使用 Amazon 管理控制台自带 IPv6 CIDR 到 IPAM 中
按照本教程中的步骤将 IPv6 CIDR 带入 IPAM,并使用 Amazon 管理控制台和 Amazon CLI 分配带有 CIDR 的 VPC。
如果不需要通过互联网公开发布 IPv6 地址,则可向 IPAM 预置私有 GUA IPv6 地址。有关更多信息,请参阅 启用预置私有 IPv6 GUA CIDR。
重要
本教程假定您已完成以下部分中的步骤:
-
本教程的每个步骤都必须由以下三个 Amazon Organizations 账户之一完成:
管理账户。
将 IPAM 与 Amazon Organization 中的账户集成 中配置为 IPAM 管理员的成员账户。在本教程中,此账户将被称为 IPAM 账户。
将从 IPAM 池中分配 CIDR 的企业中的成员账户。在本教程中,此账户将被称为成员账户。
步骤 1:创建顶级 IPAM 池
由于您将创建一个其中包含一个区域池的顶级 IPAM 池,并且我们将为区域池中的资源分配空间,因此您将在区域池中设置区域设置,而不是在顶级池中。在后面的步骤中创建区域池时,您将区域设置添加到区域池中。IPAM 与 BYOIP 集成要求在将用于 BYOIP CIDR 的任何一个池上设置区域设置。
此步骤必须由 IPAM 账户完成。
如需创建池
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择 Pools(池)。
-
默认情况下,创建池时,默认的私有范围被选中。选择公有范围。有关范围的更多信息,请参阅 IPAM 的工作原理。
-
选择创建池。
-
(可选)添加池的名称标签和池的描述。
-
在源下,选择 IPAM 范围。
-
在地址系列下,选择 IPv6。
-
在资源规划下,保持选中在范围内规划 IP 空间。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息,请参阅 教程:为子网 IP 分配规划 VPC IP 地址空间。
-
在区域设置下,选择无。您将在区域池中设置区域设置。
区域设置是您希望此 IPAM 池可用于分配的 Amazon 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。如果 IPAM 的主区域由于中断而不可用,并且池的区域设置与 IPAM 的主区域不同,则该池仍可用于分配 IP 地址。
注意
如果您只创建单个池而不是其中包含区域池的顶级池,则需要为此池选择一个区域设置,以便该池可用于分配。
-
在公有 IP 源下,BYOIP 默认处于选中状态。
-
在要预置的 CIDR 下,执行下列某项操作:
-
如果使用 X.509 证书验证域控制权,则必须包含 CIDR 和 BYOIP 消息以及在该步骤中创建的证书签名,以便我们验证您是否控制了公共空间。
-
如果使用 DNS TXT 记录验证域控制权,则必须包含 CIDR 和 IPAM 消息以及在该步骤中创建的验证令牌,以便我们验证您是否控制了公共空间。
请注意,在将 IPv6 CIDR 预置到顶级池中的池时,对于公开发布的 CIDR,可以引入的最具体 IPv6 地址范围是 /48;对于不公开发布的 CIDR,可以引入的最具体 IPv6 地址范围是 /60。
重要
虽然大多数预配置将在两小时内完成,但对于公开发布的范围,完成预配置过程可能需要长达一周的时间。
-
-
将配置此池的分配规则设置保持未选中状态。
(可选)为池选择 Tags(标签)。
选择创建池。
在继续之前,请确保已预置此 CIDR。您可以在池详细信息页面的 CIDR 选项卡中查看资源调配状态。
第 2 步:在顶级池中创建区域池
在顶级池中创建区域池。区域设置在池上是必需的,它必须是您在创建 IPAM 时配置的运营区域之一。
此步骤必须由 IPAM 账户完成。
要在顶级池中创建区域池
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择 Pools(池)。
-
默认情况下,创建池时,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 IPAM 的工作原理。
-
选择创建池。
-
(可选)添加池的名称标签和池的描述。
-
在源池下,选择您在上一部分中创建的顶级池。
-
在资源规划下,保持选中在范围内规划 IP 空间。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息,请参阅 教程:为子网 IP 分配规划 VPC IP 地址空间。
-
选择池的区域设置。选择区域设置可确保池与从中分配的资源之间没有跨区域依赖关系。可用的选项来自您在创建 IPAM 时选择的运营区域。在本教程中,我们将使用
