Portare un CIDR IPv4 pubblico su IPAM usando solo la AWS CLI - Amazon Virtual Private Cloud

Portare un CIDR IPv4 pubblico su IPAM usando solo la AWS CLI

Segui questi passaggi per portare un CIDR IPv4 su IPAM e allocare un indirizzo IP elastico (EIP) utilizzando soltanto la AWS CLI.

Importante

Fase 1: creazione di profili denominati della AWS CLI e ruoli IAM

Per completare questo tutorial come singolo utente AWS, puoi utilizzare profili denominati AWS CLI per passare da un ruolo IAM a un altro. I profili denominati sono raccolte di impostazioni e credenziali a cui si fa riferimento quando si utilizza l'opzione --profile con la AWS CLI. Per ulteriori informazioni su come creare ruoli IAM e profili denominati per gli account AWS, consulta Utilizzo di un ruolo IAM in AWS CLI nella Guida per l'utente di AWS Identity and Access Management.

Crea un ruolo e un profilo denominato per ciascuno dei tre account AWS che utilizzerai in questo tutorial:

  • Un profilo chiamato management-account per l'account di gestione di AWS Organizations.

  • Un profilo chiamato ipam-account per l'account membro di AWS Organizations configurato come amministratore IPAM.

  • Un profilo chiamato member-account per l'account membro di AWS Organizations che alloca i CIDR da un pool IPAM.

Dopo avere creato i ruoli IAM e i profili denominati, torna su questa pagina e vai al passaggio successivo. Nel resto di questo tutorial potrai osservare che i comandi AWS CLI di esempio utilizzano l'opzione --profile con uno dei profili con nome per indicare quale account deve eseguire il comando.

Passaggio 2: creazione di un IPAM

Questa operazione è facoltativa. Se un IPAM è già stato creato con regioni operative di us-east-1 e us-west-2 create, questo passaggio può essere ignorato. Crea un IPAM e specifica una Regione operativa di us-east-1 e us-west-2. È necessario selezionare una Regione operativa in modo da poter utilizzare l'opzione località durante la creazione del pool IPAM. L'integrazione IPAM con BYOIP richiede che la località sia impostata su qualsiasi pool verrà utilizzato per il CIDR BYOIP.

Questo passaggio deve essere eseguito dall'account IPAM.

Esegui il comando seguente:

aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account

Nell'output sarà visualizzato l'IPAM creato. Prendere nota del valore per PublicDefaultScopeId. L'ID dell'ambito pubblico è necessario nel passaggio successivo. Stai utilizzando l'ambito pubblico perché i CIDR BYOIP sono indirizzi IP pubblici, che è ciò a cui è destinato l'ambito pubblico.

{ "Ipam": { "OwnerId": "123456789012", "IpamId": "ipam-090e48e75758de279", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "PublicDefaultScopeId": "ipam-scope-0087d83896280b594", "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d", "ScopeCount": 2, "Description": "my-ipam", "OperatingRegions": [ { "RegionName": "us-east-1" }, { "RegionName": "us-west-2" } ], "Tags": [] } }

Passaggio 3: creazione di un pool IPAM di livello superiore

Completa i passaggi descritti in questa sezione per creare un pool IPAM di livello superiore.

Questo passaggio deve essere eseguito dall'account IPAM.

Per creare un pool di indirizzi IPv4 per tutte le risorse AWS che utilizzano la AWS CLI
  1. Esegui il comando seguente per creare un pool IPAM. Utilizza l'ID dell'ambito pubblico dell'IPAM creato nella fase precedente.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv4-pool" --address-family ipv4 --profile ipam-account

    Nell'output, vedrai create-in-progress, il che indica che è in corso la creazione del pool.

    { "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "None", "PoolDepth": 1, "State": "create-in-progress", "Description": "top-level-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [] } }
  2. Esegui il seguente comando fino a quando non viene visualizzato uno stato di create-complete nell'output.

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    Il seguente output esemplificativo mostra lo stato del pool.

