教學課程:使用主控台建立IPAM和集區 - Amazon Virtual Private Cloud
必要條件如何 AWS Organizations 整合 IPAM步驟 1:委派IPAM管理員步驟 2:建立 IPAM步驟 3:建立頂層IPAM集區步驟 4:建立區域IPAM集區步驟 5:建立生產前開發集區步驟 6:共享IPAM池步驟 7:創建VPC一個從IPAM池CIDR分配步驟 8:清除

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學課程:使用主控台建立IPAM和集區

在本教學課程中,您會建立 IPAM IP 位址集區 AWS Organizations、與之整合、建立 IP 位址集區,以及VPC使用IPAM集區建立。CIDR

本教學課程說明如IPAM何根據不同的開發需求來組織 IP 位址空間。完成本教學課程後,您將會擁有適用於生產前資源的 IP 地址集區。接著,您可以根據路由和安全性需求 (例如,適用於生產資源的集區) 來建立其他集區。

雖然您可以IPAM作為單一使用者使用,但整合 AWS Organizations 功能可讓您管理組織中各帳戶的 IP 位址。本教程介紹了IPAM與組織中的帳戶集成。其中未涵蓋如何 IPAM與組織外部的帳戶整合

注意

針對本教學課程的目的,這些指示會告訴您以特定方式命名IPAM資源、在特定區域中建立IPAM資源,以及為集區使用特定 IP 位址CIDR範圍。這是為了簡化中可用的選擇,IPAM並讓您IPAM快速開始使用。完成本教程後,您可以決定創建一個新的教程IPAM並對其進行不同的配置。

必要條件

開始之前,您必須至少設定一個會員 AWS Organizations 帳戶的帳戶。如需操作方式說明,請參閱《AWS Organizations 使用者指南》中的建立和管理組織

如何 AWS Organizations 整合 IPAM

本節顯示您在本教學課程中使用的 AWS Organizations 帳戶範例。在本教學課程中與之整合時,組織IPAM中有三個帳戶可供您使用:

  • 登入IPAM主控台並委派管理IPAM員的管理帳戶 (在下圖example-management-account中呼叫)。您無法使用組織的管理帳戶做為管理IPAM員。

  • 成員帳戶(在下圖中稱為 example-member-account-1)作為IPAM管理員帳戶。管理IPAM員帳戶負責建立IPAM並使用它來管理和監控整個組織的 IP 位址使用情況。您組織中的任何成員帳戶都可以委派為IPAM管理員。

  • 成員帳戶(在以下中稱為 example-member-account-2)作為開發人員帳戶。此帳戶創建VPC一個從IPAM池CIDR分配的。

具有管理和成員帳戶範例的 AWS Organizations 組織範例。

除了帳戶之外,您還需要組織單位的 ID(上圖中為 ou-fssg-q5brfv9c),該組織單位包含您將用作開發人員帳戶的成員帳戶。您需要此 ID,以便在稍後的步驟中,當您共用IPAM集區時,可以與此 OU 共用它。

注意

如需管理帳戶和成員 AWS Organizations 帳戶等帳戶類型的詳細資訊,請參閱AWS Organizations 術語和概念

步驟 1:委派IPAM管理員

在此步驟中,您將委派成 AWS Organizations 員帳戶為IPAM管理員。當您委派IPAM管理員時,系統會在每個 AWS Organizations 成員帳戶中自動建立服務連結角色。IPAM透過假設每個成員帳戶中的服務連結角色來監控這些帳戶中的 IP 位址使用情況。然後,無論其組織單位如何,它CIDRs都可以發現資源及其資源。

除非您擁有必要的 AWS Identity and Access Management (IAM) 權限,否則無法完成此步驟。如需詳細資訊,請參閱IPAM 與 AWS 組織中的帳戶整合

若要委派IPAM管理員帳戶

  1. 使用 AWS Organizations 管理帳戶,開啟IPAM主控台,位於https://console.aws.amazon.com/ipam/

  2. 在 AWS 管理主控台中,選擇您要使用的 AWS 地區IPAM。

  3. 在導覽窗格中,選擇 Organization settings (組織設定)

