AWS マネジメントコンソールを使用して、独自のパブリック IPv6 CIDR を IPAM に取り込む - Amazon Virtual Private Cloud
ステップ 1: 最上位の IPAM プールを作成するステップ 2. 最上位プール内にリージョンプールを作成するステップ 3. リージョンプールを共有するステップ 4: VPC の作成ステップ 5: CIDR のアドバタイズステップ 6: クリーンアップ

AWS マネジメントコンソールを使用して、独自のパブリック IPv6 CIDR を IPAM に取り込む

このチュートリアルのステップに従って IPv6 CIDR を IPAM に取り込み、AWS マネジメントコンソールと AWS CLI の両方を使用して VPC を CIDR に割り振ります。

インターネット経由で IPv6 アドレスをアドバタイズする必要がない場合は、プライベート GUA IPv6 アドレスを IPAM にプロビジョニングできます。詳細については、「プライベート IPv6 GUA CIDR のプロビジョニングを有効にする」を参照してください。

重要

  • このチュートリアルでは、次のセクションのステップがすでに完了していることを前提としています。

  • このチュートリアルの各ステップを、3 つの AWS Organizations アカウントのいずれかで実行する必要があります。

    • 管理アカウント。

    • IPAM を AWS Organizations 内のアカウントと統合する で IPAM 管理者として設定されるメンバーアカウント。このチュートリアルでは、このアカウントを IPAM アカウントと呼びます。

    • IPAM プールから CIDR を割り当てる組織内のメンバーアカウント。このチュートリアルでは、このアカウントをメンバーアカウントと呼びます。

ステップ 1: 最上位の IPAM プールを作成する

内部に 1 つのリージョンプールが含まれる最上位の IPAM プールを作成し、リージョンプールからリソースにスペースを割り当てるため、最上位のプールではなくリージョンプールにロケールを設定します。後のステップでリージョンプールを作成するときに、リージョンプールにロケールを追加します。IPAM を BYOIP と統合するには、BYOIP CIDR に使用されるプールにロケールを設定する必要があります。

このステップは、IPAM アカウントで実行する必要があります。

プールを作成するには

  1. IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. ナビゲーションペインで、[プール] を選択します。

  3. デフォルトでは、プールを作成すると、デフォルトのプライベートスコープが選択されます。パブリックスコープを選択します。スコープの詳細については、「IPAM の仕組み」を参照してください。

  4. [プールを作成] を選択します。

  5. (オプション) プールの [名前タグ] とプールの [説明] を追加します。

  6. [ソース][IPAM 範囲] を選択します。

  7. [アドレスファミリー] で、[IPv6] を選択します。

  8. [リソース計画] で、[範囲内のIP スペースの計画] は選択したままにしておきます。このオプションを使用して VPC 内のサブネット IP スペースを計画する方法の詳細については、「チュートリアル: サブネット IP 割り当て用の VPC IP アドレス空間を計画する」を参照してください。

  9. [Locale] (ロケール) で、[None] (なし) を選択します。リージョンプールにロケールを設定します。

    ロケールは、この IPAM プールを割り当てることができるようにする AWS リージョンです。例えば、VPC の CIDR は、VPC のリージョンとロケールを共有する IPAM プールからしか割り当てることができません。プールのロケールを選択したら、変更はできないことに注意してください。停止が原因で IPAM のホームリージョンが使用できなくなり、プールのロケールが IPAM のホームリージョンと異なる場合でも、プールを使用して IP アドレスを割り当てることができます。

    注記

    内部にリージョンプールを含むトップレベルプールを作成するのではなく、プールを 1 つだけ作成する場合は、このプールにロケールを選択して、プールを割り当てることができるようにします。

  10. [パブリック IP ソース] には、[BYOIP] がデフォルトで選択されています。

  11. [プロビジョニングする CIDR] で次のいずれかを実行します。

    IPv6 CIDR をトップレベルのプール内にあるプールにプロビジョニングする際、持ち込みできる最も具体的な IPv6 アドレス範囲は、パブリックにアドバタイズ可能な CIDR の場合は /48 であり、パブリックにアドバタイズ可能でない CIDR の場合は /60 であることに注意してください。

    重要

    ほとんどのプロビジョニングは 2 時間以内に完了しますが、パブリックにアドバタイズ可能な範囲のプロビジョニングプロセスが完了するまでに最大 1 週間かかる場合があります。

