Criar um grupo de IPv4 de nível superior - Amazon Virtual Private Cloud

Criar um grupo de IPv4 de nível superior

Siga as etapas nesta seção para criar um grupo de IPv4 do IPAM de nível superior. Ao criar o grupo, você provisiona um CIDR para esse grupo usar. Em seguida, você atribui esse espaço a uma alocação. Uma alocação é uma atribuição CIDR de um grupo do IPAM para outro grupo do IPAM ou para um recurso.

O exemplo a seguir mostra a hierarquia da estrutura do grupo que você pode criar seguindo as instruções contidas neste guia. Nesta etapa, você está criando o grupo do IPAM de nível superior:

  • IPAM operando na Região da AWS 1 e na Região da AWS 2

    • Escopo privado

      • Grupo de nível superior (10.0.0.0/8)

        • Grupo regional na região da AWS 1 (10.0.0.0/16)

          • Grupo de desenvolvimento para VPCs não associadas à produção (10.0.0.0/24)

            • Alocação para uma VPC (10.0.0.0/25)

No exemplo anterior, os CIDRs usados são apenas exemplos. Eles ilustram que cada grupo dentro do grupo de nível superior é provisionado com uma parte do CIDR de nível superior.

Ao criar um grupo do IPAM, você pode configurar regras para as alocações feitas dentro do grupo do IPAM.

As regras de alocação permitem configurar o seguinte:

  • Se o IPAM deve importar CIDRs automaticamente para o grupo do IPAM se encontrá-los dentro do intervalo de CIDRs desse grupo

  • O comprimento da máscara de rede necessário para alocações dentro do grupo

  • As etiquetas necessárias para recursos dentro do grupo

  • O local necessário para recursos dentro do grupo. O local é a Região da AWS onde um grupo do IPAM está disponível para alocações.

As regras de alocação determinam se os recursos estão em conformidade ou não. Para obter informações adicionais sobre conformidade, consulte Monitorar o uso do CIDR por recurso.

Importante

Há uma regra implícita adicional que não é exibida nas regras de alocação. Se o recurso estiver em um grupo do IPAM que seja um recurso compartilhado no AWS Resource Access Manager (RAM), o proprietário do recurso deve ser configurado como entidade principal no AWS RAM. Para obter mais informações sobre compartilhamento de grupos com o RAM, consulte Compartilhar um grupo do IPAM usando o AWS RAM.

O exemplo a seguir mostra como usar regras de alocação para controlar o acesso a um grupo do IPAM:

Quando você cria seus grupos com base nas necessidades de roteamento e segurança, talvez você queira permitir que apenas determinados recursos usem um grupo. Nesses casos, você pode definir uma regra de alocação informando que qualquer recurso que queira um CIDR desse grupo deve ter uma etiqueta que corresponda aos requisitos de etiquetas da regra de alocação. Por exemplo, você pode definir uma regra de alocação informando que somente VPCs com a etiqueta prod podem obter CIDRs de um grupo do IPAM. Também é possível definir uma regra informando que os CIDRs alocados a partir desse grupo não podem ser maiores que /24. Nesse caso, um recurso ainda pode ser criado usando um CIDR maior que /24 desse grupo se o espaço estiver disponível, mas como isso viola uma regra de alocação no grupo, o IPAM sinaliza esse recurso como não compatível.

Importante

Este tópico aborda como criar um grupo de IPv4 de nível superior com um intervalo de endereços IP fornecido pela AWS. Há pré-requisitos se você quiser trazer seu próprio intervalo de endereços IPv4 para a AWS (BYOIP). Para ter mais informações, consulte Tutorial: trazer seus endereços IP para o IPAM.

AWS Management Console
Para criar um grupo

  1. Abra o console do IPAM em https://console.aws.amazon.com/ipam/.

  2. No painel de navegação, selecione Pools (Grupos).

  3. Selecione Criar.

  4. Em Escopo do IPAM, escolha o escopo privado que você quer usar. Para obter mais informações sobre escopos, consulte Como funciona o IPAM.

    Por padrão, quando você cria um grupo, o escopo privado padrão é selecionado. Os grupos no escopo privado devem ser grupos de IPv4. Os grupos no escopo público podem ser grupos de IPv4 ou IPv6. O escopo público é destinado a todo o espaço público.

  5. (Opcional) Adicionar uma Name tag (Etiqueta de nome) e uma descrição para o grupo.

  6. Em Tipo de origem, escolha Escopo do IPAM.

  7. Em Address family (Família de endereços), escolha IPv4.

  8. Em Planejamento de recursos, deixe a opção de Planejar espaço IP dentro do escopo selecionada. Para obter informações detalhadas sobre como utilizar essa opção para planejar o espaço IP de sub-redes em uma VPC, consulte Tutorial: Planejar o espaço de endereço IP da VPC para alocações IP de sub-rede.

