Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie mithilfe von Terraform eine hierarchische IPAM-Architektur mit mehreren Regionen AWS
<a name="multi-region-ipam-architecture"></a>

*Donny Schreiber, Amazon Web Services*

## Zusammenfassung
<a name="multi-region-ipam-architecture-summary"></a>

Die *IP-Adressverwaltung (IPAM)* ist eine wichtige Komponente des Netzwerkmanagements und wird mit der Skalierung ihrer Cloud-Infrastruktur immer komplexer. Ohne richtiges IPAM riskieren Unternehmen IP-Adresskonflikte, verschwendeten Adressraum und komplexe Problemlösungen, die zu Ausfällen und Anwendungsausfällen führen können. Dieses Muster zeigt, wie Sie mithilfe von Terraform eine umfassende IPAM-Lösung für AWS Unternehmensumgebungen implementieren können. HashiCorp [Es hilft Unternehmen dabei, eine hierarchische IPAM-Architektur mit mehreren Regionen zu erstellen, die eine zentralisierte IP-Adressverwaltung für alle Bereiche einer Organisation ermöglicht. AWS-KontenAWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organization-structure)

Dieses Muster hilft Ihnen bei der Implementierung von [Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) mit einer ausgeklügelten vierstufigen Poolhierarchie: Pool der obersten Ebene, regionale Pools, Geschäftsbereichspools und umgebungsspezifische Pools. Diese Struktur unterstützt die ordnungsgemäße Verwaltung von IP-Adressen und ermöglicht gleichzeitig die Delegierung der IP-Verwaltung an die entsprechenden Teams innerhalb der Organisation. Die Lösung verwendet AWS Resource Access Manager (AWS RAM) für die nahtlose gemeinsame Nutzung von IP Address Manager-Pools im gesamten Unternehmen. AWS RAM zentralisiert und standardisiert die IPAM-Spezifikationen, auf die Teams bei allen verwalteten Konten aufbauen können.

Dieses Muster kann Ihnen dabei helfen, Folgendes zu erreichen:
+ Automatisieren Sie die Zuweisung von IP-Adressen für verschiedene AWS-Regionen Geschäftsbereiche und Umgebungen.
+ Setzen Sie die Netzwerkrichtlinien Ihres Unternehmens durch programmatische Validierung durch.
+ Skalieren Sie die Netzwerkinfrastruktur effizient, wenn sich die Geschäftsanforderungen weiterentwickeln.
+ Reduzieren Sie den betrieblichen Aufwand durch die zentrale Verwaltung von IP-Adressräumen.
+ Beschleunigen Sie Cloud-native Workload-Bereitstellungen mit Self-Service-CIDR-Bereichszuweisung.
+ Vermeiden Sie Adresskonflikte durch richtlinienbasierte Kontrollen und Validierungen.

## Voraussetzungen und Einschränkungen
<a name="multi-region-ipam-architecture-prereqs"></a>

**Voraussetzungen**
+ Eine oder mehrere AWS-Konten, die als Organisation verwaltet werden in. AWS Organizations
+ Ein Netzwerk-Hub oder ein Netzwerkverwaltungskonto, das als delegierter IP Address Manager-Administrator dient.
+ AWS Command Line Interface (AWS CLI), [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ [Terraform Version 1.5.0 oder höher, installiert.](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli)
+ AWS [Anbieter für Terraform, konfiguriert.](https://registry.terraform.io/providers/hashicorp/aws/latest/docs)
+ Berechtigungen zur Verwaltung von [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) und [virtuellen privaten Clouds (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), konfiguriert in AWS Identity and Access Management (IAM). [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam.html)

**Einschränkungen**
+ IP Address Manager unterliegt [Dienstkontingenten](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html). Das Standarddienstkontingent für Pools beträgt 50 pro Bereich. Wenn diese Bereitstellung für 6 Regionen, 2 Geschäftsbereiche und 4 Umgebungen ausgeführt würde, würden 67 Pools entstehen. Daher könnte eine Erhöhung des Kontingents erforderlich sein.
+ Das Ändern oder Löschen von IP Address Manager-Pools nach der Zuweisung von Ressourcen kann zu Abhängigkeitsproblemen führen. Sie müssen [die Zuweisung freigeben](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html), bevor Sie den Pool löschen können.
+ In IP Address Manager kann es bei der [Ressourcenüberwachung](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) zu leichten Verzögerungen kommen, wenn Ressourcenänderungen berücksichtigt werden. Diese Verzögerung kann etwa 20 Minuten betragen.
+ IP Address Manager kann nicht automatisch die Eindeutigkeit von IP-Adressen in verschiedenen Bereichen erzwingen.
+ Benutzerdefinierte Tags müssen den Best Practices für [AWS Tagging](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) entsprechen. Beispielsweise muss jeder Schlüssel einzigartig sein und darf nicht mit `aws:` beginnen.
+ Bei der Integration von IP Address Manager mit Konten außerhalb Ihrer Organisation gibt es [Überlegungen und Einschränkungen](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam-outside-org-considerations.html).

