使用 Amazon 管理控制台自带 IPv6 CIDR 到 IPAM 中
按照本教程中的步骤将 IPv6 CIDR 带入 IPAM,并使用 Amazon 管理控制台分配带有 CIDR 的 VPC。
本教程假定您已完成以下部分中的步骤:
-
本教程的每个步骤都必须由以下三个 Amazon Organizations 账户之一完成:
管理账户。
将 IPAM 与 Amazon Organizations 集成 中配置为 IPAM 管理员的成员账户。在本教程中,此账户将被称为 IPAM 账户。
将从 IPAM 池中分配 CIDR 的企业中的成员账户。在本教程中,此账户将被称为成员账户。
目录
步骤 1:创建顶级 IPAM 池
由于您将创建一个其中包含一个区域池的顶级 IPAM 池,并且我们将为区域池中的资源(弹性 IP 地址)分配空间,因此您将在区域池中设置区域设置,而不是在顶级池中。在后面的步骤中创建区域池时,您将区域设置添加到区域池中。IPAM 与 BYOIP 集成要求在将用于 BYOIP CIDR 的任何一个池上设置区域设置。
此步骤必须由 IPAM 账户完成。
要创建池
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择 Pools(池)。
-
默认情况下,创建池时,默认的私有范围被选中。选择公有范围。有关范围的更多信息,请参阅 IPAM 的工作原理。
-
选择 Create pool。
-
(可选)添加池的 Name tag(名称标签)和池的 Description(描述)。
-
在 Source pool(源池)下,选择 No source pool(无源池)。
-
在 Address family(地址族)下,选择 IPv6。
-
确保选择了 Allow CIDRs in this pool to be publicly advertisable(允许此池中的 CIDR 可公开传播)。
-
在 Locale(区域设置)下,选择 None(无)。您将在区域池中设置区域设置。
区域设置是您希望此 IPAM 池可用于分配的 Amazon 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。
注意 如果您只创建单个池而不是其中包含区域池的顶级池,则需要为此池选择一个区域设置,以便该池可用于分配。
-
在 CIDRs to provision(要预置的 CIDR)下,选择要为池预置的 CIDR。请注意,将 IPv6 CIDR 预置到顶级池中的资源池时,您可以为可传播 IPAM 池预置的最低 IPv6 CIDR 为
/48
;不允许使用更具体的 CIDR(例如/49
)。您可以为不可传播的 IPAM 池带来的最低 CIDR 为/56;
;不允许使用更具体的 CIDR(例如/57
)。您必须在请求中包含 CIDR、BYOIP 消息和证书签名,以便我们验证您是否拥有公有空间。有关 BYOIP 先决条件的列表,包括如何获取此 BYOIP 消息和证书签名,请参阅 使用 Amazon 管理控制台和 Amazon CLI 自带公有 IPv4 CIDR 到 IPAM 中。 不选中 Use this pool to allocate CIDRs to resources such as VPCs(使用此池将 CIDR 分配给 VPC 等资源)。
(可选)为池选择 Tags(标签)。
选择 Create pool。
在继续之前,请确保已预置此 CIDR。您可以在池详细信息页面的 CIDRs 选项卡中查看资源调配状态。请注意,预置 BYOIP CIDR 最多可能需要一周。
第 2 步 在顶级池中创建区域池
在顶级池中创建区域池。区域设置在池上是必需的,它必须是您在创建 IPAM 时配置的运营区域之一。
此步骤必须由 IPAM 账户完成。
要在顶级池中创建区域池
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择 Pools(池)。
-
默认情况下,创建池时,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 IPAM 的工作原理。
-
选择 Create pool。
-
(可选)添加池的 Name tag(名称标签)和池的描述。
-
在 Source pool(源池)下,选择您在上一部分中创建的顶级池。
-
选择池的区域设置。选择区域设置可确保池与从中分配的资源之间没有跨区域依赖关系。可用的选项来自您在创建 IPAM 时选择的运营区域。在本教程中,我们将使用
us-east-2
作为区域池的区域设置。区域设置是您希望此 IPAM 池可用于分配的 Amazon 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。
-
在 Service(服务)下,选择 EC2 Service (EIP/VPC)(EC2 服务 (EIP/VPC))。
-
在 CIDRs to provision(要预置的 CIDR)下,选择要为该池预置的 CIDR。请注意,将 IPv6 CIDR 预置到顶级池中的资源池时,您可以为可传播 IPAM 池预置的最低 IPv6 CIDR 为
/48
;不允许使用更具体的 CIDR(例如/49
)。您可以为不可传播的 IPAM 池带来的最低 CIDR 为/56
;不允许使用更具体的 CIDR(例如/57
)。 选择 Use this pool to allocate CIDRs to resources such as VPCs(使用此池将 CIDR 分配给 VPC 等资源),并为此池选择可选分配规则:
自动导入发现的资源:如果 Locale(区域设置)被设置为 None(无),则此选项不可用。如果选中此选项,IPAM 将持续查找此池的 CIDR 范围内的资源,并将其作为分配自动导入到 IPAM 中。请注意以下几点:
为了成功导入,不得将分配给这些资源的 CIDR 分配给其他资源。
无论 IPAM 是否符合池的分配规则,都将导入 CIDR,因此可能会导入资源且随后会将资源标记为不合规。
如果 IPAM 发现多个重叠的 CIDR,IPAM 将仅导入最大的 CIDR。
