建立頂層IPv4集區 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立頂層IPv4集區

請依照本節中的步驟建立IPv4頂層IPAM集區。建立集區時,您可以佈建CIDR要使用的集區。然後,可以將該空間指派給配置。配置是CIDR指從IPAM集區到另一個IPAM集區或資源的工作分派。

只要依照本指南中的指示,即可建立如下例所示的集區結構階層。在此步驟中,您正在建立頂層IPAM集區:

  • IPAM於 AWS 區域 1 和區 AWS 域 2 營運

    • 私有範圍

      • 最上層集區 (10.0.0.0/8)

        • 在第一區域的 AWS 區域泳池 (10.0.0/16)

          • 適用於非生產的開發池 VPCs (10.0.0.0/24)

            • 分配給一個 VPC (10.0.0.0/25)

在上述範例中,CIDRs使用的僅為範例。它們說明頂層集區中的每個集區都佈建了頂層集區的一部分CIDR。

建立IPAM集區時,您可以針對在IPAM集區內進行的配置設定規則。

配置規則可讓您設定下列項目:

  • 如果在此IPAM池的CIDR範圍內找CIDRs到它們,是否IPAM應該自動導入到池中

  • 集區內配置所需的網路遮罩長度

  • 集區內資源所需的標籤

  • 集區中資源所需的地區設定。 AWS 地區設定為可供配置使用IPAM集區的區域。

配置規則會決定資源是否合規或不合規。如需合規的詳細資訊,請參閱 按資源監控CIDR使用情況

重要

配置規則中沒有顯示額外的隱含規則。如果資源位於 Resource Access Manager (RAM) 中共用資源的IPAM集區中 AWS ,則必須將資源擁有者配置為中的主參與者 AWS RAM。如需與之共用集區的詳細資訊RAM,請參閱使用以下方式分享IPAM池 AWS RAM

下列範例顯示如何使用配置規則來控制IPAM集區的存取權:

根據路由和安全性需求建立集區時,可能只允許特定資源使用集區。在這種情況下,您可以設定配置規則,指出任何想要CIDR來自此集區的資源都必須具有符合配置規則標記需求的標籤。例如,您可以設定配置規則,指出只VPCs有使用標籤 prod 才能CIDRs從集IPAM區取得。您還可以設置一個規則,指出從此池CIDRs分配不能大於 /24。在這種情況下,如果可用空間,仍然可以使用此集區中CIDR大於 /24 的資源建立,但是因為這樣做違反了集區上的配置規則,因此將此資源IPAM標記為不相容。

重要

本主題介紹如何使用提供的 IP 位址範圍建立頂層IPv4集區 AWS。如果您想要將自己的IPv4位址範圍帶到 AWS (BYOIP),則需要先決條件。如需詳細資訊,請參閱教學課程:將您的 IP 位址帶到 IPAM

AWS Management Console
建立集區

  1. 在開啟IPAM主控台https://console.aws.amazon.com/ipam/

  2. 在導覽窗格中選擇 Pools (集區)。

  3. 選擇建立集區

  4. IPAM範圍下,選擇您要使用的私有範圍。如需有關範圍的詳細資訊,請參閱 如何IPAM工作

    根據預設,建立集區時,系統會選取私有範圍。私有範圍中的池必須是IPv4池。公共範圍內的池可以是IPv4或IPv6池。公有範圍適用於所有公有空間。

  5. (選用) 為集區新增 Name tag (名稱標籤) 以及集區的描述。

  6. 來源下,選擇IPAM範圍

  7. 在 [位址系列] 下,選擇IPv4

  8. Resource planning (資源規劃) 下,將 Plan IP space within the scope (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃中子網路 IP 空間的詳細資訊VPC,請參閱教學課程:規劃子網路 VPC IP 配置的 IP 位址空間

