Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tutorial: Buat IPAM dan kolam menggunakan konsol
Dalam tutorial ini, Anda membuatIPAM, mengintegrasikan dengan AWS Organizations, membuat kumpulan alamat IP, dan membuat VPC dengan CIDR dari IPAM kolam.
Tutorial ini menunjukkan kepada Anda bagaimana Anda dapat menggunakan IPAM untuk mengatur ruang alamat IP berdasarkan kebutuhan pengembangan yang berbeda. Setelah Anda menyelesaikan tutorial ini, Anda akan memiliki satu kumpulan alamat IP untuk sumber daya pra-produksi. Anda kemudian dapat membuat pool lain berdasarkan kebutuhan routing dan keamanan Anda, seperti kolam untuk sumber daya produksi.
Meskipun Anda dapat menggunakan IPAM sebagai pengguna tunggal, mengintegrasikan dengan AWS Organizations memungkinkan Anda untuk mengelola alamat IP di seluruh akun di organisasi Anda. Tutorial ini mencakup integrasi IPAM dengan akun dalam suatu organisasi. Itu tidak mencakup bagaimana caranyaIntegrasikan IPAM dengan akun di luar organisasi Anda.
catatan
Untuk keperluan tutorial ini, instruksi akan memberi tahu Anda untuk memberi nama IPAM sumber daya dengan cara tertentu, membuat IPAM sumber daya di Wilayah tertentu, dan menggunakan CIDR rentang alamat IP tertentu untuk kumpulan Anda. Ini dimaksudkan untuk merampingkan pilihan yang tersedia IPAM dan membantu Anda memulai dengan IPAM cepat. Setelah Anda menyelesaikan tutorial ini, Anda dapat memutuskan untuk membuat yang baru IPAM dan mengkonfigurasinya secara berbeda.
Daftar Isi
- Prasyarat
- Bagaimana AWS Organizations terintegrasi dengan IPAM
- Langkah 1: Delegasikan administrator IPAM
- Langkah 2: Buat IPAM
- Langkah 3: Buat kolam tingkat atas IPAM
- Langkah 4: Buat IPAM kolam Regional
- Langkah 5: Buat kumpulan pengembangan pra-produksi
- Langkah 6: Bagikan IPAM kolam
- Langkah 7: Buat VPC dengan CIDR dialokasikan dari kolam IPAM
- Langkah 8: Pembersihan
Prasyarat
Sebelum memulai, Anda harus menyiapkan AWS Organizations akun dengan setidaknya satu akun anggota. Untuk petunjuk caranya, lihat Membuat dan mengelola organisasi di AWS Organizations Panduan Pengguna.
Bagaimana AWS Organizations terintegrasi dengan IPAM
Bagian ini menunjukkan contoh AWS Organizations akun yang Anda gunakan dalam tutorial ini. Ada tiga akun di organisasi Anda yang Anda gunakan saat Anda mengintegrasikan IPAM dalam tutorial ini:
-
Akun manajemen (dipanggil example-management-accountdalam gambar berikut) untuk masuk ke IPAM konsol dan mendelegasikan IPAM admin. Anda tidak dapat menggunakan akun manajemen organisasi sebagai IPAM admin Anda.
-
Akun anggota (disebut example-member-account-1 pada gambar berikut) sebagai akun IPAM admin. Akun IPAM admin bertanggung jawab untuk membuat IPAM dan menggunakannya untuk mengelola dan memantau penggunaan alamat IP di seluruh organisasi. Setiap akun anggota di organisasi Anda dapat didelegasikan sebagai IPAM admin.
-
Akun anggota (disebut example-member-account-2 berikut di atas) sebagai akun pengembang. Akun ini membuat VPC dengan CIDR dialokasikan dari IPAM kolam.
Selain akun, Anda memerlukan ID unit organisasi (ou-fssg-q5brfv9c pada gambar sebelumnya) yang berisi akun anggota yang akan Anda gunakan sebagai akun pengembang. Anda memerlukan ID ini sehingga, pada langkah selanjutnya, ketika Anda berbagi IPAM kolam Anda, Anda dapat membagikannya dengan OU ini.
catatan
Untuk informasi selengkapnya tentang jenis AWS Organizations akun seperti akun manajemen dan anggota, lihat AWS Organizations terminologi dan konsep.