    { "IpamPools": [ { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "None", "PoolDepth": 1, "State": "create-complete", "Description": "top-level-IPV4-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [] } ] }

Passaggio 4: effettuare il provisioning di un CIDR al pool di livello superiore

Effettua il provisioning di un blocco CIDR al pool di livello superiore. Tieni presente che quando effettui il provisioning di un CIDR IPv4 a un pool all'interno del pool di livello superiore, il CIDR IPv4 minimo di cui è possibile effettuare il provisioning è /24; non sono consentiti CIDR più specifici (come ad esempio /25). È necessario includere il CIDR e il messaggio BYOIP e la firma del certificato nella richiesta in modo da poter verificare il possesso dello spazio pubblico. Per un elenco dei prerequisiti BYOIP, incluso come ottenere questo messaggio BYOIP e la firma del certificato, consulta Portare un CIDR IPv4 pubblico su IPAM usando solo la AWS CLI.

Questo passaggio deve essere eseguito dall'account IPAM.

Importante

Bisogna solo aggiungere --cidr-authorization-context quando si effettua il provisioning del CIDR BYOIP al pool di livello superiore. Per il pool regionale all'interno del pool di livello superiore, è possibile omettere l'opzione --cidr-authorization-context. Una volta effettuato l'accesso al BYOIP su IPAM, non è necessario eseguire la convalida della proprietà quando dividi il BYOIP tra Regioni e account.

Per effettuare il provisioning di un blocco CIDR al pool utilizzando la AWS CLI
  1. Esegui il comando seguente per effettuare il provisioning del CIDR.

    aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profile ipam-account

    Nell'output, sarà visualizzato il provisioning del CIDR in sospeso.

    { "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-provision" } }
  2. Assicurati che su questo CIDR sia stato effettuato il provisioning prima di continuare.

    Importante

    Il provisioning del CIDR BYOIP può richiedere fino a una settimana.

    Esegui il seguente comando fino a quando non viene visualizzato uno stato di provisioned nell'output.

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account

    Il seguente output esemplificativo mostra lo stato.

    { "IpamPoolCidrs": [ { "Cidr": "130.137.245.0/24", "State": "provisioned" } ] }

Passaggio 5: creazione di un pool regionale all'interno del pool di livello superiore

Crea un pool Regionale all'interno del pool di livello superiore. Il codice --locale è obbligatorio nel pool e deve essere una delle Regioni operative configurate al momento della creazione dell'IPAM. La località è la Regione AWS in cui si desidera che questo pool IPAM sia disponibile per le assegnazioni. Ad esempio, è possibile assegnare un CIDR per un VPC solo da un pool IPAM che condivide una lingua con la Regione del VPC. Tieni presente che dopo aver scelto una lingua per un pool, questa non può essere modificata. Se la regione di origine dell'IPAM non è disponibile a causa di un'interruzione e il pool è in una località differente dalla regione di origine dell'IPAM, il pool può essere ancora utilizzato per assegnare gli indirizzi IP.

Questo passaggio deve essere eseguito dall'account IPAM.

La scelta di una località garantisce che non vi siano dipendenze interregionali tra il pool e le risorse da esso assegnate. Le opzioni qui disponibili provengono dalle Regioni operative scelte al momento della creazione dell'IPAM. In questo tutorial, useremo us-west-2 come località del pool regionale.

Importante

Quando crei il pool, devi includere --aws-service ec2. Il servizio selezionato determina il servizio AWS in cui il CIDR sarà pubblicizzabile. Attualmente, l'unica opzione possibile è ec2, il che significa che i CIDR allocati da questo pool saranno pubblicizzabili per il servizio Amazon EC2 (per gli indirizzi IP elastici) e per il servizio Amazon VPC (per i CIDR associati ai VPC).

Per creare di un pool Regionale utilizzando la AWS CLI
  1. Per creare un pool, esegui il comando seguente.

    aws ec2 create-ipam-pool --description "Regional-IPv4-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-0a03d430ca3f5c035 --locale us-west-2 --address-family ipv4 --aws-service ec2 --profile ipam-account

    Nell'output, potrai visualizzare IPAM mentre crea il pool.

