VPC의 일반적인 BYOIP 구성 오류를 해결하려면 어떻게 해야 하나요?
Amazon Virtual Private Cloud(VPC)에 사용할 고유 IP 주소 가져오기(BYOIP)를 구성하고 싶습니다.
간략한 설명
다음은 VPC에서 BYOIP를 구성할 때 발생하는 일반적인 오류입니다.
-
경로 출발지 인증(ROA)이 유효하지 않거나 CIDR 및 Autonomous System Numbers(ASN)에 대해 찾을 수 없습니다.
-
WHOIS 비고에서 X509 인증서를 찾을 수 없습니다.
-
IP 범위가 관련 인터넷 레지스트리에서 허용되는 할당 유형이 아닙니다.
-
지역 인터넷 레지스트리(RIR) 레코드에서 X509 인증서로 CidrAuthorizationContext 서명을 확인할 수 없습니다.
-
IP 주소가 프로비저닝 보류 중 상태에 있습니다.
해결 방법
오류: The ROA isn't valid or isn't found for the CIDR and Amazon ASNs
참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하는 경우, 최신 AWS CLI 버전을 사용하고 있는지 확인합니다.
ROA를 생성하여 아마존 ASN 16509 및 14618이 주소 범위를 광고하도록 승인합니다. ROA를 통해 ASN을 Amazon에서 사용할 수 있으려면 최대 24시간이 걸립니다.
ROA 생성 및 ASN 매핑을 확인하려면 RIPE의 rpki-validator를 확인합니다. 브라우저 또는 명령줄의 curl을 사용하여 확인을 마칩니다.
브라우저 예시
**
**참고:**이전 예시에서 **X.X.X.X/{prefix-length}**를 주소 범위로 바꾸세요.
명령줄 예시
curl https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}
**참고:**이전 예시에서 **X.X.X.X/{prefix-length}**를 주소 범위로 바꾸세요.
유효한 출력의 예시:
{ "metadata": { "generated": 1685008213, "generatedTime": "2023-05-25T09:50:13Z" }, "roas": [ { "asn": "AS14618", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" }, { "asn": "AS16509", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" } ] }
유효하지 않은 출력의 예시:
{ "metadata": { "generated": 1685008305, "generatedTime": "2023-05-25T09:51:45Z" }, "roas": [ ] }
이 오류를 방지하려면 다음 작업을 완료합니다.
- ROA는 사용 기간 동안 두 ASN에 모두 유효해야 합니다. 또한 AWS로 가져오는 주소 범위에만 해당되어야 합니다. 자세한 내용은 고유 IP 주소 가져오기(BYOIP) 소개의 “IP 주소 범위 준비” 섹션을 참조합니다.
- 다시 프로비저닝하기 전에 ROA를 생성한 후 24시간 동안 기다리세요.
오류: No X509 certificate could be found in the WHOIS remarks
이 오류에 대한 일반적인 원인은 다음과 같습니다.
- RIR에 대한 RDAP 레코드에 인증서가 없습니다.
- 인증서에 새 줄 문자가 있습니다.
- 인증서가 유효하지 않습니다.
- 유효한 키 쌍으로부터 인증서가 생성되지 않았습니다.
인증서를 정확하게 생성하고 업로드해야 합니다. 자세한 내용은 AWS 인증을 위한 키 페어 생성을 참조합니다.
이 오류를 해결하려면 업로드한 인증서가 유효한지 확인합니다. WHOIS를 사용하여 RIR의 네트워크 범위에 대한 레코드를 확인합니다.
ARIN의 경우:
whois -a <Public IP>
NetRange(네트워크 범위)에 대해 의견 섹션을 확인합니다. 주소 범위에 대한 공개 의견 섹션에 인증서를 추가합니다.
RIPE의 경우:
whois -r <Public IP>
WHOIS 디스플레이의 inetnum 객체(네트워크 범위)에 대한 descr 섹션을 확인합니다. 주소 범위의 desc 필드에 인증서를 추가합니다.
APNIC의 경우:
whois -A <Public IP>
WHOIS 디스플레이의 inetnum 객체(네트워크 범위)에 대한 의견 섹션을 확인합니다. 인증서가 주소 범위에 대한 의견 필드에 있는지 확인합니다.
