创建顶级池 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建顶级池

按照本部分中的步骤创建顶级 IPAM 池。创建池时,您需要为池预置 CIDR 以供使用。池将该 CIDR 中的空间分配给池内的分配。分配是从一个 IPAM 池到另一个资源或 IPAM 池的 CIDR 分配。

以下示例显示了池结构的层次结构,您可以使用本指南中的说明创建这些结构。在此步骤中,您正在创建顶级 IPAM 池:

  • IPAM 在 Amazon 区域 1 和 Amazon 区域 2 中运营

    • 私有范围

      • 顶级池 (10.0.0.0/8)

        • Amazon 区域 2 中的区域池 (10.0.0.0/16)

          • 开发池 (10.0.0.0/24)

            • VPC 的分配 (10.0.0.0/25)

在前述示例中,所使用的 CIDR 仅为示例。它们说明,顶级池中的每个资源池都预置了顶级 CIDR 的一部分。

创建 IPAM 池时,您可以为在 IPAM 池中进行的分配配置规则。

分配规则使您能够配置以下内容:

  • 如果 IPAM 在此池的 CIDR 范围内发现 CIDR,是否应该自动将 CIDR 导入 IPAM 池

  • 池内分配所需的网络掩码长度

  • 池中资源的所需标签

  • 池中资源的所需区域设置。区域设置是 IPAM 池可用于分配的 Amazon 区域。

分配规则决定了资源是合规还是不合规。有关合规性的其他信息,请参阅 按资源监控 CIDR 使用情况

重要

分配规则中没有显示另外一条隐式规则。如果资源位于 IPAM 池中(该池是 Amazon Resource Access Manager (RAM) 中的共享资源),必须将资源所有者配置为 Amazon RAM 中的主体。有关使用 RAM 共享池的更多信息,请参阅 使用 Amazon RAM 共享 IPAM 池

以下示例说明了如何使用分配规则控制对 IPAM 池的访问:

当您根据路由和安全需求创建池时,您可能希望只允许某些资源使用池。在这种情况下,您可以设置一个分配规则,说明任何想要此池中的 CIDR 的资源都必须具有与分配规则标签要求匹配的标签。例如,您可通过设置分配规则,说明只有带标签 prod 的 VPC 才可以从 IPAM 池中获取 CIDR。您还可以设置一条规则,指出从此池中分配的 CIDR 不得超过 /24。在这种情况下,如果空间可用,仍然可以使用该池中大于 /24 的 CIDR 创建资源,但是由于这样做违反了池中的分配规则,IPAM 会将此资源标记为不合规。

Amazon Management Console

要创建池

  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在导航窗格中,选择 Pools(池)。

  3. 默认情况下,创建池时,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 IPAM 的工作原理

  4. 选择 Create pool

  5. (可选)添加池的 Name tag(名称标签)和池的描述。

  6. 选择 No source pool(没有源池)。

  7. 对于 Locale(区域设置),选择 None(无)。您将在区域池中设置区域设置。

    区域设置是您希望此 IPAM 池可用于分配的 Amazon 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。

    注意

    如果您只创建单个池而不是其中包含区域池的顶级池,则需要为此池选择一个区域设置,以便该池可用于分配。

  8. 为此池选择 Address family(地址系列)。如果此池中的 IP 地址将是 IPv4 地址,请选择 IPv4。如果它们将是 IPv6 地址,请选择 IPv6。如果您为此池选择的范围是公有范围,则可以选择使用 IPv4 或 IPv6。如果您为此池选择的范围是私有的,则 IPv4 是唯一的选择。

  9. (可选)选择要为池预置的 CIDR。您可以在没有 CIDR 的情况下创建池,但是在为该池预置 CIDR 之前,您将无法使用该池进行分配。

  10. 为此池选择可选的分配规则:

    • 自动导入发现的资源:如果 Locale(区域设置)被设置为 None(无),则此选项不可用。如果选中此选项,IPAM 将持续查找此池的 CIDR 范围内的资源,并将其作为分配自动导入到 IPAM 中。请注意以下几点:

      • 为了成功导入,不得将分配给这些资源的 CIDR 分配给其他资源。

      • 无论 IPAM 是否符合池的分配规则,都将导入 CIDR,因此可能会导入资源且随后会将资源标记为不合规。

      • 如果 IPAM 发现多个重叠的 CIDR,IPAM 将仅导入最大的 CIDR。

      • 如果 IPAM 发现多个具有匹配 CIDR 的 CIDR,IPAM 将只随机导入其中一个。

    • 最短网络掩码长度:此 IPAM 池中的 CIDR 分配所需的符合要求的最小网络掩码长度以及可以从池中分配的最大大小的 CIDR 块。最短网络掩码长度必须小于最大网络掩码长度。IPv4 地址的可能网络掩码长度为 0 - 32。IPv6 地址的可能网络掩码长度为 0 - 128。

    • 默认网络掩码长度:添加到此池的分配的默认网络掩码长度。例如,如果为此池预置的 CIDR 是 10.0.0.0/8 并且您在此处输入 16,则此池中的任何新分配都将默认为网络掩码长度 /16

    • 最大网络掩码长度:此池中的 CIDR 分配所需的最大网络掩码长度。此值表示可以从池中分配的最小大小的 CIDR 块。

    • 标记要求:资源分配池中的空间所需的标签。如果资源在分配空间后更改了标签,或者如果池中的分配标记规则发生了更改,则该资源可能会被标记为不合规。

    • 区域设置:使用此池中的 CIDR 的资源所需的区域设置。自动导入的没有此区域设置的资源将被标记为不合规。不会自动导入到池中的资源将不允许从池中分配空间,除非它们位于此区域设置。

  11. (可选)为池选择 Tags(标签)。

  12. 选择 Create pool

Command line

本部分的命令链接到 Amazon CLI 参考文档。本文档提供了运行命令时可以使用的选项的详细说明。

请使用以下 Amazon CLI 命令在您的 IPAM 中创建或编辑顶级池:

  1. 创建池:create-ipam-pool

  2. 创建池后对其进行编辑以修改分配规则:modify-ipam-pool