Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tutorial: crea un pool IPAM and usando la console
In questo tutorial, crei un pool di indirizzi IPIPAM, esegui l'integrazione con AWS Organizations, crei un pool di indirizzi IP e crei un pool VPC con CIDR a partire da un IPAM pool.
Questo tutorial mostra come organizzare lo spazio degli indirizzi IP in base IPAM alle diverse esigenze di sviluppo. Una volta completato questo tutorial, avrai a disposizione un pool di indirizzi IP per le risorse di pre-produzione. A questo punto, potrai creare altri pool in base alle tue esigenze di routing e sicurezza, ad esempio un pool per le risorse di produzione.
Sebbene sia possibile utilizzarlo IPAM come utente singolo, l'integrazione con AWS Organizations consente di gestire gli indirizzi IP tra gli account dell'organizzazione. Questo tutorial illustra l'integrazione IPAM con gli account di un'organizzazione. Non spiega come Integrazione IPAM con account esterni all'organizzazione.
Nota
Ai fini di questo tutorial, le istruzioni ti diranno di denominare le IPAM risorse in un modo particolare, creare IPAM risorse in regioni specifiche e utilizzare CIDR intervalli di indirizzi IP specifici per i tuoi pool. Questo ha lo scopo di semplificare le scelte disponibili in IPAM e di consentirti di iniziare IPAM rapidamente. Una volta completato questo tutorial, puoi decidere di crearne uno nuovo IPAM e configurarlo in modo diverso.
Indice
- Prerequisiti
- Come si AWS Organizations integra con IPAM
- Fase 1: Delegare un amministratore IPAM
- Fase 2: Creare un IPAM
- Passaggio 3: Creare un pool di primo livello IPAM
- Fase 4: Creare pool regionali IPAM
- Fase 5: creazione di un pool di sviluppo di pre-produzione
- Passaggio 6: Condividi il pool IPAM
- Passaggio 7: Crea un file VPC con un CIDR allocato da un pool IPAM
- Fase 8: eliminazione
Prerequisiti
Prima di iniziare, devi aver creato un AWS Organizations account con almeno un account membro. Per istruzioni, consulta Creazione e configurazione di un'organizzazione nella Guida per l'utente di AWS Organizations .
Come si AWS Organizations integra con IPAM
Questa sezione mostra un esempio degli AWS Organizations account che usi in questo tutorial. Ci sono tre account nella tua organizzazione che usi quando esegui l'integrazione IPAM in questo tutorial:
-
L'account di gestione (chiamato example-management-accountnell'immagine seguente) con cui accedere alla IPAM console e delegare un IPAM amministratore. Non puoi utilizzare l'account di gestione dell'organizzazione come IPAM amministratore.
-
Un account membro (chiamato example-member-account-1 nell'immagine seguente) come account IPAM amministratore. L'account IPAM amministratore è responsabile della creazione IPAM e del suo utilizzo per gestire e monitorare l'utilizzo degli indirizzi IP in tutta l'organizzazione. Qualsiasi account membro dell'organizzazione può essere delegato come IPAM amministratore.
-
Un account membro (chiamato example-member-account-2 nel seguito riportato sopra) come account sviluppatore. Questo account crea un account VPC con un CIDR allocato da un IPAM pool.
Oltre agli account, avrai bisogno dell'ID dell'unità organizzativa (ou-fssg-q5brfv9c nell'immagine precedente) che contiene l'account membro che utilizzerai come account sviluppatore. È necessario questo ID in modo che, in una fase successiva, quando si condivide il IPAM pool, sia possibile condividerlo con questa unità organizzativa.
Nota
Per ulteriori informazioni sui tipi di AWS Organizations account come gli account di gestione e gli account dei membri, consulta la AWS Organizations terminologia e i concetti.
Fase 1: Delegare un amministratore IPAM
In questo passaggio, delegherai un account AWS Organizations membro come amministratore. IPAM Quando deleghi un IPAM amministratore, viene creato automaticamente un ruolo collegato al servizio in ciascuno dei tuoi account membro. AWS Organizations IPAMmonitora l'utilizzo degli indirizzi IP in questi account assumendo il ruolo collegato al servizio in ciascun account membro. Può quindi scoprire le risorse e le relative CIDRs indipendentemente dall'unità organizzativa.
Non è possibile completare questo passaggio se non si dispone delle autorizzazioni richieste AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta Integrazione IPAM con gli account di un' AWS organizzazione.
