建立頂層 IPv4 集區 - Amazon Virtual Private Cloud

建立頂層 IPv4 集區

請依照本節中的步驟來建立 IPv4 頂層 IPAM 集區。建立集區時,您可以佈建要使用的集區 CIDR。然後,可以將該空間指派給配置。配置是指將某個 IPAM 集區中的 CIDR 指派到另一個 IPAM 集區或資源。

只要依照本指南中的指示,即可建立如下例所示的集區結構階層。在此步驟中,您要建立頂層 IPAM 集區:

  • IPAM 執行於 AWS 區域 1 和 AWS 區域 2

    • 私有範圍

      • 最上層集區 (10.0.0.0/8)

        • AWS 區域 1 中的區域集區 (10.0.0.0/16)

          • 非生產 VPC 的開發集區 (10.0.0.0/24)

            • VPC 的分配 (10.0.0.0/25)

在上述範例中,所使用的 CIDR 只是範例。其說明頂層集區內的每個集區都使用頂層 CIDR 的一部分進行佈建。

建立 IPAM 集區時,您可以設定 IPAM 集區內所進行的配置的規則。

配置規則可讓您設定下列項目:

  • IPAM 是否應該自動將 CIDR 匯入 IPAM 集區 (如果 IPAM 在此集區的 CIDR 範圍內找到 CIDR)

  • 集區內配置所需的網路遮罩長度

  • 集區內資源所需的標籤

  • 集區中資源所需的地區設定。地區設定為 IPAM 集區可供配置使用的 AWS 區域。

配置規則會決定資源是否合規或不合規。如需合規的詳細資訊,請參閱 依資源監控 CIDR 使用情況

重要

配置規則中沒有顯示額外的隱含規則。如果資源位於 IPAM 集區,且此集區為 AWS Resource Access Manager (RAM) 中的共享資源,則資源擁有者必須設定為 AWS RAM 中的委託人。如需使用 RAM 共用集區的詳細資訊,請參閱 透過 AWS RAM 共用 IPAM 集區

以下範例顯示如何使用配置規則來控制 IPAM 集區的存取:

根據路由和安全性需求建立集區時,可能只允許特定資源使用集區。在這種情況下,您可以設定配置規則,指出任何想要來自此集區的 CIDR 的資源都必須具有符合配置規則標籤需求的標籤。例如,您可以設定配置規則,指出只有具有 prod 標籤的 VPC 才可從 IPAM 集區取得 CIDR。您也可以設定規則,指出從此集區配置的 CIDR 不得大於 /24。在這種情況下,如果空間可用,仍可使用大於 /24 的 CIDR 從此集區建立資源,但是因為這樣做會違反集區上的配置規則,IPAM 會將此資源標記為不合規。

重要

本主題說明如何使用 AWS 提供的 IP 地址範圍建立頂層 IPv4 集區。如果您想要將自己的 IPv4 地址範圍帶到 AWS (BYOIP),則有一些先決條件。如需詳細資訊,請參閱教學課程:將 IP 地址帶入 IPAM

AWS Management Console
建立集區

  1. 請在 https://console.aws.amazon.com/ipam/ 開啟 IPAM 主控台。

  2. 在導覽窗格中選擇 Pools (集區)。

  3. 選擇建立集區

  4. 在 IPAM 範圍下,選擇您要使用的私有範圍。如需有關範圍的詳細資訊,請參閱 IPAM 的運作方式

    根據預設,建立集區時,系統會選取私有範圍。私有範圍中的集區必須是 IPv4 集區。公有範圍中的集區可以是 IPv4 或 IPv6 集區。公有範圍適用於所有公有空間。

  5. (選用) 為集區新增 Name tag (名稱標籤) 以及集區的描述。

  6. Source (來源) 下,選擇 IPAM scope (IPAM 範圍)。

  7. Address family (地址系列) 下,選擇 IPv4

  8. Resource planning (資源規劃) 下,將 Plan IP space within the scope (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 教學課程:為子網路 IP 配置規劃 VPC IP 地址空間

