Tutorial: Creazione di IPAM e pool utilizzando la console - Amazon Virtual Private Cloud
PrerequisitiCome si AWS Organizations integra con IPAMFase 1: delega di un amministratore IPAMPassaggio 2: creazione di un IPAMPassaggio 3: creazione di un pool IPAM di livello superioreFase 4: creazione di pool IPAM regionaliFase 5: creazione di un pool di sviluppo di pre-produzioneFase 6: condivisione del pool IPAMFase 7: creazione di un VPC con un CIDR assegnato da un pool IPAMFase 8: eliminazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: Creazione di IPAM e pool utilizzando la console

In questo tutorial, crei un IPAM, esegui l'integrazione AWS Organizations, crei pool di indirizzi IP e crei un VPC con un CIDR da un pool IPAM.

Questo tutorial mostra come utilizzare IPAM per organizzare lo spazio degli indirizzi IP in base alle diverse esigenze di sviluppo. Una volta completato questo tutorial, avrai a disposizione un pool di indirizzi IP per le risorse di pre-produzione. A questo punto, potrai creare altri pool in base alle tue esigenze di routing e sicurezza, ad esempio un pool per le risorse di produzione.

Sebbene sia possibile utilizzare IPAM come singolo utente, l'integrazione con AWS Organizations consente di gestire gli indirizzi IP tra gli account dell'organizzazione. In questo tutorial viene illustrata l'integrazione di IPAM con gli account in un'organizzazione. Non spiega come Come integrare IPAM con account esterni alla tua organizzazione.

Nota

Ai fini di questo tutorial, le istruzioni ti diranno di denominare le risorse IPAM in un modo particolare, creare risorse IPAM in Regioni specifiche e utilizzare intervalli CIDR di indirizzi IP specifici per i tuoi pool. Lo scopo è quello di semplificare le scelte disponibili in IPAM e di iniziare rapidamente a utilizzare IPAM. Una volta completato questo tutorial, puoi anche decidere di creare un nuovo IPAM e di configurarlo diversamente.

Prerequisiti

Prima di iniziare, devi aver creato un AWS Organizations account con almeno un account membro. Per istruzioni, consulta Creazione e configurazione di un'organizzazione nella Guida per l'utente di AWS Organizations .

Come si AWS Organizations integra con IPAM

Questa sezione mostra un esempio degli AWS Organizations account utilizzati in questo tutorial. Nella tua organizzazione esistono tre account che utilizzi quando effettui l'integrazione con IPAM in questo tutorial:

  • L'account di gestione (chiamato example-management-accountnell'immagine seguente) per accedere alla console IPAM e delegare un amministratore IPAM. Non è possibile utilizzare l'account di gestione dell'organizzazione come amministratore di IPAM.

  • Un account membro (chiamato example-member-account-1 nell'immagine seguente) come account amministratore IPAM. L'account amministratore di IPAM è responsabile della creazione e dell'utilizzo di un IPAM per gestire e monitorare l'uso dell'indirizzo IP nell'organizzazione. Qualsiasi account membro dell'organizzazione può essere delegato come amministratore di IPAM.

  • Un account membro (chiamato example-member-account-2 nel seguito riportato sopra) come account sviluppatore. Questo account crea un VPC con un CIDR assegnato da un pool IPAM.

Un esempio di AWS Organizations organizzazione con esempi di gestione e account per i membri.

Oltre agli account, avrai bisogno dell'ID dell'unità organizzativa (ou-fssg-q5brfv9c nell'immagine precedente) che contiene l'account membro che utilizzerai come account sviluppatore. È necessario questo ID in modo che, in una fase successiva, quando si condivide il pool IPAM, sia possibile condividerlo con questa unità organizzativa.

Nota

Per ulteriori informazioni sui tipi di account come gli AWS Organizations account di gestione e gli account dei membri, consulta la terminologia e i concetti.AWS Organizations

Fase 1: delega di un amministratore IPAM

In questo passaggio, delegherai un account AWS Organizations membro come amministratore IPAM. Quando deleghi un amministratore IPAM, viene creato automaticamente un ruolo collegato al servizio in ciascuno dei tuoi account membro. AWS Organizations IPAM monitora l'utilizzo dell'indirizzo IP in questi account assumendo il ruolo collegato al servizio in ciascun account membro. Può quindi scoprire le risorse e le relative CIDRs indipendentemente dalla relativa unità organizzativa.