  4. 選擇委派。只有當您以 AWS Organizations 管理帳戶身分登入主控台時,才能使用「委派」選項。

  5. 輸入組織成員 AWS 帳戶的帳號 ID。管理IPAM員必須是成 AWS Organizations 員帳戶,而不是管理帳戶。

    您委派IPAM管理員的IPAM主控台中的編輯設定選項。

  6. 選擇 Save changes (儲存變更)。委派的管理員資訊會填入與成員帳戶相關的詳細資料。

步驟 2:建立 IPAM

在此步驟中,您將建立IPAM. 當您建立時IPAM,IPAM會自動建立兩個範圍IPAM:適用於所有私人空間的私有範圍,以及適用於所有公用空間的公用範圍。範圍以及池和分配是IPAM. 如需詳細資訊,請參閱如何IPAM工作

若要建立 IPAM

  1. 使用上一個步驟中委派為IPAM管理 AWS Organizations 員的成員帳戶,開啟IPAM主控台,位於https://console.aws.amazon.com/ipam/

  2. 在 AWS 管理主控台中,選擇您要在其中建立的 AWS 區域IPAM。IPAM在您的主要操作區域中創建。

  3. 在服務首頁上,選擇建立IPAM

  4. 選取「允許 Amazon VPC IP 位址管理員將來源帳戶中的資料複寫到IPAM委派帳戶」。如果您未選取此選項,則無法建立IPAM.

    在IPAM主控台中建立一個IPAM頁面,其中包含「允許 Amazon VPC IP 位址管理員將來源帳戶中的資料複寫到IPAM委派帳戶」核取方塊的說明。

  5. 操作區域下,選擇IPAM可以管理和探索資源的 AWS 區域。系統會自動選取您要建立的 IPAM「 AWS 區域」作為其中一個作業區域。在本教程中,我們的主區域IPAM是 us-east-1,因此我們將選擇 US us-west-1 和 us-west-2 作為其他操作區域。如果您忘記操作中的「地區」,您可以稍後編輯IPAM設定,以及新增或移除區域。

    IPAMIPAM控制台中的設置部分。

  6. 選擇 [建立] IPAM。

    成功建立之後,IPAM主控台中的結果頁面IPAM。

步驟 3:建立頂層IPAM集區

在本教學課程中,您會建立從頂層集區開始的IPAM集區階層。在後續步驟中,您將在其中一個區域集區中建立一對區域集區和一個生產前開發集區。

如需可使用建置的集區階層的詳細資訊IPAM,請參閱IPAM集區計劃範例

建立頂層集區

  1. 使用IPAM管理員帳戶,開啟主IPAM控台,位於https://console.aws.amazon.com/ipam/

  2. 在導覽窗格中選擇 Pools (集區)。

  3. 選擇私有範圍。

    在IPAM主控台中選擇私有範圍。

  4. 選擇建立集區

  5. IPAM範圍之下,保持選取的私有範圍。

  6. (選用) 新增集區的名稱標籤和集區的說明 (例如 “Global pool”)。

  7. 在「來源」下選擇「IPAM範圍」。由於此為頂層集區,因此不具有來源集區。

  8. 在 [位址系列] 下,選擇IPv4

  9. Resource planning (資源規劃) 下,將 Plan IP space within the scope (規劃範圍內的 IP 空間) 保留選取狀態。如需有關使用此選項規劃中子網路 IP 空間的詳細資訊VPC,請參閱教學課程:規劃子網路 VPC IP 配置的 IP 位址空間

  10. 針對 Locale (地區設定),選擇 None (無)。地區設定是您希望此IPAM集 AWS 區可供配置使用的區域。您將會針對在本教學課程下一節中建立的區域集區設定地區設定。

    在IPAM主控台中建立集區。

  11. 選擇CIDR要為集區佈建的項目。在本範例中,我們會佈建 10.0.0.0/16。

    定義CIDRs要在IPAM主控台中佈建集區的內容。

  12. 設定此集區的配置規則設定保持停用。這是我們的頂層儲存池,您將不會VPCs直接從這個集區分配CIDRs給您。相反地,您可能須從自己在此集區建立的子集區進行配置。

