Tutorial: Creazione di IPAM e pool utilizzando la console - Amazon Virtual Private Cloud
PrerequisitiIn che modo AWS Organizations si integra con IPAMFase 1: delega di un amministratore IPAMPassaggio 2: creazione di un IPAMPassaggio 3: creazione di un pool IPAM di livello superioreFase 4: creazione di pool IPAM regionaliFase 5: creazione di un pool di sviluppo di pre-produzioneFase 6: condivisione del pool IPAMFase 7: creazione di un VPC con un CIDR assegnato da un pool IPAMFase 8: eliminazione

Tutorial: Creazione di IPAM e pool utilizzando la console

In questo tutorial creerai un IPAM, eseguirai l'integrazione con AWS Organizations, creerai pool di indirizzi IP e creerai un VPC con un CIDR da un pool IPAM.

Questo tutorial mostra come utilizzare IPAM per organizzare lo spazio degli indirizzi IP in base alle diverse esigenze di sviluppo. Una volta completato questo tutorial, avrai a disposizione un pool di indirizzi IP per le risorse di pre-produzione. A questo punto, potrai creare altri pool in base alle tue esigenze di routing e sicurezza, ad esempio un pool per le risorse di produzione.

Sebbene sia possibile utilizzare IPAM come utente singolo, l'integrazione con AWS Organizations consente di gestire gli indirizzi IP tra gli account dell'organizzazione. In questo tutorial viene illustrata l'integrazione di IPAM con gli account in un'organizzazione. Non spiega come Come integrare IPAM con account esterni alla tua organizzazione.

Nota

Ai fini di questo tutorial, le istruzioni ti diranno di denominare le risorse IPAM in un modo particolare, creare risorse IPAM in Regioni specifiche e utilizzare intervalli CIDR di indirizzi IP specifici per i tuoi pool. Lo scopo è quello di semplificare le scelte disponibili in IPAM e di iniziare rapidamente a utilizzare IPAM. Una volta completato questo tutorial, puoi anche decidere di creare un nuovo IPAM e di configurarlo diversamente.

Prerequisiti

Prima di iniziare, è necessario aver creato un account AWS Organizations con almeno un account membro. Per istruzioni, consulta Creazione e configurazione di un'organizzazione nella Guida per l'utente di AWS Organizations.

In che modo AWS Organizations si integra con IPAM

Questa sezione mostra un esempio degli account AWS Organizations utilizzati in questo tutorial. Nella tua organizzazione esistono tre account che utilizzi quando effettui l'integrazione con IPAM in questo tutorial:

  • L'account di gestione (chiamato example-management-account nell'immagine seguente) per accedere alla console IPAM e delegare un amministratore IPAM. Non è possibile utilizzare l'account di gestione dell'organizzazione come amministratore di IPAM.

  • Un account membro (denominato example-member-account-1 nell'immagine seguente) come account amministratore di IPAM. L'account amministratore di IPAM è responsabile della creazione e dell'utilizzo di un IPAM per gestire e monitorare l'uso dell'indirizzo IP nell'organizzazione. Qualsiasi account membro dell'organizzazione può essere delegato come amministratore di IPAM.

  • Un account membro (denominato example-member-account-2 nell'immagine seguente) come account sviluppatore. Questo account crea un VPC con un CIDR assegnato da un pool IPAM.

Un esempio di organizzazione AWS Organizations con esempi di account dei membri e di gestione.

Oltre agli account, avrai bisogno dell'ID dell'unità organizzativa (ou-fssg-q5brfv9c nell'immagine precedente) che contiene l'account membro che utilizzerai come account sviluppatore. È necessario questo ID in modo che, in una fase successiva, quando si condivide il pool IPAM, sia possibile condividerlo con questa unità organizzativa.

Nota

Per ulteriori informazioni sui tipi di account AWS Organizations, come gli account di gestione e gli account dei membri, consulta la terminologia e i concetti di AWS Organizations.