Langkah 1: Delegasikan administrator IPAM
Pada langkah ini, Anda akan mendelegasikan akun AWS Organizations anggota sebagai IPAM admin. Saat Anda mendelegasikan IPAM admin, peran terkait layanan akan dibuat secara otomatis di setiap akun anggota Anda AWS Organizations . IPAMmemantau penggunaan alamat IP di akun ini dengan mengasumsikan peran terkait layanan di setiap akun anggota. Kemudian dapat menemukan sumber daya dan mereka CIDRs terlepas dari Unit Organisasi mereka.
Anda tidak dapat menyelesaikan langkah ini kecuali Anda memiliki izin AWS Identity and Access Management (IAM) yang diperlukan. Untuk informasi selengkapnya, lihat Integrasikan IPAM dengan akun dalam AWS Organisasi.
Untuk mendelegasikan akun IPAM admin
Menggunakan akun AWS Organizations manajemen, buka IPAM konsol di https://console.aws.amazon.com/ipam/
. Di Konsol AWS Manajemen, pilih AWS Wilayah tempat Anda ingin bekerjaIPAM.
-
Di panel navigasi, pilih Pengaturan organisasi.
-
Pilih Delegasikan. Opsi Delegasi hanya tersedia jika Anda masuk ke konsol sebagai akun AWS Organizations manajemen.
-
Masukkan ID AWS akun untuk akun anggota organisasi. IPAMAdministrator harus menjadi akun AWS Organizations anggota, bukan akun manajemen.
-
Pilih Simpan perubahan. Informasi administrator yang didelegasikan diisi dengan detail yang terkait dengan akun anggota.
Langkah 2: Buat IPAM
Pada langkah ini Anda akan membuat fileIPAM. Saat Anda membuatIPAM, IPAM secara otomatis membuat dua cakupan untukIPAM: ruang lingkup pribadi yang ditujukan untuk semua ruang pribadi, dan ruang lingkup publik yang ditujukan untuk semua ruang publik. Cakupan, bersama dengan kumpulan dan alokasi, adalah komponen kunci dari Anda. IPAM Untuk informasi selengkapnya, lihat Cara kerja IPAM.
Untuk membuat IPAM
-
Menggunakan akun AWS Organizations anggota yang didelegasikan sebagai IPAM admin pada langkah sebelumnya, buka IPAM konsol di https://console.aws.amazon.com/ipam/
. Di Konsol AWS Manajemen, pilih AWS Wilayah tempat Anda ingin membuatIPAM. Buat IPAM di Wilayah operasi utama Anda.
-
Pada halaman beranda layanan, pilih Buat IPAM.
Pilih Izinkan Manajer Alamat VPC IP Amazon untuk mereplikasi data dari akun sumber ke akun IPAM delegasi. Jika Anda tidak memilih opsi ini, Anda tidak dapat membuat fileIPAM.
Di bawah Wilayah Operasi, pilih AWS Wilayah di mana ini IPAM dapat mengelola dan menemukan sumber daya. AWS Wilayah di mana Anda membuat Anda IPAM secara otomatis dipilih sebagai salah satu Wilayah operasi. Dalam tutorial ini, Wilayah rumah kami IPAM adalah us-east-1, jadi kami akan memilih us-west-1 dan us-west-2 sebagai Wilayah operasi tambahan. Jika Anda lupa Wilayah operasi, Anda dapat mengedit IPAM pengaturan Anda nanti dan menambah atau menghapus Wilayah.
Pilih Buat IPAM.
Langkah 3: Buat kolam tingkat atas IPAM
Dalam tutorial ini, Anda membuat hierarki kolam dimulai dengan kolam tingkat atasIPAM. Pada langkah selanjutnya, Anda akan membuat sepasang kolam Regional dan kolam pengembangan pra-produksi di salah satu kolam regional.