  9. 針對 Locale (地區設定),選擇 None (無)。您將設定區域集區上的地區設定。

    地區設定是您希望此IPAM集 AWS 區可供配置使用的區域。例如,您只能VPC從與「區域」共用地區設定VPC的儲存IPAM池配置。CIDR請注意,當您為集區選擇地區時,您無法對其進行修改。如果的主區域因中斷而無法使用,且集區的地區設定與的主區域不同IPAM,則仍可使用該集區來配置 IP 位址。IPAM

  10. (選擇性) 您可以建立沒有的集區CIDR,但在為其佈建之前,您將無法使用該集區進行CIDR配置。若要佈建CIDR,請選擇 [新增] CIDR。輸入IPv4CIDR要為集區佈建的。如果要將自己的IPv4或 IPv6 IP 地址範圍帶到 AWS 有先決條件。如需詳細資訊,請參閱教學課程:將您的 IP 位址帶到 IPAM

  11. 選擇此集區的選擇性配置規則:

    • Automatically import discovered resources (自動匯入探索的資源):如果 Locale (地區設訂) 已設定為 None (無),則此選項不可用。如果選取此選項,IPAM將持續尋找此集區CIDR範圍內的資源,並自動將其作為配置匯入您的IPAM。注意下列事項:

      • 要CIDRs配置給這些資源的資源必須尚未配置給其他資源,才能成功匯入。

      • IPAMCIDR無論它是否符合集區的配置規則,都會匯入資源,因此可能會匯入資源並隨後標記為不相容。

      • 如果IPAM發現多CIDRs個重疊,IPAM將CIDR只導入最大的。

      • 如果IPAM發現多個匹CIDRs配CIDRs,IPAM將只隨機導入其中之一。

      警告

      • 建立之後IPAM,當您建立時VPC,請選擇 IPAM-allocation CIDR 區塊選項。如果不這樣做,您為CIDR您選擇的配置VPC可能會與IPAMCIDR配置重疊。

      • 如果您已VPC經在IPAM池中分配了一個,則CIDR無法自動導入VPC具有重疊的內容。例如,如果您在儲存IPAM池中CIDR配置了 10.0.0.0/26 的版本,則無法匯入VPC具有 10.0.0.0/23CIDR(將涵蓋 10.0.0.0/26)的版本。VPC CIDR

      • 現有VPCCIDR配置自動匯入IPAM需要一些時間。

    • 最小網路遮罩長度:此IPAM集區中配CIDR置符合規定所需的最小網路遮罩長度,以及可從集區配置的最大大小CIDR區塊。最小網路遮罩長度必須小於網路遮罩長度上限。IPv4位址的網路遮罩長度可能為 0-32。IPv6位址的網路遮罩長度可能為 0-128。

    • Default netmask length (預設網路遮罩長度):新增至此集區的配置的預設網路遮罩長度。例如,如果已佈建至此集區的是10.0.0.0/8且您在此輸入,則16此集區中的任何新配置將預設為 /16 的網路遮罩長度。CIDR

    • 最大網路遮罩長度:此集區中CIDR配置所需的最大網路遮罩長度。此值指定可從池配置的最小大小CIDR區塊。

    • Tagging requirements (標記需求):資源從集區配置空間所需的標籤。如果資源在配置空間之後變更了其標籤,或在集區上變更了配置標記規則,則資源可能會標示為不合規。

    • Locale:CIDRs從此集區使用的資源所需的地區設定。沒有此地區設定的自動匯入資源會被標示為不合規。未自動匯入集區的資源將不允許從集區配置空間,除非其位於此地區設定。

  12. (選用) 為集區選擇 Tags (標籤)。

  13. 選擇建立集區

  14. 請參閱 建立區域IPv4集區

Command line

本節中的指令連結至參 AWS CLI考文件。本文件旨在詳細說明執行命令時可使用的選項。

使用下列 AWS CLI 指令建立或編輯您的頂層集區IPAM:

  1. 建立池:create-ipam-pool

  2. 建立集區以修改配置規則後,請編輯該儲存池:modify-ipam-pool