使用 Amazon 管理控制台自带 IPv6 CIDR 到 IPAM 中 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 管理控制台自带 IPv6 CIDR 到 IPAM 中

按照本教程中的步骤将 IPv6 CIDR 带入 IPAM,并使用 Amazon 管理控制台和 Amazon CLI 分配带有 CIDR 的 VPC。

重要
  • 此时无法在 Local Zones 中设置或播发 BYOIP 地址范围。

  • 本教程假定您已完成以下部分中的步骤:

  • 本教程的每个步骤都必须由以下三个 Amazon Organizations 账户之一完成:

    • 管理账户。

    • 将 IPAM 与组织中的账户集成 Amazon 中配置为 IPAM 管理员的成员账户。在本教程中,此账户将被称为 IPAM 账户。

    • 将从 IPAM 池中分配 CIDR 的企业中的成员账户。在本教程中,此账户将被称为成员账户。

步骤 1:创建顶级 IPAM 池

由于您将创建一个其中包含一个区域池的顶级 IPAM 池,并且我们将为区域池中的资源(弹性 IP 地址)分配空间,因此您将在区域池中设置区域设置,而不是在顶级池中。在后面的步骤中创建区域池时,您将区域设置添加到区域池中。IPAM 与 BYOIP 集成要求在将用于 BYOIP CIDR 的任何一个池上设置区域设置。

此步骤必须由 IPAM 账户完成。

如需创建池
  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在导航窗格中,选择 Pools(池)。

  3. 默认情况下,创建池时,默认的私有范围被选中。选择公有范围。有关范围的更多信息,请参阅 IPAM 的工作原理

  4. 选择创建池

  5. (可选)添加池的名称标签和池的描述

  6. 下,选择 IPAM 范围

  7. 地址系列下,选择 IPv6

    选择 IPv6 时,会出现一个切换选项,您可以控制 Amazon 是否可以公开发布此池中的 CIDR。保持启用此选项。

  8. 资源规划下,保持选中在范围内规划 IP 空间。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息,请参阅 教程:为子网 IP 分配规划 VPC IP 地址空间

  9. 确保选择了允许此池中的 CIDR 可公开传播

  10. Locale(区域设置)下,选择 None(无)。您将在区域池中设置区域设置。

    区域设置是您希望此 IPAM 池可用于分配的 Amazon 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。如果 IPAM 的主区域由于中断而不可用,并且池的区域设置与 IPAM 的主区域不同,则该池仍可用于分配 IP 地址。

    注意

    如果您只创建单个池而不是其中包含区域池的顶级池,则需要为此池选择一个区域设置,以便该池可用于分配。

  11. 公有 IP 源下,BYOIP 默认处于选中状态。

  12. 要预置的 CIDR 下,选择要为池预置的 CIDR。请注意,在为顶级池中的池配置 IPv6 CIDR 时,对于可公开宣传的 CIDR,您可以带的最具体的 IPv6 地址范围是 /48,对于不可公开宣传的 CIDR,则为 /60。您必须在请求中包含 CIDR、BYOIP 消息和证书签名,以便我们验证您是否拥有公有空间。有关 BYOIP 先决条件的列表,包括如何获取此 BYOIP 消息和证书签名,请参阅 使用 Amazon 管理控制台和 Amazon CLI 自带公有 IPv4 CIDR 到 IPAM 中

    重要

    预置 BYOIP CIDR 最多可能需要一周。

  13. 配置此池的分配规则设置保持未选中状态。

  14. (可选)为池选择 Tags(标签)。

  15. 选择创建池

在继续之前,请确保已预置此 CIDR。您可以在池详细信息页面的 CIDR 选项卡中查看资源调配状态。请注意,预置 BYOIP CIDR 最多可能需要一周。

第 2 步。在顶级池中创建区域池

在顶级池中创建区域池。区域设置在池上是必需的,它必须是您在创建 IPAM 时配置的运营区域之一。

此步骤必须由 IPAM 账户完成。

要在顶级池中创建区域池
  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在导航窗格中,选择 Pools(池)。

  3. 默认情况下,创建池时,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 IPAM 的工作原理

  4. 选择创建池

  5. (可选)添加池的名称标签和池的描述。

  6. 源池下,选择您在上一部分中创建的顶级池。

  7. 资源规划下,保持选中在范围内规划 IP 空间。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息,请参阅 教程:为子网 IP 分配规划 VPC IP 地址空间

  8. 选择池的区域设置。选择区域设置可确保池与从中分配的资源之间没有跨区域依赖关系。可用的选项来自您在创建 IPAM 时选择的运营区域。在本教程中,我们将使用 us-east-2 作为区域池的区域设置。

