Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Didacticiel : transfert d'un CIDR IPv4 BYOIP vers IPAM
Suivez ces étapes pour transférer un CIDR IPv4 existant vers IPAM. Si vous possédez déjà un CIDR BYOIP IPv4 avec AWS, vous pouvez déplacer le CIDR vers IPAM à partir d'un pool IPv4 public. Vous ne pouvez pas déplacer un CIDR IPv6 vers IPAM.
Ce didacticiel part du principe que vous avez déjà réussi à intégrer une plage d'adresses IP à l' AWS aide du processus décrit dans Apporter vos propres adresses IP (BYOIP) dans Amazon EC2 et que vous souhaitez maintenant transférer cette plage d'adresses IP vers IPAM. Si vous introduisez une nouvelle adresse IP AWS pour la première fois, suivez les étapes décrites dansTutoriel : Transférez vos adresses IP à IPAM.
Si vous transférez un groupe IPv4 public vers IPAM, cela n'a aucun impact sur les allocations existantes. Une fois que vous avez transféré un groupe IPv4 public vers IPAM, selon le type de ressource, vous pouvez contrôler les allocations existantes. Pour plus d’informations, consultez Surveiller CIDR l'utilisation par ressource.
Important
-
Ce didacticiel suppose que vous avez terminé cette procédure en Création d'un IPAM.
-
Chaque étape de ce didacticiel doit être effectuée par l'un des deux AWS comptes suivants :
-
Le compte pour l'administrateur IPAM. Dans ce didacticiel, ce compte sera appelé compte IPAM.
-
Le compte de votre organisation qui possède le CIDR BYOIP. Dans ce didacticiel, ce compte sera appelé compte du propriétaire CIDR BYOIP.
-
Table des matières
- Étape 1 : Création de profils AWS CLI nommés et de rôles IAM
- Étape 2 : obtention de l'ID de portée publique de votre IPAM
- Étape 3 : création d'un groupe IPAM
- Étape 4 : partager le pool IPAM à l'aide de AWS RAM
- Étape 5 : transfert d'un CIDR IPV4 BYOIP existant vers IPAM
- Étape 6 : affichage du CIDR dans IPAM
- Étape 7 : nettoyage
Étape 1 : Création de profils AWS CLI nommés et de rôles IAM
Pour suivre ce didacticiel en tant qu' AWS utilisateur unique, vous pouvez utiliser des profils AWS CLI nommés pour passer d'un rôle IAM à un autre. Les profils nommés sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option --profile
associée à l' AWS CLI. Pour plus d'informations sur la création de rôles IAM et de profils nommés pour les AWS comptes, consultez la section Utilisation d'un rôle IAM dans la AWS CLI du guide de l'utilisateur AWS d'Identity and Access Management.
Créez un rôle et un profil nommé pour chacun des trois AWS comptes que vous utiliserez dans ce didacticiel :
Un profil appelé
ipam-account
pour le AWS compte qui est l'administrateur IPAM.Un profil appelait le AWS compte
byoip-owner-account
de votre organisation qui possède le BYOIP CIDR.
Une fois que vous avez créé les rôles IAM et les profils nommés, revenez à cette page et passez à l'étape suivante. Vous remarquerez dans le reste de ce didacticiel que les exemples de AWS CLI commandes utilisent l'--profile
option avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.
Étape 2 : obtention de l'ID de portée publique de votre IPAM
Suivez les étapes de cette section pour obtenir l'ID de portée publique de votre IPAM. Cette étape doit être effectuée par le compte ipam-account
.
Exécutez la commande suivante pour obtenir l'ID de portée publique.
aws ec2 describe-ipams --region
us-east-1
--profileipam-account
Dans la sortie, vous verrez l'ID de portée publique. Notez les valeurs de PublicDefaultScopeId
. Vous en aurez besoin à l'étape suivante.
{
"Ipams": [
{
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
]
}
Étape 3 : création d'un groupe IPAM
Suivez les étapes de cette section pour créer un groupe IPAM. Cette étape doit être effectuée par le compte ipam-account
. Le groupe IPAM que vous créez doit être un groupe de niveau supérieur avec l'option --locale
correspondant à la région AWS
du CIDR BYOIP. Vous pouvez uniquement transférer un BYOIP vers un groupe IPAM de niveau supérieur.
Important
Lorsque vous créez le groupe, vous devez inclure --aws-service ec2
. Le service que vous sélectionnez détermine le AWS service pour lequel le CIDR sera publicisé. Actuellement, la seule option est ec2
, ce qui signifie que les CIDR alloués à partir de ce groupe pourront être annoncés pour le service Amazon EC2 (pour les adresses IP Elastic) et le service Amazon VPC (pour les CIDR associés aux VPC).