Fase 1: delega di un amministratore IPAM

In questo passaggio, delegherai come amministratore di IPAM l'account di un membro di AWS Organizations. Quando deleghi un amministratore di IPAM, viene creato automaticamente un ruolo collegato al servizio in ciascuno dei tuoi account dei membri di AWS Organizations. IPAM monitora l'utilizzo dell'indirizzo IP in questi account assumendo il ruolo collegato al servizio in ciascun account membro. Quindi, può scoprire le risorse e i relativi CIDR indipendentemente dalla propria unità organizzativa.

Non puoi completare questo passaggio se non disponi delle autorizzazioni AWS Identity and Access Management (IAM) richieste. Per ulteriori informazioni, consultare Come integrare IPAM con account in un’organizzazione AWS.

Per delegare un account amministratore IPAM

  1. Tramite l'account di gestione di AWS Organizations, apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nella Console di gestione AWS, scegliere la Regione AWS in cui si desidera utilizzare IPAM.

  3. Nel riquadro di navigazione selezionare Organization settings (Impostazioni organizzazione).

  4. Scegli Delega. L'opzione Delega è disponibile solo se hai effettuato l'accesso alla console come account di gestione di AWS Organizations.

  5. Immetti l'ID dell'account AWS per l'account membro dell'organizzazione. L'amministratore IPAM deve essere l'account di un membro di AWS Organizations, non l'account di gestione.

    L'opzione modifica impostazioni nella console IPAM dove puoi delegare un amministratore di IPAM.

  6. Scegli Save changes (Salva modifiche). Le informazioni sull'amministratore delegato sono compilate con i dettagli relativi all'account membro.

Passaggio 2: creazione di un IPAM

In questo passaggio creerai un IPAM. Quando crei un IPAM, questo crea automaticamente due ambiti per l'IPAM: l'ambito privato destinato a tutto lo spazio privato e l'ambito pubblico destinato a tutto lo spazio pubblico. Gli ambiti, insieme a pool e assegnazioni, sono componenti chiave del tuo IPAM. Per ulteriori informazioni, consultare Funzionamento di IPAM.

Per creare un IPAM

  1. Utilizzando l'account membro di AWS Organizations delegato come amministratore IPAM nel passaggio precedente, apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nella Console di gestione AWS, scegliere la Regione AWS in cui si desidera creare l'IPAM. Crea l'IPAM nella tua Regione operativa principale.

  3. Nella home page del servizio, scegli Crea IPAM.

  4. Seleziona Consenti a IP Address Manager di Amazon VPC di replicare i dati dagli account sorgente verso l'account IPAM delegato. Se non si seleziona questa opzione, non sarà possibile creare un IPAM.

    Crea una pagina IPAM nella console IPAM che includa una descrizione della casella di controllo "Consenti a Amazon VPC IP Address Manager di replicare i dati dagli account di origine nell'account delegato IPAM".

  5. Alla voce Regioni operative, scegli le Regioni AWS in cui questo IPAM è in grado di gestire e scovare le risorse. La Regione AWS in cui stai creando l'IPAM è selezionata automaticamente come una delle Regioni operative. In questo tutorial, la Regione principale del nostro IPAM è us-east-1, quindi sceglieremo us-west-1 e us-west-2 come regioni operative aggiuntive. Se dimentichi una regione operativa, puoi modificare le impostazioni IPAM in un secondo momento e aggiungere o rimuovere Regioni.

    Sezione delle impostazioni IPAM nella console IPAM.

  6. Scegli Create IPAM (Crea IPAM).

    La pagina dei risultati nella console IPAM dopo aver creato correttamente un IPAM.

Passaggio 3: creazione di un pool IPAM di livello superiore

In questo tutorial, creerai una gerarchia di pool a partire dal pool IPAM di livello superiore. Nei passaggi successivi, creerai un paio di pool regionali e un pool di sviluppo di pre-produzione in uno dei pool regionali.

Per ulteriori informazioni sulle gerarchie di pool che è possibile creare con IPAM, consulta la sezione Esempio di piani di pool IPAM.

Per creare un pool di livello superiore

  1. Tramite l'account di gestione IPAM, apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nel pannello di navigazione, seleziona Pool.

  3. Scegli l'ambito privato.

    Scelta dell'ambito privato nella console IPAM.

