Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie mithilfe von Terraform eine hierarchische IPAM-Architektur mit mehreren Regionen AWS
Donny Schreiber, Amazon Web Services
Zusammenfassung
Die IP-Adressverwaltung (IPAM) ist eine wichtige Komponente des Netzwerkmanagements und wird mit der Skalierung ihrer Cloud-Infrastruktur immer komplexer. Ohne richtiges IPAM riskieren Unternehmen IP-Adresskonflikte, verschwendeten Adressraum und komplexe Problemlösungen, die zu Ausfällen und Anwendungsausfällen führen können. Dieses Muster zeigt, wie Sie mithilfe von Terraform eine umfassende IPAM-Lösung für AWS Unternehmensumgebungen implementieren können. HashiCorp Es hilft Unternehmen dabei, eine hierarchische IPAM-Architektur mit mehreren Regionen zu erstellen, die eine zentralisierte IP-Adressverwaltung für alle Bereiche einer Organisation ermöglicht. AWS-KontenAWS
Dieses Muster hilft Ihnen bei der Implementierung von Amazon VPC IP Address Manager mit einer ausgeklügelten vierstufigen Poolhierarchie: Pool der obersten Ebene, regionale Pools, Geschäftsbereichspools und umgebungsspezifische Pools. Diese Struktur unterstützt die ordnungsgemäße Verwaltung von IP-Adressen und ermöglicht gleichzeitig die Delegierung der IP-Verwaltung an die entsprechenden Teams innerhalb der Organisation. Die Lösung verwendet AWS Resource Access Manager (AWS RAM) für die nahtlose gemeinsame Nutzung von IP Address Manager-Pools im gesamten Unternehmen. AWS RAM zentralisiert und standardisiert die IPAM-Spezifikationen, auf die Teams bei allen verwalteten Konten aufbauen können.
Dieses Muster kann Ihnen dabei helfen, Folgendes zu erreichen:
Automatisieren Sie die Zuweisung von IP-Adressen für verschiedene AWS-Regionen Geschäftsbereiche und Umgebungen.
Setzen Sie die Netzwerkrichtlinien Ihres Unternehmens durch programmatische Validierung durch.
Skalieren Sie die Netzwerkinfrastruktur effizient, wenn sich die Geschäftsanforderungen weiterentwickeln.
Reduzieren Sie den betrieblichen Aufwand durch die zentrale Verwaltung von IP-Adressräumen.
Beschleunigen Sie Cloud-native Workload-Bereitstellungen mit Self-Service-CIDR-Bereichszuweisung.
Vermeiden Sie Adresskonflikte durch richtlinienbasierte Kontrollen und Validierungen.
Voraussetzungen und Einschränkungen
Voraussetzungen
Eine oder mehrere AWS-Konten, die als Organisation verwaltet werden in. AWS Organizations
Ein Netzwerk-Hub oder ein Netzwerkverwaltungskonto, das als delegierter IP Address Manager-Administrator dient.
AWS Command Line Interface (AWS CLI), installiert und konfiguriert.
Berechtigungen zur Verwaltung von IP Address Manager und virtuellen privaten Clouds (VPCs), konfiguriert in AWS Identity and Access Management (IAM). AWS RAM
Einschränkungen
IP Address Manager unterliegt Dienstkontingenten. Das Standarddienstkontingent für Pools beträgt 50 pro Bereich. Wenn diese Bereitstellung für 6 Regionen, 2 Geschäftsbereiche und 4 Umgebungen ausgeführt würde, würden 67 Pools entstehen. Daher könnte eine Erhöhung des Kontingents erforderlich sein.
Das Ändern oder Löschen von IP Address Manager-Pools nach der Zuweisung von Ressourcen kann zu Abhängigkeitsproblemen führen. Sie müssen die Zuweisung freigeben, bevor Sie den Pool löschen können.
In IP Address Manager kann es bei der Ressourcenüberwachung zu leichten Verzögerungen kommen, wenn Ressourcenänderungen berücksichtigt werden. Diese Verzögerung kann etwa 20 Minuten betragen.
IP Address Manager kann nicht automatisch die Eindeutigkeit von IP-Adressen in verschiedenen Bereichen erzwingen.
Benutzerdefinierte Tags müssen den Best Practices für AWS Tagging entsprechen. Beispielsweise muss jeder Schlüssel einzigartig sein und darf nicht mit
aws:beginnen.Bei der Integration von IP Address Manager mit Konten außerhalb Ihrer Organisation gibt es Überlegungen und Einschränkungen.