Untuk informasi selengkapnya tentang hierarki kumpulan yang dapat Anda bangunIPAM, lihatContoh rencana IPAM kolam renang.
Untuk membuat kolam tingkat atas
-
Menggunakan akun IPAM admin, buka IPAM konsol di https://console.aws.amazon.com/ipam/
. -
Di panel navigasi, pilih Pools.
-
Pilih ruang lingkup pribadi.
-
Pilih Buat kolam.
-
Di bawah IPAMlingkup, biarkan ruang lingkup pribadi dipilih.
(Opsional) Tambahkan tag Nama untuk pool dan deskripsi untuk pool, seperti “Global pool”.
Di bawah Sumber, pilih IPAMruang lingkup. Karena ini adalah kolam tingkat atas kami, itu tidak akan memiliki kolam sumber.
-
Di bawah Alamat keluarga, pilih IPv4.
-
Di bawah Perencanaan sumber daya, biarkan ruang IP Paket dalam lingkup yang dipilih. Untuk informasi lebih lanjut tentang menggunakan opsi ini untuk merencanakan ruang IP subnet dalam aVPC, lihatTutorial: Rencanakan ruang alamat VPC IP untuk alokasi IP subnet.
Untuk Locale, pilih None. Lokal adalah AWS Wilayah di mana Anda ingin IPAM kolam ini tersedia untuk alokasi. Anda akan mengatur lokal untuk kolam Regional yang Anda buat di bagian berikutnya dari tutorial ini.
-
Pilih ketentuan CIDR untuk kolam renang. Dalam contoh ini, kami menyediakan 10.0.0.0/16.
Biarkan Konfigurasi pengaturan aturan alokasi kumpulan ini dinonaktifkan. Ini adalah kolam tingkat atas kami, dan Anda tidak akan CIDRs mengalokasikan VPCs langsung dari kolam ini. Sebagai gantinya, Anda akan mengalokasikannya dari sub-pool yang Anda buat dari kolam ini.
Pilih Buat kolam. Kolam renang dibuat dan CIDR berada dalam keadaan ketentuan Pending:
Tunggu status yang akan Disediakan sebelum Anda melanjutkan ke langkah berikutnya.
Sekarang setelah Anda membuat kolam tingkat atas, Anda akan membuat kumpulan Regional di us-west-1 dan us-west-2.
Langkah 4: Buat IPAM kolam Regional
Bagian ini menunjukkan cara mengatur alamat IP Anda menggunakan dua kumpulan Regional. Dalam tutorial ini, kita mengikuti salah satu contoh rencana IPAM kumpulan dan membuat dua kumpulan Regional yang dapat digunakan oleh akun anggota di organisasi Anda untuk mengalokasikan CIDRs ke mereka. VPCs
Untuk membuat kolam Regional
-
Menggunakan akun IPAM admin, buka IPAM konsol di https://console.aws.amazon.com/ipam/
. -
Di panel navigasi, pilih Pools.
-
Pilih ruang lingkup pribadi.
-
Pilih Buat kolam.
Di bawah IPAMlingkup, biarkan ruang lingkup pribadi dipilih.
(Opsional) Tambahkan tag Nama untuk pool dan deskripsi untuk pool, seperti Regional pool us-west-1.
-
Di bawah Source, pilih IPAMpool dan pilih top-level pool (“Global pool”) yang Anda buat. Langkah 3: Buat kolam tingkat atas IPAM Kemudian, di bawah Locale, pilih us-west-1.
-
Di bawah Perencanaan sumber daya, biarkan ruang IP Paket dalam lingkup yang dipilih. Untuk informasi lebih lanjut tentang menggunakan opsi ini untuk merencanakan ruang IP subnet dalam aVPC, lihatTutorial: Rencanakan ruang alamat VPC IP untuk alokasi IP subnet.
-
Berdasarkan CIDRsketentuan, masukkan 10.0.0.0/18, yang akan memberikan kumpulan ini sekitar 16.000 alamat IP yang tersedia.