    { "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0d8f3646b61ca5987", "SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-west-2", "PoolDepth": 2, "State": "create-in-progress", "Description": "Regional--pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [], "ServiceType": "ec2" } }
  2. Esegui il seguente comando fino a quando non viene visualizzato uno stato di create-complete nell'output.

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    Nell'output, vedrai i pool contenuti nel tuo IPAM. In questo tutorial è stato creato un pool di livello superiore e un pool Regionale, in modo da vederli entrambi.

Passaggio 6: effettuare il provisioning di un CIDR al pool Regionale

Effettua il provisioning di un blocco CIDR al pool Regionale. Tieni presente che quando effettui il provisioning di un CIDR a un pool all'interno del pool di livello superiore, il CIDR IPv4 minimo di cui è possibile effettuare il provisioning è /24; non sono consentiti CIDR più specifici (come ad esempio /25).

Questo passaggio deve essere eseguito dall'account IPAM.

Per assegnare un blocco CIDR al pool Regionale utilizzando la AWS CLI
  1. Esegui il comando seguente per effettuare il provisioning del CIDR.

    aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account

    Nell'output, sarà visualizzato il provisioning del CIDR in sospeso.

    { "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-provision" } }
  2. Esegui il seguente comando fino a quando non viene visualizzato uno stato di provisioned nell'output.

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account

    Il seguente output esemplificativo mostra lo stato corretto.

    { "IpamPoolCidrs": [ { "Cidr": "130.137.245.0/24", "State": "provisioned" } ] }

Fase 7. Condividi il pool regionale

Segui la procedura descritta in questa sezione per condividere il pool IPAM di pre-produzione tramiteAWS Resource Access Manager (RAM).

4.1 Abilitazione della condivisione delle risorse in AWS RAM

Dopo aver creato il tuo IPAM, ti consigliamo di condividere il pool regionale con altri account della tua organizzazione. Prima di condividere un pool IPAM, completa la procedura descritta in questa sezione per abilitare la condivisione delle risorse con AWS RAM. Se usi la AWS CLI per abilitare la condivisione delle risorse, utilizza l'opzione --profile management-account.

Per abilitare la condivisione delle risorse
  1. Tramite l'account di gestione di AWS Organizations, apri la console AWS RAM all'indirizzo https://console.aws.amazon.com/ram/.

  2. Nel riquadro di navigazione a sinistra, scegli Impostazioni, poi Abilita condivisione con AWS Organizations e quindi Salva impostazioni.

Ora puoi condividere un pool IPAM con altri membri dell'organizzazione.

4.2. Condividi un pool IPAM utilizzando AWS RAM

In questa sezione condividerai il pool regionale con un altro account AWS Organizations membro. Per istruzioni complete sulla condivisione dei pool IPAM, comprese le informazioni sulle autorizzazioni IAM richieste, consulta Condividi un pool IPAM utilizzando AWS RAM. Se usi la AWS CLI per abilitare la condivisione delle risorse, utilizza l'opzione --profile ipam-account.

Per condividere un pool IPAM utilizzando AWS RAM
  1. Tramite l'account di gestione IPAM, apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nel pannello di navigazione, seleziona Pool.

  3. Scegli l'ambito privato, scegli il pool IPAM di pre-produzione e scegli Azioni > Visualizza dettagli.

  4. Alla voce Condivisione risorse, scegli Crea condivisione di risorse. Si apre la console AWS RAM. Il pool è condiviso tramite AWS RAM.

  5. Selezionare Create a resource share (Crea una condivisione di risorse).

  6. Nella console AWS RAM, scegli nuovamente Creazione di una condivisione di risorse.

  7. Aggiungi un Nome per il pool condiviso.

  8. In Seleziona il tipo di risorsa, scegli i pool IPAM, quindi scegli l'ARN del pool di sviluppo di pre-produzione.

  9. Seleziona Successivo.

  10. Scegli l'autorizzazione AWSRAMPermissionIpamPoolByoipCidrImport. I dettagli delle opzioni di autorizzazione non rientrano nell'ambito di questo tutorial, ma puoi trovare ulteriori informazioni su queste opzioni alla sezione Condividi un pool IPAM utilizzando AWS RAM.