  4. Scegli Crea pool.

  5. Sotto la voce Ambito IPAM lascia selezionato l'ambito privato.

  6. (Facoltativo) Aggiungi un Nome tag e una descrizione per il pool, ad esempio "Pool globale".

  7. In Source (Origine), scegli IPAM scope (Ambito IPAM). Poiché questo è il nostro pool di primo livello, non avrà un pool di origine.

  8. In Address family (Famiglia di indirizzi), scegli IPv4.

  9. In Resource planning (Pianificazione delle risorse), lascia selezionato Plan IP space within the scope (Pianifica spazio IP nell’ambito). Per ulteriori informazioni sull'utilizzo di questa opzione per la pianificazione dello spazio IP della sottorete in un VPC, consulta Tutorial: Pianificare lo spazio degli indirizzi IP VPC per le allocazioni IP delle sottoreti.

  10. Per la Località, scegli Nessuna. Le impostazioni locali sono le Regioni AWS in cui desideri che questo pool IPAM sia disponibile per le allocazioni. Nella prossima sezione di questo tutorial, stabilirai le impostazioni locali per i pool regionali che andrai a creare.

    Creazione di un pool nella console IPAM.

  11. Scegli un CIDR su cui effettuare il provisioning per il pool. In questo esempio, forniamo in provisioning 10.0.0.0/16.

    Definizione dei CIDR da fornire per un pool nella console IPAM.

  12. Lascia disattivate le impostazioni delle regole di allocazione di "Configura questo pool". Questo è il nostro pool di livello superiore e non assegnerai CIDR ai VPC direttamente da questo pool. Li allocherai, invece, da un sottogruppo creato da questo pool.

    Scelta delle impostazioni delle regole di allocazione per un pool nella console IPAM.

  13. Scegli Crea pool. Il pool viene creato e il CIDR è in uno stato di fornitura in sospeso:

    Messaggio di provisioning in sospeso nella console IPAM dopo aver creato un pool.

  14. Attendi che lo stato sia Con provisioning prima di continuare con il passaggio successivo.

    Messaggio "Con provisioning" nella console IPAM dopo aver creato correttamente un pool.

Ora che hai creato il tuo pool di livello superiore, creerai pool regionali nelle Regioni us-west-1 e us-west-2.

Fase 4: creazione di pool IPAM regionali

In questa sezione viene descritto come organizzare gli indirizzi IP utilizzando due pool Regionali. In questo tutorial, seguiremo uno degli esempi di piani di pool IPAM e creeremo due pool regionali che possono essere utilizzati dagli account dei membri della tua organizzazione per allocare i CIDR ai loro VPC.

Per creare un pool regionale

  1. Tramite l'account di gestione IPAM, apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nel pannello di navigazione, seleziona Pool.

  3. Scegli l'ambito privato.

    Scelta dell'ambito privato nella console IPAM.

  4. Scegli Crea pool.

  5. Sotto la voce Ambito IPAM lascia selezionato l'ambito privato.

  6. (Facoltativo) Aggiungi un Tag del nome e una descrizione per il pool, come pool regionale us-west-1.

    Aggiunta di un nome per un pool nella console IPAM.

  7. In Source (Origine), seleziona IPAM pool (Pool IPAM), quindi seleziona il pool di massimo livello (“Pool globale”) creato in Passaggio 3: creazione di un pool IPAM di livello superiore. Quindi, in Impostazione locale, scegli us-west-1.

    Scelta di un pool di origine nella console IPAM.

  8. In Resource planning (Pianificazione delle risorse), lascia selezionato Plan IP space within the scope (Pianifica spazio IP nell’ambito). Per ulteriori informazioni sull'utilizzo di questa opzione per la pianificazione dello spazio IP della sottorete in un VPC, consulta Tutorial: Pianificare lo spazio degli indirizzi IP VPC per le allocazioni IP delle sottoreti.

  9. In CIDR per cui effettuare il provisioning, inserisci 10.0.0.0/18, che fornirà a questo pool circa 16.000 indirizzi IP disponibili.

