Tutorial: Trasferisci BYOIP IPv4 CIDR un IPAM - Amazon Virtual Private Cloud
Fase 1: Creare profili e IAM ruoli AWS CLI denominatiFase 2: Ottieni il tuo ID IPAM di ambito pubblicoFase 3: Creare un IPAM poolFase 4: Condividi il IPAM pool usando AWS RAMPassaggio 5: Trasferisci un file esistente BYOIP IPV4 CIDR in IPAMPassaggio 6: Visualizza il CIDR file IPAMPassaggio 7: pulizia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: Trasferisci BYOIP IPv4 CIDR un IPAM

Segui questi passaggi per trasferire un file esistente IPv4 CIDR inIPAM. Se hai già un IPv4 BYOIP CIDR with AWS, puoi CIDR spostarlo IPAM da un IPv4 pool pubblico. Non puoi spostare un IPv6 CIDR giocattoloIPAM.

Questo tutorial presuppone che tu abbia già introdotto con successo un intervallo di indirizzi IP AWS utilizzando il processo descritto in Bring your own IP address (BYOIP) in Amazon EC2 e ora desideri trasferire quell'intervallo di indirizzi IP su. IPAM Se stai inserendo un nuovo indirizzo IP a AWS per la prima volta, completa i passaggi indicati inTutorial: Porta i tuoi indirizzi IP a IPAM.

Se si trasferisce un IPv4 pool pubblico aIPAM, non vi è alcun impatto sulle allocazioni esistenti. Dopo aver trasferito un IPv4 pool pubblico aIPAM, a seconda del tipo di risorsa, potresti essere in grado di monitorare le allocazioni esistenti. Per ulteriori informazioni, consulta Monitora CIDR l'utilizzo per risorsa.

Nota

  • Questo tutorial presuppone che tu abbia già completato i passaggi nella sezione Crea un IPAM.

  • Ogni passaggio di questo tutorial deve essere eseguito da uno dei due AWS account:

    • L'account dell'IPAMamministratore. In questo tutorial, questo account si chiamerà IPAM account.

    • L'account della tua organizzazione che possiede il BYOIPCIDR. In questo tutorial, questo account verrà chiamato account BYOIP CIDR proprietario.

Fase 1: Creare profili e IAM ruoli AWS CLI denominati

Per completare questo tutorial come AWS utente singolo, puoi utilizzare profili AWS CLI denominati per passare da un IAM ruolo all'altro. I profili denominati sono raccolte di impostazioni e credenziali a cui si fa riferimento quando si utilizza l'opzione --profile con la AWS CLI. Per ulteriori informazioni su come creare IAM ruoli e profili denominati per AWS gli account, vedere Using an IAM role AWS CLI nella AWS Identity and Access Management User Guide.

Crea un ruolo e un profilo con nome per ciascuno dei tre AWS account che utilizzerai in questo tutorial:

  • Un profilo chiamato ipam-account per l' AWS account che è l'IPAMamministratore.

  • Un profilo chiamato byoip-owner-account per l' AWS account dell'organizzazione che possiede il BYOIPCIDR.

Dopo aver creato i IAM ruoli e i profili denominati, torna a questa pagina e vai al passaggio successivo. Nel resto di questo tutorial noterai che i AWS CLI comandi di esempio utilizzano l'--profileopzione con uno dei profili denominati per indicare quale account deve eseguire il comando.

Fase 2: Ottieni il tuo ID IPAM di ambito pubblico

Segui i passaggi in questa sezione per ottenere l'ID IPAM del tuo ambito pubblico. Questo passaggio deve essere eseguito dall'account ipam-account.

Esegui il comando seguente per ottenere l'ID di ambito pubblico.

aws ec2 describe-ipams --region us-east-1 --profile ipam-account

Nell'output, vedrai il tuo ID di ambito pubblico. Tieni presente i valori di PublicDefaultScopeId. Questo valore servirà nella fase successiva.

{
 "Ipams": [
        {
            "OwnerId": "123456789012",
            "IpamId": "ipam-090e48e75758de279",
            "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
            "PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
            "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
            "ScopeCount": 2,
            "Description": "my-ipam",
            "OperatingRegions": [
                {
                    "RegionName": "us-east-1"
                },
                {
                    "RegionName": "us-west-2"
                }
            ],
            "Tags": []
        }
    ]
}

Fase 3: Creare un IPAM pool

Segui i passaggi di questa sezione per creare un IPAM pool. Questo passaggio deve essere eseguito dall'account ipam-account. Il IPAM pool che crei deve essere un pool di primo livello con l'--localeopzione corrispondente alla BYOIP CIDR AWS regione. È possibile trasferire solo un pool BYOIP a un pool di livello superioreIPAM.

