whois.bgpmon.net " --roa 14618 <Customer IP/CIDR> "

유효한 출력의 예:

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
0 - Valid
------------------------
ROA Details
------------------------
Origin ASN: AS14618
Not valid Before: 2019-02-20 05:00:00
Not valid After: 2020-02-20 05:00:00 Expires in 266d11h4m39s
Trust Anchor: rpki.arin.net
Prefixes: X.X.X.X/24 (max length /24)

유효하지 않은 출력의 예:

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
2 - Not Valid: Invalid Origin ASN, expected 16509

이 오류를 방지하려면 다음을 수행합니다.

ROA는 사용 기간 동안 두 ASN에 모두 유효해야 하며 AWS로 가져오는 주소 범위에 대해 구체적이어야 합니다. 자세한 내용은 Bring your own IP(BYOIP) 도입에서 IP 주소 범위 준비 섹션을 참조하세요.
ROA를 생성한 후 24시간을 기다린 다음 다시 프로비저닝합니다.

오류: WHOIS 설명(remarks)에서 X509 인증서를 찾을 수 없음

이 오류의 일반적인 원인은 다음과 같습니다.

RIR의 RDAP 레코드에 인증서가 제공되지 않았습니다.
인증서에 줄 바꿈 문자가 있습니다.
제공된 인증서가 유효하지 않습니다.
유효한 키 페어에서 생성된 인증서가 아닙니다.

올바르게 생성된 인증서를 업로드해야 합니다. 자세한 내용은 AWS 인증을 위한 키 페어 생성을 참조하세요.

이 오류를 해결하려면 업로드한 인증서가 유효한지 확인합니다. WHOIS를 사용하여 RIR의 네트워크 범위에 대한 레코드를 확인할 수 있습니다.

ARIN의 경우:

whois -a <Public IP>

NetRange(네트워크 범위)에 대한 설명(Comments) 섹션을 확인합니다. 주소 범위에 대한 공개 설명(Public Comments) 섹션에 인증서가 추가되었는지 확인합니다.

RIPE의 경우:

whois -r <Public IP>

WHOIS 디스플레이에서 inetnum 객체(네트워크 범위)에 대한 descr 섹션을 확인합니다. 주소 범위에 대한 desc 필드에 인증서가 추가되었는지 확인합니다.

APNIC의 경우:

whois -A <Public IP>

WHOIS 디스플레이에서 inetnum 객체(네트워크 범위)에 대한 remarks 섹션을 확인합니다. 인증서가 주소 범위에 대한 remarks 필드에 있는지 확인합니다.

위의 확인 사항을 완료한 후 다음을 수행합니다.

1. 인증서가 없는 경우 새 인증서를 생성한 다음 이 해결 방법 섹션에 설명된 권장 사항에 따라 인증서를 업로드합니다.

2. 인증서가 있으면 줄 바꿈이 없는지 확인하세요. 줄 바꿈이 있으면 다음 예와 같이 제거합니다.

openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

3. 제공된 인증서가 유효한지 확인합니다. 이렇게 하려면 인증서 콘텐츠를 새 파일에 복사하고 다음 명령을 실행합니다.

openssl x509 -in example.crt -text -noout

인증서를 로드할 수 없음 오류가 표시되면 BEGIN CERTIFICATE 다음에 새 줄을 추가하고 END CERTIFICATE 앞에 새 줄을 추가합니다.

4. 위의 항목 중 어느 것도 해당되지 않으면 인증서가 잘못된 키 페어를 사용하여 생성된 것입니다.

오류: IP 범위가 연결된 인터넷 레지스트리에서 허용되는 할당 유형이 아님

이 오류의 가능한 원인은 다음과 같습니다.

주소 범위에 대한 RIR 할당 유형이 잘못되었습니다.
레지스트리가 지원되지 않습니다.

지역 인터넷 레지스트리(RIR)는 AFRINIC, ARIN, APNIC, LACNIC, RIPE라는 5가지 종류가 있습니다. AWS는 ARIN, RIPE 및 APNIC 등록 접두사를 지원합니다.

RIR을 확인하려면 WHOIS를 사용합니다.

whois <public ip>

RIPE의 경우:상태(Status)가 ALLOCATED PA, LEGACY 또는 ASSIGNED PI인지 확인합니다.

ARIN의 경우: NetType이 직접 할당(Direct Allocation) 또는 직접 배정(Direct Assignment)인지 확인합니다.

APNIC의 경우:상태(Status)가 ALLOCATED PORTABLE 또는 ASSIGNED PORTABLE인지 확인합니다.

참고: 일부 설명에는 이 블록 내의 주소는 이식 불가능(Addresses within this block are non-portable)이라고 표시될 수 있습니다. 이 설명은 RIR이 해당 주소 범위를 프로비저닝할 수 없다는 추가 확인입니다.

앞의 오류는 다음과 같은 이유로 발생합니다.

상태(Status)(RIPE 및 APNIC의 경우) 또는 NetType(ARIN의 경우)이 위의 항목에 해당하지 않는 경우.
지원되지 않는 레지스트리인 경우.

오류: RIR 레코드에서 X509 인증서로 CidrAuthorizationContext 서명을 확인할 수 없음

주소 범위를 프로비저닝할 때 AWS는 인증서에서 파생된 퍼블릭 키를 사용하여 aws ec2 provision-byoip-cidr API 호출의 서명을 확인합니다. 이 오류는 제공된 서명을 암호화 방식으로 확인하지 못했음을 나타냅니다.

이 오류의 일반적인 원인은 다음과 같습니다.

프로비저닝할 때 올바른 서명을 사용하고 있지 않습니다.
메시지에 잘못된 프라이빗 키로 서명했습니다.
RIR의 RDAP 레코드에 잘못된 인증서를 업로드했습니다.

오류: ‘pending-provision’ 상태에서 멈춤

공개 노출 범위에 대해 프로비저닝 프로세스를 완료하는 데 최대 1주일이 걸릴 수 있습니다. 다음 예와 같이 describe-byoip-cidrs 명령을 사용하여 진행 상황을 모니터링합니다.

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

상태가 failed-provision로 변경되면 문제가 해결된 후 provision-byoip-cidr 명령을 다시 실행해야 합니다.

자세한 내용은 AWS에서 공개 노출 주소 범위 프로비저닝을 참조하세요.