Architektur
Zielarchitektur
Konfiguration und Poolhierarchie von IP Address Manager
Das folgende Diagramm zeigt die logischen Konstrukte der Zielarchitektur. Ein Bereich ist der Container der höchsten Ebene in IP Address Manager. Jeder Bereich stellt den IP-Adressraum für ein einzelnes Netzwerk dar. Die Pools sind Sammlungen zusammenhängender IP-Adressbereiche (oder CIDR-Bereiche) innerhalb des Bereichs. Pools helfen Ihnen dabei, Ihre IP-Adressen entsprechend Ihren Routing- und Sicherheitsanforderungen zu organisieren. Dieses Diagramm zeigt vier hierarchische Ebenen von Pools: einen Pool der obersten Ebene, regionale Pools, Geschäftsbereichspools und Umgebungspools.
Diese Lösung erstellt eine klare Hierarchie von IP Address Manager-Pools:
Der Pool der obersten Ebene umfasst den gesamten IP-Adressraum der Organisation, z. B.
10.176.0.0/12Die regionalen Pools sind für regionsspezifische Zuweisungen vorgesehen, z. B. für.
10.176.0.0/15us-east-1Bei den Pools der Geschäftsbereiche handelt es sich um domänenspezifische Zuweisungen innerhalb der einzelnen Geschäftsbereiche. AWS-Region Das könnte beispielsweise die Finanzabteilung in der
us-east-1Region getan haben.10.176.0.0/16Bei den Umgebungspools handelt es sich um zweckspezifische Zuweisungen für verschiedene Umgebungen. Die Finanzabteilung in der
us-east-1Region könnte beispielsweise10.176.0.0/18für eine Produktionsumgebung zuständig sein.
Diese Bereitstellungstopologie verteilt die Ressourcen von IP Address Manager geografisch und gewährleistet gleichzeitig die zentrale Steuerung. Im Folgenden sind ihre Funktionen aufgeführt:
IP Address Manager wird in einem einzigen Primärserver bereitgestellt AWS-Region.
Zusätzliche Regionen sind als Betriebsregionen registriert, in denen IP Address Manager Ressourcen verwalten kann.
Jede Betriebsregion erhält einen eigenen Adresspool aus dem Pool der obersten Ebene.
Ressourcen in allen Betriebsregionen werden zentral über den IP Address Manager in der primären Region verwaltet.
Jeder regionale Pool verfügt über eine Gebietsschemaeigenschaft, die mit seiner Region verknüpft ist, sodass Sie Ressourcen ordnungsgemäß zuweisen können.
Erweiterte Validierung des CIDR-Bereichs
Diese Lösung wurde entwickelt, um die Bereitstellung ungültiger Konfigurationen zu verhindern. Wenn Sie die Pools über Terraform bereitstellen, wird Folgendes während der Terraform-Planphase validiert:
Überprüft, ob alle CIDR-Bereiche der Umgebung in den CIDR-Bereichen der übergeordneten Geschäftseinheit enthalten sind
Bestätigt, dass alle CIDR-Bereiche der Geschäftseinheit in den CIDR-Bereichen der übergeordneten Region enthalten sind
Überprüft, ob alle regionalen CIDR-Bereiche in den CIDR-Bereichen der obersten Ebene enthalten sind
Prüft auf überlappende CIDR-Bereiche innerhalb derselben Hierarchieebene
Überprüft die korrekte Zuordnung der Umgebungen zu ihren jeweiligen Geschäftsbereichen
CIDR-Bereichszuweisung
Das folgende Diagramm zeigt ein Beispiel dafür, wie Entwickler oder Administratoren neue IP-Adressen erstellen VPCs und ihnen aus den Poolebenen zuweisen können.
Das Diagramm zeigt den folgenden Workflow:
Über die AWS-Managementkonsole AWS CLI, die oder über Infrastructure as Code (IaC) fordert ein Entwickler oder Administrator den nächsten verfügbaren CIDR-Bereich im
AY3Umgebungspool an.IP Address Manager weist der VPC den nächsten verfügbaren CIDR-Bereich in diesem Pool zu.
AY3-4Dieser CIDR-Bereich kann nicht mehr verwendet werden.
Automatisierung und Skalierung
Diese Lösung ist auf folgende Skalierbarkeit ausgelegt:
Regionale Erweiterung — Fügen Sie neue Regionen hinzu, indem Sie die Terraform-Konfiguration um zusätzliche regionale Pooleinträge erweitern.