  9. Para Locale (Localidade), escolha None (Nenhum). Você definirá a localidade no grupo Regional.

    A localidade é a Região da AWS em que você quer disponibilizar esse grupo do IPAM para alocações. Por exemplo, um CIDR pode ser alocado apenas para uma VPC de um grupo do IPAM que compartilhe uma localidade com a Região da VPC. Observe que, ao escolher uma localidade para um grupo, não será possível modificá-la. Se a região de origem do IPAM não estiver disponível devido a uma interrupção e o grupo tiver um local diferente da região de origem do IPAM, o grupo ainda poderá ser usado para alocar endereços IP.

  10. (Opcional) Você pode criar um grupo sem um CIDR, mas não poderá usar o grupo para alocações até que tenha provisionado um CIDR para ele. Para provisionar um CIDR, escolha Adicionar novo CIDR. Insira um CIDR IPv4 para provisionar para o grupo. Há pré-requisitos se você quiser trazer seu próprio intervalo de endereços IP IPv4 ou IPv6 para a AWS. Para ter mais informações, consulte Tutorial: trazer seus endereços IP para o IPAM.

  11. Escolha regras de alocação opcionais para este grupo:

    • Importar recursos descobertos automaticamente: essa opção não está disponível se Locale (Localidade) estiver definida como None (Nenhum). Se selecionado, o IPAM busca continuamente por recursos no intervalo de CIDRs desse grupo e os importa automaticamente para seu IPAM. Observe o seguinte:

      • Os CIDRs que serão alocados para esses recursos ainda não devem ser alocados para outros recursos para que a importação seja bem-sucedida.

      • O IPAM importará um CIDR, independentemente de sua conformidade com as regras de alocação do grupo, para que um recurso possa ser importado e posteriormente marcado como não compatível.

      • Se o IPAM descobrir vários CIDRs que se sobrepõem, importará apenas o maior deles.

      • Se o IPAM descobrir vários CIDRs com CIDRs correspondentes, importará aleatoriamente apenas um deles.

      Atenção

      • Depois de criar um IPAM, ao criar uma VPC, escolha a opção de bloco CIDR alocado pelo IPAM. Caso contrário, o CIDR escolhido para sua VPC pode se sobrepor a uma alocação de CIDR do IPAM.

      • Se você já tiver uma VPC alocada em um grupo do IPAM, uma VPC com um CIDR sobreposto não poderá ser importada automaticamente. Por exemplo, se você tiver uma VPC com CIDR 10.0.0.0/26 alocada em um grupo do IPAM, uma VPC com CIDR 10.0.0.0/23 (que abrangeria a CIDR 10.0.0.0/26) não poderá ser importada.

      • Demora algum tempo para que as alocações de CIDR de VPCs existentes sejam importadas automaticamente para o IPAM.

    • Comprimento mínimo da máscara de rede: o comprimento mínimo da máscara de rede necessário para que as alocações CIDR nesse grupo do IPAM sejam compatíveis e o bloco CIDR de maior tamanho que pode ser alocado a partir do grupo. O comprimento mínimo da máscara de rede deve ser menor que o comprimento máximo da máscara de rede. Os possíveis comprimentos de máscara de rede para endereços IPv4 são de 0 a 32. Os possíveis comprimentos de máscara de rede para endereços IPv6 são de 0 a 128.

    • Comprimento padrão da máscara de rede: um comprimento de máscara de rede padrão para alocações adicionadas a esse grupo. Por exemplo, se o CIDR provisionado para esse grupo for 10.0.0.0/8 e você inserir 16 aqui, todas as novas alocações nesse grupo serão padronizadas para um comprimento de máscara de rede de /16.

    • Comprimento máximo da máscara de rede: o comprimento máximo da máscara de rede que será necessário para alocações de CIDR nesse grupo. Esse valor dita o bloco CIDR de menor tamanho que poderá ser alocado a partir do grupo.

    • Requisitos de marcação: as tags necessárias para que os recursos aloquem espaço do grupo. Se os recursos tiverem suas tags alteradas depois de terem alocado espaço ou se as regras de marcação de alocação forem alteradas no grupo, o recurso poderá ser marcado como não compatível.

    • Localidade: a localidade que será necessária para recursos que usam CIDRs desse grupo. Recursos importados automaticamente que não tiverem essa localidade serão marcados como não compatíveis. Os recursos que não são importados automaticamente para o grupo não terão permissão para alocar espaço do grupo, a menos que estejam nessa localidade.

  12. (Opcional) Escolha Tags (Etiquetas) para o grupo.

  13. Selecione Criar.

  14. Consulte Criar um grupo regional de IPv4.

Command line

Os comandos nesta seção são vinculados à Documentação de referência da AWS CLI. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos.

Use os seguintes comandos da AWS CLI para criar ou editar um grupo de nível superior no IPAM:

  1. Criar um grupo: create-ipam-pool.

  2. Editar o grupo depois de criá-lo para modificar as regras de alocação: modify-ipam-pool.