    Scelta dei CIDR per cui effettuare il provisioning per il pool nella console IPAM.

  10. Lascia disattivate le impostazioni delle regole di allocazione di "Configura questo pool". Non allocherai CIDR ai VPC direttamente da questo pool. Li allocherai, invece, da un sottogruppo creato da questo pool.

    L'attivazione/disattivazione delle impostazioni della regola di allocazione di "Configura questo pool" nella console IPAM.

  11. Scegli Crea pool.

  12. Torna alla visualizzazione Pool per vedere la gerarchia dei pool IPAM che hai creato.

    Visualizzazione dei pool con due pool nella console IPAM.

  13. Ripeti i passaggi in questa sezione e crea un secondo pool regionale nella versione locale us-west-2 con il CIDR 10.0.64.0/18 a esso fornito in provisioning. Una volta completato il processo, disporrai di tre pool in una gerarchia simile a questa:

    Visualizzazione dei pool con tre pool nella console IPAM.

Fase 5: creazione di un pool di sviluppo di pre-produzione

Segui i passaggi in questa sezione per creare un pool di sviluppo per le risorse di pre-produzione all'interno del tuo pool regionale.

Per creare un pool di sviluppo di pre-produzione

  1. Analogamente a quanto hai fatto nel passaggio precedente, utilizzando l'account amministratore di IPAM crea un pool denominato Pre-prod pool, ma questa volta utilizza il pool regionale us-west-1 come pool di origine.

    Creazione di un pool nella console IPAM.

  2. Specifica come CIDR per cui effettuare il provisioning 10.0.0.0/20, che fornirà a questo pool circa 4.000 indirizzi IP.

    Scelta dei CIDR per un pool nella console IPAM.

  3. Attiva l'opzione Configura le impostazioni delle regole di allocazione di questo pool. Esegui questa operazione:

    1. In Gestione CIDR, per Importa automaticamente le risorse rilevate, lascia selezionata l'opzione predefinita Non consentire. Questa opzione consentirebbe a IPAM di importare automaticamente i CIDR delle risorse che rileva nelle impostazioni locali del pool. Una descrizione dettagliata di questa opzione non rientra tra gli argomenti trattati in questo tutorial, ma puoi leggere maggiori informazioni su questa opzione in Come creare un pool di livello superiore IPv4.

    2. In Conformità alla maschera di rete, scegli /24 per la lunghezza minima, predefinita e massima della maschera di rete. Una descrizione dettagliata di questa opzione non rientra tra gli argomenti trattati in questo tutorial, ma puoi leggere maggiori informazioni su questa opzione in Come creare un pool di livello superiore IPv4. È importante notare che il VPC che creerai in seguito con un CIDR da questo pool sarà limitato a /24 in base a ciò che abbiamo impostato qui.

    3. In Conformità ai tag, inserisci ambiente/pre-prod. Questo tag sarà necessario per consentire ai VPC di assegnare spazio dal pool. Dimostreremo in seguito come funziona.

    Visualizzazione di tutte le impostazioni del pool durante la creazione di un pool nella console IPAM.

  4. Scegli Crea pool.

  5. La gerarchia dei pool ora include un sottopool aggiuntivo nel pool regionale us-west-1:

    Visualizzazione del pool con quattro pool nella console IPAM.

Ora sei pronto per condividere il pool IPAM con un altro account membro della tua organizzazione. In questo modo, potrai abilitare tale account ad allocare un CIDR dal pool per creare un VPC.

Fase 6: condivisione del pool IPAM

Segui la procedura descritta in questa sezione per condividere il pool IPAM di pre-produzione tramiteAWS Resource Access Manager (RAM).

Questa sezione è composta da due sottosezioni:

Fase 6.1. Abilitazione della condivisione delle risorse in AWS RAM

Dopo aver creato il tuo IPAM, ti consigliamo di condividere i pool di indirizzi IP con altri account della tua organizzazione. Prima di condividere un pool IPAM, completa la procedura descritta in questa sezione per abilitare la condivisione delle risorse con AWS RAM.