Pour créer un groupe d'adresses IPv4 pour le CIDR BYOIP transféré à l'aide d' AWS CLI
-
Exécutez la commande suivante pour créer un groupe IPAM. Utilisez l'ID de portée publique de l'IPAM que vous avez obtenu à l'étape précédente.
aws ec2 create-ipam-pool --region
us-east-1
--profileipam-account
--ipam-scope-idipam-scope-0087d83896280b594
--description"top-level-pool"
--localeus-west-2
--aws-service ec2 --address-familyipv4
Dans la sortie, vous verrez apparaître
create-in-progress
, qui indique que la création du groupe est en cours.{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-west-2", "PoolDepth": 1, "State": "create-in-progress", "Description": "top-level-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [], "AwsService": "ec2" } }
-
Exécutez la commande suivante jusqu'à ce que l'état
create-complete
apparaisse dans la sortie.aws ec2 describe-ipam-pools --region
us-east-1
--profileipam-account
L'exemple de sortie suivant illustre l'état du groupe. Vous en aurez besoin OwnerIdà l'étape suivante.
{ "IpamPools": [ { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-west-2", "PoolDepth": 1, "State": "create-complete", "Description": "top-level-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [], "AwsService": "ec2" } ] }
Étape 4 : partager le pool IPAM à l'aide de AWS RAM
Suivez les étapes décrites dans cette section pour partager un pool IPAM AWS RAM afin qu'un autre AWS compte puisse transférer un CIDR BYOIP IPV4 existant vers le pool IPAM et utiliser le pool IPAM. Cette étape doit être effectuée par le compte ipam-account
.
Pour partager un groupe d'adresses IPv4 en utilisant AWS CLI
Consultez les AWS RAM autorisations disponibles pour les pools IPAM. Vous avez besoin des deux ARN pour effectuer les étapes de cette section.
aws ram list-permissions --region
us-east-1
--profileipam-account
--resource-type ec2:IpamPool{ "permissions": [ { "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool", "version": "1", "defaultVersion": true, "name": "AWSRAMDefaultPermissionsIpamPool", "resourceType": "ec2:IpamPool", "status": "ATTACHABLE", "creationTime": "2022-06-30T13:04:29.335000-07:00", "lastUpdatedTime": "2022-06-30T13:04:29.335000-07:00", "isResourceTypeDefault": true }, { "arn": "arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport", "version": "1", "defaultVersion": true, "name": "AWSRAMPermissionIpamPoolByoipCidrImport", "resourceType": "ec2:IpamPool", "status": "ATTACHABLE", "creationTime": "2022-06-30T13:03:55.032000-07:00", "lastUpdatedTime": "2022-06-30T13:03:55.032000-07:00", "isResourceTypeDefault": false } ] }
Créez un partage de ressources pour permettre au compte
byoip-owner-account
d'importer des CIDR BYOIP vers IPAM. La valeur pour--resource-arns
est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur pour--principals
est l'identifiant du compte du propriétaire du CIDR BYOIP. La valeur pour--permission-arns
est l'ARN de l'autorisationAWSRAMPermissionIpamPoolByoipCidrImport
.aws ram create-resource-share --region
us-east-1
--profileipam-account
--namePoolShare2
--resource-arnsarn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035
--principals111122223333
--permission-arns arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport{ "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7993758c-a4ea-43ad-be12-b3abaffe361a", "name": "PoolShare2", "owningAccountId": "123456789012", "allowExternalPrincipals": true, "status": "ACTIVE", "creationTime": "2023-04-28T07:32:25.536000-07:00", "lastUpdatedTime": "2023-04-28T07:32:25.536000-07:00" } }
(Facultatif) Si vous souhaitez autoriser le compte
byoip-owner-account
à allouer des adresses IP CIDR du groupe IPAM à des groupes IPv4 publics une fois le transfert terminé, copiez l'ARN pourAWSRAMDefaultPermissionsIpamPool
et créez un deuxième partage de ressources. La valeur pour--resource-arns
est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur pour--principals
est l'identifiant du compte du propriétaire du CIDR BYOIP. La valeur pour--permission-arns
est l'ARN de l'autorisationAWSRAMDefaultPermissionsIpamPool
.aws ram create-resource-share --region
us-east-1
--profileipam-account
--namePoolShare1
--resource-arnsarn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035
--principals111122223333
--permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool{ "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f", "name": "PoolShare1", "owningAccountId": "123456789012", "allowExternalPrincipals": true, "status": "ACTIVE", "creationTime": "2023-04-28T07:31:25.536000-07:00", "lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00" } }
Suite à la création du partage de ressources dans la RAM, le byoip-owner-account compte peut désormais déplacer les CIDR vers IPAM.
Étape 5 : transfert d'un CIDR IPV4 BYOIP existant vers IPAM
Suivez les étapes de cette section pour transférer un CIDR IPv4 BYOIP existant vers IPAM. Cette étape doit être effectuée par le compte byoip-owner-account
.
Important
Une fois que vous avez transféré une plage d'adresses IPv4 AWS, vous pouvez utiliser toutes les adresses IP de la plage, y compris la première adresse (adresse réseau) et la dernière adresse (adresse de diffusion).