검사 완료 후 다음 작업을 완료합니다.
-
인증서가 없는 경우 새 인증서를 생성합니다. 그런 다음 이 문서의 해결 방법 섹션에서 설명한 단계에 따라 업로드합니다.
인증서가 있는 경우 새 줄이 없는지 확인합니다. 새 줄이 있다면 다음 예시와 같이 줄을 제거합니다.openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer
-
인증서가 유효한지 확인합니다. 이를 위해 인증서 내용을 새 파일에 복사하고 다음 명령을 실행합니다.
openssl x509 -in example.crt -text -noout
인증서를 로드할 수 없음이라는 오류가 표시되는 경우 BEGIN CERTIFORM 뒤에 새 줄을 추가하고, END CERTIFICATE 앞에 새 줄을 하나 더 추가합니다.
-
위 항목 중 어느 것도 해당되지 않는다면 잘못된 키 쌍을 사용하여 인증서를 생성한 것입니다.
오류: The IP range isn't an acceptable allocation type in the associated internet registry
이 오류의 원인은 다음과 같습니다.
- 주소 범위에 대한 RIR 할당 유형이 올바르지 않습니다.
- 레지스트리를 지원하지 않습니다.
5개의 Regional Internet Registries(RIR): 즉 AFRINIC, ARIN, APNIC, LACNIC 및 RIPE가 있습니다. AWS는 ARIN, RIPE, APNIC 등록 접두사를 지원합니다.
RIR을 확인하려면 WHOIS를 사용합니다.
whois <public ip>
RIPE의 경우: 상태가 ALLOCATED PA, LEGACY 또는 ASSIGNED PI인지 확인합니다.
ARIN의 경우: NetType이 Direct Allocation 또는 Direct Assignment인지 확인합니다.
APNIC의 경우: 상태가 ALLOCATED PORTABLE 또는 ASSIGNED PORTABLE인지 확인합니다.
참고: 일부 의견에는 이 블록 내의 주소는 휴대할 수 없다는 내용이 표시될 수 있습니다. 이 의견은 RIR이 해당 주소 범위를 프로비저닝할 수 없다는 추가 확인입니다.
위 오류는 다음의 이유로 발생합니다.
- 상태(RIPE 및 APNIC의 경우) 또는 NetType(ARIN의 경우)이 이전 섹션에 나열된 상태 중 어느 것에도 해당하지 않습니다.
- 레지스트리를 지원하지 않습니다.
오류: CidrAuthorizationContext 서명은 RIR 레코드의 X509 인증서로 확인할 수 없습니다
주소 범위를 프로비저닝할 때 AWS는 API 호출에 대한 서명을 확인해야 합니다. AWS는 인증서에서 파생된 공개 키를 사용하여 aws ec2 provision-byoip-cidr API 호출에서 서명을 확인합니다. 이 오류는 서명을 암호로 확인하지 못했음을 나타냅니다.
오류의 원인은 다음과 같습니다.
- 프로비저닝할 때 올바른 서명을 사용하고 있지 않습니다.
- 잘못된 개인 키로 메시지에 서명했습니다.
- RIR을 사용하여 RDAP 레코드에 잘못된 인증서를 업로드했습니다.
오류: Your IP address is stuck in the "pending-provision" state
공개적으로 광고할 수 있는 범위에 대한 프로비저닝 프로세스를 완료하는 데 최대 1주일이 소요됩니다. 다음 예시와 같이 describe-byoip-cidrs 명령을 사용하여 진행 상황을 모니터링할 수 있습니다.
aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1
상태가 failed-provision으로 변경되면 문제를 해결한 후 provision-byoip-cidr 명령을 다시 실행합니다.
자세한 내용은 AWS에서 공개 광고 주소 범위 프로비저닝을 참조합니다.
관련 정보
Amazon Elastic Compute Cloud(Amazon EC2)에 고유 IP 주소 가져오기(BYOIP)를 가져오기
관련 콘텐츠
- 질문됨 16일 전lg...
- 질문됨 6달 전lg...
- 질문됨 3달 전lg...
- 질문됨 일 년 전lg...
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 3년 전
- AWS 공식업데이트됨 3년 전