Non è possibile completare questo passaggio se non si dispone delle autorizzazioni richieste AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta Integrare IPAM con gli account di un'organizzazione AWS.

Per delegare un account amministratore IPAM

  1. Utilizzando l'account AWS Organizations di gestione, apri la console IPAM all'indirizzo. https://console.aws.amazon.com/ipam/

  2. In AWS Management Console, scegli la AWS regione in cui desideri lavorare con IPAM.

  3. Nel riquadro di navigazione selezionare Organization settings (Impostazioni organizzazione).

  4. Scegli Delega. L'opzione Delega è disponibile solo se hai effettuato l'accesso alla console come account di gestione. AWS Organizations

  5. Inserisci l'ID dell' AWS account per un account membro dell'organizzazione. L'amministratore IPAM deve essere un account AWS Organizations membro, non l'account di gestione.

    L'opzione modifica impostazioni nella console IPAM dove puoi delegare un amministratore di IPAM.

  6. Scegli Save changes (Salva modifiche). Le informazioni sull'amministratore delegato sono compilate con i dettagli relativi all'account membro.

Passaggio 2: creazione di un IPAM

In questo passaggio creerai un IPAM. Quando crei un IPAM, questo crea automaticamente due ambiti per l'IPAM: l'ambito privato destinato a tutto lo spazio privato e l'ambito pubblico destinato a tutto lo spazio pubblico. Gli ambiti, insieme a pool e assegnazioni, sono componenti chiave del tuo IPAM. Per ulteriori informazioni, consulta Funzionamento di IPAM.

Per creare un IPAM

  1. Utilizzando l'account AWS Organizations membro delegato come amministratore IPAM nel passaggio precedente, apri la console IPAM all'indirizzo. https://console.aws.amazon.com/ipam/

  2. Nella Console AWS di gestione, scegli la AWS regione in cui desideri creare l'IPAM. Crea l'IPAM nella tua Regione operativa principale.

  3. Nella home page del servizio, scegli Crea IPAM.

  4. Seleziona Consenti a IP Address Manager di Amazon VPC di replicare i dati dagli account sorgente verso l'account IPAM delegato. Se non si seleziona questa opzione, non sarà possibile creare un IPAM.

    Crea una pagina IPAM nella console IPAM che includa una descrizione della casella di controllo "Consenti a Amazon VPC IP Address Manager di replicare i dati dagli account di origine nell'account delegato IPAM".

  5. In Regioni operative, scegli le AWS regioni in cui questo IPAM può gestire e scoprire le risorse. La AWS regione in cui si sta creando l'IPAM viene automaticamente selezionata come una delle regioni operative. In questo tutorial, la Regione principale del nostro IPAM è us-east-1, quindi sceglieremo us-west-1 e us-west-2 come regioni operative aggiuntive. Se dimentichi una regione operativa, puoi modificare le impostazioni IPAM in un secondo momento e aggiungere o rimuovere Regioni.

    Sezione delle impostazioni IPAM nella console IPAM.

  6. Scegli Create IPAM (Crea IPAM).

    La pagina dei risultati nella console IPAM dopo aver creato correttamente un IPAM.

Passaggio 3: creazione di un pool IPAM di livello superiore

In questo tutorial, creerai una gerarchia di pool a partire dal pool IPAM di livello superiore. Nei passaggi successivi, creerai un paio di pool regionali e un pool di sviluppo di pre-produzione in uno dei pool regionali.

Per ulteriori informazioni sulle gerarchie di pool che è possibile creare con IPAM, consulta la sezione Esempio di piani di pool IPAM.

Per creare un pool di livello superiore

  1. Utilizzando l'account amministratore IPAM, apri la console IPAM all'indirizzo. https://console.aws.amazon.com/ipam/

  2. Nel pannello di navigazione, seleziona Pool.

  3. Scegli l'ambito privato.

    Scelta dell'ambito privato nella console IPAM.

