Automatisieren der Aktualisierungen von Präfixlisten mit IPAM - Amazon Virtual Private Cloud
Das Problem, das gelöst wirdFunktionsweiseVerwendungVoraussetzungenEinrichtungsschritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisieren der Aktualisierungen von Präfixlisten mit IPAM

Eine verwaltete Präfixliste besteht aus einer Reihe von CIDR-Blöcken, auf die Sie in Sicherheitsgruppenregeln und Routing-Tabellen verweisen können, anstatt einzelne IP-Adressen anzugeben. Anstatt beispielsweise separate Sicherheitsgruppenregeln für 10.1.0.0/16, 10.2.0.0/16 und 10.3.0.0/16 zu erstellen, können Sie eine Präfixliste mit allen drei CIDRs erstellen und in einer einzigen Regel darauf verweisen.

Es gibt zwei Arten:

  • Vom Kunden verwaltete Präfixlisten: IP-Adressbereiche, die Sie definieren und verwalten

  • AWS-verwaltete Präfixlisten: IP-Bereiche für AWS-Services (wie S3 oder CloudFront)

Dieses IPAM-Feature automatisiert die Verwaltung von kundenverwalteten Präfixlisten, indem Ihre CIDR-Einträge mit Ihren Netzwerkänderungen synchronisiert werden.

Das Problem, das gelöst wird

Ohne Automatisierung verbringen Netzwerkteams viel Zeit damit, Präfixlisten manuell zu aktualisieren, wenn sich die Infrastruktur ändert, und konsistente Präfixlisten in allen Umgebungen und Regionen aufrechtzuerhalten.

IPAM löst dieses Problem, indem es Ihnen ermöglicht, Regeln zu erstellen, mit denen Präfixlisten automatisch aufgefüllt werden. Sie können zwei Methoden verwenden: Verweisen Sie auf CIDRs aus Ihren IPAM-Pools oder erstellen Sie Regeln auf der Grundlage Ihrer tatsächlichen AWS-Ressourcen, z. B. „Alle mit env=prod markierten VPCs einbeziehen“, „alle Subnetze in us-east-1 einbeziehen“ oder „alle Elastic IP-Adressen einbeziehen, die zum Konto 123456789 gehören“. Wenn Sie diese Ressourcen hinzufügen oder entfernen, aktualisiert IPAM die Präfixliste automatisch mit ihren CIDRs.

Funktionsweise

Sie erstellen Regeln, die IPAM mitteilen, welche IP-Adressen in eine Präfixliste aufgenommen werden sollen. Beispiel: „Alle VPC-CIDRs einbeziehen, die mit env=prod gekennzeichnet sind“. Wenn Sie Produktions-VPCs hinzufügen oder entfernen, aktualisiert IPAM die Präfixliste automatisch.

Verwendung

  • Sicherheitsgruppen: Erstellen Sie die Regel „Alle VPCs mit dem Tag env=prod einbeziehen“. Wenn Sie neue Produktions-VPCs hinzufügen, werden diese automatisch in Ihren Sicherheitsgruppenregeln zugelassen

  • Regionsübergreifend: Stellen Sie dieselben IPAM-Regeln in mehreren Regionen bereit, um identische Präfixlisten beizubehalten, ohne CIDR-Einträge manuell kopieren zu müssen

  • Dynamische Infrastruktur: Wenn Sie VPCs oder Subnetze erstellen/löschen, werden deren CIDRs ohne manuelle Updates automatisch hinzugefügt/aus den Präfixlisten entfernt

Voraussetzungen

Stellen Sie vor Beginn sicher, dass Sie über Folgendes verfügen:

Einrichtungsschritte

Schritt 1: Einen IPAM-Präfixlisten-Resolver erstellen

Definieren Sie, welche CIDRs in Ihre Präfixliste aufgenommen werden sollen, indem Sie einen IPAM-Präfixlisten-Resolver erstellen.

AWS Management Console
So erstellen Sie einen IPAM-Präfixlisten-Resolver

  1. Öffnen Sie die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Präfixlisten-Resolver aus.

  3. Wählen Sie Präfixlisten-Resolver erstellen.

  4. Wählen Sie in Schritt 1: Resolverdetails konfigurieren die folgenden Optionen aus:

    • IPAM: Eine IPAM-Instance

    • Adressfamilie: IPv4 oder IPv6

    • Namensbezeichner – optional: Ein beschreibender Name

    • Beschreibung – optional: Eine Beschreibung

    • Tags: Ressourcen-Tags

  5. Wählen Sie Weiter aus.

  6. Wählen Sie in Schritt 2: Regeln konfigurieren die Option Regel hinzufügen aus. Sie können bis zu 99 Regeln hinzufügen.

    Wichtig

    Sie können einen Präfixlisten-Resolver ohne CIDR-Auswahlregeln erstellen, aber er generiert leere Versionen (die keine CIDRs enthalten), bis Sie Regeln hinzufügen.