Importante

Quando crei il pool, devi includere --aws-service ec2. Il servizio selezionato determina il AWS servizio in cui CIDR sarà pubblicizzabile. Attualmente, l'unica opzione èec2, il che significa che l'CIDRsallocato da questo pool sarà pubblicizzabile per il EC2 servizio Amazon (per indirizzi IP elastici) e il VPC servizio Amazon (per CIDRs associato VPCs a).

Per creare un pool di IPv4 indirizzi per i trasferimenti BYOIP CIDR utilizzando il AWS CLI

  1. Eseguite il comando seguente per creare un IPAM pool. Utilizza l'ID dell'IPAMambito pubblico recuperato nel passaggio precedente.

    aws ec2 create-ipam-pool --region us-east-1 --profile ipam-account --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-pool" --locale us-west-2 --aws-service ec2 --address-family ipv4

    Nell'output, vedrai create-in-progress, il che indica che è in corso la creazione del pool.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-west-2",
        "PoolDepth": 1,
        "State": "create-in-progress",
        "Description": "top-level-pool",
        "AutoImport": false,
        "AddressFamily": "ipv4",
        "Tags": [],
        "AwsService": "ec2"
    }
}

  2. Esegui il seguente comando fino a quando non viene visualizzato uno stato di create-complete nell'output.

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    Il seguente output esemplificativo mostra lo stato del pool. Ti servirà OwnerIdnel passaggio successivo.

    {
    "IpamPools": [
        {
            "OwnerId": "123456789012",
            "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
            "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
            "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
            "IpamScopeType": "public",
            "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
            "Locale": "us-west-2",
            "PoolDepth": 1,
            "State": "create-complete",
            "Description": "top-level-pool",
            "AutoImport": false,
            "AddressFamily": "ipv4",
            "Tags": [],
            "AwsService": "ec2"
        }
    ]
}

Fase 4: Condividi il IPAM pool usando AWS RAM

Segui i passaggi di questa sezione per condividere un IPAM pool in AWS RAM modo che un altro AWS account possa trasferire un account esistente BYOIP IPV4 CIDR nel IPAM pool e utilizzare il IPAM pool. Questo passaggio deve essere eseguito dall'account ipam-account.

Per condividere un pool di IPv4 indirizzi utilizzando il AWS CLI

  1. Visualizza le AWS RAM autorizzazioni disponibili per i IPAM pool. Sono necessari entrambi ARNs per completare la procedura descritta in questa sezione.

    aws ram list-permissions --region us-east-1 --profile ipam-account --resource-type ec2:IpamPool
    {
    "permissions": [
        {
           "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool",
           "version": "1",
           "defaultVersion": true,
           "name": "AWSRAMDefaultPermissionsIpamPool",
           "resourceType": "ec2:IpamPool",
           "status": "ATTACHABLE",
           "creationTime": "2022-06-30T13:04:29.335000-07:00",
           "lastUpdatedTime": "2022-06-30T13:04:29.335000-07:00",
           "isResourceTypeDefault": true
        },
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMPermissionIpamPoolByoipCidrImport",
            "resourceType": "ec2:IpamPool",
            "status": "ATTACHABLE",
            "creationTime": "2022-06-30T13:03:55.032000-07:00",
            "lastUpdatedTime": "2022-06-30T13:03:55.032000-07:00",
            "isResourceTypeDefault": false
        }
    ]
}

  2. Crea una condivisione di risorse per consentire l'importazione byoip-owner-account BYOIP CIDRs dell'accountIPAM. Il valore ARN di --resource-arns è quello del IPAM pool creato nella sezione precedente. Il valore per --principals è l'ID dell'account del BYOIP CIDR proprietario. Il valore per --permission-arns è ARN il AWSRAMPermissionIpamPoolByoipCidrImport permesso.

    aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare2 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport
    {                                                                                                                    
    "resourceShare": {                                                                                               
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7993758c-a4ea-43ad-be12-b3abaffe361a",
        "name": "PoolShare2",                                                                                      
        "owningAccountId": "123456789012",                                                                                         
        "allowExternalPrincipals": true,                                                                             
        "status": "ACTIVE",                                                                                          
        "creationTime": "2023-04-28T07:32:25.536000-07:00",                                                          
        "lastUpdatedTime": "2023-04-28T07:32:25.536000-07:00"                                                        
        }                                                                                                                
}