Biarkan Konfigurasi pengaturan aturan alokasi kumpulan ini dinonaktifkan. Anda tidak akan CIDRs mengalokasikan VPCs langsung dari kolam ini. Sebagai gantinya, Anda akan mengalokasikannya dari sub-pool yang Anda buat dari kolam ini.
Pilih Buat kolam.
Kembali ke tampilan Pools untuk melihat hierarki IPAM pool yang telah Anda buat.
Ulangi langkah-langkah di bagian ini dan buat kumpulan Regional kedua di lokal us-west-2 dengan 10.0.64.0/18 yang disediakan untuknya. CIDR Saat Anda menyelesaikan proses itu, Anda akan memiliki tiga kumpulan dalam hierarki yang mirip dengan yang ini:
Langkah 5: Buat kumpulan pengembangan pra-produksi
Ikuti langkah-langkah di bagian ini untuk membuat kumpulan pengembangan untuk sumber daya pra-produksi dalam salah satu kumpulan Regional Anda.
Untuk membuat kolam pengembangan pra-produksi
-
Dengan cara yang sama seperti yang Anda lakukan di bagian sebelumnya, menggunakan akun IPAM admin, buat kumpulan yang disebut kolam pra-Prod, tetapi kali ini gunakan kumpulan Regional us-west-1 sebagai kumpulan sumber.
Tentukan 10.0.0.0/20 untuk ketentuan, yang akan memberikan kumpulan ini sekitar 4.000 alamat IP. CIDR
Alihkan opsi untuk Mengonfigurasi pengaturan aturan alokasi kumpulan ini. Lakukan hal-hal berikut:
Di bawah CIDRmanajemen, untuk Mengimpor sumber daya yang ditemukan secara otomatis, biarkan opsi default Jangan izinkan dipilih. Opsi ini akan memungkinkan IPAM untuk secara otomatis mengimpor sumber daya CIDRs yang ditemukannya di lokal kumpulan. Penjelasan rinci tentang opsi ini berada di luar cakupan tutorial ini, tetapi Anda dapat membaca lebih lanjut tentang opsi diBuat kolam tingkat atas IPv4.
Di bawah kepatuhan Netmask, pilih /24 untuk panjang netmask minimum, default, dan maksimum. Penjelasan rinci tentang opsi ini berada di luar cakupan tutorial ini, tetapi Anda dapat membaca lebih lanjut tentang opsi diBuat kolam tingkat atas IPv4. Yang penting untuk dicatat adalah bahwa yang Anda buat nanti dengan a CIDR dari kumpulan ini akan dibatasi hingga /24 berdasarkan apa yang kami tetapkan di sini. VPC
Di bawah Kepatuhan Tag, masukkan lingkungan/pra-prod. Tag ini akan diperlukan VPCs untuk mengalokasikan ruang dari kolam. Kami akan menunjukkan nanti bagaimana ini bekerja.
Pilih Buat kolam.
-
Hirarki pool sekarang mencakup subpool tambahan di bawah kumpulan Regional us-west-1:
Sekarang Anda siap untuk berbagi IPAM pool dengan akun anggota lain di organisasi Anda dan mengaktifkan akun tersebut untuk mengalokasikan CIDR dari pool untuk membuat VPC akun.
Langkah 6: Bagikan IPAM kolam
Ikuti langkah-langkah di bagian ini untuk membagikan IPAM kumpulan pra-produksi menggunakan AWS Resource Access Manager (RAM).
Bagian ini terdiri dari dua subbagian:
-
Langkah 6.1. Aktifkan berbagi sumber daya di AWS RAM: Langkah ini harus dilakukan oleh akun AWS Organizations manajemen.
-
Langkah 6.2. Bagikan IPAM kolam menggunakan AWS RAM: Langkah ini harus dilakukan oleh IPAM admin.
Langkah 6.1. Aktifkan berbagi sumber daya di AWS RAM
Setelah membuatIPAM, Anda akan ingin berbagi kumpulan alamat IP dengan akun lain di organisasi Anda. Sebelum Anda berbagi IPAM kumpulan, selesaikan langkah-langkah di bagian ini untuk mengaktifkan berbagi sumber daya AWS RAM.
