本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS 管理主控台,自攜 IPv6 CIDR 至 IPAM
遵循本教學課程中的步驟,將 IPv6 CIDR 帶至 IPAM,並使用 AWS 管理主控台和 配置具有 CIDR 的 VPC AWS CLI。
如果您不需要透過網際網路公告 IPv6 地址,則可以將私有 GUA IPv6 地址佈建至 IPAM。如需詳細資訊,請參閱啟用佈建私有 IPv6 GUA CIDR。
重要
此教學課程假設您已完成下列各節中的步驟:
-
本教學課程的每個步驟必須由三個 AWS Organizations 帳戶之一完成:
管理帳戶。
在 將 IPAM 與 AWS 組織中的帳戶整合 中設定為您 IPAM 管理員的成員帳戶。在本教學課程中,此帳戶將稱為 IPAM 帳戶。
您組織中的成員帳戶將會從 IPAM 集區分配 CIDR。在本教學課程中,此帳戶將稱為成員帳戶。
步驟 1:建立最上層 IPAM 集區
由於您要建立內含區域集區的最上層 IPAM 集區,而且我們要從區域集區配置空間給資源,因此您必須在區域集區 (而不是最上層集區) 上設定地區設定。在稍後的步驟中建立區域集區時,您會新增區域集區的地區設定。IPAM 與 BYOIP 整合需要在 BYOIP CIDR 使用的任何集區上設定地區設定。
此步驟必須由 IPAM 帳戶完成。
建立集區
請在 https://console.aws.amazon.com/ipam/
開啟 IPAM 主控台。 -
在導覽窗格中選擇 Pools (集區)。
-
根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。如需有關範圍的詳細資訊,請參閱 IPAM 的運作方式。
-
選擇建立集區。
-
(選用) 新增集區的 Name tag (名稱標籤) 和集區的 Description (說明)。
-
在 Source (來源) 下,選擇 IPAM scope (IPAM 範圍)。
-
在 Address family (地址系列) 下,選擇 IPv6。
-
在 Resource planning (資源規劃) 下,將 Plan IP space within the scope (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 教學課程:為子網路 IP 配置規劃 VPC IP 地址空間。
-
在 Locale (地區設定) 下,選擇 None (無)。您將設定區域集區上的地區設定。
地區設定是您希望此 IPAM 集區可用於配置 AWS 的區域。例如,您只能從與 VPC 區域共用地區設定的 IPAM 集區為 VPC 配置 CIDR。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 IPAM 的主區域因中斷而無法使用,且集區的地區設定與 IPAM 的主區域不同,則仍然可以使用集區來配置 IP 地址。
注意
如果您只建立單一集區,而不是在其中包含區域集區的頂層集區,則會想要為此區域選擇地區設定,以便集區可供配置使用。
-
在公有 IP 來源下,預設會選取 BYOIP。
-
在 要佈建的 CIDR 下,執行下列步驟:
-
如果您使用 X.509 憑證驗證網域控制,則必須包含在該步驟中建立的 CIDR 和 BYOIP 訊息和憑證簽章,以便我們能夠驗證您是否控制公有空間。
-
如果您使用 DNS TXT 記錄驗證網域控制,則必須包含在該步驟中建立的 CIDR 和 IPAM 驗證符記,以便我們能夠驗證您是否控制公有空間。
請注意,在將 IPv6 CIDR 配置到頂層集區內的集區時,針對可公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對不可公開公告的 CIDR,則是 /60。
重要
大多數佈建會在兩個小時內完成,但公開可廣告範圍的佈建過程最多可能需要一週的時間。
-
-
將調整此集區的分配規則設定保持在未選取的狀態。
(選用) 為集區選擇 Tags (標籤)。
選擇建立集區。
請先確定此 CIDR 已佈建,然後再繼續。您可在集區詳細資訊頁面的 CIDRs (CIDR) 索引標籤中看到佈建狀態。
步驟 2. 在最上層集區內建立一個區域集區
在最上層集區內建立一個區域集區。集區上需有地區設定,且其必須是您在建立 IPAM 時設定的作業區域之一。
此步驟必須由 IPAM 帳戶完成。
在頂層集區內建立一個區域集區
請在 https://console.aws.amazon.com/ipam/
開啟 IPAM 主控台。 -
在導覽窗格中選擇 Pools (集區)。
-
根據預設,建立集區時,系統會選取私有範圍。如果不想使用預設的私有範圍,請從內容窗格最上方的下拉式選單中選擇您要使用的範圍。如需有關範圍的詳細資訊,請參閱 IPAM 的運作方式。
-
選擇建立集區。
-
(選用) 為集區新增 Name tag (名稱標籤) 以及集區的描述。
-
在 Source (來源) 下,選擇您在上一節建立的頂層集區。
-
在 Resource planning (資源規劃) 下,將 Plan IP space within the scope (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 教學課程:為子網路 IP 配置規劃 VPC IP 地址空間。
-
為集區選擇地區設定。選擇地區設定可確保您的集區和從中分配的資源之間沒有跨區域的依賴關係。可用選項來自您在建立 IPAM 時選擇的作業區域。在本教學課程中,我們將會使用