## Architektur
<a name="multi-region-ipam-architecture-architecture"></a>

**Zielarchitektur**

*Konfiguration und Poolhierarchie von IP Address Manager*

Das folgende Diagramm zeigt die logischen Konstrukte der Zielarchitektur. Ein *Bereich* ist der Container der höchsten Ebene in IP Address Manager. Jeder Bereich stellt den IP-Adressraum für ein einzelnes Netzwerk dar. Die *Pools* sind Sammlungen zusammenhängender IP-Adressbereiche (oder CIDR-Bereiche) innerhalb des Bereichs. Pools helfen Ihnen dabei, Ihre IP-Adressen entsprechend Ihren Routing- und Sicherheitsanforderungen zu organisieren. Dieses Diagramm zeigt vier hierarchische Ebenen von Pools: einen Pool der obersten Ebene, regionale Pools, Geschäftsbereichspools und Umgebungspools.

![\[Ein privater Bereich und vier Ebenen von Pools in einer einzigen AWS-Region in einem Netzwerkkonto.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/1e23b2a7-a274-4a19-9097-61d8a31dfbf8.png)


Diese Lösung erstellt eine klare Hierarchie von IP Address Manager-Pools:

1. Der Pool der obersten Ebene umfasst den gesamten IP-Adressraum der Organisation, z. B. `10.176.0.0/12`

1. Die regionalen Pools sind für regionsspezifische Zuweisungen vorgesehen, z. B. für. `10.176.0.0/15` `us-east-1`

1. Bei den Pools der Geschäftsbereiche handelt es sich um domänenspezifische Zuweisungen innerhalb der einzelnen Geschäftsbereiche. AWS-Region Das könnte beispielsweise die Finanzabteilung in der `us-east-1` Region getan haben. `10.176.0.0/16`

1. Bei den Umgebungspools handelt es sich um zweckspezifische Zuweisungen für verschiedene Umgebungen. Die Finanzabteilung in der `us-east-1` Region könnte beispielsweise `10.176.0.0/18` für eine Produktionsumgebung zuständig sein.

Diese Bereitstellungstopologie verteilt die Ressourcen von IP Address Manager geografisch und gewährleistet gleichzeitig die zentrale Steuerung. Im Folgenden sind ihre Funktionen aufgeführt:
+ IP Address Manager wird in einem einzigen Primärserver bereitgestellt AWS-Region.
+ Zusätzliche Regionen sind als [Betriebsregionen](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-region.html) registriert, in denen IP Address Manager Ressourcen verwalten kann.
+ Jede Betriebsregion erhält einen eigenen Adresspool aus dem Pool der obersten Ebene.
+ Ressourcen in allen Betriebsregionen werden zentral über den IP Address Manager in der primären Region verwaltet.
+ Jeder regionale Pool verfügt über eine Gebietsschemaeigenschaft, die mit seiner Region verknüpft ist, sodass Sie Ressourcen ordnungsgemäß zuweisen können.

*Erweiterte Validierung des CIDR-Bereichs*

Diese Lösung wurde entwickelt, um die Bereitstellung ungültiger Konfigurationen zu verhindern. Wenn Sie die Pools über Terraform bereitstellen, wird Folgendes während der Terraform-Planphase validiert:
+ Überprüft, ob alle CIDR-Bereiche der Umgebung in den CIDR-Bereichen der übergeordneten Geschäftseinheit enthalten sind
+ Bestätigt, dass alle CIDR-Bereiche der Geschäftseinheit in den CIDR-Bereichen der übergeordneten Region enthalten sind
+ Überprüft, ob alle regionalen CIDR-Bereiche in den CIDR-Bereichen der obersten Ebene enthalten sind
+ Prüft auf überlappende CIDR-Bereiche innerhalb derselben Hierarchieebene
+ Überprüft die korrekte Zuordnung der Umgebungen zu ihren jeweiligen Geschäftsbereichen

*CIDR-Bereichszuweisung*

Das folgende Diagramm zeigt ein Beispiel dafür, wie Entwickler oder Administratoren neue IP-Adressen erstellen VPCs und ihnen aus den Poolebenen zuweisen können.