Untuk mengaktifkan berbagi sumber daya
-
Menggunakan akun AWS Organizations manajemen, buka AWS RAM konsol di https://console.aws.amazon.com/ram/
. -
Di panel navigasi kiri, pilih Pengaturan, pilih Aktifkan berbagi dengan AWS Organizations, lalu pilih Simpan pengaturan.
Anda sekarang dapat berbagi IPAM kumpulan dengan anggota organisasi lainnya.
Langkah 6.2. Bagikan IPAM kolam menggunakan AWS RAM
Di bagian ini Anda akan membagikan kumpulan pengembangan pra-produksi dengan akun AWS Organizations anggota lain. Untuk petunjuk lengkap tentang berbagi IPAM kumpulan, termasuk informasi tentang IAM izin yang diperlukan, lihatBagikan IPAM kolam menggunakan AWS RAM.
Untuk berbagi IPAM kolam menggunakan AWS RAM
-
Menggunakan akun IPAM admin, buka IPAM konsol di https://console.aws.amazon.com/ipam/
. -
Di panel navigasi, pilih Pools.
-
Pilih ruang lingkup pribadi, pilih IPAM kumpulan pra-produksi, dan pilih Tindakan > Lihat detail.
-
Di bawah Berbagi sumber daya, pilih Buat berbagi sumber daya. AWS RAM Konsol terbuka. Anda akan berbagi kolam menggunakan AWS RAM.
-
Pilih Buat berbagi sumber daya.
AWS RAM Konsol terbuka.
-
Di AWS RAM konsol, pilih Buat berbagi sumber daya lagi.
-
Tambahkan Nama untuk kolam bersama.
-
Di bawah Pilih jenis sumber daya, pilih IPAM kumpulan, lalu pilih kumpulan pengembangan pra-produksi. ARN
-
Pilih Berikutnya.
-
Biarkan AWSRAMDefaultPermissionsIpamPoolizin default dipilih. Rincian opsi izin berada di luar cakupan untuk tutorial ini, tetapi Anda dapat mengetahui lebih lanjut tentang opsi ini diBagikan IPAM kolam menggunakan AWS RAM.
-
Pilih Berikutnya.
Di bawah Prinsipal, pilih Izinkan berbagi hanya dalam organisasi Anda. Masukkan ID unit AWS Organizations organisasi Anda (seperti yang disebutkan dalamBagaimana AWS Organizations terintegrasi dengan IPAM, lalu pilih Tambah.
-
Pilih Berikutnya.
-
Tinjau opsi berbagi sumber daya dan prinsipal yang akan Anda bagikan, lalu pilih Buat.
Sekarang kolam telah dibagikan, lanjutkan ke langkah berikutnya untuk membuat VPC dengan CIDR dialokasikan dari IPAM kolam.
Langkah 7: Buat VPC dengan CIDR dialokasikan dari kolam IPAM
Ikuti langkah-langkah di bagian ini untuk membuat VPC dengan CIDR dialokasikan dari kolam pra-produksi. Langkah ini harus diselesaikan oleh akun anggota di OU yang dibagikan IPAM pool di bagian sebelumnya (disebut example-member-account-2 inBagaimana AWS Organizations terintegrasi dengan IPAM). Untuk informasi selengkapnya tentang IAM izin yang diperlukan untuk membuatVPCs, lihat contoh VPC kebijakan Amazon di Panduan VPC Pengguna Amazon.
Untuk membuat VPC dengan CIDR dialokasikan dari kolam IPAM
-
Menggunakan akun anggota, buka VPC konsol di https://console.aws.amazon.com/vpc/
sebagai akun anggota yang akan Anda gunakan sebagai akun pengembang. -
Pilih Buat VPC.
-
Lakukan hal-hal berikut:
-
Masukkan nama, seperti ContohVPC.
-
Pilih blok IPAMyang dialokasikan IPv4 CIDR.