  11. Seleziona Successivo.

  12. Sotto le voci Principali > Seleziona il tipo principale, scegli Account AWS e inserisci l'ID dell'account che porterà un intervallo di indirizzi IP su IPAM, quindi scegli Aggiungi.

  13. Seleziona Successivo.

  14. Controlla le opzioni di condivisione delle risorse e i principali con cui condividerai, quindi scegli Crea.

  15. Per consentire all'account member-account di allocare l'indirizzo IP CIDRS dal pool IPAM, crea una seconda condivisione di risorse con AWSRAMDefaultPermissionsIpamPool, quindi crea una seconda condivisione di risorse. Il valore per --resource-arns è l'ARN del pool IPAM creato nella sezione precedente. Il valore per --principals è l'ID account dell'account che detiene il CIDR BYOIP. Il valore per --permission-arns è l'ARN dell'autorizzazione AWSRAMDefaultPermissionsIpamPool.

Passaggio 8: creazione di un pool IPv4 pubblico

La creazione di un pool IPv4 pubblico è un passaggio necessario per portare un indirizzo IPv4 pubblico ad AWS da gestire con IPAM. Questo passaggio in genere viene eseguito da un altro account AWS che desidera effettuare il provisioning di un indirizzo IP elastico.

Questo passaggio deve essere eseguito dall'account membro.

Importante

I pool IPv4 pubblici e i pool IPAM sono gestiti da risorse distinte in AWS. I pool IPv4 pubblici sono risorse per account singolo che consentono di convertire i CIDR di proprietà pubblica in indirizzi IP elastici. I pool IPAM possono essere utilizzati per assegnare lo spazio pubblico ai pool IPv4 pubblici.

Per creare un pool IPv4 pubblico tramite la AWS CLI
  • Esegui il comando seguente per effettuare il provisioning del CIDR. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere all'opzione --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.

    aws ec2 create-public-ipv4-pool --region us-west-2 --profile member-account

    Nell'output, potrai visualizzare l'ID del pool IPv4 pubblico. Sarà necessario questo ID nel passaggio successivo.

    { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2" }

Passaggio 9: effettuare il provisioning del CIDR IPv4 pubblico al pool IPv4 pubblico

Effettua il provisioning del CIDR IPv4 pubblico al pool IPv4 pubblico. Il valore per --region deve corrispondere al valore --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.

Questo passaggio deve essere eseguito dall'account membro.

Per creare un pool IPv4 pubblico tramite la AWS CLI
  1. Esegui il comando seguente per effettuare il provisioning del CIDR.

    aws ec2 provision-public-ipv4-pool-cidr --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --netmask-length 24 --profile member-account

    Nell'output, sarà visualizzato il CIDR su cui è stato effettuato il provisioning.

    { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "PoolAddressRange": { "FirstAddress": "130.137.245.0", "LastAddress": "130.137.245.255", "AddressCount": 256, "AvailableAddressCount": 256 } }
  2. Esegui il comando seguente per visualizzare il CIDR su cui è stato effettuato il provisioning nel pool IPv4 pubblico.

    aws ec2 describe-byoip-cidrs --region us-west-2 --max-results 10 --profile member-account

    Nell'output, sarà visualizzato il CIDR su cui è stato effettuato il provisioning. Per impostazione predefinita, il CIDR non è pubblicizzato, il che significa che non è accessibile pubblicamente su Internet. Avrai la possibilità di impostare questo CIDR su pubblicizzato nell'ultimo passaggio di questo tutorial.

    { "ByoipCidrs": [ { "Cidr": "130.137.245.0/24", "StatusMessage": "Cidr successfully provisioned", "State": "provisioned" } ] }

Passaggio 10: creazione di un indirizzo IP elastico dal pool IPv4 pubblico

Crea un indirizzo IP elastico (EIP) dal pool IPv4 pubblico. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere all'opzione --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.

Questo passaggio deve essere eseguito dall'account membro.