Wachstum von Geschäftsbereichen — Support Sie neue Geschäftsbereiche, indem Sie sie zur BU-Konfigurationsübersicht hinzufügen.
Flexibilität der Umgebung — Konfigurieren Sie verschiedene Umgebungstypen, z. B. Entwicklung oder Produktion, auf der Grundlage der organisatorischen Anforderungen.
Unterstützung mehrerer Konten — Teilen Sie Pools über alle Konten in Ihrer Organisation. AWS RAM
Automatisierte VPC-Bereitstellung — Integrieren Sie in VPC-Bereitstellungs-Workflows, um die CIDR-Bereichszuweisung zu automatisieren.
Die hierarchische Struktur ermöglicht auch verschiedene Ebenen der Delegierung und Kontrolle, wie z. B. die folgenden:
Netzwerkadministratoren können die Pools der obersten Ebene und die regionalen Pools verwalten.
IT-Teams der Geschäftsbereiche haben möglicherweise die Kontrolle über ihre jeweiligen Pools delegiert.
Anwendungsteams verwenden möglicherweise IP-Adressen aus ihren zugewiesenen Umgebungspools.
Anmerkung
Sie können diese Lösung auch in AWS Control Tower Account Factory for Terraform (AFT) integrieren. Weitere Informationen finden Sie unter Integration mit AFT im Abschnitt Zusätzliche Informationen dieses Musters.
Tools
AWS-Services
Amazon CloudWatch hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
AWS Organizationsist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
AWS Resource Access Manager (AWS RAM) hilft Ihnen dabei, Ihre Ressourcen sicher gemeinsam zu nutzen AWS-Konten , um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
Amazon Virtual Private Cloud (Amazon VPC) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS. IP Address Manager ist eine Funktion von Amazon VPC. Es hilft Ihnen bei der Planung, Nachverfolgung und Überwachung von IP-Adressen für Ihre AWS Workloads.
Andere Tools
HashiCorp Terraform
ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können.
Code-Repository
Der Code für dieses Muster ist in der Terraform-Beispielimplementierung für Hierarchical IPAM
Root-Modul — Orchestrierung der Bereitstellung und Eingabevariablen.
IPAM-Modul — Kernimplementierung der in diesem Muster beschriebenen Architektur.
Tags-Modul — Standardisiertes Tagging für alle Ressourcen.
Best Practices
Beachten Sie die folgenden bewährten Methoden für die Netzwerkplanung:
Planen Sie zuerst — Planen Sie Ihren IP-Adressraum vor der Bereitstellung gründlich. Weitere Informationen finden Sie unter Plan für die Bereitstellung von IP-Adressen.
Vermeiden Sie überlappende CIDR-Bereiche — Stellen Sie sicher, dass sich die CIDR-Bereiche auf jeder Ebene nicht überschneiden.
Reservieren Sie Pufferspeicher — Ordnen Sie immer größere CIDR-Bereiche zu, als sofort benötigt werden, um dem Wachstum Rechnung zu tragen.
Dokumentieren Sie die IP-Adresszuweisung — Bewahren Sie die Dokumentation Ihrer IP-Adresszuweisungsstrategie auf.
Beachten Sie die folgenden bewährten Bereitstellungsmethoden:
Beginnen Sie mit Nichtproduktionsumgebungen — Stellen Sie die Lösung zunächst in Umgebungen außerhalb der Produktion bereit.
Verwenden Sie die Terraform-Statusverwaltung — Implementieren Sie die Speicherung und Sperrung von Zuständen aus der Ferne. Weitere Informationen finden Sie unter State Storage and Locking
in der Terraform-Dokumentation. Versionskontrolle implementieren — Versionskontrolle für den gesamten Terraform-Code.
CI/CD Integration implementieren — Verwenden Sie CI/CD-Pipelines (Continuous Integration und Continuous Delivery) für wiederholbare Bereitstellungen.
Beachten Sie die folgenden bewährten Methoden für den Betrieb:
Automatischen Import aktivieren — Konfigurieren Sie einen IP Address Manager-Pool, um vorhandene Ressourcen automatisch zu erkennen und zu importieren. Folgen Sie den Anweisungen unter Einen IPAM-Pool bearbeiten, um den automatischen Import zu aktivieren.
IP-Adressnutzung überwachen — Richten Sie Alarme für Schwellenwerte für die IP-Adressnutzung ein. Weitere Informationen finden Sie unter Überwachen von IPAM mit Amazon CloudWatch.