  12. [このプールの割り当てルールを設定する] は選択しません。

  13. (オプション) プールのタグを選択します。

  14. [プールを作成] を選択します。

続行する前に、この CIDR のプロビジョンが完了したことを確認してください。プロビジョニングの状態は、プールの詳細ページの CIDR タブで確認できます。

ステップ 2. 最上位プール内にリージョンプールを作成する

最上位プール内にリージョンプールを作成する プールにはロケールが必須であり、IPAM を作成したときに構成したオペレーションリージョンのいずれかを指定する必要があります。

このステップは、IPAM アカウントで実行する必要があります。

トップレベルプール内にリージョンプールを作成するには

  1. IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. ナビゲーションペインで、[プール] を選択します。

  3. デフォルトでは、プールを作成すると、デフォルトのプライベートスコープが選択されます。デフォルトのプライベートスコープを使用しない場合は、コンテンツペインの上部にあるドロップダウンメニューから、使用するスコープを選択します。スコープの詳細については、「IPAM の仕組み」を参照してください。

  4. [プールを作成] を選択します。

  5. (オプション) プールの[名前タグ]とプールの説明を入力します。

  6. [ソース] で、前のセクションで作成した最上位レベルのプールを選択します。

  7. [リソース計画] で、[範囲内のIP スペースの計画] は選択したままにしておきます。このオプションを使用して VPC 内のサブネット IP スペースを計画する方法の詳細については、「チュートリアル: サブネット IP 割り当て用の VPC IP アドレス空間を計画する」を参照してください。

  8. プールのロケールを選択します。ロケールを選択すると、プールとそのプールから割り当てられるリソースの間にクロスリージョン依存関係がないことが保証されます。使用可能なオプションは、IPAM を作成したときに選択した運用リージョンによって提供されます。このチュートリアルでは、us-east-2 をリージョンプールのロケールとして使用します。

    ロケールは、この IPAM プールを割り当てることができるようにする AWS リージョンです。例えば、VPC の CIDR は、VPC のリージョンとロケールを共有する IPAM プールからしか割り当てることができません。プールのロケールを選択したら、変更はできないことに注意してください。停止が原因で IPAM のホームリージョンが使用できなくなり、プールのロケールが IPAM のホームリージョンと異なる場合でも、プールを使用して IP アドレスを割り当てることができます。

  9. [Service] (サービス) で、[EC2 (EIP/VPC)] を選択します。選択したサービスによって、CIDR がアドバタイズ可能になる AWS サービスが決定します。現在、唯一の選択肢は EC2 (EIP/VPC) であり、このプールから割り当てられた CIDR は、Amazon EC2 サービスと Amazon VPC サービス (VPC に関連付けられている CIDR の場合) に対してアドバタイズできるようになります。

  10. [CIDRs to provision] (プロビジョニングする CIDR) で、プールにプロビジョニングする CIDR を選択します。IPv6 CIDR をトップレベルのプール内にあるプールにプロビジョニングする際、持ち込みできる最も具体的な IPv6 アドレス範囲は、パブリックにアドバタイズ可能な CIDR の場合は /48 であり、パブリックにアドバタイズ可能でない CIDR の場合は /60 であることに注意してください。

  11. [このプールの割り当てルールを設定する] を有効にし、このプールのオプションルールを選択します。

    • [Automatically import discovered resources] (検出されたリソースを自動的にインポートする): このオプションは、[Locale] (ロケール) が [None] (なし) に設定されている場合は選択できません。選択すると、IPAM はこのプールの CIDR 範囲内のリソースを継続的に検索し、自動的に割り当てとして IPAM にインポートします。次の点に注意してください。

      • インポートを成功させるためには、これらのリソースに割り当てられる CIDR がすでに他のリソースに割り当られていてはなりません。

      • IPAM は、プールの割り当てルールに準拠しているかどうかに関係なく CIDR をインポートするため、リソースがインポートされ、その後、非準拠としてマークされる可能性があります。

      • 重複する複数の CIDR を IPAM が検出した場合、IPAM は最大 CIDR のみをインポートします。

      • IPAM が一致する CIDR を持つ複数の CIDR を検出した場合、IPAM はそれらのうちの 1 つだけをランダムにインポートします。

    • [Minimum netmask length] (ネットマスクの最小長): この IPAM プール内の CIDR 割り当てが準拠するために必要なネットマスクの最小長と、プールから割り当てられる最大サイズの CIDR ブロック。ネットマスクの最小長は、ネットマスクの最大長より小さくなければなりません。IPv4 アドレスに使用できるネットマスクの長さは 032 です。IPv6 アドレスに使用できるネットマスクの長さは 0128 です。