Per delegare un account amministratore IPAM
Utilizzando l'account AWS Organizations di gestione, apri la IPAM console all'indirizzo https://console.aws.amazon.com/ipam/
. Nella console di AWS gestione, scegli la AWS regione in cui desideri lavorareIPAM.
-
Nel riquadro di navigazione selezionare Organization settings (Impostazioni organizzazione).
-
Scegli Delega. L'opzione Delega è disponibile solo se hai effettuato l'accesso alla console come account di AWS Organizations gestione.
-
Inserisci l'ID dell' AWS account per un account membro dell'organizzazione. L'IPAMamministratore deve essere un account AWS Organizations membro, non l'account di gestione.
-
Scegli Save changes (Salva modifiche). Le informazioni sull'amministratore delegato sono compilate con i dettagli relativi all'account membro.
Fase 2: Creare un IPAM
In questo passaggio creerai unIPAM. Quando crei unIPAM, crea IPAM automaticamente due ambitiIPAM: l'ambito privato destinato a tutto lo spazio privato e l'ambito pubblico destinato a tutto lo spazio pubblico. Gli ambiti, insieme ai pool e alle allocazioni, sono componenti chiave del tuo. IPAM Per ulteriori informazioni, consulta Come IPAM funziona.
Per creare un IPAM
-
Utilizzando l'account AWS Organizations membro delegato come IPAM amministratore nel passaggio precedente, apri la IPAM console all'indirizzo https://console.aws.amazon.com/ipam/
. Nella Console di AWS gestione, scegli la AWS regione in cui desideri creare ilIPAM. Crea la IPAM nella tua regione operativa principale.
-
Nella home page del servizio, scegli Crea IPAM.
Seleziona Consenti ad Amazon VPC IP Address Manager di replicare i dati dagli account di origine all'account IPAM delegato. Se non selezioni questa opzione, non puoi creare un. IPAM
In Regioni operative, scegli le AWS regioni in cui è IPAM possibile gestire e scoprire le risorse. La AWS regione in cui stai creando la tua IPAM viene selezionata automaticamente come una delle regioni operative. In questo tutorial, la nostra regione di origine IPAM è us-east-1, quindi sceglieremo us-west-1 e us-west-2 come regioni operative aggiuntive. Se dimentichi una regione operativa, puoi modificare le IPAM impostazioni in un secondo momento e aggiungere o rimuovere regioni.
Scegli Crea IPAM.
Passaggio 3: Creare un pool di primo livello IPAM
In questo tutorial, crei una gerarchia di pool a partire dal pool di primo livelloIPAM. Nei passaggi successivi, creerai un paio di pool regionali e un pool di sviluppo di pre-produzione in uno dei pool regionali.
Per ulteriori informazioni sulle gerarchie di pool con cui è possibile creare, vedere. IPAM Esempi di piani di IPAM piscina
Per creare un pool di livello superiore
-
Utilizzando l'account IPAM amministratore, apri la IPAM console all'indirizzo. https://console.aws.amazon.com/ipam/
-
Nel pannello di navigazione, seleziona Pool.
-
Scegli l'ambito privato.
-
Scegli Crea pool.
-
In IPAMAmbito, lascia selezionato l'ambito privato.
(Facoltativo) Aggiungi un Nome tag e una descrizione per il pool, ad esempio "Pool globale".
In Origine, scegli IPAMAmbito. Poiché questo è il nostro pool di primo livello, non avrà un pool di origine.
-
In Famiglia di indirizzi, scegli IPv4.
-
In Resource planning (Pianificazione delle risorse), lascia selezionato Plan IP space within the scope (Pianifica spazio IP nell’ambito). Per ulteriori informazioni sull'utilizzo di questa opzione per pianificare lo spazio IP di una sottorete all'interno di unaVPC, consultateTutorial: Pianificare lo spazio degli indirizzi VPC IP per le allocazioni IP delle sottoreti.
Per la Località, scegli Nessuna. Le impostazioni locali sono le AWS regioni in cui si desidera che questo IPAM pool sia disponibile per le allocazioni. Nella prossima sezione di questo tutorial, stabilirai le impostazioni locali per i pool regionali che andrai a creare.
-
Scegli un provisioning CIDR per il pool. In questo esempio, forniamo in provisioning 10.0.0.0/16.
