创建顶级 IPv4 池 - Amazon Virtual Private Cloud

创建顶级 IPv4 池

按照本部分中的步骤创建 IPv4 顶级 IPAM 池。创建池时,您需要为池预置 CIDR 以供使用。然后,将该空间分配给分配。分配是从一个 IPAM 池到另一个 IPAM 池或资源的 CIDR 分配。

以下示例显示了池结构的层次结构,您可以使用本指南中的说明创建这些结构。在此步骤中,您正在创建顶级 IPAM 池:

  • IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营

    • 私有范围

      • 顶级池 (10.0.0.0/8)

        • AWS 区域 1 中的区域池 (10.0.0.0/16)

          • 非生产 VPC 的开发池 (10.0.0.0/24)

            • VPC 的分配 (10.0.0.0/25)

在前述示例中,所使用的 CIDR 仅为示例。它们说明,顶级池中的每个资源池都预置了顶级 CIDR 的一部分。

创建 IPAM 池时,您可以为在 IPAM 池中进行的分配配置规则。

分配规则使您能够配置以下内容:

  • 如果 IPAM 在此池的 CIDR 范围内发现 CIDR,是否应该自动将 CIDR 导入 IPAM 池

  • 池内分配所需的网络掩码长度

  • 池中资源的所需标签

  • 池中资源的所需区域设置。区域设置是 IPAM 池可用于分配的 AWS 区域。

分配规则决定了资源是合规还是不合规。有关合规性的其他信息,请参阅 按资源监控 CIDR 使用情况

重要

分配规则中没有显示另外一条隐式规则。如果资源位于 IPAM 池中(该池是 AWS Resource Access Manager (RAM) 中的共享资源),必须将资源所有者配置为 AWS RAM 中的主体。有关使用 RAM 共享池的更多信息,请参阅 使用 AWS RAM 共享 IPAM 池

以下示例说明了如何使用分配规则控制对 IPAM 池的访问:

当您根据路由和安全需求创建池时,您可能希望只允许某些资源使用池。在这种情况下,您可以设置一个分配规则,说明任何想要此池中的 CIDR 的资源都必须具有与分配规则标签要求匹配的标签。例如,您可通过设置分配规则,说明只有带标签 prod 的 VPC 才可以从 IPAM 池中获取 CIDR。您还可以设置一条规则,指出从此池中分配的 CIDR 不得超过 /24。在这种情况下,如果空间可用,仍然可以使用该池中大于 /24 的 CIDR 创建资源,但是由于这样做违反了池中的分配规则,IPAM 会将此资源标记为不合规。

重要

本主题介绍了如何使用 AWS 提供的 IP 地址范围创建顶级 IPv4 池。如果要将自带 IPv4 地址范围导入 AWS(BYOIP),需要满足一些先决条件。有关更多信息,请参阅 教程:将 IP 地址带入 IPAM

AWS Management Console
如需创建池

  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在导航窗格中,选择

  3. 选择创建池

  4. IPAM 范围下,选择要使用的私有范围。有关范围的更多信息,请参阅 IPAM 的工作原理

    默认情况下,创建池时,默认的私有范围被选中。私有作用域中的池必须为 IPv4 池。公有作用域中的池可以是 IPv4 池,也可以是 IPv6 池。公开范围适用于所有公有空间。

  5. (可选)添加池的名称标签和池的描述。

  6. 下,选择 IPAM 范围

  7. 地址系列下,选择 IPv4

  8. 资源规划下,保持选中在范围内规划 IP 空间。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息,请参阅 教程:为子网 IP 分配规划 VPC IP 地址空间

  9. 对于区域设置,选择。您将在区域池中设置区域设置。

    区域设置是您希望此 IPAM 池可用于分配的 AWS 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。如果 IPAM 的主区域由于中断而不可用,并且池的区域设置与 IPAM 的主区域不同,则该池仍可用于分配 IP 地址。

  10. (可选)您可以在没有 CIDR 的情况下创建池,但是在为该池预置 CIDR 之前,无法使用该池进行分配。要预置 CIDR,请选择添加新 CIDR。输入要为池预置的 IPv4 CIDR。如果要将自带 IPv4 或 IPv6 IP 地址范围导入 AWS,需要满足一些先决条件。有关更多信息,请参阅 教程:将 IP 地址带入 IPAM

  11. 为此池选择可选的分配规则:

    • 自动导入发现的资源:如果 Locale(区域设置)被设置为 None(无),则此选项不可用。如果选中此选项,IPAM 将持续查找此池的 CIDR 范围内的资源,并将其作为分配自动导入到 IPAM 中。请注意以下几点:

      • 为了成功导入,不得将分配给这些资源的 CIDR 分配给其他资源。

      • 无论 IPAM 是否符合池的分配规则,都将导入 CIDR,因此可能会导入资源且随后会将资源标记为不合规。

      • 如果 IPAM 发现多个重叠的 CIDR,IPAM 将仅导入最大的 CIDR。

      • 如果 IPAM 发现多个具有匹配 CIDR 的 CIDR,IPAM 将只随机导入其中一个。

      警告

      • 创建 IPAM 后,请在创建 VPC 时选择 IPAM 分配的 CIDR 块选项。否则,您为 VPC 选择的 CIDR 可能会与 IPAM CIDR 分配重叠。

      • 如果您已在 IPAM 池中分配了 VPC,则无法自动导入具有重叠 CIDR 的 VPC。例如,假设您在 IPAM 池中分配了具有 10.0.0.0/26 CIDR 的 VPC,则无法导入具有 10.0.0.0/23 CIDR(将涵盖 10.0.0.0/26 CIDR)的 VPC。

      • 将现有的 VPC CIDR 分配自动导入 IPAM 需要一些时间才能完成。

    • 最短网络掩码长度:此 IPAM 池中的 CIDR 分配所需的符合要求的最小网络掩码长度以及可以从池中分配的最大大小的 CIDR 块。最短网络掩码长度必须小于最大网络掩码长度。IPv4 地址的可能网络掩码长度为 0 - 32。IPv6 地址的可能网络掩码长度为 0 - 128。

    • 默认网络掩码长度:添加到此池的分配的默认网络掩码长度。例如,如果为此池预置的 CIDR 是 10.0.0.0/8 并且您在此处输入 16,则此池中任何新分配的网络掩码长度都将默认为 /16。

    • 最大网络掩码长度:此池中的 CIDR 分配所需的最大网络掩码长度。此值表示可以从池中分配的最小大小的 CIDR 块。

    • 标记要求:资源分配池中的空间所需的标签。如果资源在分配空间后更改了标签,或者如果池中的分配标记规则发生了更改,则该资源可能会被标记为不合规。

    • 区域设置:使用此池中的 CIDR 的资源所需的区域设置。自动导入的没有此区域设置的资源将被标记为不合规。不会自动导入到池中的资源将不允许从池中分配空间,除非它们位于此区域设置。

  12. (可选)为池选择 Tags(标签)。

  13. 选择创建池

  14. 请参阅 创建区域 IPv4 池

Command line

本部分的命令链接到 AWS CLI 参考文档。本文档提供了运行命令时可以使用的选项的详细说明。

请使用以下 AWS CLI 命令在您的 IPAM 中创建或编辑顶级池:

  1. 创建池:create-ipam-pool

  2. 创建池后对其进行编辑以修改分配规则:modify-ipam-pool