  4. Scegli Crea pool.

  5. Sotto la voce Ambito IPAM lascia selezionato l'ambito privato.

  6. (Facoltativo) Aggiungi un Nome tag e una descrizione per il pool, ad esempio "Pool globale".

  7. In Source (Origine), scegli IPAM scope (Ambito IPAM). Poiché questo è il nostro pool di primo livello, non avrà un pool di origine.

  8. In Famiglia di indirizzi, scegli. IPv4

  9. In Resource planning (Pianificazione delle risorse), lascia selezionato Plan IP space within the scope (Pianifica spazio IP nell’ambito). Per ulteriori informazioni sull'utilizzo di questa opzione per la pianificazione dello spazio IP della sottorete in un VPC, consulta Tutorial: Pianificare lo spazio degli indirizzi IP VPC per le allocazioni IP delle sottoreti.

  10. Per la Località, scegli Nessuna. Le impostazioni locali sono le AWS regioni in cui desideri che questo pool IPAM sia disponibile per le allocazioni. Nella prossima sezione di questo tutorial, stabilirai le impostazioni locali per i pool regionali che andrai a creare.

    Creazione di un pool nella console IPAM.

  11. Scegli un CIDR su cui effettuare il provisioning per il pool. In questo esempio, forniamo in provisioning 10.0.0.0/16.

    Definizione delle tipologie CIDRs di provisioning per un pool nella console IPAM.

  12. Lascia disattivate le impostazioni delle regole di allocazione di "Configura questo pool". Questo è il nostro pool di primo livello e non verrà allocato VPCs direttamente CIDRs da questo pool. Li allocherai, invece, da un sottogruppo creato da questo pool.

    Scelta delle impostazioni delle regole di allocazione per un pool nella console IPAM.

  13. Scegli Crea pool. Il pool viene creato e il CIDR è in uno stato di fornitura in sospeso:

    Messaggio di provisioning in sospeso nella console IPAM dopo aver creato un pool.

  14. Attendi che lo stato sia Con provisioning prima di continuare con il passaggio successivo.

    Messaggio "Con provisioning" nella console IPAM dopo aver creato correttamente un pool.

Ora che hai creato il tuo pool di livello superiore, creerai pool regionali nelle Regioni us-west-1 e us-west-2.

Fase 4: creazione di pool IPAM regionali

In questa sezione viene descritto come organizzare gli indirizzi IP utilizzando due pool Regionali. In questo tutorial, seguiremo uno degli esempi di piani di pool IPAM e creeremo due pool regionali che possono essere utilizzati dagli account membro dell'organizzazione per l'allocazione CIDRs ai rispettivi. VPCs

Per creare un pool regionale

  1. Utilizzando l'account amministratore IPAM, apri la console IPAM all'indirizzo. https://console.aws.amazon.com/ipam/

  2. Nel pannello di navigazione, seleziona Pool.

  3. Scegli l'ambito privato.

    Scelta dell'ambito privato nella console IPAM.

  4. Scegli Crea pool.

  5. Sotto la voce Ambito IPAM lascia selezionato l'ambito privato.

  6. (Facoltativo) Aggiungi un Tag del nome e una descrizione per il pool, come pool regionale us-west-1.

    Aggiunta di un nome per un pool nella console IPAM.

  7. In Source (Origine), seleziona IPAM pool (Pool IPAM), quindi seleziona il pool di massimo livello (“Pool globale”) creato in Passaggio 3: creazione di un pool IPAM di livello superiore. Quindi, in Impostazione locale, scegli us-west-1.

    Scelta di un pool di origine nella console IPAM.

  8. In Resource planning (Pianificazione delle risorse), lascia selezionato Plan IP space within the scope (Pianifica spazio IP nell’ambito). Per ulteriori informazioni sull'utilizzo di questa opzione per la pianificazione dello spazio IP della sottorete in un VPC, consulta Tutorial: Pianificare lo spazio degli indirizzi IP VPC per le allocazioni IP delle sottoreti.

