使用 IPAM 策略定义公有 IPv4 分配策略 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 IPAM 策略定义公有 IPv4 分配策略

IPAM 策略是一组规则,这些规则用于定义如何将 IPAM 池中的公有 IPv4 地址分配给 Amazon 资源。每条规则都将 Amazon 服务映射到该服务将用于获取 IP 地址的 IPAM 池。单个策略可以有多个规则,并且可以应用于多个 Amazon 区域。如果 IPAM 池中的地址耗尽,则服务将回退到 Amazon 提供的 IP 地址。策略可以应用于 Amazon Organizations 中的各个 Amazon 账户或实体。如果您自带 IP(BYOIP),这将有助于降低您的 Amazon 公有 IPv4 成本。

IPAM 策略的使用场景

使用 IPAM 策略具有以下优势:

  • 通过使用 BYOIP 地址降低公有 IPv4 成本

  • 集中控制您的 Amazon 资源使用的 IP 池

  • 确保整个组织的 IP 分配保持一致

工作原理

当您在强制执行 IPAM 策略的账户中创建需要公有 IP 地址的 Amazon 资源时:

  • IPAM 会按顺序检查您的策略规则。

  • 如果某条规则与该资源类型匹配,IPAM 会从指定的池中分配一个 IP。

  • 如果该池为空且启用了溢出功能,则 Amazon 会提供一个 IP 地址。

  • 如果没有匹配的规则,则会应用默认行为。

支持的服务和资源

您可以创建 IPAM 策略,来定义如何将 IPAM 池中的公有 IPv4 地址分配给以下 Amazon 服务和资源:

  • 弹性 IP 地址(EIP)

  • 区域 NAT 网关

重要

对于 EIP,如果您在向其分配公有 IPv4 地址时选择了特定的 IPAM 池,则该设置将覆盖 IPAM 策略。

先决条件

术语

IPAM 策略

IPAM 策略是一组规则,这些规则用于定义如何将 IPAM 池中的公有 IPv4 地址分配给 Amazon 资源。每条规则都将 Amazon 服务映射到该服务将用于获取 IP 地址的 IPAM 池。单个策略可以有多个规则,并且可以应用于多个 Amazon 区域。如果 IPAM 池中的地址耗尽,则服务将回退到 Amazon 提供的 IP 地址。策略可以应用于 Amazon Organizations 中的各个 Amazon 账户或实体。策略可以应用于 Amazon Organizations 中的各个 Amazon 账户或实体。

分配规则

IPAM 策略中用于将 Amazon 资源类型映射到特定 IPAM 池的可选配置。如果未定义任何规则,则资源类型默认为使用 Amazon 提供的 IP 地址。

Target

可向其应用 IPAM 策略的单个 Amazon 账户或 Amazon 组织内的实体。

第 1 步:创建 IPAM 策略

使用 Amazon 控制台:

按照以下步骤操作,使用 Amazon 控制台创建一个 IAM 策略:

  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在左侧导航窗格中,选择 Policies(策略)

  3. 选择创建策略

  4. 为您的策略输入一个名称(可选)。

  5. 选择要关联到此策略的 IPAM

  6. (可选)添加标签。

  7. 选择创建策略

使用 Amazon CLI:

使用 create-ipam-policy 命令。

第 2 步:添加分配规则

创建策略后,您需要添加分配规则来定义如何分配 IP 地址:

使用 Amazon 控制台:

按照以下步骤操作,使用 Amazon 控制台添加分配规则:

  1. 在左侧导航窗格中,选择 Policies(策略)

  2. 选择在上一步中创建的策略。

  3. 在策略详细信息页面中,选择分配规则选项卡。

  4. 选择创建分配规则

  5. 配置服务配置

    • 区域设置:选择要应用此策略的 Amazon 区域 (us-east-1) 或本地区域。

    • 资源类型:选择此策略的 Amazon 服务或资源类型(弹性 IP 地址)。

  6. 配置规则配置

    • IPAM 池:选择将提供 IP 地址的 IPAM 池。

    • 检查池详细信息(区域设置、公有 IP 源、可用空间和可用 CIDR 范围)。

  7. (可选)选择添加新规则以创建其他规则。

  8. 选择创建分配规则

使用 Amazon CLI:

使用 modify-ipam-policy-allocation-rules 命令。

第 3 步:启用策略

指定应使用此策略的账户。

使用 Amazon 控制台:

按以下步骤操作,使用 Amazon 控制台启用策略:

  1. 在策略详细信息页面中,选择目标选项卡。

  2. 选择管理策略目标

  3. 请执行以下操作之一:

    • 如果用于单个账户(IPAM 未与 Amazon Organizations 集成),请选择为您的账户启用

    • 如果 IPAM 已与 Amazon Organizations 集成(您是委托管理员时):

      • 组织结构部分中,选择要应用此策略的账户或组织单元。

      • 为每个目标选中已启用复选框。

      • 选择保存更改

      • 重要提示:启用此策略将取代选定账户或组织单元中任何有效的 IPAM 策略。

使用 Amazon CLI:

根据您的设置使用 enable-ipam-policy 命令:

如果用于单个账户(IPAM 未与 Amazon Organizations 集成):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

如果 IPAM 已与 Amazon Organizations 集成(您是委托管理员时):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012
重要

启用此策略将取代选定账户或组织单元中任何有效的 IPAM 策略。

第 4 步:(可选)在组织范围内强制执行

如果您已在某个 Amazon Organizations 实体上启用了此 IPAM 策略,请在 IPAM 策略之外使用声明性策略添加集中式管理和治理功能。

将带来的优势:

在组织范围内强制执行具有以下优势:

  • 对所有组织账户执行集中式策略管理

  • 自动强制执行,无需在每个账户上分别配置

  • 增加治理控制机制,防止在账户层面更改策略

先决条件:

开始设置在组织范围内强制执行之前,请确保您满足以下条件:

  • Amazon Organizations 并启用了所有功能

  • 组织管理账户或委托管理员账户中的 IPAM

  • 相关 Organizations 和 IPAM 权限

有关使用声明性策略设置在组织范围内强制执行的详细说明,请参阅《Amazon Organizations 用户指南》中的 Getting started with declarative policies

第 5 步:测试策略

在其中一个目标账户中启用一个所配置类型的新资源(如 EIP)。该资源将自动使用您的 IPAM 池中的 IP 地址。

重要

对于 EIP,如果您在向其分配公有 IPv4 地址时选择了特定的 IPAM 池,则该设置将覆盖 IPAM 策略。

第 6 步:监控使用情况

在控制台中检查您的 IPAM 池,以查看分配给您的资源的 IP 地址。