    在IPAM主控台中選擇集區的配置規則設定。

  13. 選擇建立集區。儲存池隨即建立,且處CIDR於待處理佈建狀態:

    建立集區之後,主IPAM控台中的擱置佈建訊息。

  14. 等待狀態變為已佈建後,即可前往下一個步驟。

    成功建立集區之後,在IPAM主控台中佈建的訊息。

現在您已建立頂層集區,將可在 us-west-1 和 us-west-2 中建立區域集區。

步驟 4:建立區域IPAM集區

本節將會說明如何使用兩個區域集區來組織 IP 地址。在本教學課程中,我們將遵循其中一個範例IPAM集區計劃,並建立兩個區域集區,供組織中的成員帳戶用於配置CIDRs給他VPCs們的集區。

建立區域集區

  1. 使用IPAM管理員帳戶,開啟主IPAM控台,位於https://console.aws.amazon.com/ipam/

  2. 在導覽窗格中選擇 Pools (集區)。

  3. 選擇私有範圍。

    在IPAM主控台中選擇私有範圍。

  4. 選擇建立集區

  5. IPAM範圍之下,保持選取的私有範圍。

  6. (選用) 新增集區的名稱標籤和集區的說明 (例如區域集區 us-west-1)。

    在IPAM控制台中添加池的名稱。

  7. 來源下,選取IPAM集區,然後選取您在其中建立的頂層集區 (「全域集區」) 步驟 3:建立頂層IPAM集區。接著,在地區設定下,選擇 us-west-1

    在IPAM主控台中選擇來源集區。

  8. Resource planning (資源規劃) 下,將 Plan IP space within the scope (規劃範圍內的 IP 空間) 保留選取狀態。如需有關使用此選項規劃中子網路 IP 空間的詳細資訊VPC,請參閱教學課程:規劃子網路 VPC IP 配置的 IP 位址空間

  9. 佈CIDRs建下,輸入 10.0.0.0/18,這將為此集區提供大約 16,000 個可用 IP 位址。

    選CIDRs擇在IPAM主控台中佈建集區。

  10. 設定此集區的配置規則設定保持停用。您不會VPCs直接從這個集區分配CIDRs給。相反地,您可能須從自己在此集區建立的子集區進行配置。

    IPAM控制台中的 [設定此集區的配置規則設定] 切換。

  11. 選擇建立集區

  12. 返回「集區」檢視以查看您已建立的IPAM集區階層。

    池查看IPAM控制台中包含兩個池。

  13. 重複本節中的步驟,並在 us-west-2 地區設定中建立第二個區域集區,並為其佈建 CIDR 10.0. 64.0/18。完成該程序後,您將會在以下類似的階層中擁有三個集區:

    集區檢視IPAM主控台中包含三個集區。

步驟 5:建立生產前開發集區

請按照本節中的步驟,在其中一個區域集區內,建立生產前資源的開發集區。

建立生產前開發集區

  1. 與您在上一節中所做的相同方式,使用IPAM管理員帳戶建立名為 P re-Prod 集區的池,但這次使用區域集區 us-west-1 做為來源集區。

    在IPAM主控台中建立集區。

  2. 指定一個CIDR的 10.0.0.0/20 以進行佈建,這將為此集區提供大約 4,000 個 IP 位址。

    在IPAM控制台中選擇CIDRs一個池。

  3. 切換設定此集區的配置規則設定選項。請執行下列操作:

    1. 在 [CIDR管理] 下,對於 [自動匯入探查到的資源],保持選取預設值 [不允許] 選項。此選項可讓IPAM您自動匯入CIDRs在集區語言環境中探索的資源。此選項的詳細說明未涵蓋在本教學課程的範圍內,但您可以在 建立頂層IPv4集區 中詳閱有關該選項的資訊。