  9. In CIDRs to provisioning, inserisci 10.0.0.0/18, che fornirà a questo pool circa 16.000 indirizzi IP disponibili.

    Scelta del provisioning CIDRs per il pool nella console IPAM.

  10. Lascia disattivate le impostazioni delle regole di allocazione di "Configura questo pool". Non effettuerai l'allocazione VPCs direttamente CIDRs da questo pool. Li allocherai, invece, da un sottogruppo creato da questo pool.

    L'attivazione/disattivazione delle impostazioni della regola di allocazione di "Configura questo pool" nella console IPAM.

  11. Scegli Crea pool.

  12. Torna alla visualizzazione Pool per vedere la gerarchia dei pool IPAM che hai creato.

    Visualizzazione dei pool con due pool nella console IPAM.

  13. Ripeti i passaggi in questa sezione e crea un secondo pool regionale nella versione locale us-west-2 con il CIDR 10.0.64.0/18 a esso fornito in provisioning. Una volta completato il processo, disporrai di tre pool in una gerarchia simile a questa:

    Visualizzazione dei pool con tre pool nella console IPAM.

Fase 5: creazione di un pool di sviluppo di pre-produzione

Segui i passaggi in questa sezione per creare un pool di sviluppo per le risorse di pre-produzione all'interno del tuo pool regionale.

Per creare un pool di sviluppo di pre-produzione

  1. Analogamente a quanto hai fatto nel passaggio precedente, utilizzando l'account amministratore di IPAM crea un pool denominato Pre-prod pool, ma questa volta utilizza il pool regionale us-west-1 come pool di origine.

    Creazione di un pool nella console IPAM.

  2. Specifica come CIDR per cui effettuare il provisioning 10.0.0.0/20, che fornirà a questo pool circa 4.000 indirizzi IP.

    Scelta CIDRs di un pool nella console IPAM.

  3. Attiva l'opzione Configura le impostazioni delle regole di allocazione di questo pool. Esegui questa operazione:

    1. In Gestione CIDR, per Importa automaticamente le risorse rilevate, lascia selezionata l'opzione predefinita Non consentire. Questa opzione consentirebbe a IPAM di importare automaticamente le risorse CIDRs che scopre nelle impostazioni locali del pool. Una descrizione dettagliata di questa opzione non rientra tra gli argomenti trattati in questo tutorial, ma puoi leggere maggiori informazioni su questa opzione in Creare un pool di primo livello IPv4 .

    2. In Conformità alla maschera di rete, scegli /24 per la lunghezza minima, predefinita e massima della maschera di rete. Una descrizione dettagliata di questa opzione non rientra tra gli argomenti trattati in questo tutorial, ma puoi leggere maggiori informazioni su questa opzione in Creare un pool di primo livello IPv4 . È importante notare che il VPC che creerai in seguito con un CIDR da questo pool sarà limitato a /24 in base a ciò che abbiamo impostato qui.

    3. In Conformità ai tag, inserisci ambiente/pre-prod. Questo tag sarà necessario per VPCs allocare lo spazio dal pool. Dimostreremo in seguito come funziona.

    Visualizzazione di tutte le impostazioni del pool durante la creazione di un pool nella console IPAM.

  4. Scegli Crea pool.

  5. La gerarchia dei pool ora include un sottopool aggiuntivo nel pool regionale us-west-1:

    Visualizzazione del pool con quattro pool nella console IPAM.

Ora sei pronto per condividere il pool IPAM con un altro account membro della tua organizzazione. In questo modo, potrai abilitare tale account ad allocare un CIDR dal pool per creare un VPC.

Fase 6: condivisione del pool IPAM

Segui i passaggi di questa sezione per condividere il pool IPAM di preproduzione utilizzando AWS Resource Access Manager (RAM).

Questa sezione è composta da due sottosezioni:

Fase 6.1. Abilitazione della condivisione delle risorse in AWS RAM

Dopo aver creato il tuo IPAM, ti consigliamo di condividere i pool di indirizzi IP con altri account della tua organizzazione. Prima di condividere un pool IPAM, completa i passaggi di questa sezione per abilitare la condivisione delle risorse con. AWS RAM

Per abilitare la condivisione delle risorse

  1. Utilizzando l'account AWS Organizations di gestione, apri la AWS RAM console all'indirizzo https://console.aws.amazon.com/ram/.