Pour transférer le CIDR BYOIP vers IPAM, le propriétaire du CIDR BYOIP doit disposer des autorisations suivantes dans sa stratégie IAM :
-
ec2:MoveByoipCidrToIpam
-
ec2:ImportByoipCidrToIpam
Note
Vous pouvez utiliser le AWS Management Console ou le AWS CLI pour cette étape.
Étape 6 : affichage du CIDR dans IPAM
Suivez les étapes de cette section pour afficher le CIDR dans IPAM. Cette étape doit être effectuée par le compte ipam-account
.
Pour afficher le CIDR BYOIP transféré dans le pool IPAM à l'aide du AWS CLI
-
Exécutez la commande suivante pour afficher l'allocation gérée dans IPAM. Assurez-vous que la
--region
valeur est la AWS région du CIDR BYOIP.aws ec2 get-ipam-pool-allocations --region
us-west-2
--profileipam-account
--ipam-pool-idipam-pool-0d8f3646b61ca5987
La sortie affiche l'allocation dans IPAM.
{ "IpamPoolAllocations": [ { "Cidr": "130.137.249.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b3", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "111122223333" } ] }
Étape 7 : nettoyage
Suivez les étapes de cette section pour supprimer les ressources que vous avez créées dans ce tutoriel. Cette étape doit être effectuée par le compte ipam-account
.
Pour nettoyer les ressources créées dans ce didacticiel à l'aide du AWS CLI
Pour supprimer la ressource partagée du groupe IPAM, exécutez la commande suivante pour obtenir le premier ARN de partage de ressources :
aws ram get-resource-shares --region
us-east-1
--profileipam-account
--namePoolShare1
--resource-owner SELF{ "resourceShares": [ { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f", "name": "PoolShare1", "owningAccountId": "123456789012", "allowExternalPrincipals": true, "status": "ACTIVE", "creationTime": "2023-04-28T07:31:25.536000-07:00", "lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00", "featureSet": "STANDARD" } ] }
Copiez l'ARN du partage de ressources et utilisez-le pour supprimer le partage de ressources du groupe IPAM.
aws ram delete-resource-share --region
us-east-1
--profileipam-account
--resource-share-arnarn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f
{ "returnValue": true }
-
Si vous avez créé un partage de ressources supplémentaire dans Étape 4 : partager le pool IPAM à l'aide de AWS RAM, répétez les deux étapes précédentes pour obtenir l'ARN du deuxième partage de ressources pour
PoolShare2
et supprimer le deuxième partage de ressources. -
Exécutez la commande suivante pour obtenir l'ID d'allocation du CIDR BYOIP. Assurez-vous que la
--region
valeur correspond à la AWS région du CIDR BYOIP.aws ec2 get-ipam-pool-allocations --region
us-west-2
--profileipam-account
--ipam-pool-idipam-pool-0d8f3646b61ca5987
La sortie affiche l'allocation dans IPAM.
{ "IpamPoolAllocations": [ { "Cidr": "130.137.249.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b3", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "111122223333" } ] }
-
Libérez la dernière adresse IP du CIDR à partir du groupe IPv4 public. Saisissez l'adresse IP avec un masque de réseau de /32. Vous devez réexécuter cette commande pour chaque adresse IP de la plage d'adresses CIDR. Si votre CIDR est un
/24
, vous devrez exécuter cette commande pour désapprovisionner chacune des 256 adresses IP du CIDR/24
. Lorsque vous exécutez la commande dans cette section, la valeur de--region
doit correspondre à la Région de votre IPAM.Cette étape doit être réalisée par le compte
byoip-owner-account
.aws ec2 deprovision-public-ipv4-pool-cidr --region
us-east-1
--profilebyoip-owner-account
--pool-idipv4pool-ec2-0019eed22a684e0b3
--cidr130.137.249.255/32
Dans la sortie, vous verrez le CIDR désactivé.
{ "PoolId": "ipv4pool-ec2-0019eed22a684e0b3", "DeprovisionedAddresses": [ "130.137.249.255" ] }
-
Consultez à nouveau vos CIDR BYOIP et vérifiez qu'il n'y a plus d'adresses provisionnées. Lorsque vous exécutez la commande dans cette section, la valeur de
--region
doit correspondre à la Région de votre IPAM.Cette étape doit être réalisée par le compte
byoip-owner-account
.aws ec2 describe-public-ipv4-pools --region
us-east-1
--profilebyoip-owner-account
Dans la sortie, vous verrez le nombre d'adresses IP dans votre groupe IPv4 public.
{ "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b3", "Description": "", "PoolAddressRanges": [], "TotalAddressCount": 0, "TotalAvailableAddressCount": 0, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] }
-
Exécutez la commande suivante pour supprimer le groupe de niveau supérieur.
aws ec2 delete-ipam-pool --region
us-east-1
--profileipam-account
--ipam-pool-idipam-pool-0a03d430ca3f5c035
Dans la sortie, vous pouvez voir l'état de suppression.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "top-level-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4", "AwsService": "ec2" } }