    2. 網路遮罩合規性下,選擇 /24 作為最小、預設和最大網路遮罩長度。此選項的詳細說明未涵蓋在本教學課程的範圍內,但您可以在 建立頂層IPv4集區 中詳閱有關該選項的資訊。需要注意的是,根據我們在此處設置的內容,您稍後使用此池創建的內容將限制為 /24。VPC CIDR

    3. 標籤合規下,輸入 environment/pre-prod。需要此標籤才能從集區配置空間。VPCs我們將在稍後示範其運作方式。

    在IPAM主控台中建立集區時檢視所有集區設定。

  4. 選擇建立集區

  5. 集區階層現在包含 Regional pool us-west-1 下的其他子集區:

    IPAM控制台中包含四個池的泳池視圖。

現在,您已準備好與組織中的另一個成員帳戶共用IPAM集區,並啟用該帳戶CIDR從集區中分配來建立VPC。

步驟 6:共享IPAM池

請依照本節中的步驟,使用 AWS Resource Access Manager (RAM) 共用生產前IPAM集區。

本節由兩個小節組成:

步驟 6.1. 在 AWS RAM啟用資源共用

建立 IP 位址集區之後IPAM,您會想要與組織中的其他帳戶共用 IP 位址集區。共用IPAM集區之前,請先完成本節中的步驟,以啟用資源共用功能 AWS RAM。

啟用資源共用

  1. 使用 AWS Organizations 管理帳戶,開啟 AWS RAM 主控台,位於https://console.aws.amazon.com/ram/

  2. 在左側導覽窗格中,選擇 [設定],選擇 [啟用共用對象] AWS Organizations,然後選擇 [儲存設定]。

    在 AWS RAM 主控台中啟用組織共用。

您現在可以與IPAM組織的其他成員共用一個人才庫。

步驟 6.2. 使用以下方式分享IPAM池 AWS RAM

在本節中,您將與其他 AWS Organizations 成員帳戶共用生產前開發集區。如需共用IPAM集區的完整指示,包括所需IAM權限的資訊,請參閱使用以下方式分享IPAM池 AWS RAM

若要使用共用IPAM集區 AWS RAM

  1. 使用IPAM管理員帳戶,開啟主IPAM控台,位於https://console.aws.amazon.com/ipam/

  2. 在導覽窗格中選擇 Pools (集區)。

  3. 選擇非公開範圍,選擇生產前IPAM集區,然後選擇「動作」 >「檢視詳細資料」。

  4. Resource sharing (資源共用) 底下,選擇 Create resource share (建立資源共用)。 AWS RAM 主控台隨即開啟。您將使用共用集區 AWS RAM。

  5. 選擇 Create a resource share (建立資源共用)。

    在IPAM主控台中建立資源共用。

    AWS RAM 主控台隨即開啟。

  6. 在 AWS RAM 主控台中,再次選擇 [建立資源共用]。

  7. 新增共用集區的名稱

  8. [選取資源類型] 下,選擇IPAM集區,然後選ARN擇生產前開發集區。

    在 AWS RAM 主控台中建立資源共用。

  9. 選擇 Next (下一步)

  10. 保持選取的預設AWSRAMDefaultPermissionsIpamPool權限。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 使用以下方式分享IPAM池 AWS RAM 中了解有關這些選項的詳細資訊。

    關聯 AWS RAM 主控台中資源共用的權限。

  11. 選擇 Next (下一步)

  12. 主體下,選擇僅允許在組織內共用。輸入您的 AWS Organizations 組織單位 ID (如中所述如何 AWS Organizations 整合 IPAM,然後選擇 [新增]。

    授與 AWS RAM 主控台中資源共用的存取權。

  13. 選擇 Next (下一步)

  14. 檢閱資源共用選項,以及您要與其共用的主體,然後選擇建立

現在已共用集區,請執行下一個步驟以建立從集區VPCCIDR配置的儲存IPAM池。

步驟 7:創建VPC一個從IPAM池CIDR分配

請遵循本節中的步驟來建立VPC具有從生產前集區CIDR配置的項目。此步驟應由上一節 (在中稱為 example-member-account-2如何 AWS Organizations 整合 IPAM) 共用IPAM集區之 OU 中的成員帳戶完成。如需建立所需IAM許可的詳細資訊VPCs,請參閱 Amazon VPC使用者指南中的 Amazon VPC 政策範例