  2. Nel riquadro di navigazione a sinistra, scegli Impostazioni, scegli Abilita condivisione con AWS Organizations, quindi scegli Salva impostazioni.

    Abilitare la condivisione dell'organizzazione nella AWS RAM console.

Ora puoi condividere un pool IPAM con altri membri dell'organizzazione.

Fase 6.2. Condividi un pool IPAM utilizzando AWS RAM

In questa sezione condividerai il pool di sviluppo di pre-produzione con un altro account AWS Organizations membro. Per istruzioni complete sulla condivisione dei pool IPAM, comprese le informazioni sulle autorizzazioni IAM richieste, consulta Condivisione di un pool IPAM tramite AWS RAM.

Per condividere un pool IPAM utilizzando AWS RAM

  1. Utilizzando l'account amministratore IPAM, apri la console IPAM all'indirizzo. https://console.aws.amazon.com/ipam/

  2. Nel pannello di navigazione, seleziona Pool.

  3. Scegli l'ambito privato, scegli il pool IPAM di pre-produzione e scegli Azioni > Visualizza dettagli.

  4. Alla voce Condivisione risorse, scegli Crea condivisione di risorse. La AWS RAM console si apre. Condividerai il pool utilizzando AWS RAM.

  5. Selezionare Create a resource share (Crea una condivisione di risorse).

    Creazione di una condivisione di risorse nella console IPAM.

    La AWS RAM console si apre.

  6. Nella AWS RAM console, scegli nuovamente Crea una condivisione di risorse.

  7. Aggiungi un Nome per il pool condiviso.

  8. In Seleziona il tipo di risorsa, scegli i pool IPAM, quindi scegli l'ARN del pool di sviluppo di pre-produzione.

    Creazione di una condivisione di risorse nella AWS RAM console.

  9. Scegli Next (Successivo).

  10. Lascia selezionata l'AWSRAMDefaultPermissionsIpamPoolautorizzazione predefinita. I dettagli delle opzioni di autorizzazione non rientrano nell'ambito di questo tutorial, ma puoi trovare ulteriori informazioni su queste opzioni alla sezione Condivisione di un pool IPAM tramite AWS RAM.

    Associazione delle autorizzazioni su una condivisione di risorse nella AWS RAM console.

  11. Scegli Next (Successivo).

  12. In Principali, scegli Consenti la condivisione solo all'interno dell'organizzazione. Inserisci AWS Organizations l'ID dell'unità organizzativa (come indicato in)Come si AWS Organizations integra con IPAM, quindi scegli Aggiungi.

    Concessione dell'accesso a una condivisione di risorse nella AWS RAM console.

  13. Scegli Next (Successivo).

  14. Controlla le opzioni di condivisione delle risorse e i principali con cui condividerai, quindi scegli Crea.

Ora che il pool è stato condiviso, vai al passaggio successivo per creare un VPC con un CIDR allocato da un pool IPAM.

Fase 7: creazione di un VPC con un CIDR assegnato da un pool IPAM

Segui la procedura descritta in questa sezione per creare un VPC con un CIDR assegnato dal pool di pre-produzione. Questo passaggio deve essere completato dall'account membro dell'unità organizzativa con cui il pool IPAM è stato condiviso nella sezione precedente (denominata example-member-account-2 inCome si AWS Organizations integra con IPAM). Per ulteriori informazioni sulle autorizzazioni IAM necessarie per la creazione VPCs, consulta gli esempi di policy di Amazon VPC nella Amazon VPC User Guide.

Per creare un VPC con un CIDR assegnato da un pool IPAM

  1. Utilizzando l'account membro, apri la console VPC https://console.aws.amazon.com/vpc/come account membro che utilizzerai come account sviluppatore.

