本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IPAM 使用 管理主控台IPv6CIDR將您自己的 帶到 。 AWS
遵循本教學課程中的步驟,CIDR使用 AWS 管理主控台IPAM和 IPv6CIDR將 帶到 VPC ,並使用 配置 AWS CLI。
如果您不需要透過網際網路公告IPv6地址,您可以將私有GUAIPv6地址佈建至 IPAM。如需詳細資訊,請參閱啟用私有佈建 IPv6 GUA CIDRs。
重要
此教學課程假設您已完成下列各節中的步驟:
-
本教學課程的每個步驟必須由三個 AWS Organizations 帳戶之一完成:
管理帳戶。
在 中設定為IPAM管理員的成員帳戶IPAM 與 AWS 組織中的帳戶整合。在本教學課程中,此帳戶將稱為 IPAM帳戶。
組織中將從CIDRsIPAM集區配置的成員帳戶。在本教學課程中,此帳戶將稱為成員帳戶。
步驟 1:建立頂層IPAM集區
由於您要建立包含其中區域IPAM集區的頂層集區,而且我們將從區域集區將空間配置給資源,因此您將在區域集區上設定區域設定,而不是設定頂層集區。在稍後的步驟中建立區域集區時,您會新增區域集區的地區設定。與 IPAM整合BYOIP時,必須在 上使用任何集區的區域設定 BYOIP CIDR。
此步驟必須由 IPAM帳戶完成。
建立集區
在 開啟IPAM主控台https://console.aws.amazon.com/ipam/
。 -
在導覽窗格中選擇 Pools (集區)。
-
根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。如需有關範圍的詳細資訊,請參閱 IPAM 的運作方式。
-
選擇建立集區。
-
(選用) 新增集區的 Name tag (名稱標籤) 和集區的 Description (說明)。
-
在來源 下,選擇IPAM範圍 。
-
在 地址系列 下,選擇 IPv6。
-
在 Resource planning (資源規劃) 下,將 Plan IP space within the scope (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項來規劃 內子網路 IP 空間的詳細資訊VPC,請參閱 教學課程:規劃子網路 VPC IP 配置的 IP 位址空間。
-
在 Locale (地區設定) 下,選擇 None (無)。您將設定區域集區上的地區設定。
地區設定是您希望此IPAM集區可用於配置 AWS 的區域。例如,您只能VPC從與 CIDR VPC的區域共用區域設定的IPAM集區為 配置 。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 的主區域因中斷而IPAM無法使用,且集區具有與 的主區域不同的區域IPAM,則集區仍可用於配置 IP 地址。
注意
如果您只建立單一集區,而不是在其中包含區域集區的頂層集區,則會想要為此區域選擇地區設定,以便集區可供配置使用。
-
在公有 IP 來源 下,預設BYOIP會選取 。
-
在CIDRs佈建 下,執行下列其中一項操作:
-
如果您使用 X.509 憑證 來驗證網域控制,則必須包含您在該步驟中建立的 CIDR 和BYOIP訊息和憑證簽章,以便我們驗證您是否控制公有空間。
-
如果您使用DNSTXT記錄 來驗證網域控制,則必須包含您在該步驟中建立的 CIDR和 IPAM 驗證權杖,以便我們驗證您是否控制公有空間。
請注意,在頂層集區中將 佈建IPv6CIDR至集區時,您可以帶來的最具體IPv6地址範圍為 /48 CIDRs 可公開廣告,以及 /60 CIDRs不可公開廣告。
重要
雖然大多數佈建會在兩個小時內完成,但最多可能需要一週的時間才能完成公開可宣告範圍的佈建程序。
-
-
將調整此集區的分配規則設定保持在未選取的狀態。
(選用) 為集區選擇 Tags (標籤)。
選擇建立集區。
在您繼續之前,請確定CIDR已佈建此項目。您可以在集區詳細資訊頁面的 CIDRs索引標籤中查看佈建狀態。
步驟 2. 在最上層集區內建立一個區域集區
在最上層集區內建立一個區域集區。集區需要 區域設定,且必須是您在建立 時設定的其中一個操作區域IPAM。
此步驟必須由 IPAM帳戶完成。
在頂層集區內建立一個區域集區
在 開啟IPAM主控台https://console.aws.amazon.com/ipam/
。 -
在導覽窗格中選擇 Pools (集區)。
-
根據預設,建立集區時,系統會選取私有範圍。如果不想使用預設的私有範圍,請從內容窗格最上方的下拉式選單中選擇您要使用的範圍。如需有關範圍的詳細資訊,請參閱 IPAM 的運作方式。
-
選擇建立集區。
-
(選用) 為集區新增 Name tag (名稱標籤) 以及集區的描述。
-
在 Source (來源) 下,選擇您在上一節建立的頂層集區。
-
在 Resource planning (資源規劃) 下,將 Plan IP space within the scope (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項來規劃 內子網路 IP 空間的詳細資訊VPC,請參閱 教學課程:規劃子網路 VPC IP 配置的 IP 位址空間。