us-east-2
作為區域集區的地區設定。地區設定是您希望此 IPAM 集區可用於配置 AWS 的區域。例如,您只能從與 VPC 區域共用地區設定的 IPAM 集區為 VPC 配置 CIDR。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 IPAM 的主區域因中斷而無法使用,且集區的地區設定與 IPAM 的主區域不同,則仍然可以使用集區來配置 IP 地址。
-
在 Service (服務) 下,選擇 EC2 (EIP/VPC)。您選取的服務會決定 CIDR 可公告 AWS 的服務。目前,唯一的選項是 EC2 (EIP/VPC),這意味著從此集區配置的 CIDR 可針對 Amazon EC2 服務和 Amazon VPC 服務 (適用於與 VPC 關聯的 CIDR) 進行公告。
-
在 CIDRs to provision (要佈建的 CIDR) 下,選擇一個要為集區佈建的 CIDR。請注意,在將 IPv6 CIDR 配置到頂層集區內的集區時,針對可公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對不可公開公告的 CIDR,則是 /60。
啟用調整此集區的分配規則設定,並選擇此集區的選擇性分配規則:
Automatically import discovered resources (自動匯入探索的資源):如果 Locale (地區設訂) 已設定為 None (無),則此選項不可用。如果選取此選項,IPAM 會持續尋找此集區 CIDR 範圍內的資源,並自動將其作為配置匯入 IPAM。注意下列事項:
為這些資源分配的 CIDR 必須尚未分配給其他資源,才能使匯入程序成功。
IPAM 會匯入 CIDR,不論其是否符合集區的配置規則,因此可能會匯入資源,隨後再將其標記為不合規。
如果 IPAM 發現多個重疊的 CIDR,IPAM 只會匯入最大的 CIDR。
如果 IPAM 發現多個 CIDR 具有相符的 CIDR,IPAM 將只會隨機匯入其中一個 CIDR。
Minimum netmask length (最小網路遮罩長度):此 IPAM 集區中 CIDR 配置要符合所需的最小網路遮罩長度,以及可從集區配置的最大 CIDR 區塊。最小網路遮罩長度必須小於網路遮罩長度上限。IPv4 地址的可能網路遮罩長度為
0
-32
。IPv6 地址的可能網路遮罩長度為0
-128
。Default netmask length (預設網路遮罩長度):新增至此集區的配置的預設網路遮罩長度。
Maximum netmask length (最大網路遮罩長度):此集區中的 CIDR 配置所需的最大網路遮罩長度。此數值指定可以從集區配置的最小 CIDR 區塊。請確保此值為最小值
/48
。Tagging requirements (標記需求):資源從集區配置空間所需的標籤。如果資源在配置空間之後變更了其標籤,或在集區上變更了配置標記規則,則資源可能會標示為不合規。
-
Locale (地區設定):從此集區使用 CIDR 的資源所需的地區設定。沒有此地區設定的自動匯入資源會被標示為不合規。未自動匯入集區的資源將不允許從集區配置空間,除非其位於此地區設定。
(選用) 為集區選擇 Tags (標籤)。
-
當您完成集區的設定後,請選擇 Create pool (建立集區)。
請先確定此 CIDR 已佈建,然後再繼續。您可在集區詳細資訊頁面的 CIDRs (CIDR) 索引標籤中看到佈建狀態。
步驟 3。共用區域集區
遵循本節中的步驟,使用 AWS Resource Access Manager (RAM) 共用 IPAM 集區。
在 AWS RAM啟用資源共用
建立 IPAM 之後,您會想要與組織中的其他帳戶共用區域集區。在您共用 IPAM 集區之前,請完成本節中的步驟,以啟用與 共用資源 AWS RAM。如果您使用 AWS CLI 來啟用資源共用,請使用 --profile
選項。management-account
啟用資源共用
-
使用 AWS Organizations 管理帳戶,在 https://https://console.aws.amazon.com/ram/
開啟 AWS RAM 主控台。 -
在左側導覽窗格中,選擇設定,選擇啟用共用 AWS Organizations,然後選擇儲存設定。
您現在可以與組織的其他成員共用 IPAM 集區。
使用 共用 IPAM 集區 AWS RAM
在本節中,您將與另一個 AWS Organizations 成員帳戶共用區域集區。如需共用 IPAM 集區的完整說明 (包括所需 IAM 許可的相關資訊),請參閱 使用 RAM 共用 IPAM AWS 集區。如果您使用 AWS CLI 來啟用資源共用,請使用 --profile
選項。ipam-account
使用 共用 IPAM 集區 AWS RAM
-
使用 IPAM 管理員帳戶,在 https://console.aws.amazon.com/ipam/
中開啟 IPAM 主控台。 -
在導覽窗格中選擇 Pools (集區)。
-
選擇私有範圍,選擇 IPAM 集區,然後選擇 動作 > 檢視詳細資料。
-
在 Resource sharing (資源共用) 底下,選擇 Create resource share (建立資源共用)。 AWS RAM 主控台隨即開啟。您可以使用 共用集區 AWS RAM。
-
選擇 Create a resource share (建立資源共用)。