  2. Seleziona Crea VPC.

  3. Esegui questa operazione:

    1. Inserisci un nome, come VPC di esempio.

    2. Scegli il blocco CIDR allocato su IPAM IPv4 .

    3. In pool IPv4 IPAM, scegli l'ID del pool di preproduzione.

    4. Scegli una lunghezza della Maschera di rete. Poiché hai limitato la lunghezza della maschera di rete disponibile per questo pool a /24 (in Fase 5: creazione di un pool di sviluppo di pre-produzione), l'unica opzione di maschera di rete disponibile è /24.

      Creazione di un VPC nella console Amazon VPC.

  4. A scopo dimostrativo, in Tag, non aggiungere altri tag in questo momento. Quando avete creato il pool pre-prod (inFase 5: creazione di un pool di sviluppo di pre-produzione), avete aggiunto una regola di allocazione che richiedeva VPCs che tutti quelli creati con questo pool abbiano per ora disattivato il tag environment/pre-prod tag. Leave the environment/pre -prod, in modo CIDRs da poter vedere che appare un errore che vi dice che non è stato aggiunto un tag richiesto.

  5. Seleziona Crea VPC.

  6. Viene visualizzato un errore che indica che non è stato aggiunto un tag obbligatorio. L'errore viene visualizzato perché hai impostato una regola di allocazione quando hai creato il pool di pre-produzione (in Fase 5: creazione di un pool di sviluppo di pre-produzione). La regola di allocazione richiedeva VPCs che tutte le regole create con questo pool avessero un tag CIDRs environment/pre-prod.

    Creazione di un errore VPC nella console Amazon VPC.

  7. Ora, in Tag, aggiungi il tag ambiente/pre-prod e scegli nuovamente Crea VPC.

    Aggiunta di tag a un VPC nella console Amazon VPC.

  8. Il VPC è stato creato correttamente e il VPC è conforme alla regola dei tag sul pool di pre-produzione:

    Completamento della creazione di un VPC nella console Amazon VPC.

Nel pannello Risorse della console IPAM, l'amministratore IPAM sarà in grado di visualizzare e gestire il VPC e il relativo CIDR allocato. Tieni presente che occorre del tempo prima che il VPC venga visualizzato nel riquadro Risorse.

Fase 8: eliminazione

In questo tutorial, hai creato un IPAM con un amministratore delegato, creato più pool e abilitato un account membro della tua organizzazione ad allocare un CIDR VPC da un pool.

Segui i passaggi in questa sezione per eliminare le risorse che hai creato in questo tutorial.

Per eliminare le risorse create in questo tutorial

  1. Utilizzando l'account membro che ha creato il VPC di esempio, elimina il VPC. Per istruzioni dettagliate, consulta Eliminazione del VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

  2. Utilizzando l'account amministratore IPAM, elimina l'esempio di condivisione di risorse nella console. AWS RAM Per istruzioni dettagliate, consulta Eliminazione di una condivisione di risorse in AWSAWS RAM nella Guida per l'utente di AWS Resource Access Manager .

  3. Utilizzando l'account amministratore IPAM, accedi alla console RAM e disabilita la condivisione con AWS Organizations che abiliti in Fase 6.1. Abilitazione della condivisione delle risorse in AWS RAM.

  4. Utilizzando l'account amministratore IPAM, elimina l'IPAM di esempio selezionando l'IPAM nella console IPAM e quindi scegliendo Azioni > Elimina. Per istruzioni dettagliate, vedi Elimina un IPAM.

  5. Quando ti viene richiesto di eliminare l'IPAM, scegli Elimina a cascata. Questo eliminerà tutti gli ambiti e i pool all'interno dell'IPAM prima di eliminare l'IPAM.

    Eliminazione di un IPAM nella console IPAM.

  6. Immetti elimina, quindi scegli Elimina.

  7. Utilizzando l'account di AWS Organizations gestione, accedi alla console IPAM, scegli Impostazioni e rimuovi l'account amministratore delegato.

  8. (Facoltativo) Quando integri IPAM con AWS Organizations, IPAM crea automaticamente un ruolo collegato al servizio in ogni account membro. Utilizzando ogni account AWS Organizations membro, accedi a IAM ed elimina il ruolo collegato al servizio AWSServiceRoleForIPAM in ogni account membro.

  9. La pulizia è completa.