-
為集區選擇地區設定。選擇地區設定可確保您的集區和從中分配的資源之間沒有跨區域的依賴關係。可用選項來自您在建立 時選擇的操作區域IPAM。在本教學課程中,我們將會使用
us-east-2
作為區域集區的地區設定。地區設定是您希望此IPAM集區可用於配置 AWS 的區域。例如,您只能VPC從與 CIDR VPC的區域共用區域設定的IPAM集區為 配置 。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 的主區域因中斷而IPAM無法使用,且集區具有與 的主區域不同的區域IPAM,則集區仍可用於配置 IP 地址。
-
在服務 下,選擇 EC2(EIP/VPC)。您選擇的服務會決定 可CIDR廣告 AWS 的服務。目前,唯一的選項是 EC2(EIP/VPC),這表示從此集區CIDRs配置的 將為 Amazon EC2服務和 Amazon VPC服務 (適用於與 CIDRs相關聯的 VPCs) 提供公告。
-
在CIDRs佈建 下,選擇要CIDR佈建集區的 。請注意,在頂層集區中將 佈建IPv6CIDR至集區時,您可以帶來的最具體IPv6地址範圍為 /48 CIDRs 可公開廣告,而 /60 CIDRs可公開廣告。
啟用調整此集區的分配規則設定,並選擇此集區的選擇性分配規則:
Automatically import discovered resources (自動匯入探索的資源):如果 Locale (地區設訂) 已設定為 None (無),則此選項不可用。如果選取, IPAM會持續尋找此集CIDR區範圍內的資源,並將其作為配置自動匯入您的 IPAM。注意下列事項:
CIDRs 將為這些資源配置的 ,不得已配置到其他資源,以便匯入成功。
IPAM 會匯入 ,CIDR無論其是否遵循集區的配置規則,因此資源可能會匯入,並隨後標記為不合規。
如果IPAM發現多個CIDRs重疊, IPAM 只會匯入最大的重疊CIDR。
如果 IPAM 發現多個CIDRs相符的 CIDRs, IPAM 只會隨機匯入其中一個。
最小網路遮罩長度 :此IPAM集區中CIDR配置符合規範所需的最小網路遮罩長度,以及可以從集區配置的最大大小CIDR區塊。最小網路遮罩長度必須小於網路遮罩長度上限。IPv4 地址的可能網路遮罩長度為
0
-32
。IPv6 地址的可能網路遮罩長度為0
-128
。Default netmask length (預設網路遮罩長度):新增至此集區的配置的預設網路遮罩長度。
網路遮罩長度上限 :此集區中CIDR配置所需的網路遮罩長度上限。此值指定可從集區配置的最小大小CIDR區塊。請確保此值為最小值
/48
。Tagging requirements (標記需求):資源從集區配置空間所需的標籤。如果資源在配置空間之後變更了其標籤,或在集區上變更了配置標記規則,則資源可能會標示為不合規。
-
區域設定 :CIDRs從此集區使用之資源所需的區域設定。沒有此地區設定的自動匯入資源會被標示為不合規。未自動匯入集區的資源將不允許從集區配置空間,除非其位於此地區設定。
(選用) 為集區選擇 Tags (標籤)。
-
當您完成集區的設定後,請選擇 Create pool (建立集區)。
在您繼續之前,請確定CIDR已佈建此項目。您可以在集區詳細資訊頁面的 CIDRs索引標籤中查看佈建狀態。
步驟 3。共用區域集區
按照本節中的步驟使用 AWS Resource Access Manager () 共用IPAM集區RAM。
在 AWS RAM啟用資源共用
建立 後IPAM,您會想要與組織中的其他帳戶共用區域集區。在您共用IPAM集區之前,請完成本節中的步驟,以啟用與 的資源共用 AWS RAM。如果您使用 AWS CLI 來啟用資源共用,請使用 --profile
選項。management-account
啟用資源共用
-
使用 AWS Organizations 管理帳戶,在 開啟 AWS RAM 主控台https://console.aws.amazon.com/ram/
。 -
在左側導覽窗格中,選擇設定 ,選擇啟用與 共享 AWS Organizations,然後選擇儲存設定 。
您現在可以與組織的其他成員共用IPAM集區。
使用 共用IPAM集區 AWS RAM
在本節中,您將與其他 AWS Organizations 成員帳戶共用區域集區。如需共用IPAM集區的完整說明,包括必要IAM許可的資訊,請參閱 使用以下方式分享IPAM池 AWS RAM。如果您使用 AWS CLI 來啟用資源共用,請使用 --profile
選項。ipam-account
若要使用 共用IPAM集區 AWS RAM
-
使用 IPAM 管理員帳戶,在 開啟IPAM主控台https://console.aws.amazon.com/ipam/
。 -
在導覽窗格中選擇 Pools (集區)。
-
選擇私有範圍、選擇IPAM集區,然後選擇動作 > 檢視詳細資訊 。
-