us-east-2作为区域池的区域设置。区域设置是您希望此 IPAM 池可用于分配的 Amazon 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。如果 IPAM 的主区域由于中断而不可用,并且池的区域设置与 IPAM 的主区域不同,则该池仍可用于分配 IP 地址。
-
在服务下,选择 EC2 (EIP/VPC)。您选择的服务将决定可传播 CIDR 的 Amazon 服务。目前,唯一的选择是 EC2(EIP/VPC),这意味着从此池中分配的 CIDR 在 Amazon EC2 服务和 Amazon VPC 服务(适用于与 VPC 关联的 CIDR)中是可传播的。
-
在要预置的 CIDR 下,选择要为池预置的 CIDR。请注意,在将 IPv6 CIDR 预置到顶级池中的池时,对于公开发布的 CIDR,可以引入的最具体 IPv6 地址范围是 /48;对于不公开发布的 CIDR,可以引入的最具体 IPv6 地址范围是 /60。
启用配置此池的分配规则设置,并为此池选择可选分配规则:
自动导入发现的资源:如果区域设置被设置为无,则此选项不可用。如果选中此选项,IPAM 将持续查找此池的 CIDR 范围内的资源,并将其作为分配自动导入到 IPAM 中。请注意以下几点:
为了成功导入,不得将分配给这些资源的 CIDR 分配给其他资源。
无论 IPAM 是否符合池的分配规则,都将导入 CIDR,因此可能会导入资源且随后会将资源标记为不合规。
如果 IPAM 发现多个重叠的 CIDR,IPAM 将仅导入最大的 CIDR。
如果 IPAM 发现多个具有匹配 CIDR 的 CIDR,IPAM 将只随机导入其中一个。
最短网络掩码长度:此 IPAM 池中的 CIDR 分配所需的符合要求的最小网络掩码长度以及可以从池中分配的最大大小的 CIDR 块。最短网络掩码长度必须小于最大网络掩码长度。IPv4 地址的可能网络掩码长度为
0-32。IPv6 地址的可能网络掩码长度为0-128。默认网络掩码长度:添加到此池的分配的默认网络掩码长度。
最大网络掩码长度:此池中的 CIDR 分配所需的最大网络掩码长度。此值表示可以从池中分配的最小大小的 CIDR 块。确保此值为最小
/48值。标记要求:资源分配池中的空间所需的标签。如果资源在分配空间后更改了标签,或者如果池中的分配标记规则发生了更改,则该资源可能会被标记为不合规。
-
区域设置:使用此池中的 CIDR 的资源所需的区域设置。自动导入的没有此区域设置的资源将被标记为不合规。不会自动导入到池中的资源将不允许从池中分配空间,除非它们位于此区域设置。
(可选)为池选择标签。
-
配置完池后,选择创建池。
在继续之前,请确保已预置此 CIDR。您可以在池详细信息页面的 CIDR 选项卡中查看资源调配状态。
第 3 步:共享区域池
按照本部分中的步骤使用 Amazon Resource Access Manager(RAM)共享 IPAM 池。
在 Amazon RAM 中启用资源共享
创建 IPAM 后,您需要与组织中的其他账户共享区域池。在共享 IPAM 池之前,请先完成本部分中的步骤,启用与 Amazon RAM 的资源共享。如果要使用 Amazon CLI 启用资源共享,请使用 --profile
选项。management-account
启用资源共享
-
使用 Amazon Organizations 管理账户打开 Amazon RAM 控制台,地址:https://console.aws.amazon.com/ram/
。 -
在左侧导航窗格中,依次选择设置、启用与 Amazon Organizations 共享、保存设置。
您现在可以与组织的其他成员共享 IPAM 池。
使用 Amazon RAM 共享 IPAM 池
在这一部分,您将与其他 Amazon Organizations 成员账户共享区域池。有关共享 IPAM 池的完整说明,例如所需 IAM 权限的相关信息,请参阅 使用 Amazon RAM 共享 IPAM 池。如果要使用 Amazon CLI 启用资源共享,请使用 --profile 选项。ipam-account
使用 Amazon RAM 共享 IPAM 池
-
使用 IPAM 管理员账户打开 IPAM 控制台,地址:https://console.aws.amazon.com/ipam/
。 -
在导航窗格中,选择池。
-
依次选择私有范围、IPAM 池以及操作 > 查看详细信息。
-
在资源共享下,选择创建资源共享。Amazon RAM 控制台将打开。您将使用 Amazon RAM 来共享该池。
-
选择创建资源共享。
-