![\[Ein privater Bereich und vier Ebenen von Pools in einer einzigen AWS-Region in einem Netzwerkkonto.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/7c3de2e3-e71b-4fc0-abcd-7e88cfab5c87.png)


Das Diagramm zeigt den folgenden Workflow:

1. Über die AWS-Managementkonsole AWS CLI, die oder über Infrastructure as Code (IaC) fordert ein Entwickler oder Administrator den nächsten verfügbaren CIDR-Bereich im `AY3` Umgebungspool an.

1. IP Address Manager weist der VPC den nächsten verfügbaren CIDR-Bereich in diesem Pool zu. `AY3-4` Dieser CIDR-Bereich kann nicht mehr verwendet werden.

**Automatisierung und Skalierung**

Diese Lösung ist auf folgende Skalierbarkeit ausgelegt:
+ **Regionale Erweiterung** — Fügen Sie neue Regionen hinzu, indem Sie die Terraform-Konfiguration um zusätzliche regionale Pooleinträge erweitern.
+ **Wachstum von Geschäftsbereichen** — Support Sie neue Geschäftsbereiche, indem Sie sie zur BU-Konfigurationsübersicht hinzufügen.
+ **Flexibilität der Umgebung** — Konfigurieren Sie verschiedene Umgebungstypen, z. B. Entwicklung oder Produktion, auf der Grundlage der organisatorischen Anforderungen.
+ **Unterstützung mehrerer Konten** — Teilen Sie Pools über alle Konten in Ihrer Organisation. AWS RAM
+ **Automatisierte VPC-Bereitstellung** — Integrieren Sie in VPC-Bereitstellungs-Workflows, um die CIDR-Bereichszuweisung zu automatisieren.

Die hierarchische Struktur ermöglicht auch verschiedene Ebenen der Delegierung und Kontrolle, wie z. B. die folgenden:
+ Netzwerkadministratoren können die Pools der obersten Ebene und die regionalen Pools verwalten.
+ IT-Teams der Geschäftsbereiche haben möglicherweise die Kontrolle über ihre jeweiligen Pools delegiert.
+ Anwendungsteams verwenden möglicherweise IP-Adressen aus ihren zugewiesenen Umgebungspools.

**Anmerkung**  
Sie können diese Lösung auch in [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) integrieren. Weitere Informationen finden Sie unter *Integration mit AFT* im Abschnitt [Zusätzliche Informationen](#multi-region-ipam-architecture-additional) dieses Musters.

## Tools
<a name="multi-region-ipam-architecture-tools"></a>

**AWS-Services**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) hilft Ihnen dabei, Ihre Ressourcen sicher gemeinsam zu nutzen AWS-Konten , um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS. [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) ist eine Funktion von Amazon VPC. Es hilft Ihnen bei der Planung, Nachverfolgung und Überwachung von IP-Adressen für Ihre AWS Workloads.

**Andere Tools**
+ [HashiCorp Terraform](https://www.terraform.io/docs) ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können.

**Code-Repository**

Der Code für dieses Muster ist in der [Terraform-Beispielimplementierung für Hierarchical IPAM](https://github.com/aws-samples/sample-amazon-vpc-ipam-terraform) im Repository on verfügbar. AWS** GitHub** Die Repository-Struktur umfasst:
+ **Root-Modul** — Orchestrierung der Bereitstellung und Eingabevariablen.
+ **IPAM-Modul** — Kernimplementierung der in diesem Muster beschriebenen Architektur.
+ **Tags-Modul** — Standardisiertes Tagging für alle Ressourcen.