在 Resource sharing (資源共用) 底下,選擇 Create resource share (建立資源共用)。 AWS RAM 主控台會開啟。您可以使用 共用集區 AWS RAM。
-
選擇 Create a resource share (建立資源共用)。
-
在 AWS RAM 主控台中,再次選擇建立資源共用。
-
新增共用集區的名稱。
-
在選取資源類型 下,選擇IPAM集區,然後選擇您要共用ARN的集區。
-
選擇 Next (下一步)。
-
選擇 AWSRAMPermissionIpamPoolByoipCidrImport 許可。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 使用以下方式分享IPAM池 AWS RAM 中了解有關這些選項的詳細資訊。
-
選擇 Next (下一步)。
-
在主體 > 選取主體類型 下,選擇AWS 帳戶,然後輸入將 IP 地址範圍帶至的帳戶的帳戶 ID,IPAM然後選擇新增 。
-
選擇 Next (下一步)。
-
檢閱資源共用選項,以及您要與其共用的主體,然後選擇建立。
-
若要允許
member-account
帳戶CIDRS從IPAM集區配置 IP 地址,請建立第二個資源共用AWSRAMDefaultPermissionsIpamPool
。的值--resource-arns
是您在上一節中建立ARN的IPAM集區的 。的值--principals
是 的帳戶 IDmember-account
。的值--permission-arns
是AWSRAMDefaultPermissionsIpamPool
許可ARN的 。
步驟 4:建立 VPC
完成 Amazon VPC使用者指南 中建立 VPC 中的步驟。
此步驟必須由該成員帳戶完成。
注意
當您VPC在 AWS 管理主控台中開啟 時, AWS 您在 VPC中建立的區域必須符合您在建立將用於 BYOIP 的集區時選擇
Locale
的選項CIDR。當您達到為 選擇 的步驟CIDR時VPC,您可以選擇CIDR從IPAM集區使用 。選擇您在本教學課程中建立的區域集區。
當您建立 時VPC, 會將IPAM集CIDR區中的 AWS 配置到 VPC。您可以在IPAM主控台的內容窗格中選擇集區,並檢視集區的配置索引標籤,IPAM即可在 中檢視配置。
步驟 5:宣告 CIDR
本節中的步驟必須由 IPAM帳戶完成。建立 之後VPC,您就可以開始在已設定 服務 EC2(EIP/VPC) 的集區 AWS 中發佈CIDR您帶到的 。在本教學課程中是指您的區域集區。依預設CIDR不會公告 ,這表示無法透過網際網路公開存取。
此步驟必須由 IPAM帳戶完成。
若要公告 CIDR
在 開啟IPAM主控台https://console.aws.amazon.com/ipam/
。 -
在導覽窗格中選擇 Pools (集區)。
-
根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。如需有關範圍的詳細資訊,請參閱 IPAM 的運作方式。
-
選擇您在本教學課程中建立的區域集區。
-
選擇 CIDRs 索引標籤。
-
選取 BYOIPCIDR,然後選擇動作 > 宣告 。
-
選擇宣告 CIDR。
因此,BYOIPCIDR會公告 ,而廣告欄中的值會從撤銷變更為已公告 。
步驟 6:清除
請依照本節中的步驟清除您在本教學課程中佈建和建立的資源。
步驟 1:CIDR從廣告中撤回
此步驟必須由 IPAM帳戶完成。
在 開啟IPAM主控台https://console.aws.amazon.com/ipam/
。 -
在導覽窗格中選擇 Pools (集區)。
-
根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。
-
選擇您在本教學課程中建立的區域集區。
-
選擇 CIDRs 索引標籤。
-
選取 BYOIPCIDR,然後選擇動作 > 從廣告中撤回 。
-
選擇撤銷 CIDR。
因此,BYOIPCIDR不再公告 ,且廣告欄中的值會從公告變更為撤銷 。
步驟 2:刪除 VPC
此步驟必須由該成員帳戶完成。
完成在 VPCAmazon VPC使用者指南中刪除 中的步驟,以刪除 VPC。當您VPC在 AWS 管理主控台中開啟 時, AWS 區域VPC從 刪除 必須符合您在建立將用於 BYOIP 的集區時選擇
Locale
的選項CIDR。在本教學課程中,集區為區域集區。當您刪除 時VPC,需要一些時間IPAM才能發現資源已刪除,並將CIDR配置的 重新配置到 VPC。在集區詳細資訊配置索引標籤中看到 IPAM已從集區移除配置之前,您無法繼續前往清除中的下一個步驟。
步驟 3:刪除RAM共用並停用與 AWS Organizations 的RAM整合
此步驟必須由IPAM帳戶和管理帳戶分別完成。
-
完成使用者指南 中的刪除資源共用 AWS RAM和停用與 AWS Organizations 的資源共用中的步驟,依此順序刪除RAM共用並停用與 AWS Organizations 的RAM整合。 AWS RAM