Per abilitare la condivisione delle risorse

  1. Tramite l'account di gestione di AWS Organizations, apri la console AWS RAM all'indirizzo https://console.aws.amazon.com/ram/.

  2. Nel riquadro di navigazione a sinistra, scegli Impostazioni, poi Abilita condivisione con AWS Organizations e quindi Salva impostazioni.

    Abilitazione della condivisione dell'organizzazione nella console AWS RAM.

Ora puoi condividere un pool IPAM con altri membri dell'organizzazione.

Fase 6.2. Condividi un pool IPAM utilizzando AWS RAM

In questa sezione condividerai il pool di sviluppo di pre-produzione con un altro account AWS Organizations membro. Per istruzioni complete sulla condivisione dei pool IPAM, comprese le informazioni sulle autorizzazioni IAM richieste, consulta Condividi un pool IPAM utilizzando AWS RAM.

Per condividere un pool IPAM utilizzando AWS RAM

  1. Tramite l'account di gestione IPAM, apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nel pannello di navigazione, seleziona Pool.

  3. Scegli l'ambito privato, scegli il pool IPAM di pre-produzione e scegli Azioni > Visualizza dettagli.

  4. Alla voce Condivisione risorse, scegli Crea condivisione di risorse. Si apre la console AWS RAM. Condividerai il pool usando AWS RAM.

  5. Selezionare Create a resource share (Crea una condivisione di risorse).

    Creazione di una condivisione di risorse nella console IPAM.

    Si apre la console AWS RAM.

  6. Nella console AWS RAM, scegli nuovamente Creazione di una condivisione di risorse.

  7. Aggiungi un Nome per il pool condiviso.

  8. In Seleziona il tipo di risorsa, scegli i pool IPAM, quindi scegli l'ARN del pool di sviluppo di pre-produzione.

    Creazione di una condivisione di risorse nella console AWS RAM.

  9. Seleziona Next (Successivo).

  10. Lascia selezionata l'autorizzazione AwsRamDefaultPermissionsIPamPool predefinita. I dettagli delle opzioni di autorizzazione non rientrano nell'ambito di questo tutorial, ma puoi trovare ulteriori informazioni su queste opzioni alla sezione Condividi un pool IPAM utilizzando AWS RAM.

    Associazione delle autorizzazioni su una condivisione di risorse nella console AWS RAM.

  11. Seleziona Next (Successivo).

  12. In Principali, scegli Consenti la condivisione solo all'interno dell'organizzazione. Inserisci l'ID dell'unità organizzativa di AWS Organizations (come indicato in In che modo AWS Organizations si integra con IPAM), quindi scegli Aggiungi.

    Concessione dell'accesso a una condivisione di risorse nella console AWS RAM.

  13. Seleziona Next (Successivo).

  14. Controlla le opzioni di condivisione delle risorse e i principali con cui condividerai, quindi scegli Crea.

Ora che il pool è stato condiviso, vai al passaggio successivo per creare un VPC con un CIDR allocato da un pool IPAM.

Fase 7: creazione di un VPC con un CIDR assegnato da un pool IPAM

Segui la procedura descritta in questa sezione per creare un VPC con un CIDR assegnato dal pool di pre-produzione. Questo passaggio deve essere completato dall'account membro nell'unità organizzativa con cui è stato condiviso il pool IPAM nella sezione precedente (denominato example-member-account-2 in In che modo AWS Organizations si integra con IPAM). Per ulteriori informazioni sulle autorizzazioni IAM necessarie per creare VPC, consulta gli esempi delle policy di Amazon VPC in Nozioni di base su Amazon VPC.

Per creare un VPC con un CIDR assegnato da un pool IPAM

  1. Per utilizzare l'account membro come account sviluppatore, apri la console VPC all'indirizzo https://console.aws.amazon.com/vpc/ utilizzando le credenziali dell'account membro.

  2. Seleziona Crea VPC.

  3. Esegui questa operazione:

    1. Inserisci un nome, come VPC di esempio.

    2. Scegli il blocco CIDR IPv4 allocato dall'IPAM.

    3. Nel pool IPAM IPv4, scegli l'ID del pool di pre-produzione.

    4. Scegli una lunghezza della Maschera di rete. Poiché hai limitato la lunghezza della maschera di rete disponibile per questo pool a /24 (in Fase 5: creazione di un pool di sviluppo di pre-produzione), l'unica opzione di maschera di rete disponibile è /24.