## Best Practices
<a name="multi-region-ipam-architecture-best-practices"></a>

Beachten Sie die folgenden bewährten Methoden für die Netzwerkplanung:
+ **Planen Sie zuerst** — Planen Sie Ihren IP-Adressraum vor der Bereitstellung gründlich. Weitere Informationen finden Sie unter [Plan für die Bereitstellung von IP-Adressen](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html).
+ **Vermeiden Sie überlappende CIDR-Bereiche** — Stellen Sie sicher, dass sich die CIDR-Bereiche auf jeder Ebene nicht überschneiden.
+ **Reservieren Sie Pufferspeicher** — Ordnen Sie immer größere CIDR-Bereiche zu, als sofort benötigt werden, um dem Wachstum Rechnung zu tragen.
+ **Dokumentieren Sie die IP-Adresszuweisung** — Bewahren Sie die Dokumentation Ihrer IP-Adresszuweisungsstrategie auf.

Beachten Sie die folgenden bewährten Bereitstellungsmethoden:
+ **Beginnen Sie mit Nichtproduktionsumgebungen** — Stellen Sie die Lösung zunächst in Umgebungen außerhalb der Produktion bereit.
+ **Verwenden Sie die Terraform-Statusverwaltung** — Implementieren Sie die Speicherung und Sperrung von Zuständen aus der Ferne. Weitere Informationen finden Sie unter [State Storage and Locking](https://developer.hashicorp.com/terraform/language/state/backends) in der Terraform-Dokumentation.
+ Versionskontrolle **implementieren — Versionskontrolle** für den gesamten Terraform-Code.
+ ** CI/CD Integration implementieren** — Verwenden Sie CI/CD-Pipelines (Continuous Integration und Continuous Delivery) für wiederholbare Bereitstellungen.

Beachten Sie die folgenden bewährten Methoden für den Betrieb:
+ **Automatischen Import aktivieren** — Konfigurieren Sie einen IP Address Manager-Pool, um vorhandene Ressourcen automatisch zu erkennen und zu importieren. Folgen Sie den Anweisungen unter [Einen IPAM-Pool bearbeiten](https://docs.aws.amazon.com/vpc/latest/ipam/mod-pool-ipam.html), um den automatischen Import zu aktivieren.
+ **IP-Adressnutzung überwachen** — Richten Sie Alarme für Schwellenwerte für die IP-Adressnutzung ein. Weitere Informationen finden Sie unter [Überwachen von IPAM mit Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html).
+ **Regelmäßige Prüfung** — Prüfen Sie regelmäßig die Nutzung von IP-Adressen und deren Einhaltung. Weitere Informationen finden Sie unter [Nachverfolgung der IP-Adressnutzung in IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html).
+ **Ungenutzte Zuweisungen bereinigen — Geben** Sie IP-Adresszuweisungen frei, wenn Ressourcen außer Betrieb genommen werden. Weitere Informationen finden Sie unter [Deprovision CIDRs ](https://docs.aws.amazon.com/vpc/latest/ipam/depro-pool-cidr-ipam.html) aus einem Pool.

Beachten Sie die folgenden bewährten Sicherheitsmethoden:
+ **Implementieren Sie die geringsten Rechte** — Verwenden Sie IAM-Rollen mit den erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie unter [Bewährte Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) und [Identitäts- und Zugriffsmanagement in](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) IPAM.
+ **Dienststeuerungsrichtlinien verwenden** — Implementieren Sie Dienststeuerungsrichtlinien (SCPs), um die Verwendung von IP Address Manager in Ihrem Unternehmen durchzusetzen. Weitere Informationen finden Sie unter [IPAM-Verwendung für die VPC-Erstellung erzwingen](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) mit. SCPs
+ **Steuern Sie die gemeinsame Nutzung von Ressourcen** — Verwalten Sie den Umfang der gemeinsamen Nutzung von IP Address Manager-Ressourcen sorgfältig in. AWS RAM Weitere Informationen finden Sie unter [Einen IPAM-Pool gemeinsam nutzen mit AWS RAM](https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html).
+ **Tagging erzwingen** — Implementieren Sie obligatorisches Tagging für alle Ressourcen im Zusammenhang mit IP Address Manager. Weitere Informationen finden Sie unter *Tagging-Strategie im Abschnitt* [Zusätzliche](#multi-region-ipam-architecture-additional) Informationen.