  9. 針對 Locale (地區設定),選擇 None (無)。您將設定區域集區上的地區設定。

    地區設定為您希望此 IPAM 集區可供配置使用的 AWS 區域。例如,您只能從與 VPC 區域共用地區設定的 IPAM 集區為 VPC 配置 CIDR。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 IPAM 的主區域因中斷而無法使用,且集區的地區設定與 IPAM 的主區域不同,則仍然可以使用集區來配置 IP 地址。

  10. (選用) 您可以在沒有 CIDR 的情況下建立集區,但是在為其佈建 CIDR 之前,您將無法使用集區進行配置。若要佈建 CIDR,請選擇新增新的 CIDR。輸入要為集區佈建的 IPv4 CIDR。如果您想要將自己的 IPv4 或 IPv6 IP 地址範圍帶到 AWS,則有一些先決條件。如需詳細資訊,請參閱教學課程:將 IP 地址帶入 IPAM

  11. 選擇此集區的選擇性配置規則:

    • Automatically import discovered resources (自動匯入探索的資源):如果 Locale (地區設訂) 已設定為 None (無),則此選項不可用。如果選取此選項,IPAM 會持續尋找此集區 CIDR 範圍內的資源,並自動將其作為配置匯入 IPAM。注意下列事項:

      • 為這些資源分配的 CIDR 必須尚未分配給其他資源,才能使匯入程序成功。

      • IPAM 會匯入 CIDR,不論其是否符合集區的配置規則,因此可能會匯入資源,隨後再將其標記為不合規。

      • 如果 IPAM 發現多個重疊的 CIDR,IPAM 只會匯入最大的 CIDR。

      • 如果 IPAM 發現多個 CIDR 具有相符的 CIDR,IPAM 將只會隨機匯入其中一個 CIDR。

      警告

      • 建立 IPAM 後,當您建立 VPC 時,請選擇 IPAM 配置的 CIDR 區塊選項。如果不這樣做,您為 VPC 選擇的 CIDR 可能會與 IPAM CIDR 配置重疊。

      • 如果您已在 IPAM 集區中配置了 VPC,則無法自動匯入具有重疊 CIDR 的 VPC。例如,如果您的 VPC 在 IPAM 集區中配置了 10.0.0.0/26 CIDR,則無法匯入具有 10.0.0.0/23 CIDR 的 VPC (這不會涵蓋 10.0.0.0/26 CIDR)。

      • 將現有的 VPC CIDR 配置自動匯入 IPAM 需要花一些時間。

    • Minimum netmask length (最小網路遮罩長度):此 IPAM 集區中 CIDR 配置要符合所需的最小網路遮罩長度,以及可從集區配置的最大 CIDR 區塊。最小網路遮罩長度必須小於網路遮罩長度上限。IPv4 地址的可能網路遮罩長度為 0 - 32。IPv6 地址的可能網路遮罩長度為 0 - 128。

    • Default netmask length (預設網路遮罩長度):新增至此集區的配置的預設網路遮罩長度。例如,如果佈建至此集區的 CIDR 是 10.0.0.0/8,且您在此輸入 16,則此集區中任何新配置的網路遮罩長度都會預設為 /16。

    • Maximum netmask length (最大網路遮罩長度):此集區中的 CIDR 配置所需的最大網路遮罩長度。此數值指定可以從集區配置的最小 CIDR 區塊。

    • Tagging requirements (標記需求):資源從集區配置空間所需的標籤。如果資源在配置空間之後變更了其標籤,或在集區上變更了配置標記規則,則資源可能會標示為不合規。

    • Locale (地區設定):從此集區使用 CIDR 的資源所需的地區設定。沒有此地區設定的自動匯入資源會被標示為不合規。未自動匯入集區的資源將不允許從集區配置空間,除非其位於此地區設定。

  12. (選用) 為集區選擇 Tags (標籤)。

  13. 選擇建立集區

  14. 請參閱建立區域 IPv4 集區

Command line

本節中的命令與 AWS CLI 參考文件連結。本文件旨在詳細說明執行命令時可使用的選項。

使用下列 AWS CLI 命令在 IPAM 中建立或編輯頂層集區:

  1. 建立集區:create-ipam-pool

  2. 在建立集區後編輯集區以修改配置規則:modify-ipam-pool