Lascia disattivate le impostazioni delle regole di allocazione di "Configura questo pool". Questo è il nostro pool di primo livello e non verrà allocato VPCs direttamente CIDRs da questo pool. Li allocherai, invece, da un sottogruppo creato da questo pool.
Scegli Crea pool. Il pool viene creato e si CIDR trova in uno stato di fornitura in sospeso:
Attendi che lo stato sia Con provisioning prima di continuare con il passaggio successivo.
Ora che hai creato il tuo pool di livello superiore, creerai pool regionali nelle Regioni us-west-1 e us-west-2.
Fase 4: Creare pool regionali IPAM
In questa sezione viene descritto come organizzare gli indirizzi IP utilizzando due pool Regionali. In questo tutorial, seguiremo uno degli esempi di piani di IPAM pool e creeremo due pool regionali che possono essere utilizzati dagli account membri dell'organizzazione per l'allocazione CIDRs ai propriVPCs.
Per creare un pool regionale
-
Utilizzando l'account IPAM amministratore, apri la IPAM console all'indirizzo https://console.aws.amazon.com/ipam/
. -
Nel pannello di navigazione, seleziona Pool.
-
Scegli l'ambito privato.
-
Scegli Crea pool.
In IPAMAmbito, lascia selezionato l'ambito privato.
(Facoltativo) Aggiungi un Tag del nome e una descrizione per il pool, come pool regionale us-west-1.
-
In Source, seleziona IPAMpool e seleziona il pool di primo livello («Pool globale») in Passaggio 3: Creare un pool di primo livello IPAM cui hai creato. Quindi, in Impostazione locale, scegli us-west-1.
-
In Resource planning (Pianificazione delle risorse), lascia selezionato Plan IP space within the scope (Pianifica spazio IP nell’ambito). Per ulteriori informazioni sull'utilizzo di questa opzione per pianificare lo spazio IP di una sottorete all'interno di aVPC, vedereTutorial: Pianificare lo spazio degli indirizzi VPC IP per le allocazioni IP delle sottoreti.
-
In CIDRsto provisioning, inserisci 10.0.0.0/18, che fornirà a questo pool circa 16.000 indirizzi IP disponibili.
Lascia disattivate le impostazioni delle regole di allocazione di "Configura questo pool". Non effettuerai l'assegnazione VPCs diretta CIDRs a da questo pool. Li allocherai, invece, da un sottogruppo creato da questo pool.
Scegli Crea pool.
Torna alla vista Pools per vedere la gerarchia dei IPAM pool che hai creato.
Ripeti i passaggi di questa sezione e crea un secondo pool regionale nella locale us-west-2 con CIDR il 10.0.64.0/18 fornito. Una volta completato il processo, disporrai di tre pool in una gerarchia simile a questa:
Fase 5: creazione di un pool di sviluppo di pre-produzione
Segui i passaggi in questa sezione per creare un pool di sviluppo per le risorse di pre-produzione all'interno del tuo pool regionale.
Per creare un pool di sviluppo di pre-produzione
-
Nello stesso modo in cui hai fatto nella sezione precedente, utilizzando l'account IPAM amministratore, crea un pool chiamato pool pre-Prod, ma questa volta usa Regional pool us-west-1 come pool di origine.
Specificate 10.0.0.0/20 da fornire, che fornirà a questo pool circa 4.000 indirizzi IP. CIDR
Attiva l'opzione Configura le impostazioni delle regole di allocazione di questo pool. Esegui questa operazione:
Nella sezione CIDRGestione, per Importa automaticamente le risorse scoperte, lascia selezionata l'opzione predefinita Non consentire. Questa opzione consentirebbe di IPAM importare automaticamente le risorse CIDRs rilevate nelle impostazioni locali del pool. Una descrizione dettagliata di questa opzione non rientra tra gli argomenti trattati in questo tutorial, ma puoi leggere maggiori informazioni su questa opzione in Creare un pool di primo livello IPv4.
In Conformità alla maschera di rete, scegli /24 per la lunghezza minima, predefinita e massima della maschera di rete. Una descrizione dettagliata di questa opzione non rientra tra gli argomenti trattati in questo tutorial, ma puoi leggere maggiori informazioni su questa opzione in Creare un pool di primo livello IPv4. Ciò che è importante notare è che quello VPC che creerai in seguito con un CIDR da questo pool sarà limitato a /24 in base a ciò che abbiamo impostato qui.