  3. (Facoltativo) Se desideri consentire all'byoip-owner-accountaccount di allocare l'indirizzo IP CIDRS dal IPAM pool ai IPv4 pool pubblici dopo il completamento del trasferimento, copia il ARN modulo AWSRAMDefaultPermissionsIpamPool e crea una seconda condivisione di risorse. Il valore ARN di --resource-arns è il IPAM pool creato nella sezione precedente. Il valore per --principals è l'ID dell'account del BYOIP CIDR proprietario. Il valore per --permission-arns è ARN il AWSRAMDefaultPermissionsIpamPool permesso.

    aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare1 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool
    {                                                                                                                    
    "resourceShare": {                                                                                               
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
        "name": "PoolShare1",                                                                                      
        "owningAccountId": "123456789012",                                                                                         
        "allowExternalPrincipals": true,                                                                             
        "status": "ACTIVE",                                                                                          
        "creationTime": "2023-04-28T07:31:25.536000-07:00",                                                          
        "lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00"                                                        
        }                                                                                                                
}

Dopo aver creato la condivisione di risorse inRAM, l' byoip-owner-account account può ora passare CIDRs aIPAM.

Passaggio 5: Trasferisci un file esistente BYOIP IPV4 CIDR in IPAM

Segui i passaggi in questa sezione per trasferire un file esistente BYOIP IPV4 CIDR inIPAM. Questo passaggio deve essere eseguito dall'account byoip-owner-account.

Importante

Una volta impostato un intervallo di IPv4 indirizzi AWS, è possibile utilizzare tutti gli indirizzi IP dell'intervallo, incluso il primo indirizzo (l'indirizzo di rete) e l'ultimo indirizzo (l'indirizzo di trasmissione).

Per BYOIP CIDR trasferire l'indirizzoIPAM, il BYOIP CIDR proprietario deve disporre delle seguenti autorizzazioni nella propria IAM politica:

  • ec2:MoveByoipCidrToIpam

  • ec2:ImportByoipCidrToIpam

Nota

È possibile utilizzare il AWS Management Console o il AWS CLI per questo passaggio.

AWS Management Console
Per trasferire un BYOIP CIDR al IPAM pool:

  1. Apri la IPAM console all'indirizzo https://console.aws.amazon.com/ipam/As the byoip-owner-account Account.

  2. Nel pannello di navigazione, seleziona Pool.

  3. Sceglie il pool di primo livello creato e condiviso in questo tutorial.

  4. Scegli Azioni > Trasferisci BYOIP CIDR.

  5. Scegli Trasferisci BYOIP CIDR.

  6. Scegli il tuo BYOIPCIDR.

  7. Scegli Provision (Esegui il provisioning).

Command line

Usa i seguenti AWS CLI comandi per trasferire BYOIP CIDR a al IPAM pool usando AWS CLI:

  1. Eseguite il comando seguente per trasferire ilCIDR. Assicuratevi che il --region valore sia la AWS regione di BYOIPCIDR.

    aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24

    Nell'output, vedrai la disposizione CIDR in sospeso.

    {
    "ByoipCidr": {                                                                 
        "Cidr": "130.137.249.0/24",                                              
        "State": "pending-transfer"                                                      
    }                                                                              
}

  2. Assicurati che sia CIDR stato trasferito. Esegui il seguente comando fino a quando non viene visualizzato uno stato di complete-transfer nell'output.

    aws ec2 move-byoip-cidr-to-ipam --region us-west-2  --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24

    Il seguente output esemplificativo mostra lo stato.

    {
    "ByoipCidr": {                                                                 
        "Cidr": "130.137.249.0/24",                                              
        "State": "complete-transfer"                                                      
    }                                                                              
}

Passaggio 6: Visualizza il CIDR file IPAM

Segui i passaggi in questa sezione per CIDR visualizzarliIPAM. Questo passaggio deve essere eseguito dall'account ipam-account.

Per visualizzare i dati trasferiti BYOIP CIDR nel IPAM pool utilizzando il AWS CLI

  • Esegui il comando seguente per visualizzare l'allocazione gestita inIPAM. Assicuratevi che il --region valore sia la AWS regione di. BYOIP CIDR

    aws ec2 get-ipam-pool-allocations --region us-west-2  --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987

    L'output mostra l'allocazione inIPAM.