    区域设置是您希望此 IPAM 池可用于分配的 Amazon 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。如果 IPAM 的主区域由于中断而不可用,并且池的区域设置与 IPAM 的主区域不同,则该池仍可用于分配 IP 地址。

  9. 服务下,选择 EC2 (EIP/VPC)。您选择的服务将决定可传播 CIDR 的 Amazon 服务。目前,唯一的选择是 EC2(EIP/VPC),这意味着从此池中分配的 CIDR 在 Amazon EC2 服务(适用于弹性 IP 地址)和 Amazon VPC 服务(适用于与 VPC 关联的 CIDR)中是可传播的。

  10. 要预置的 CIDR 下,选择要为池预置的 CIDR。请注意,在为顶级池中的池配置 IPv6 CIDR 时,对于可公开宣传的 CIDR,您可以带的最具体的 IPv6 地址范围是 /48,对于不可公开宣传的 CIDR,则为 /60。

  11. 启用配置此池的分配规则设置,并为此池选择可选分配规则:

    • 自动导入发现的资源:如果区域设置被设置为,则此选项不可用。如果选中此选项,IPAM 将持续查找此池的 CIDR 范围内的资源,并将其作为分配自动导入到 IPAM 中。请注意以下几点:

      • 为了成功导入,不得将分配给这些资源的 CIDR 分配给其他资源。

      • 无论 IPAM 是否符合池的分配规则,都将导入 CIDR,因此可能会导入资源且随后会将资源标记为不合规。

      • 如果 IPAM 发现多个重叠的 CIDR,IPAM 将仅导入最大的 CIDR。

      • 如果 IPAM 发现多个具有匹配 CIDR 的 CIDR,IPAM 将只随机导入其中一个。

    • 最短网络掩码长度:此 IPAM 池中的 CIDR 分配所需的符合要求的最小网络掩码长度以及可以从池中分配的最大大小的 CIDR 块。最短网络掩码长度必须小于最大网络掩码长度。IPv4 地址的可能网络掩码长度为 0 - 32。IPv6 地址的可能网络掩码长度为 0 - 128

    • 默认网络掩码长度:添加到此池的分配的默认网络掩码长度。

    • 最大网络掩码长度:此池中的 CIDR 分配所需的最大网络掩码长度。此值表示可以从池中分配的最小大小的 CIDR 块。确保此值为最小 /48 值。

    • 标记要求:资源分配池中的空间所需的标签。如果资源在分配空间后更改了标签,或者如果池中的分配标记规则发生了更改,则该资源可能会被标记为不合规。

    • 区域设置:使用此池中的 CIDR 的资源所需的区域设置。自动导入的没有此区域设置的资源将被标记为不合规。不会自动导入到池中的资源将不允许从池中分配空间,除非它们位于此区域设置。

  12. (可选)为池选择标签

  13. 配置完池后,选择创建池

在继续之前,请确保已预置此 CIDR。您可以在池详细信息页面的 CIDR 选项卡中查看资源调配状态。

第 3 步。共享区域池

按照本节中的步骤使用 Amazon Resource Access Manager (RAM) 共享 IPAM 池。

4.1。在 Amazon RAM 中启用资源共享

创建 IPAM 后,您需要与组织中的其他账户共享区域池。在共享 IPAM 池之前,请先完成本部分中的步骤,启用与 Amazon RAM 的资源共享。如果要使用 Amazon CLI 启用资源共享,请使用 --profile management-account 选项。

启用资源共享
  1. 使用 Amazon Organizations 管理账户打开 Amazon RAM 控制台,地址:https://console.aws.amazon.com/ram/

  2. 在左侧导航窗格中,依次选择设置启用与 Amazon Organizations 共享保存设置

您现在可以与组织的其他成员共享 IPAM 池。

4.2。使用 Amazon RAM 共享 IPAM 池

在这一部分,您将与其他 Amazon Organizations 成员账户共享区域池。有关共享 IPAM 池的完整说明,例如所需 IAM 权限的相关信息,请参阅 使用 Amazon RAM 共享 IPAM 池。如果要使用 Amazon CLI 启用资源共享,请使用 --profile ipam-account 选项。

使用 Amazon RAM 共享 IPAM 池
  1. 使用 IPAM 管理员账户打开 IPAM 控制台,地址:https://console.aws.amazon.com/ipam/

  2. 在导航窗格中,选择

  3. 选择私有作用域,选择 IPAM 池,然后选择操作 > 查看详细信息。

  4. 资源共享下,选择创建资源共享。Amazon RAM 控制台将打开。您将使用 Amazon RAM 来共享该池。

  5. 选择创建资源共享

  6. 在 Amazon RAM 控制台中,再次选择创建资源共享

  7. 为共享资源添加名称

  8. “选择资源类型” 下,选择 IPAM 池,然后选择要共享的资源池的 ARN。

  9. 请选择 Next(下一步)