      Creazione di un VPC nella console Amazon VPC.

  4. A scopo dimostrativo, in Tag, non aggiungere altri tag in questo momento. Quando hai creato il pool di pre-produzione (in Fase 5: creazione di un pool di sviluppo di pre-produzione), hai aggiunto una regola di allocazione che richiede che tutti i VPC creati con i CIDR da questo pool dispongano di un tag ambiente/pre-prod. Per ora, lascia il tag ambiente/pre-prod disattivato in modo da poter vedere che viene visualizzato un errore che segnala che non è stato aggiunto un tag obbligatorio.

  5. Seleziona Crea VPC.

  6. Viene visualizzato un errore che indica che non è stato aggiunto un tag obbligatorio. L'errore viene visualizzato perché hai impostato una regola di allocazione quando hai creato il pool di pre-produzione (in Fase 5: creazione di un pool di sviluppo di pre-produzione). La regola di allocazione richiedeva che tutti i VPC creati con CIDR da questo pool disponessero di un tag ambiente/pre-prod.

    Creazione di un errore VPC nella console Amazon VPC.

  7. Ora, in Tag, aggiungi il tag ambiente/pre-prod e scegli nuovamente Crea VPC.

    Aggiunta di tag a un VPC nella console Amazon VPC.

  8. Il VPC è stato creato correttamente e il VPC è conforme alla regola dei tag sul pool di pre-produzione:

    Completamento della creazione di un VPC nella console Amazon VPC.

Nel pannello Risorse della console IPAM, l'amministratore IPAM sarà in grado di visualizzare e gestire il VPC e il relativo CIDR allocato. Tieni presente che occorre del tempo prima che il VPC venga visualizzato nel riquadro Risorse.

Fase 8: eliminazione

In questo tutorial, hai creato un IPAM con un amministratore delegato, creato più pool e abilitato un account membro della tua organizzazione ad allocare un CIDR VPC da un pool.

Segui i passaggi in questa sezione per eliminare le risorse che hai creato in questo tutorial.

Per eliminare le risorse create in questo tutorial

  1. Utilizzando l'account membro che ha creato il VPC di esempio, elimina il VPC. Per istruzioni dettagliate, consulta Eliminazione del VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

  2. Utilizzando l'account amministratore IPAM, elimina la condivisione di risorse di esempio nella console AWS RAM. Per istruzioni dettagliate, consulta Eliminazione di una condivisione di risorse in AWSAWS RAM nella Guida per l'utente di AWS Resource Access Manager.

  3. Utilizzando l'account amministratore IPAM, accedi alla console RAM e disabilita la condivisione con AWS Organizations che abiliti in Fase 6.1. Abilitazione della condivisione delle risorse in AWS RAM.

  4. Utilizzando l'account amministratore IPAM, elimina l'IPAM di esempio selezionando l'IPAM nella console IPAM e quindi scegliendo Azioni > Elimina. Per istruzioni dettagliate, vedi Elimina un IPAM.

  5. Quando ti viene richiesto di eliminare l'IPAM, scegli Elimina a cascata. Questo eliminerà tutti gli ambiti e i pool all'interno dell'IPAM prima di eliminare l'IPAM.

    Eliminazione di un IPAM nella console IPAM.

  6. Immetti elimina, quindi scegli Elimina.

  7. Utilizzando l'account di gestione di AWS Organizations, accedi alla console IPAM, scegli Impostazioni e rimuovi l'account dell'amministratore delegato.

  8. (Facoltativo) Quando si integra IPAM con AWS Organizations, IPAM crea automaticamente un ruolo collegato al servizio in ogni account membro. Utilizzando ogni account membro di AWS Organizations, accedi a IAM ed elimina il ruolo collegato al servizio AWSServiceRoleForIPAM in ogni account membro.

  9. La pulizia è completa.