    • [Default netmask length] (デフォルトのネットマスク長): このプールに追加される割り当てのデフォルトのネットマスク長。

    • [Maximum netmask length] (ネットマスクの最大長): このプールの CIDR 割り当てに必要なネットマスクの最大長。この値は、プールから割り当てられる最小サイズの CIDR ブロックを示します。この値が最小でも /48 であることを確認します。

    • [タグ付け要件]: プールからスペースを割り当てるためにリソースに必要なタグ。スペースを割り当てた後にリソースのタグが変更された場合、またはプールで割り当てのタグ付けルールが変更された場合、リソースは非準拠としてマークされることがあります。

    • [ロケール]: このプールの CIDR を使用するリソースに必要なロケール。このロケールが設定されていない、自動的にインポートされたリソースは、非準拠としてマークされます。プールに自動的にインポートされないリソースは、このロケールでない限り、プールからスペースを割り当てることはできません。

  12. (オプション) プールのタグを選択します。

  13. プールの設定が完了したら、[Create pool] (プールの作成) を選択します。

続行する前に、この CIDR のプロビジョンが完了したことを確認してください。プロビジョニングの状態は、プールの詳細ページの CIDR タブで確認できます。

ステップ 3. リージョンプールを共有する

このセクションのステップに従い、AWS Resource Access Manager (RAM) を使用して IPAM プールを共有します。

AWS RAM 内でリソース共有を有効にする

IPAM を作成したら、リージョンプールを組織内の他のアカウントと共有する必要があります。IPAM プールを共有する前に、このセクションのステップを完了し、AWS RAM とのリソース共有を有効にします。AWS CLI を使用してリソース共有を有効にする場合は、--profile management-account オプションを使用します。

リソース共有を有効にするには

  1. AWS Organizations 管理アカウントを使って AWS RAM コンソール (https://console.aws.amazon.com/ram/) を開きます。

  2. ナビゲーションペインで [設定] を選択し、[AWS Organizations との共有を有効にする] を選択し、[設定の保存] を選択します。

これで、IPAM プールを組織の他のメンバーと共有できるようになりました。

AWS RAM を使用して IPAM プールを共有する

このセクションでは、リージョンプールを他の AWS Organizations メンバーアカウントと共有します。必要な IAM アクセス許可に関する情報を含め、IPAM プールの共有に関する詳細な手順については、「AWS RAM を使用して IPAM プールを共有する」を参照してください。AWS CLI を使用してリソース共有を有効にする場合は、--profile ipam-account オプションを使用します。

AWS RAM を使用して IPAM プールを共有するには

  1. IPAM の管理者アカウントを使って IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. ナビゲーションペインで、[プール] を選択します。

  3. プライベートスコープを選択し、IPAM プールを選択して、[アクション] > [詳細を表示] の順に選択します。

  4. [Resource sharing] (リソース共有) で [Create resource share] (リソース共有の作成) を選択します。AWS RAM コンソールが開きます。AWS RAM を使用してプールを共有します。

  5. [リソースの共有の作成] を選択します。

  6. AWS RAM コンソールで、[リソースの共有を作成] を再度選択します。

  7. 共有リソースの [名前] を追加します。

  8. [リソースタイプを選択][IPAM プール] を選択し、次に共有したいプールの ARN を選択します。

  9. [Next] を選択します。

  10. AWSRAMPermissionIpamPoolByoipCidrImport 許可を選択します。アクセス許可オプションの詳細は本チュートリアルの対象外ですが、このオプションの詳細は「AWS RAM を使用して IPAM プールを共有する」にてご覧いただけます。

  11. [Next] を選択します。

  12. [プリンシパル] > [プリンシパルタイプを選択] で、[AWS アカウント] を選択し、IPAM に IP アドレス範囲を取り込むアカウントのアカウント ID を入力して、[追加] を選択します。

  13. [Next] を選択します。

  14. リソース共有オプションと共有先のプリンシパルを確認し、[作成] を選択します。

  15. IPAM プールからの IP アドレス CIDR の割り当てを member-account アカウントに許可するには、AWSRAMDefaultPermissionsIpamPool を使用して 2 つ目のリソース共有を作成します。--resource-arns の値は、前のセクションで作成した IPAM プールの ARN です。--principals の値は、member-account のアカウント ID です。--permission-arns の値は、AWSRAMDefaultPermissionsIpamPool アクセス許可の ARN です。