  10. 选择AWSRAMPermissionIpamPoolByoipCidrImport权限。本教程不提供权限选项的详细信息,但您可以在 使用 Amazon RAM 共享 IPAM 池 中查看有关这些选项的更多信息。

  11. 请选择 Next(下一步)

  12. 委托人 > 选择主体类型下,选择 Amazon 账户,输入要为 IPAM 提供 IP 地址范围的账户的账户 ID,然后选择添加

  13. 请选择 Next(下一步)

  14. 查看资源共享选项和要共享的主体,然后选择创建

  15. 要允许 member-account 账户从 IPAM 池中分配 IP 地址 CIDRS,请使用 AWSRAMDefaultPermissionsIpamPool 创建第二个资源共享并创建第二个资源共享。--resource-arns 的值是您在上一部分中创建的 IPAM 池的 ARN。--principals 的值是 BYOIP CIDR 拥有者账户的账户 ID。--permission-arns 的值是 AWSRAMDefaultPermissionsIpamPool 权限的 ARN。

第 4 步:创建 VPC

完成 Amazon VPC 用户指南创建 VPC 中的步骤。

此步骤必须由成员账户完成。

注意
  • 在 Amazon 管理控制台中打开 VPC 时,创建 VPC 的 Amazon 区域必须与您在创建将用于 BYOIP CIDR 的池时选择的 Locale 选项匹配。

  • 当您到达为 VPC 选择 CIDR 的步骤时,您可以选择使用 IPAM 池中的 CIDR。选择您在本教程中创建的区域池。

创建 VPC 时,Amazon 会将 IPAM 池中的 CIDR 分配给 VPC。您可以通过在 IPAM 控制台的内容窗格中选择池并查看池的分配选项卡来查看 IPAM 中的分配。

第 5 步:传播 CIDR

本部分中的步骤必须由 IPAM 账户完成。一旦您创建了 VPC,就可以开启传播您带入位于配置了 Service EC2 (EIP/VPC) 的池中的 Amazon 的 CIDR。在本教程中,这就是您的区域池。默认情况下,CIDR 不会被传播,这意味着它不能通过互联网公开访问。

此步骤必须由 IPAM 账户完成。

要传播 CIDR
  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在导航窗格中,选择 Pools(池)。

  3. 默认情况下,创建池时,默认的私有范围被选中。选择公有范围。有关范围的更多信息,请参阅 IPAM 的工作原理

  4. 选择您在本教程中创建的区域池。

  5. 选择 CIDR 选项卡。

  6. 选择 BYOIP CIDR,然后选择操作 > 广告

  7. 选择广告 CIDR

这样一来,将广告 BYOIP CIDR,并且广告列中的值将从已撤回变为已刊登广告

步骤 6:清除

按照本部分中的步骤清除您在本教程中预置和创建的资源。

步骤 1:从传播中撤回 CIDR

此步骤必须由 IPAM 账户完成。

  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在导航窗格中,选择 Pools(池)。

  3. 默认情况下,创建池时,默认的私有范围被选中。选择公有范围。

  4. 选择您在本教程中创建的区域池。

  5. 选择 CIDR 选项卡。

  6. 选择 BYOIP CIDR,然后选择操作>撤回广告

  7. 选择撤回 CIDR

此时将不再传播 BYOIP CIDR,Advertising(传播)栏中的值将从 Advertised(已传播)变为 Withdrawn(已撤回)。

步骤 2:删除 VPC

此步骤必须由成员账户完成。

  • 完成 Amazon VPC 用户指南删除 VPC 的步骤,删除 VPC。在 Amazon 管理控制台中打开 VPC 时,从中删除 VPC 的 Amazon 区域必须与您在创建将用于 BYOIP CIDR 的池时选择的 Locale 选项匹配。在本教程中,该池就是区域池。

    删除 VPC 时,IPAM 需要时间来发现资源已被删除并解除分配给 VPC 的 CIDR。除非在池详细信息分配选项卡中看到 IPAM 已从池中删除分配,否则无法继续执行清除中的下一步骤。

第 3 步:删除 RAM 共享并禁用与 Amazon Organizations 的 RAM 集成

此步骤必须分别由 IPAM 账户和管理账户完成。

步骤 4:从区域池和顶级池中取消预置 CIDR

此步骤必须由 IPAM 账户完成。

  • 按顺序完成 从池中取消预置 CIDR 中的步骤,从区域池中取消预置 CIDR,然后从顶级池中取消预置 CIDR。

步骤 5:删除区域池和顶级池

此步骤必须由 IPAM 账户完成。

  • 按顺序完成 删除池 中的步骤,删除区域池,然后删除顶级池。