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "130.137.249.0/24",
            "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
            "ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
            "ResourceType": "ec2-public-ipv4-pool",
            "ResourceOwner": "111122223333"
        }
    ]
}

Passaggio 7: pulizia

Segui i passaggi in questa sezione per rimuovere le risorse che hai creato in questo tutorial. Questo passaggio deve essere eseguito dall'account ipam-account.

Per pulire le risorse create in questo tutorial usando il AWS CLI

  1. Per eliminare la risorsa condivisa del IPAM pool, esegui il seguente comando per ottenere la prima condivisione ARN di risorse:

    aws ram get-resource-shares --region us-east-1 --profile ipam-account --name PoolShare1 --resource-owner SELF
    {
    "resourceShares": [
        {
            "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
            "name": "PoolShare1",
            "owningAccountId": "123456789012",
            "allowExternalPrincipals": true,
            "status": "ACTIVE",
            "creationTime": "2023-04-28T07:31:25.536000-07:00",
            "lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00",
            "featureSet": "STANDARD"
        }
    ]
}

  2. Copia la condivisione di risorse ARN e usala per eliminare la condivisione di risorse del IPAM pool. 

    aws ram delete-resource-share --region us-east-1 --profile ipam-account --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f
    {                      
    "returnValue": true
}

  3. Se hai creato una condivisione di risorse aggiuntiva inFase 4: Condividi il IPAM pool usando AWS RAM, ripeti i due passaggi precedenti per ottenere la seconda condivisione ARN di risorse PoolShare2 ed eliminare la seconda condivisione di risorse.

  4. Esegui il comando seguente per ottenere l'ID di allocazione per. BYOIP CIDR Assicuratevi che il --region valore corrisponda alla AWS regione di BYOIPCIDR.

    aws ec2 get-ipam-pool-allocations --region us-west-2  --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987

    L'output mostra l'allocazione inIPAM.

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "130.137.249.0/24",
            "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
            "ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
            "ResourceType": "ec2-public-ipv4-pool",
            "ResourceOwner": "111122223333"
        }
    ]
}

  5. Rilascia l'ultimo indirizzo IP CIDR presente nel IPv4 pool pubblico. Inserisci l'indirizzo IP con una netmask di /32. È necessario eseguire nuovamente questo comando per ogni indirizzo IP dell'CIDRintervallo. Se il tuo CIDR è un/24, dovrai eseguire questo comando per eseguire il deprovisioning di ciascuno dei 256 indirizzi IP di. /24 CIDR Quando esegui il comando in questa sezione, il valore di --region deve corrispondere alla regione del tuoIPAM.

    Questo passaggio deve essere eseguito dall'account byoip-owner-account.

    aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1  --profile byoip-owner-account --pool-id ipv4pool-ec2-0019eed22a684e0b3 --cidr 130.137.249.255/32

    Nell'output, vedrai il deprovisionedCIDR.

    {
    "PoolId": "ipv4pool-ec2-0019eed22a684e0b3",                                                                                       
    "DeprovisionedAddresses": [                                                                                                       
        "130.137.249.255"                                                                                                             
    ]                                                                                                                                 
}

  6. Visualizza BYOIP CIDRs nuovamente il tuo e assicurati che non ci siano altri indirizzi forniti. Quando esegui il comando in questa sezione, il valore di --region deve corrispondere alla regione del tuoIPAM.

    Questo passaggio deve essere eseguito dall'account byoip-owner-account.

    aws ec2 describe-public-ipv4-pools --region us-east-1 --profile byoip-owner-account

    Nell'output, vedrai il conteggio degli indirizzi IP nel tuo IPv4 pool pubblico.

    {
    "PublicIpv4Pools": [
        {
            "PoolId": "ipv4pool-ec2-0019eed22a684e0b3",
            "Description": "",
            "PoolAddressRanges": [],
            "TotalAddressCount": 0,
            "TotalAvailableAddressCount": 0,
            "NetworkBorderGroup": "us-east-1",
            "Tags": []
        }
    ]
}

  7. Esegui il seguente comando per eliminare il pool di livello superiore.

    aws ec2 delete-ipam-pool --region us-east-1  --profile ipam-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035

    Nell'output, è possibile visualizzare lo stato di eliminazione.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-east-1",
        "PoolDepth": 2,
        "State": "delete-in-progress",
        "Description": "top-level-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv4",
        "AwsService": "ec2"
    }
}