## Epen
<a name="multi-region-ipam-architecture-epics"></a>

### Richten Sie ein delegiertes Administratorkonto für IP Address Manager ein
<a name="set-up-a-delegated-administrator-account-for-ip-address-manager"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
|  AWS Organizations Funktionen aktivieren. | Stellen Sie sicher, AWS Organizations dass alle Funktionen aktiviert sind. Anweisungen finden Sie AWS Organizations in der AWS Organizations Dokumentation unter [Alle Funktionen für eine Organisation aktivieren mit](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html). | AWS-Administrator | 
| Aktivieren Sie die gemeinsame Nutzung von Ressourcen in AWS RAM. | Geben Sie mit dem den folgenden Befehl ein AWS CLI, um die gemeinsame Nutzung von AWS RAM Ressourcen für Ihre Organisation zu aktivieren:<pre>aws ram enable-sharing-with-aws-organization</pre>Weitere Informationen finden Sie AWS Organizations in der AWS RAM Dokumentation unter [Aktivieren der gemeinsamen Nutzung von Ressourcen innerhalb](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs). | AWS-Administrator | 
| Benennen Sie einen Administrator für IP Address Manager. | Geben Sie im Verwaltungskonto der Organisation mit dem den AWS CLI folgenden Befehl ein. Dabei `123456789012` handelt es sich um die ID des Kontos, das IP Address Manager verwalten soll:<pre>aws ec2 enable-ipam-organization-admin-account \<br />    --delegated-admin-account-id 123456789012</pre>In der Regel wird ein Netzwerk- oder Netzwerk-Hub-Konto als delegierter Administrator für IP Address Manager verwendet.Weitere Informationen finden Sie unter [Integrieren von IPAM mit Konten in einer AWS Organisation in](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) der IP Address Manager-Dokumentation. | AWS-Administrator | 

### Stellen Sie die Infrastruktur bereit
<a name="deploy-the-infrastructure"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Definieren Sie die Netzwerkarchitektur. | Definieren und dokumentieren Sie Ihre Netzwerkarchitektur, einschließlich der CIDR-Bereiche für Regionen, Geschäftsbereiche und Umgebungen. Weitere Informationen finden Sie unter [Plan für die IP-Adressbereitstellung](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html) in der IP Address Manager-Dokumentation. | Netzwerkingenieur | 
| Klonen Sie das Repository | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | DevOps Ingenieur | 
| Konfigurieren Sie die Variablen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Netzwerkingenieur, Terraform | 
| Stellen Sie die Ressourcen des IP Address Managers bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Terraform | 
| Bestätigen Sie die Bereitstellung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Allgemein AWS, Netzwerktechniker | 

### Überwachung erstellen VPCs und einrichten
<a name="create-vpcs-and-set-up-monitoring"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Erstellen Sie eine VPC. | Folgen Sie den Schritten unter [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) in der Amazon VPC-Dokumentation. Wenn Sie den Schritt zur Auswahl eines CIDR-Bereichs für die VPC erreicht haben, weisen Sie den nächsten verfügbaren aus einem Ihrer Regional-, Geschäftsbereichs- und Umgebungspools zu. | Allgemein AWS, Netzwerkadministrator, Netzwerkingenieur | 
| Überprüfen Sie die CIDR-Bereichszuweisung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Allgemein AWS, Netzwerkadministrator, Netzwerkingenieur | 
| Überwachen Sie den IP-Adressmanager. | Konfigurieren Sie die Überwachung und Alarme im Zusammenhang mit der Zuweisung von IP Address Manager-Ressourcen. Weitere Informationen und Anweisungen finden Sie unter [Überwachen von IPAM mit Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html) und [Überwachen der CIDR-Nutzung nach Ressourcen](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) in der IP Address Manager-Dokumentation. | Allgemeines AWS | 
| Erzwingen Sie die Verwendung von IP Address Manager. | Erstellen Sie eine Service Control Policy (SCP) AWS Organizations , nach der Mitglieder in Ihrer Organisation IP Address Manager verwenden müssen, wenn sie eine VPC erstellen. Anweisungen finden Sie unter [IPAM-Verwendung für die VPC-Erstellung erzwingen mit SCPs](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) in der IP Address Manager-Dokumentation. | Allgemein AWS, AWS-Administrator | 