  7. Wählen Sie einen der Regeltypen aus:

    • Statische CIDR: Eine feste Liste von CIDRs, die sich nicht ändern (wie eine manuelle Liste, die über mehrere Regionen hinweg repliziert wird)

    • IPAM-Pool-CIDR: CIDRs aus bestimmten IPAM-Pools (wie alle CIDRs aus Ihrem IPAM-Produktionspool)

      Wenn Sie diese Option auswählen, geben Sie die folgenden Informationen ein:

      • IPAM-Bereich: Wählen Sie den IPAM-Bereich aus, um nach Ressourcen zu suchen

      • Bedingungen:

        • Eigenschaft

          • IPAM-Pool-ID: Wählen Sie einen IPAM-Pool aus, der die Ressourcen enthält

          • CIDR (wie 10.24.34.0/23)

        • Operation: Gleich/Ungleich

        • Wert: Der Wert, für den die Bedingung erfüllt werden soll

    • Bereichsressourcen-CIDR: CIDRs von AWS-Ressourcen wie VPCs, Subnetze, EIPs innerhalb eines IPAM-Bereichs

      Wenn Sie diese Option auswählen, geben Sie die folgenden Informationen ein:

      • IPAM-Bereich: Wählen Sie den IPAM-Bereich aus, um nach Ressourcen zu suchen

      • Ressourcentyp: Wählen Sie eine Ressource aus, z. B. eine VPC oder ein Subnetz

      • Bedingungen:

        • Eigenschaft:

          • Ressourcen-ID: Die eindeutige ID einer Ressource (wie vpc-1234567890abcdef0)

          • Besitzer der Ressource (wie 111122223333)

          • Region der Ressource (wie us-east-1)

          • Ressourcen-Tag (wie Schlüssel: Name, Wert: dev-vpc-1)

          • CIDR (wie 10.24.34.0/23)

        • Operation: Gleich/Ungleich

        • Wert: Der Wert, für den die Bedingung erfüllt werden soll

  8. Wählen Sie Weiter aus.

  9. Wählen Sie Validieren und erstellen.

Command line

Die Befehle in diesem Abschnitt sind mit der AWS CLI-Befehlsreferenz verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

Verwenden Sie die folgenden AWS CLI-Befehle, um einen IPAM-Präfixlisten-Resolver zu erstellen:

Schritt 2: Ein Resolver-Ziel für die Verbindung zu einer Präfixliste erstellen

Verknüpfen Sie Ihren Resolver mit einer vorhandenen Präfixliste, indem Sie ein Resolver-Ziel erstellen. Verwenden Sie die in Schritt 1 zurückgegebene Resolver-ID.

AWS Management Console
So erstellen Sie ein Resolver-Ziel für IPAM-Präfixlisten

  1. Wählen Sie in der IPAM-Konsole die Option Präfixlisten-Resolver aus.

  2. Wählen Sie den Resolver aus, den Sie in Schritt 1 erstellt haben.

  3. Wählen Sie auf der Resolver-Detailseite die Registerkarte Ziele aus.

  4. Wählen Sie Ziel erstellen aus.

  5. Das Ziel konfigurieren:

    • Region: Wählen Sie die Region aus, in der die bestehende verwaltete Präfixliste existiert oder in der Sie eine erstellen möchten.

    • Präfixliste: Wählen Sie eine bestehende verwaltete Präfixliste oder erstellen Sie eine neue

  6. Wählen Sie unter Gewünschte Version eine der folgenden Optionen aus:

    • Immer die neueste Version verfolgen: Wählen Sie diese Option für automatische Aktualisierungen aus, wenn Sie möchten, dass Ihre Präfixlisten bei Infrastrukturänderungen ohne manuelles Eingreifen auf dem neuesten Stand bleiben.

    • Bestimmte Versionen nachverfolgen: Wählen Sie diese Option aus Stabilitätsgründen aus, wenn Sie vorhersehbare, kontrollierte Aktualisierungen benötigen und Änderungen an Ihren Präfixlisten manuell genehmigen möchten.

  7. Wählen Sie Ziel erstellen.

Command line

Die Befehle in diesem Abschnitt sind mit der AWS CLI-Befehlsreferenz verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

Verwenden Sie die folgenden AWS CLI-Befehle, um ein Resolver-Ziel für die IPAM-Präfixliste zu erstellen:

IPAM aktualisiert Ihre Präfixliste jetzt automatisch auf der Grundlage Ihrer Regeln. Die Präfixliste wird mit CIDRs gefüllt, die Ihren Kriterien entsprechen.

Schritt 3: Versionen und Synchronisation überwachen

Als Ergebnis der Erstellung eines Präfixlisten-Resolvers und eines Ziels generiert der Präfixlisten-Resolver CIDR-Versionen auf der Grundlage Ihrer Regeln. Anschließend synchronisiert das Ziel diese CIDRs vom Resolver mit einer bestimmten verwalteten Präfixliste. Jede Version ist eine Momentaufnahme der CIDRs, die zum jeweiligen Zeitpunkt Ihren Regeln entsprachen. Die Versionsnummer wird jedes Mal erhöht, wenn sich die CIDR-Liste aufgrund von Infrastrukturänderungen ändert.