Regelmäßige Prüfung — Prüfen Sie regelmäßig die Nutzung von IP-Adressen und deren Einhaltung. Weitere Informationen finden Sie unter Nachverfolgung der IP-Adressnutzung in IPAM.
Ungenutzte Zuweisungen bereinigen — Geben Sie IP-Adresszuweisungen frei, wenn Ressourcen außer Betrieb genommen werden. Weitere Informationen finden Sie unter Deprovision CIDRs aus einem Pool.
Beachten Sie die folgenden bewährten Sicherheitsmethoden:
Implementieren Sie die geringsten Rechte — Verwenden Sie IAM-Rollen mit den erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden in IAM und Identitäts- und Zugriffsmanagement in IPAM.
Dienststeuerungsrichtlinien verwenden — Implementieren Sie Dienststeuerungsrichtlinien (SCPs), um die Verwendung von IP Address Manager in Ihrem Unternehmen durchzusetzen. Weitere Informationen finden Sie unter IPAM-Verwendung für die VPC-Erstellung erzwingen mit. SCPs
Steuern Sie die gemeinsame Nutzung von Ressourcen — Verwalten Sie den Umfang der gemeinsamen Nutzung von IP Address Manager-Ressourcen sorgfältig in. AWS RAM Weitere Informationen finden Sie unter Einen IPAM-Pool gemeinsam nutzen mit AWS RAM.
Tagging erzwingen — Implementieren Sie obligatorisches Tagging für alle Ressourcen im Zusammenhang mit IP Address Manager. Weitere Informationen finden Sie unter Tagging-Strategie im Abschnitt Zusätzliche Informationen.
Epen
| Aufgabe | Description | Erforderliche Fähigkeiten |
|---|---|---|
AWS Organizations Funktionen aktivieren. | Stellen Sie sicher, AWS Organizations dass alle Funktionen aktiviert sind. Anweisungen finden Sie AWS Organizations in der AWS Organizations Dokumentation unter Alle Funktionen für eine Organisation aktivieren mit. | AWS-Administrator |
Aktivieren Sie die gemeinsame Nutzung von Ressourcen in AWS RAM. | Geben Sie mit dem den folgenden Befehl ein AWS CLI, um die gemeinsame Nutzung von AWS RAM Ressourcen für Ihre Organisation zu aktivieren:
Weitere Informationen finden Sie AWS Organizations in der AWS RAM Dokumentation unter Aktivieren der gemeinsamen Nutzung von Ressourcen innerhalb. | AWS-Administrator |
Benennen Sie einen Administrator für IP Address Manager. | Geben Sie im Verwaltungskonto der Organisation mit dem den AWS CLI folgenden Befehl ein. Dabei
AnmerkungIn der Regel wird ein Netzwerk- oder Netzwerk-Hub-Konto als delegierter Administrator für IP Address Manager verwendet. Weitere Informationen finden Sie unter Integrieren von IPAM mit Konten in einer AWS Organisation in der IP Address Manager-Dokumentation. | AWS-Administrator |
| Aufgabe | Description | Erforderliche Fähigkeiten |
|---|---|---|
Definieren Sie die Netzwerkarchitektur. | Definieren und dokumentieren Sie Ihre Netzwerkarchitektur, einschließlich der CIDR-Bereiche für Regionen, Geschäftsbereiche und Umgebungen. Weitere Informationen finden Sie unter Plan für die IP-Adressbereitstellung in der IP Address Manager-Dokumentation. | Netzwerkingenieur |
Klonen Sie das Repository |
| DevOps Ingenieur |
Konfigurieren Sie die Variablen. |
| Netzwerkingenieur, Terraform |
Stellen Sie die Ressourcen des IP Address Managers bereit. |
| Terraform |
Bestätigen Sie die Bereitstellung. |
| Allgemein AWS, Netzwerktechniker |
| Aufgabe | Description | Erforderliche Fähigkeiten |
|---|---|---|
Erstellen Sie eine VPC. | Folgen Sie den Schritten unter Erstellen einer VPC in der Amazon VPC-Dokumentation. Wenn Sie den Schritt zur Auswahl eines CIDR-Bereichs für die VPC erreicht haben, weisen Sie den nächsten verfügbaren aus einem Ihrer Regional-, Geschäftsbereichs- und Umgebungspools zu. | Allgemein AWS, Netzwerkadministrator, Netzwerkingenieur |
Überprüfen Sie die CIDR-Bereichszuweisung. |
| Allgemein AWS, Netzwerkadministrator, Netzwerkingenieur |