## Fehlerbehebung
<a name="multi-region-ipam-architecture-troubleshooting"></a>


| Problem | Lösung | 
| --- | --- | 
| Terraform schlägt fehl, da die IP Address Manager-Ressource nicht gefunden wurde | Stellen Sie sicher, dass das IP Address Manager-Administratorkonto ordnungsgemäß delegiert wurde und dass Ihr AWS Anbieter für dieses Konto authentifiziert ist. | 
| Die CIDR-Bereichszuweisung schlägt fehl | Stellen Sie sicher, dass der angeforderte CIDR-Bereich in den verfügbaren Bereich des IP Address Manager-Pools passt und sich nicht mit vorhandenen Zuweisungen überschneidet. | 
| AWS RAM Probleme teilen | Stellen Sie sicher, dass die gemeinsame Nutzung von Ressourcen für Ihre AWS Organisation aktiviert ist. Stellen Sie sicher, dass der richtige Prinzipal, der Amazon Resource Name (ARN) der Organisation, in der AWS RAM Freigabe verwendet wird. | 
| Fehler bei der Validierung der Poolhierarchie | Stellen Sie sicher, dass die CIDR-Bereiche des untergeordneten Pools ordnungsgemäß in den CIDR-Bereichen des übergeordneten Pools enthalten sind und sich nicht mit gleichgeordneten Pools überschneiden. | 
| Das Kontingentlimit für IP Address Manager wurde überschritten | Fordern Sie eine Erhöhung des Kontingents für IP Address Manager-Pools an. Weitere Informationen finden Sie unter [Beantragen einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Service-Quotas-Benutzerhandbuch*. | 

## Zugehörige Ressourcen
<a name="multi-region-ipam-architecture-resources"></a>

**AWS-Service Dokumentation**
+ [Dokumentation zu Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [AWS Resource Access Manager Dokumentation](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ [AWS Organizations Dokumentation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)

**AWS Blog-Beiträge**
+ [Verwaltung von IP-Pools über Regionen hinweg VPCs mit Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)
+ [Verwaltung und Prüfung von Netzwerkadressen in großem Umfang mit Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/aws/network-address-management-and-auditing-at-scale-with-amazon-vpc-ip-address-manager/)

**Videos und Anleitungen**
+ [AWS re:Invent 2022: Bewährte Methoden für Amazon VPC-Design und IPAM (0) NET31](https://www.youtube.com/watch?v=XrEHsy_8RYs)
+ [AWS re:Invent 2022: Fortschrittliches VPC-Design und neue Funktionen (01) NET4](https://www.youtube.com/watch?v=tbXTVpwx87o)

## Zusätzliche Informationen
<a name="multi-region-ipam-architecture-additional"></a>

**Integration mit AFT**

Sie können diese Lösung in AWS Control Tower Account Factory for Terraform (AFT) integrieren, um sicherzustellen, dass neu bereitgestellte Konten automatisch die richtigen Netzwerkkonfigurationen erhalten. Durch die Bereitstellung dieser IPAM-Lösung in Ihrem Netzwerk-Hub-Konto können neue Konten, die über AFT erstellt wurden, bei der Erstellung auf die gemeinsam genutzten IP Address Manager-Pools verweisen. VPCs

Das folgende Codebeispiel veranschaulicht die AFT-Integration in eine Kontoanpassung mithilfe von AWS Systems Manager Parameter Store:

```
# Get the IP Address Manager pool ID from Parameter Store
data "aws_ssm_parameter" "dev_ipam_pool_id" {
  name = "/org/network/ipam/finance/dev/pool-id"
}

# Create a VPC using the IP Address Manager pool
resource "aws_vpc" "this" {
  ipv4_ipam_pool_id   = data.aws_ssm_parameter.dev_ipam_pool_id.value
  ipv4_netmask_length = 24
  
  tags = {
    Name = "aft-account-vpc"
  }
}
```

**Strategie zur Kennzeichnung**

Die Lösung implementiert eine umfassende Tagging-Strategie, um das Ressourcenmanagement zu vereinfachen. Das folgende Codebeispiel zeigt, wie es verwendet wird:

```
# Example tag configuration
module "tags" {
  source = "./modules/tags"
  
  # Required tags
  product_name  = "enterprise-network"
  feature_name  = "ipam"
  org_id        = "finance"
  business_unit = "network-operations"
  owner         = "network-team"
  environment   = "prod"
  repo          = "https://github.com/myorg/ipam-terraform"
  branch        = "main"
  cost_center   = "123456"
  dr_tier       = "tier1"
  
  # Optional tags
  optional_tags = {
    "project"    = "network-modernization"
    "stack_role" = "infrastructure"
  }
}
```

Diese Tags werden automatisch auf alle IP Address Manager-Ressourcen angewendet. Dies ermöglicht eine konsistente Steuerung, Kostenzuweisung und Ressourcenverwaltung.