Per creare un EIP dal pool IPv4 pubblico utilizzando la AWS CLI
  1. Per creare l'EIP, esegui il comando seguente.

    aws ec2 allocate-address --region us-west-2 --public-ipv4-pool ipv4pool-ec2-0019eed22a684e0b2 --profile member-account

    Nell'output, potrai vedere l'assegnazione.

    { "PublicIp": "130.137.245.100", "AllocationId": "eipalloc-0db3405026756dbf6", "PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2", "NetworkBorderGroup": "us-east-1", "Domain": "vpc" }
  2. Esegui il comando seguente per visualizzare l'assegnazione EIP gestita in IPAM.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account

    L'output mostra l'assegnazione in IPAM.

    { "IpamPoolAllocations": [ { "Cidr": "130.137.245.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b2", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "123456789012" } ] }

Passaggio 11: pubblicizzazione del CIDR

I passaggi in questa sezione devono essere eseguiti dall'account IPAM. Una volta associato l'indirizzo IP elastico (EIP) a un'istanza o a Elastic Load Balancer, puoi iniziare a pubblicizzare il CIDR che hai portato su AWS presente nel pool con il codice --aws-service ec2 definito. In questo tutorial, questo è il tuo pool Regionale. Per impostazione predefinita, il CIDR non è pubblicizzato, il che significa che non è accessibile pubblicamente su Internet. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere all'opzione --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.

Questo passaggio deve essere eseguito dall'account IPAM.

Inizia a pubblicizzare il CIDR utilizzando la AWS CLI
  • Esegui il comando seguente per pubblicizzare il CIDR.

    aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account

    Nell'output, vedrai che il CIDR è pubblicizzato.

    { "ByoipCidr": { "Cidr": "130.137.245.0/24", "State": "advertised" } }

Passaggio 12: pulizia

Segui i passaggi in questa sezione per ripulire le risorse che hai creato e di cui hai effettuato il provisioning in questo tutorial. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere all'opzione --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.

Eliminazione tramite la AWS CLI
  1. Visualizza l'allocazione dell'EIP gestita in IPAM.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account

    L'output mostra l'assegnazione in IPAM.

    { "IpamPoolAllocations": [ { "Cidr": "130.137.245.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b2", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "123456789012" } ] }
  2. Arresta la pubblicizzazione del CIDR IPv4.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account

    Nell'output, potrai vedere che lo stato CIDR è cambiato da pubblicizzato a provisioning effettuato.

    { "ByoipCidr": { "Cidr": "130.137.245.0/24", "State": "provisioned" } }
  3. Rilascia l'indirizzo IP elastico.

    Questo passaggio deve essere eseguito dall'account membro.

    aws ec2 release-address --region us-west-2 --allocation-id eipalloc-0db3405026756dbf6 --profile member-account

    Non vedrai alcun output quando esegui questo comando.

  4. Visualizza i CIDR BYOIP.

    Questo passaggio deve essere eseguito dall'account membro.

    aws ec2 describe-public-ipv4-pools --region us-west-2 --profile member-account

    Nell'output, vedrai gli indirizzi IP nel tuo CIDR BYOIP.

    { "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "Description": "", "PoolAddressRanges": [ { "FirstAddress": "130.137.245.0", "LastAddress": "130.137.245.255", "AddressCount": 256, "AvailableAddressCount": 256 } ], "TotalAddressCount": 256, "TotalAvailableAddressCount": 256, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] }
  5. Rilascia l'ultimo indirizzo IP nel CIDR dal pool IPv4 pubblico. Inserisci l'indirizzo IP con una netmask di /32. È necessario eseguire di nuovo questo comando per ogni indirizzo IP nell'intervallo CIDR. Se il CIDR è un /24, dovrai eseguire questo comando per revocare il provisioning di ciascuno dei 256 indirizzi IP nel CIDR /24. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere alla Regione del tuo IPAM.

    Questo passaggio deve essere eseguito dall'account membro.

    aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --cidr 130.137.245.255/32 --profile member-account

    Nell'output, sarà visualizzato il CIDR su cui è stato revocato il provisioning.

    { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "DeprovisionedAddresses": [ "130.137.245.255" ] }
  6. Visualizza di nuovo i CIDR BYOIP e assicurati che non ci siano più indirizzi con provisioning. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere alla Regione del tuo IPAM.