如果 IPAM 发现多个具有匹配 CIDR 的 CIDR,IPAM 将只随机导入其中一个。
最短网络掩码长度:此 IPAM 池中的 CIDR 分配所需的符合要求的最小网络掩码长度以及可以从池中分配的最大大小的 CIDR 块。最短网络掩码长度必须小于最大网络掩码长度。IPv4 地址的可能网络掩码长度为
0
-32
。IPv6 地址的可能网络掩码长度为0
-128
。默认网络掩码长度:添加到此池的分配的默认网络掩码长度。
最大网络掩码长度:此池中的 CIDR 分配所需的最大网络掩码长度。此值表示可以从池中分配的最小大小的 CIDR 块。确保此值为最小
/48
值。标记要求:资源分配池中的空间所需的标签。如果资源在分配空间后更改了标签,或者如果池中的分配标记规则发生了更改,则该资源可能会被标记为不合规。
-
区域设置:使用此池中的 CIDR 的资源所需的区域设置。自动导入的没有此区域设置的资源将被标记为不合规。不会自动导入到池中的资源将不允许从池中分配空间,除非它们位于此区域设置。
(可选)为池选择 Tags(标签)。
-
配置完池后,选择 Create pool(创建池)。
在继续之前,请确保已预置此 CIDR。您可以在池详细信息页面的 CIDRs 选项卡中查看资源调配状态。
步骤 3:启用使用 Amazon RAM 与 Amazon Organizations 共享资源
您将使用 Amazon RAM 与希望从区域池中为 VPC 分配 CIDR 的 Amazon Organizations 成员账户共享您的区域池。在此之前,您必须启用与 Amazon Organizations 的 RAM 集成。
在继续本教程之前,管理账户必须完成 Amazon RAM 用户指南中启用在 Amazon Organizations 内部资源共享中的步骤。在 RAM 中启用资源共享后,转到本教程的下一步骤。
步骤 4:使用 Amazon RAM 与 Amazon Organizations 成员账户共享您的区域池
完成 使用 Amazon RAM 共享 IPAM 池 中的流程,并与 Amazon Organizations 成员账户共享区域池。
此步骤必须由 IPAM 账户完成。
创建资源共享时,请确保:
主体是将从池中分配 CIDR 的成员账户的账户 ID。
将 AWSRAMPermissionIpamPoolByoipCidrImport 权限分配给池。
步骤 5:创建 VPC
完成 Amazon VPC 用户指南的创建 VPC 中的步骤。
此步骤必须由成员账户完成。
在 Amazon 管理控制台中打开 VPC 时,创建 VPC 的 Amazon 区域必须与您在创建将用于 BYOIP CIDR 的池时选择的
Locale
选项匹配。当您到达为 VPC 选择 CIDR 的步骤时,您可以选择使用 IPAM 池中的 CIDR。选择您在本教程中创建的区域池。
创建 VPC 时,Amazon 会将 IPAM 池中的 CIDR 分配给 VPC。您可以通过在 IPAM 控制台的内容窗格中选择池并查看池的 Allocations(分配)选项卡来查看 IPAM 中的分配。
步骤 6:传播 CIDR
本部分中的步骤必须由 IPAM 账户完成。一旦您创建了 VPC,就可以开始传播您带入位于定义了 Service ec2 的池中的 Amazon 的 CIDR。在本教程中,这就是您的区域池。默认情况下,CIDR 不会被传播,这意味着它不能通过互联网公开访问。
此步骤必须由 IPAM 账户完成。
要传播 CIDR
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择 Pools(池)。
-
默认情况下,创建池时,默认的私有范围被选中。选择公有范围。有关范围的更多信息,请参阅 IPAM 的工作原理。
-
选择您在本教程中创建的区域池。
-
选择 CIDRs 选项卡。
-
选择 BYOIP CIDR,然后选择 Actions(操作)> Advertise(传播)。
-
选择 Advertise CIDR(传播 CIDR)。
此时将传播 BYOIP CIDR,Advertising(传播)栏中的值将从 Withdrawn(已撤回)变为 Advertised(已传播)。
步骤 7:清除
按照本部分中的步骤清除您在本教程中预置和创建的资源。
步骤 1:从传播中撤回 CIDR
此步骤必须由 IPAM 账户完成。
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择 Pools(池)。
-
默认情况下,创建池时,默认的私有范围被选中。选择公有范围。
-
选择您在本教程中创建的区域池。
-
选择 CIDRs 选项卡。
-
选择 BYOIP CIDR,然后选择 Actions(操作)> Withdraw from advertising(撤回传播)。
-
选择 Withdraw CIDR(撤回 CIDR)。
此时将不再传播 BYOIP CIDR,Advertising(传播)栏中的值将从 Advertised(已传播)变为 Withdrawn(已撤回)。
步骤 2:删除 VPC
此步骤必须由成员账户完成。
完成 Amazon VPC 用户指南中删除 VPC 的步骤,删除 VPC。在 Amazon 管理控制台中打开 VPC 时,从中删除 VPC 的 Amazon 区域必须与您在创建将用于 BYOIP CIDR 的池时选择的
Locale
选项匹配。在本教程中,该池就是区域池。删除 VPC 时,IPAM 需要时间来发现资源已被删除并解除分配给 VPC 的 CIDR。除非在池详细信息 Allocations(分配)选项卡中看到 IPAM 已从池中删除分配,否则无法继续执行清除中的下一步骤。
步骤 3:删除 RAM 共享并禁用与 Amazon Organizations 的 RAM 集成
此步骤必须分别由 IPAM 账户和管理账户完成。
-
按照 Amazon RAM 用户指南中删除 Amazon RAM 中的资源共享和禁用与 Amazon Organizations 的资源共享的顺序,完成删除 RAM 共享并禁用与 Amazon Organizations 的 RAM 集成的步骤。