In Conformità ai tag, inserisci ambiente/pre-prod. Questo tag sarà necessario per VPCs allocare lo spazio del pool. Dimostreremo in seguito come funziona.
Scegli Crea pool.
-
La gerarchia dei pool ora include un sottopool aggiuntivo nel pool regionale us-west-1:
Ora sei pronto per condividere il IPAM pool con un altro account membro della tua organizzazione e consentire a quell'account di allocare un account CIDR dal pool per creare unVPC.
Passaggio 6: Condividi il pool IPAM
Segui i passaggi di questa sezione per condividere il IPAM pool di preproduzione utilizzando AWS Resource Access Manager (RAM).
Questa sezione è composta da due sottosezioni:
-
Fase 6.1. Abilitazione della condivisione delle risorse in AWS RAM: questo passaggio deve essere eseguito dall'account di gestione di AWS Organizations .
-
Fase 6.2. Condividi un IPAM pool utilizzando AWS RAM: Questo passaggio deve essere eseguito dall'IPAMamministratore.
Fase 6.1. Abilitazione della condivisione delle risorse in AWS RAM
Dopo aver creato il tuoIPAM, ti consigliamo di condividere i pool di indirizzi IP con altri account della tua organizzazione. Prima di condividere un IPAM pool, completa i passaggi di questa sezione per abilitare la condivisione delle risorse con AWS RAM.
Per abilitare la condivisione delle risorse
-
Utilizzando l'account AWS Organizations di gestione, apri la AWS RAM console all'indirizzo https://console.aws.amazon.com/ram/
. -
Nel riquadro di navigazione a sinistra, scegli Impostazioni, scegli Abilita condivisione con AWS Organizations, quindi scegli Salva impostazioni.
Ora puoi condividere un IPAM pool con altri membri dell'organizzazione.
Fase 6.2. Condividi un IPAM pool utilizzando AWS RAM
In questa sezione condividerai il pool di sviluppo di pre-produzione con un altro account AWS Organizations membro. Per istruzioni complete sulla condivisione dei IPAM pool, comprese le informazioni sulle IAM autorizzazioni richieste, vedereCondividi un IPAM pool utilizzando AWS RAM.
Per condividere un IPAM pool utilizzando AWS RAM
-
Utilizzando l'account IPAM amministratore, apri la IPAM console all'indirizzo https://console.aws.amazon.com/ipam/
. -
Nel pannello di navigazione, seleziona Pool.
-
Scegliete l'ambito privato, scegliete il IPAM pool di preproduzione e scegliete Azioni > Visualizza dettagli.
-
Alla voce Condivisione risorse, scegli Crea condivisione di risorse. La AWS RAM console si apre. Condividerai il pool utilizzando AWS RAM.
-
Selezionare Create a resource share (Crea una condivisione di risorse).
La AWS RAM console si apre.
-
Nella AWS RAM console, scegli nuovamente Crea una condivisione di risorse.
-
Aggiungi un Nome per il pool condiviso.
-
In Seleziona il tipo di risorsa, scegli i IPAMpool, quindi scegli il pool ARN di sviluppo di preproduzione.
-
Scegli Next (Successivo).
-
Lascia selezionata l'AWSRAMDefaultPermissionsIpamPoolautorizzazione predefinita. I dettagli delle opzioni di autorizzazione non rientrano nell'ambito di questo tutorial, ma puoi trovare ulteriori informazioni su queste opzioni alla sezione Condividi un IPAM pool utilizzando AWS RAM.
-
Scegli Next (Successivo).
In Principali, scegli Consenti la condivisione solo all'interno dell'organizzazione. Inserisci AWS Organizations l'ID dell'unità organizzativa (come indicato in)Come si AWS Organizations integra con IPAM, quindi scegli Aggiungi.
-
Scegli Next (Successivo).
-
Controlla le opzioni di condivisione delle risorse e i principali con cui condividerai, quindi scegli Crea.
Ora che il pool è stato condiviso, vai al passaggio successivo per creare un pool VPC con un valore CIDR allocato da un IPAM pool.
Passaggio 7: Crea un file VPC con un CIDR allocato da un pool IPAM
Segui i passaggi descritti in questa sezione per creare un file VPC con un'unità CIDR allocata dal pool di preproduzione. Questo passaggio deve essere completato dall'account membro dell'unità organizzativa con cui il IPAM pool è stato condiviso nella sezione precedente (denominato example-member-account-2 inCome si AWS Organizations integra con IPAM). Per ulteriori informazioni sulle IAM autorizzazioni necessarie per la creazioneVPCs, consulta gli esempi di VPC policy di Amazon nella Amazon VPC User Guide.