    Questo passaggio deve essere eseguito dall'account membro.

    aws ec2 describe-public-ipv4-pools --region us-east-1 --profile member-account

    Nell'output, vedrai il conteggio degli indirizzi IP nel pool IPv4 pubblico.

    { "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "Description": "", "PoolAddressRanges": [], "TotalAddressCount": 0, "TotalAvailableAddressCount": 0, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] }
  7. Come puoi vedere, l'allocazione dell'EIP non è più gestita in IPAM. IPAM può aver bisogno di tempo per rilevare che l'indirizzo IP elastico è stato rimosso. Non è possibile continuare a ripulire e revocare il provisioning del CIDR del pool IPAM fino a quando non si vede che l'assegnazione è stata rimossa da IPAM. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere all'opzione --località che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account

    L'output mostra l'assegnazione in IPAM.

    { "IpamPoolAllocations": [] }
  8. Revoca il provisioning del CIDR dal pool regionale. Quando esegui il comando in questo passaggio, il valore per --region deve corrispondere alla Regione del tuo IPAM.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account

    Nell'output, sarà visualizzata la revoca del provisioning del CIDR in sospeso.

    { "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-deprovision" } }

    La revoca del provisioning richiede tempo per il completamento. Controlla lo stato di revoca del provisioning.

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account

    Aspetta fino a quando visualizzerai provisioning revocato prima di passare al passaggio successivo.

    { "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "deprovisioned" } }
  9. Elimina le condivisioni RAM e disabilita l'integrazione di RAM con AWS Organizations. Completa i passaggi descritti nella sezione Eliminazione di una condivisione di risorse in AWS RAM e Disattivazione della condivisione delle risorse con AWS Organizations della Guida per l'utente di AWS RAM, in questo ordine, per eliminare le condivisioni RAM e disabilitare l'integrazione RAM con AWS Organizations.

    Questo passaggio deve essere eseguito rispettivamente dall'account IPAM e dall'account di gestione. Se usi la AWS CLI per eliminare le condivisioni RAM e disabilitare l'integrazione di RAM, utilizza le opzioni --profile ipam-account e --profile management-account.

  10. Elimina il pool regionale. Quando esegui il comando in questo passaggio, il valore per --region deve corrispondere alla Regione del tuo IPAM.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account

    Nell'output, è possibile visualizzare lo stato di eliminazione.

    { "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0d8f3646b61ca5987", "SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "reg-ipv4-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4" } }
  11. Revoca il provisioning del CIDR dal pool di livello superiore. Quando esegui il comando in questo passaggio, il valore per --region deve corrispondere alla Regione del tuo IPAM.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --profile ipam-account

    Nell'output, sarà visualizzata la revoca del provisioning del CIDR in sospeso.

    { "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-deprovision" } }

    La revoca del provisioning richiede tempo per il completamento. Utilizzare il seguente comando per controllare lo stato della revoca del provisioning.

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account

    Aspetta fino a quando visualizzerai provisioning revocato prima di passare al passaggio successivo.

    { "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "deprovisioned" } }
  12. Elimina il pool di livello superiore. Quando esegui il comando in questo passaggio, il valore per --region deve corrispondere alla Regione del tuo IPAM.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account

    Nell'output, è possibile visualizzare lo stato di eliminazione.

    { "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "top-level-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4" } }
  13. Elimina l'IPAM. Quando esegui il comando in questo passaggio, il valore per --region deve corrispondere alla Regione del tuo IPAM.

    Questo passaggio deve essere eseguito dall'account IPAM.

    aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account

    Nell'output, visualizzerai la risposta IPAM. Ciò significa che l'IPAM è stato eliminato.

    { "Ipam": { "OwnerId": "123456789012", "IpamId": "ipam-090e48e75758de279", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "PublicDefaultScopeId": "ipam-scope-0087d83896280b594", "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d", "ScopeCount": 2, "OperatingRegions": [ { "RegionName": "us-east-1" }, { "RegionName": "us-west-2" } ], } }