ステップ 4: VPC の作成

Amazon VPC ユーザーガイドの「VPC を作成する」にあるステップに従います。

このステップは、メンバーアカウントで実行する必要があります。

注記

  • AWS マネジメントコンソールで VPC を開くときには、VPC を作成した AWS リージョンが、BYOIP CIDR に使用するプールを作成したときに選択した Locale オプションと一致している必要があります。

  • VPC の CIDR を選択する手順に達すると、IPAM プールから CIDR を使用するオプションが表示されます。このチュートリアルで作成したリージョンプールを選択します。

VPC を作成するときに、AWS が IPAM プール内の CIDR を VPC に割り当てます。割り当ては、IPAM コンソールのコンテンツペインでプールを選択し、そのプールの [Allocations] (割り当て) タブを表示することで確認できます。

ステップ 5: CIDR のアドバタイズ

このセクションのステップは、IPAM アカウントで実行する必要があります。VPC を作成したら、Service EC2 (EIP/VPC) が設定されているプールにある、AWS で使用することにした CIDR のアドバタイズを開始できます。このチュートリアルでは、これはリージョンプールです。デフォルトでは、CIDR はアドバタイズされません。つまり、インターネット経由でパブリックにアクセスできません。

このステップは、IPAM アカウントで実行する必要があります。

CIDR をアドバタイズするには

  1. IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. ナビゲーションペインで、[プール] を選択します。

  3. デフォルトでは、プールを作成すると、デフォルトのプライベートスコープが選択されます。パブリックスコープを選択します。スコープの詳細については、IPAM の仕組みを参照してください。

  4. このチュートリアルで作成したリージョンプールを選択します。

  5. [CIDRs] (CIDR) タブを選択します。

  6. BYOIP CIDR を選び、[Actions] (アクション) > [Advertise] (アドバタイズ) を選択します。

  7. [Advertise CIDR] (CIDR のアドバタイズ) を選択します。

その結果、BYOIP CIDR がアドバタイズされ、[Advertising] (アドバタイズ) 列の値が [Withdrawn] (取り消し) から [Advertised] (アドバタイズ済み) に変わります。

ステップ 6: クリーンアップ

このセクションのステップに従って、このチュートリアルでプロビジョンし、作成したリソースをクリーンアップします。

ステップ 1: CIDR のアドバタイズを取り消す

このステップは、IPAM アカウントで実行する必要があります。

  1. IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. ナビゲーションペインで、[プール] を選択します。

  3. デフォルトでは、プールを作成すると、デフォルトのプライベートスコープが選択されます。パブリックスコープを選択します。

  4. このチュートリアルで作成したリージョンプールを選択します。

  5. [CIDRs] (CIDR) タブを選択します。

  6. BYOIP CIDR を選び、[Actions] (アクション) > [Withdraw from advertising] (アドバタイズの取り消し) を選択します。

  7. [Withdraw CIDR] (CIDR の取り消し) を選択します。

その結果、BYOIP CIDR のアドバタイズが取り消され、[Advertising] (アドバタイズ) 列の値が [Advertised] (アドバタイズ済み) から [Withdrawn] (取り消し) に変わります。

ステップ 2: VPC を削除する

このステップは、メンバーアカウントで実行する必要があります。

  • Amazon VPC ユーザーガイド内の VPC を削除するに記載されているステップを完了して VPC を削除します。AWS マネジメントコンソールで VPC を開くときに、VPC を削除した AWS リージョンが、BYOIP CIDR に使用するプールを作成したときに選択した Locale オプションと一致している必要があります。このチュートリアルでは、このプールはリージョンプールになります。

    VPC を削除すると、IPAM がリソースが削除されたことを検出し、VPC に割り当てられた CIDR の割り当てを解除するまでに時間がかかります。プール詳細 [Allocations] (割り当て) タブで、IPAM がプールから割り当てを削除したことを確認できるまでは、クリーンアップの次のステップに進むことはできません。

ステップ 3: RAM 共有を削除して、RAM の AWS Organizations との統合を無効にする

このステップは、IPAM アカウントと管理アカウントのそれぞれで実行する必要があります。

ステップ 4: リージョンプールと最上位プールから CIDR のプロビジョニングを解除する

このステップは、IPAM アカウントで実行する必要があります。

ステップ 5: リージョンプールと最上位プールを削除する

このステップは、IPAM アカウントで実行する必要があります。

  • プールを削除する のステップを実行して、リージョンプール、次に最上位プールの順序で、リージョンプールを削除します。