Überwachen Sie den IP-Adressmanager. | Konfigurieren Sie die Überwachung und Alarme im Zusammenhang mit der Zuweisung von IP Address Manager-Ressourcen. Weitere Informationen und Anweisungen finden Sie unter Überwachen von IPAM mit Amazon CloudWatch und Überwachen der CIDR-Nutzung nach Ressourcen in der IP Address Manager-Dokumentation. | Allgemeines AWS |
Erzwingen Sie die Verwendung von IP Address Manager. | Erstellen Sie eine Service Control Policy (SCP) AWS Organizations , nach der Mitglieder in Ihrer Organisation IP Address Manager verwenden müssen, wenn sie eine VPC erstellen. Anweisungen finden Sie unter IPAM-Verwendung für die VPC-Erstellung erzwingen mit SCPs in der IP Address Manager-Dokumentation. | Allgemein AWS, AWS-Administrator |
Fehlerbehebung
| Problem | Lösung |
|---|---|
Terraform schlägt fehl, da die IP Address Manager-Ressource nicht gefunden wurde | Stellen Sie sicher, dass das IP Address Manager-Administratorkonto ordnungsgemäß delegiert wurde und dass Ihr AWS Anbieter für dieses Konto authentifiziert ist. |
Die CIDR-Bereichszuweisung schlägt fehl | Stellen Sie sicher, dass der angeforderte CIDR-Bereich in den verfügbaren Bereich des IP Address Manager-Pools passt und sich nicht mit vorhandenen Zuweisungen überschneidet. |
AWS RAM Probleme teilen | Stellen Sie sicher, dass die gemeinsame Nutzung von Ressourcen für Ihre AWS Organisation aktiviert ist. Stellen Sie sicher, dass der richtige Prinzipal, der Amazon Resource Name (ARN) der Organisation, in der AWS RAM Freigabe verwendet wird. |
Fehler bei der Validierung der Poolhierarchie | Stellen Sie sicher, dass die CIDR-Bereiche des untergeordneten Pools ordnungsgemäß in den CIDR-Bereichen des übergeordneten Pools enthalten sind und sich nicht mit gleichgeordneten Pools überschneiden. |
Das Kontingentlimit für IP Address Manager wurde überschritten | Fordern Sie eine Erhöhung des Kontingents für IP Address Manager-Pools an. Weitere Informationen finden Sie unter Beantragen einer Kontingenterhöhung im Service-Quotas-Benutzerhandbuch. |
Zugehörige Ressourcen
AWS-Service Dokumentation
AWS Blog-Beiträge
Videos und Anleitungen
Zusätzliche Informationen
Integration mit AFT
Sie können diese Lösung in AWS Control Tower Account Factory for Terraform (AFT) integrieren, um sicherzustellen, dass neu bereitgestellte Konten automatisch die richtigen Netzwerkkonfigurationen erhalten. Durch die Bereitstellung dieser IPAM-Lösung in Ihrem Netzwerk-Hub-Konto können neue Konten, die über AFT erstellt wurden, bei der Erstellung auf die gemeinsam genutzten IP Address Manager-Pools verweisen. VPCs
Das folgende Codebeispiel veranschaulicht die AFT-Integration in eine Kontoanpassung mithilfe von AWS Systems Manager Parameter Store:
# Get the IP Address Manager pool ID from Parameter Store data "aws_ssm_parameter" "dev_ipam_pool_id" { name = "/org/network/ipam/finance/dev/pool-id" } # Create a VPC using the IP Address Manager pool resource "aws_vpc" "this" { ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value ipv4_netmask_length = 24 tags = { Name = "aft-account-vpc" } }
Strategie zur Kennzeichnung
Die Lösung implementiert eine umfassende Tagging-Strategie, um das Ressourcenmanagement zu vereinfachen. Das folgende Codebeispiel zeigt, wie es verwendet wird:
# Example tag configuration module "tags" { source = "./modules/tags" # Required tags product_name = "enterprise-network" feature_name = "ipam" org_id = "finance" business_unit = "network-operations" owner = "network-team" environment = "prod" repo = "https://github.com/myorg/ipam-terraform" branch = "main" cost_center = "123456" dr_tier = "tier1" # Optional tags optional_tags = { "project" = "network-modernization" "stack_role" = "infrastructure" } }
Diese Tags werden automatisch auf alle IP Address Manager-Ressourcen angewendet. Dies ermöglicht eine konsistente Steuerung, Kostenzuweisung und Ressourcenverwaltung.
