本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IPAM
Amazon VPC IP 地址管理器 (IPAM) 是一项 AWS 功能,可帮助您管理组织的所有公有和私有 IP 地址。IPAM 对不同业务部门的 IP 地址进行分类和具体分类。 AWS 区域 IPAM 会跟踪已在使用的 IP 地址和剩余的 IP 地址。它还有助于避免 IP 地址重叠,并根据所选网络掩码向 VPC 提供特定的 CIDR 块。
委托 IPAM
默认情况下, AWS Control Tower 管理账户中提供了组织的 IPAM 配置。要通过网络帐户管理 IPAM,请将管理帐户的 IPAM AWS Control Tower 管理委托给网络帐户:
-
在 AWS Control Tower 管理账户中,导航至 Amazon VPC 服务。
-
打开亚马逊 VPC IP 地址管理器。
-
在左侧窗格中,选择组织设置。
-
选择 “编辑”,然后输入您在创建账户时记下的网络账号。
-
保存更改。
配置委派后,您可以看到这些详细信息反映在网络帐户的 IPAM 组织设置中。
设计 IPAM 层次结构
在开始配置 IPAM 之前,请根据以下标准分析您的组织所需的结构:
-
IPAM 将使用的 CIDR 块
-
应通过 IPAM 为其配置网络帐户的业务单位
-
将通过此 IPAM 进行管理 AWS 区域
配置 IPAM
要配置 IPAM,请执行以下操作:
-
打开 AWS Management Console,然后导航到 Amazon VPC IP 地址管理器控制台。
-
创建 IPAM。输入名称 AWS 区域、操作和描述。
创建 IPAM 时,它将包括两个作用域:
-
公用,用于配置和使用公共 CIDR 块
-
私有,用于配置和使用私有 CIDR 块
-
-
创建顶级 IPAM 池。在下图中,顶级池是 AWS 池。
-
创建较低级别的池:
-
该地区的泳池
-
该地区内用于预制和生产的资源库
请务必为池指定适当的范围。通常,我们建议在网络的大部分区域使用私有作用域,除非您想使用自己的公有 CIDR 块中的公有 IP 地址来托管服务。
-
-
使用 AWS Resource Access Manager () 与其他 AWS Organizations 组织单位 (OU) 帐户共享 IPAM。AWS RAM与您要在其中创建资源的每个账户共享 IPAM。这些账户应在组织网络范围内,并且是顶级 IPAM 池的一部分。
我们建议您在创建所有的 VPC 时使用基于 IPAM 的 VPC 创建。 VPCs这有助于确保新的 CIDR 块不会与现 VPCs 有 VPC 发生冲突。新的池 VPCs 是使用您之前设置的池配置创建的。