-
在 AWS RAM 主控台中,再次選擇建立資源共享。
-
新增共用集區的名稱。
-
在 選取資源類型 下,選擇 IPAM 集區,然後選擇您要共用的集區 ARN。
-
選擇 Next (下一步)。
-
選擇 AWSRAMPermissionIpamPoolByoipCidrImport 許可。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 使用 RAM 共用 IPAM AWS 集區 中了解有關這些選項的詳細資訊。
-
選擇 Next (下一步)。
-
在主體 > 選取主體類型下,選擇 AWS 帳戶並輸入要將 IP 地址範圍帶入 IPAM 之帳戶的帳戶 ID,然後選擇新增。
-
選擇 Next (下一步)。
-
檢閱資源共用選項,以及您要與其共用的主體,然後選擇建立。
-
若要允許
member-account
帳戶從 IPAM 集區配置 IP 位址 CIDRS,請使用AWSRAMDefaultPermissionsIpamPool
建立第二個資源共用。--resource-arns
值為您在上一節建立之 IPAM 集區的 ARN。--principals
的值是member-account
的帳戶 ID。--permission-arns
值為AWSRAMDefaultPermissionsIpamPool
許可的 ARN。
步驟 4:建立 VPC
完成 Amazon VPC 使用者指南中建立 VPC 中的步驟。
此步驟必須由該成員帳戶完成。
注意
當您在 AWS 管理主控台中開啟 VPC 時,您在 中建立 VPC AWS 的區域必須符合您在建立將用於 BYOIP CIDR 的集區時選擇
Locale
的選項。當您到達為 VPC 選擇 CIDR 的步驟時,您可以選擇從 IPAM 集區使用 CIDR。選擇您在本教學課程中建立的區域集區。
當您建立 VPC 時, 會將 IPAM 集區中的 CIDR AWS 配置到 VPC。您可於 IPAM 主控台的內容窗格中選擇集區,然後檢視集區的 Allocations (分配) 索引標籤,以檢視 IPAM 中的分配。
步驟 5:公告 CIDR
本節中的步驟必須由 IPAM 帳戶完成。建立 VPC 之後,您就可以開始在已設定 Service EC2 (EIP/VPC) 的集區中,公告您帶至 AWS 的 CIDR。在本教學課程中是指您的區域集區。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。
此步驟必須由 IPAM 帳戶完成。
如要公告 CIDR
請在 https://console.aws.amazon.com/ipam/
開啟 IPAM 主控台。 -
在導覽窗格中選擇 Pools (集區)。
-
根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。如需有關範圍的詳細資訊,請參閱 IPAM 的運作方式。
-
選擇您在本教學課程中建立的區域集區。
-
選擇 CIDRs 索引標籤。
-
選取 BYOIP CIDR,然後選擇 Actions (動作) > Advertise (公告)。
-
選擇 Advertise CIDR (公告 CIDR)。
因此,BYOIP CIDR 會進行公告,並將 Advertising (公告) 欄位中的值從 Withdrawn (已撤回) 變更為 Advertised (已公告)。
步驟 6:清除
請依照本節中的步驟清除您在本教學課程中佈建和建立的資源。
步驟 1:從公告中撤回 CIDR
此步驟必須由 IPAM 帳戶完成。
請在 https://console.aws.amazon.com/ipam/
開啟 IPAM 主控台。 -
在導覽窗格中選擇 Pools (集區)。
-
根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。
-
選擇您在本教學課程中建立的區域集區。
-
選擇 CIDRs 索引標籤。
-
選取 BYOIP CIDR,然後選擇 Actions (動作) > Withdraw from advertising (從公告中撤回)。
-
選擇 Withdraw CIDR (撤回 CIDR)。
因此,BYOIP CIDR 不再進行公告,並將 Advertising (公告) 欄位中的值從 Advertised (已公告) 變更為 Withdrawn (已撤回)。
步驟 2:刪除 VPC
此步驟必須由該成員帳戶完成。
完成 Amazon VPC 使用者指南中刪除 VPC 中的步驟,以刪除 VPC。 當您在 AWS 管理主控台中開啟 VPC 時, AWS 區域從 刪除 VPC 必須符合您在建立將用於 BYOIP CIDR 的集區時選擇
Locale
的選項。在本教學課程中,集區為區域集區。刪除 VPC 時,IPAM 需要時間才會發現資源已遭刪除,並將配置給 VPC 的 CIDR 解除分配。在您尚未看到從集區詳細資訊 Allocations (分配) 索引標籤中的集區移除 IPAM 之前,您無法繼續進行清理中的下一步。
步驟 3:刪除 RAM 共用並停用與 AWS Organizations 的 RAM 整合
此步驟必須各自由 IPAM 帳戶和管理帳戶完成。
-
完成在 RAM AWS 使用者指南中刪除資源共享和停用與 AWS Organizations 的資源共享中的步驟AWS ,依該順序刪除 RAM 共享並停用與 AWS Organizations 的 RAM 整合。