在 Amazon RAM 控制台中,再次选择创建资源共享。
-
为共享资源添加名称。
-
在选择资源类型下,选择 IPAM 池,然后选择要共享的池的 ARN。
-
选择下一步。
-
选择 AWSRAMPermissionIpamPoolByoipCidrImport 权限。本教程不提供权限选项的详细信息,但您可以在 使用 Amazon RAM 共享 IPAM 池 中查看有关这些选项的更多信息。
-
选择下一步。
-
在委托人 > 选择主体类型下,选择 Amazon 账户,输入要为 IPAM 提供 IP 地址范围的账户的账户 ID,然后选择添加。
-
选择下一步。
-
查看资源共享选项和要共享的主体,然后选择创建。
-
要允许
member-account账户从 IPAM 池中分配 IP 地址 CIDRS,请使用AWSRAMDefaultPermissionsIpamPool创建第二个资源共享。--resource-arns的值是您在上一部分中创建的 IPAM 池的 ARN。--principals的值是member-account的账户 ID。--permission-arns的值是AWSRAMDefaultPermissionsIpamPool权限的 ARN。
第 4 步:创建 VPC
完成《Amazon VPC 用户指南》中的创建 VPC 中的步骤。
此步骤必须由成员账户完成。
注意
在 Amazon 管理控制台中打开 VPC 时,创建 VPC 的 Amazon 区域必须与您在创建将用于 BYOIP CIDR 的池时选择的
Locale选项匹配。当您到达为 VPC 选择 CIDR 的步骤时,您可以选择使用 IPAM 池中的 CIDR。选择您在本教程中创建的区域池。
创建 VPC 时,Amazon 会将 IPAM 池中的 CIDR 分配给 VPC。您可以通过在 IPAM 控制台的内容窗格中选择池并查看池的分配选项卡来查看 IPAM 中的分配。
第 5 步:传播 CIDR
本部分中的步骤必须由 IPAM 账户完成。一旦您创建了 VPC,就可以开启传播您带入位于配置了 Service EC2 (EIP/VPC) 的池中的 Amazon 的 CIDR。在本教程中,这就是您的区域池。默认情况下,CIDR 不会被传播,这意味着它不能通过互联网公开访问。
此步骤必须由 IPAM 账户完成。
要传播 CIDR
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择 Pools(池)。
-
默认情况下,创建池时,默认的私有范围被选中。选择公有范围。有关范围的更多信息,请参阅 IPAM 的工作原理。
-
选择您在本教程中创建的区域池。
-
选择 CIDR 选项卡。
-
选择 BYOIP CIDR,然后选择操作 > 广告。
-
选择广告 CIDR。
这样一来,将广告 BYOIP CIDR,并且广告列中的值将从已撤回变为已刊登广告。
步骤 6:清除
按照本部分中的步骤清除您在本教程中预置和创建的资源。
步骤 1:从传播中撤回 CIDR
此步骤必须由 IPAM 账户完成。
在 https://console.aws.amazon.com/ipam/
中打开 IPAM 控制台。 -
在导航窗格中,选择 Pools(池)。
-
默认情况下,创建池时,默认的私有范围被选中。选择公有范围。
-
选择您在本教程中创建的区域池。
-
选择 CIDR 选项卡。
-
选择 BYOIP CIDR,然后选择操作>撤回广告。
-
选择撤回 CIDR。
此时将不再传播 BYOIP CIDR,Advertising(传播)栏中的值将从 Advertised(已传播)变为 Withdrawn(已撤回)。
步骤 2:删除 VPC
此步骤必须由成员账户完成。
完成《Amazon VPC 用户指南》中的删除 VPC 中的步骤以删除 VPC。在 Amazon 管理控制台中打开 VPC 时,从中删除 VPC 的 Amazon 区域必须与您在创建将用于 BYOIP CIDR 的池时选择的
Locale选项匹配。在本教程中,该池就是区域池。删除 VPC 时,IPAM 需要时间来发现资源已被删除并解除分配给 VPC 的 CIDR。除非在池详细信息分配选项卡中看到 IPAM 已从池中删除分配,否则无法继续执行清除中的下一步骤。
第 3 步:删除 RAM 共享并禁用与 Amazon Organizations 的 RAM 集成
此步骤必须分别由 IPAM 账户和管理账户完成。
-
完成《Amazon RAM 用户指南》中 删除 Amazon RAM 中的资源共享 和 禁用与 Amazon Organizations 的资源共享 所述的步骤,删除 RAM 共享并禁用与 Amazon Organizations 的 RAM 集成。