Per creare un file VPC con un oggetto CIDR allocato da un pool IPAM
-
Utilizzando l'account membro, apri la VPC console https://console.aws.amazon.com/vpc/
come account membro che utilizzerai come account sviluppatore. -
Scegli Crea VPC.
-
Esegui questa operazione:
-
Inserisci un nome, ad esempio EsempioVPC.
-
Scegli IPAM-allocated block. IPv4 CIDR
-
In IPv4IPAMpool, scegli l'ID del pool di preproduzione.
-
Scegli una lunghezza della Maschera di rete. Poiché hai limitato la lunghezza della maschera di rete disponibile per questo pool a /24 (in Fase 5: creazione di un pool di sviluppo di pre-produzione), l'unica opzione di maschera di rete disponibile è /24.
-
-
A scopo dimostrativo, in Tag, non aggiungere altri tag in questo momento. Quando hai creato il pool di pre-produzione (in 5. Create un pool di sviluppo di preproduzione
), avete aggiunto una regola di allocazione che richiedeva VPCs che tutti i file creati con questo pool avessero un CIDRs tag environment/pre-prod. Per ora, lascia il tag ambiente/pre-prod disattivato in modo da poter vedere che viene visualizzato un errore che segnala che non è stato aggiunto un tag obbligatorio. -
VPCScegli Crea.
Viene visualizzato un errore che indica che non è stato aggiunto un tag obbligatorio. L'errore viene visualizzato perché hai impostato una regola di allocazione quando hai creato il pool di pre-produzione (in Fase 5: creazione di un pool di sviluppo di pre-produzione). La regola di allocazione richiedeva VPCs che tutte quelle create con CIDRs questo pool avessero un tag environment/pre-prod.
Ora, sotto Tags, aggiungi il tag environment/pre-prod e scegli nuovamente Create. VPC
VPCÈ stato creato con successo ed è VPC conforme alla regola dei tag nel pool di preproduzione:
Nel riquadro Risorse della IPAM console, l'IPAMamministratore sarà in grado di visualizzare e gestire le informazioni VPC e le relative risorse allocateCIDR. Tieni presente che ci vuole del VPC tempo prima che appaia nel riquadro Risorse.
Fase 8: eliminazione
In questo tutorial, ne hai creato uno IPAM con un amministratore delegato, creato più pool e abilitato un account membro della tua organizzazione per allocare i dati VPC CIDR da un pool.
Segui i passaggi in questa sezione per eliminare le risorse che hai creato in questo tutorial.
Per eliminare le risorse create in questo tutorial
Utilizzando l'account membro che ha creato l'esempioVPC, elimina il. VPC Per istruzioni dettagliate, consulta Delete your VPC nella Amazon Virtual Private Cloud User Guide.
Utilizzando l'account IPAM amministratore, elimina l'esempio di condivisione di risorse nella AWS RAM console. Per istruzioni dettagliate, consulta Eliminazione di una condivisione di risorse in AWSAWS RAM nella Guida per l'utente di AWS Resource Access Manager .
Utilizzando l'account IPAM amministratore, accedi alla RAM console e disattiva la condivisione con AWS Organizations cui hai abilitatoFase 6.1. Abilitazione della condivisione delle risorse in AWS RAM.
Utilizzando l'account IPAM amministratore, elimina l'esempio IPAM selezionando IPAM nella IPAM console e scegliendo Azioni > Elimina. Per istruzioni dettagliate, vedi Eliminare un IPAM.
Quando ti viene richiesto di eliminare ilIPAM, scegli Elimina a cascata. Questo eliminerà tutti gli ambiti e i pool all'interno di IPAM prima di eliminare il. IPAM
Immetti elimina, quindi scegli Elimina.
Utilizzando l'account di AWS Organizations gestione, accedi alla IPAM console, scegli Impostazioni e rimuovi l'account amministratore delegato.
(Facoltativo) Quando effettui l'integrazione IPAM con AWS Organizations, crea IPAM automaticamente un ruolo collegato al servizio in ogni account membro. Utilizzando ogni account AWS Organizations membro, accedi IAM ed elimina il ruolo collegato al AWSServiceRoleForIPAMservizio in ogni account membro.
-
La pulizia è completa.