-
Di bawah IPv4IPAMkolam renang, pilih ID kolam pra-produksi.
-
Pilih panjang Netmask. Karena Anda membatasi panjang netmask yang tersedia untuk kumpulan ini menjadi /24 (inLangkah 5: Buat kumpulan pengembangan pra-produksi), satu-satunya opsi netmask yang tersedia adalah /24.
-
-
Untuk tujuan demonstrasi, di bawah Tag, jangan menambahkan tag tambahan saat ini. Saat Anda membuat kolam pra-prod (dalam 5. Buat kumpulan pengembangan pra-produksi
), Anda menambahkan aturan alokasi yang mengharuskan semua VPCs yang dibuat CIDRs dari kumpulan ini untuk memiliki tag lingkungan/pra-prod. Biarkan tag lingkungan/pra-prod untuk saat ini sehingga Anda dapat melihat bahwa kesalahan muncul yang memberi tahu Anda bahwa tag yang diperlukan tidak ditambahkan. -
Pilih Buat VPC.
Kesalahan muncul memberi tahu Anda bahwa tag yang diperlukan tidak ditambahkan. Kesalahan muncul karena Anda menetapkan aturan alokasi saat Anda membuat kumpulan pra-prod (in). Langkah 5: Buat kumpulan pengembangan pra-produksi Aturan alokasi mengharuskan semua VPCs yang dibuat dengan CIDRs dari kumpulan ini untuk memiliki tag lingkungan/pra-prod.
Sekarang, di bawah Tag, tambahkan tag environment/pre-prod dan pilih Create again. VPC
VPCIni berhasil dibuat, dan VPC sesuai dengan aturan tag pada kumpulan pra-produksi:
Di panel Resources IPAM konsol, IPAM admin akan dapat melihat dan mengelola dan dialokasikanCIDR. VPC Perhatikan bahwa dibutuhkan beberapa waktu VPC untuk muncul di panel Resources.
Langkah 8: Pembersihan
Dalam tutorial ini, Anda membuat admin IPAM yang didelegasikan, membuat beberapa pool, dan mengaktifkan akun anggota di organisasi Anda untuk mengalokasikan VPC CIDR dari pool.
Ikuti langkah-langkah di bagian ini untuk membersihkan sumber daya yang Anda buat dalam tutorial ini.
Untuk membersihkan sumber daya yang dibuat dalam tutorial ini
Menggunakan akun anggota yang membuat contohVPC, hapus fileVPC. Untuk petunjuk selengkapnya, lihat Menghapus VPC di Panduan Pengguna Amazon Virtual Private Cloud.
Menggunakan akun IPAM admin, hapus contoh berbagi sumber daya di AWS RAM konsol. Untuk petunjuk mendetail, lihat Menghapus bagian sumber daya AWSAWS RAM di Panduan AWS Resource Access Manager Pengguna.
Menggunakan akun IPAM admin, masuk ke RAM konsol dan nonaktifkan berbagi dengan AWS Organizations yang Anda aktifkanLangkah 6.1. Aktifkan berbagi sumber daya di AWS RAM.
Menggunakan akun IPAM admin, hapus contoh IPAM dengan memilih IPAM di IPAM konsol dan kemudian memilih Actions > Delete. Untuk petunjuk mendetail, lihat Menghapus sebuah IPAM.
Ketika Anda diminta untuk menghapusIPAM, pilih Cascade delete. Ini akan menghapus semua cakupan dan kumpulan di dalam IPAM sebelum menghapus. IPAM
Masukkan hapus dan kemudian pilih Hapus.
Menggunakan akun AWS Organizations manajemen, masuk ke IPAM konsol, pilih Pengaturan, dan hapus akun administrator yang didelegasikan.
(Opsional) Saat Anda IPAM berintegrasi AWS Organizations, IPAMsecara otomatis membuat peran terkait layanan di setiap akun anggota. Menggunakan setiap akun AWS Organizations anggota, masuk IAM dan hapus peran terkait AWSServiceRoleForIPAMlayanan di setiap akun anggota.
-
Pembersihan selesai.