若要建立VPC具有從IPAM集區CIDR配置的

  1. 使用成員帳戶,以您將用https://console.aws.amazon.com/vpc/作開發人員帳戶的成員帳戶打開VPC控制台。

  2. 選擇 [建立] VPC。

  3. 請執行下列操作:

    1. 輸入名稱,例如「範例」VPC。

    2. 選擇 IPAM-分配的IPv4CIDR塊

    3. IPv4IPAM集區下,選擇生產前池的 ID。

    4. 選擇網路遮罩長度。由於您將此集區的可用網路遮罩長度限制為 /24 (在 步驟 5:建立生產前開發集區 中),因此唯一可用的網路遮罩選項是 /24。

      在 Amazon VPC 控制台VPC中創建一個。

  4. 作為示範用途,目前請勿在標籤下,新增任何其他標籤。當您創建預生產池時(在 5 中。 創建一個生產前開發池),您添加了一個配置規則,該規則需要使用此池創建的CIDRs任何VPCs內容才能具有環境/預生產標籤。暫時關閉 environment/pre-prod 標籤,即可看到錯誤訊息出現,告訴您尚未新增必要的標籤。

  5. 選擇 [建立] VPC。

  6. 系統會顯示錯誤訊息,告訴您尚未新增必要的標籤。由於您在建立生產前集區 (在 步驟 5:建立生產前開發集區中) 時已設定配置規則,因此系統出現錯誤。配置規則需要使用此集區建立VPCs的CIDRs任何項目,才能擁有環境/預先產品標籤。

    在 Amazon VPC 控制台中創建VPC錯誤。

  7. 現在,在「標」下,新增標籤環境/預先產生,然後再次選擇「建立」。VPC

    在 Amazon VPC 控制台VPC中添加標籤。

  8. 已成功建立,且VPC符合生產前集區上的標籤規則:VPC

    在 Amazon VPC 控制台VPC中成功創建一個。

在IPAM主控台的 [資源] 窗格中,管理IPAM員將能夠查看和管理已配置的VPC及其配置CIDR。請注意,在 [資源] 窗格中顯示需要一些時間。VPC

步驟 8:清除

在本教學課程中,您IPAM使用委派的管理員建立了一個、建立了多個集區,以及讓組織中的成員帳戶能夠VPCCIDR從集區配置。

請按照本節中的步驟,清除您在本教學課程中建立的資源。

清除在本教學課程中建立的資源

  1. 使用建立範例的成員帳戶VPC,刪除VPC. 如需詳細指示,請參閱 Amazon Virtual Private Cloud 使用者指南VPC中的「刪除您的」。

  2. 使用IPAM管理員帳戶,刪除主 AWS RAM 控台中的資源共用範例。如需詳細指示,請參閱《AWS Resource Access Manager 使用者指南》中的在 AWSAWS RAM中刪除資源共用

  3. 使用IPAM管理員帳戶登入RAM主控台,並停用您在中啟用 AWS Organizations 的共用功能步驟 6.1. 在 AWS RAM啟用資源共用

  4. 使用IPAM管理員帳戶,刪除範例IPAM,方法是在IPAM主控台IPAM中選取,然後選擇 [動作] > [刪除]。如需詳細說明,請參閱 刪除一個 IPAM

  5. 當系統提示您刪除時IPAM,請選擇「串聯刪除」。這會先刪除中的所有範圍和集區,IPAM然後再刪除IPAM.

    在IPAM控制台IPAM中刪除。

  6. 輸入 delete,然後選擇刪除

  7. 使用 AWS Organizations 管理帳戶登入IPAM主控台,選擇 [設定],然後移除委派的系統管理員帳戶。

  8. (選擇性) IPAM 與整合時 AWS Organizations,會在每個成員帳戶中IPAM自動建立服務連結角色。使用每個 AWS Organizations 成員帳戶登入IAM並刪除每個成員帳戶中的AWSServiceRoleForIPAM服務連結角色。

  9. 清理完成。