Beispiel für eine Version:

Ursprungszustand (Version 1)

Produktionsumgebung:

  • vpc-prod-web (10.1.0.0/16) – getaggt mit env=prod

  • vpc-prod-db (10.2.0.0/16) – getaggt mit env=prod

Resolver-Regel: Alle mit env=prod getaggten VPCs einschließen

CIDRs der Version 1: 10.1.0.0/16, 10.2.0.0/16

Änderung der Infrastruktur (Version 2)

Neue VPC hinzugefügt:

  • vpc-prod-api (10.3.0.0/16) – getaggt mit env=prod

IPAM erkennt die Änderung automatisch und erstellt eine neue Version.

CIDRs der Version 2: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

In diesem Abschnitt wird erklärt, wie Sie die Versionserstellung mit der AWS-Konsole oder AWS-CLI und den Erfolg der Synchronisation mit der AWS-CLI überwachen können.

Wir empfehlen Ihnen außerdem, CloudWatch-Alarme für Fehlermetriken einzurichten, da Sie möglicherweise die CIDR-Auswahlregeln neu bewerten und anpassen müssen, um innerhalb der Grenzen für die Größe der Versions- und Präfixlisten zu bleiben. Eine Liste der CloudWatch-Metriken im Zusammenhang mit IPAM-Präfixlisten finden Sie unter Resolver-Metriken für die IPAM-Präfixliste.

AWS Management Console
So zeigen Sie die erstellten Versionen an und überwachen die Zielsynchronisierung

  1. Wählen Sie in der IPAM-Konsole die Option Präfixlisten-Resolver aus.

  2. Wählen Sie den Resolver aus, den Sie in Schritt 1 erstellt haben.

  3. Wählen Sie auf der Resolver-Detailseite die Registerkarte Versionen aus. Hier sehen Sie alle Versionen, die vom Resolver erstellt wurden, sowie alle CIDRs in der Version.

  4. Wählen Sie auf der Seite mit Resolver-Details die Registerkarte Überwachung aus. In dieser Ansicht werden Resolver-Metriken für die IPAM-Präfixliste grafisch dargestellt:

    • Erfolg der Erstellung der Version des Resolvers für die Präfixliste

    • Fehlschlag der Erstellung der Version des Resolvers für die Präfixliste

  5. Auf der Registerkarte Überwachung können Sie auch einen CloudWatch-Alarm konfigurieren, indem Sie Alarm erstellen für die Resolver-Versionserstellung der Präfixliste auswählen. Sie werden zur CloudWatch-Konsole weitergeleitet, wobei der Alarm teilweise für die Metrik konfiguriert ist. Weitere Informationen zur Erstellung des Alarms finden Sie unter Erstellen eines CloudWatch-Alarms basierend auf einem statischen Schwellenwert im Benutzerhandbuch zu Amazon CloudWatch.

Command line

Die Befehle in diesem Abschnitt sind mit der AWS CLI-Befehlsreferenz verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

Verwenden Sie die folgenden AWS CLI-Befehle, um Versionen und Synchronisation zu überwachen:

  1. Verwenden Sie den Befehl get-ipam-prefix-list-resolver-version-entries, um die neueste von Resolver erstellte Version anzuzeigen.

  2. Verwenden Sie den Befehl describe-ipam-prefix-list-resolver-targets, um den Synchronisierungsstatus des Resolver-Ziels zu überwachen.

Der Überwachungsbefehl zeigt Folgendes:

  • state – aktueller Synchronisierungsstatus (erstellen-abschließen, ändern-abschließen und mehr)

  • lastSyncedVersion – letzte erfolgreich synchronisierte Version

  • desiredVersion – Zielversion, auf die synchronisiert werden soll

  • stateMessage – Fehlerdetails, wenn die Synchronisierung fehlgeschlagen ist

Schritt 4: (Optional) IPAM-Präfixlisten-Synchronisierung aktivieren und deaktivieren

Wenn eine verwaltete Präfixliste als Ziel für die IPAM-Präfixliste konfiguriert wurde und Sie Änderungen an der Präfixliste vornehmen möchten, ohne eine Zugriffsberechtigung für das IPAM-Präfixlisten-Resolverziel zu benötigen, können Sie die verwaltete Präfixliste ändern und die Synchronisation mit dem IPAM-Präfixlisten-Resolver deaktivieren. Wenn diese Option deaktiviert ist, werden die CIDRs der Präfixliste nicht automatisch aktualisiert und Sie können Änderungen an ihnen vornehmen. Wenn diese Option aktiviert ist, werden die CIDRs der Präfixliste automatisch auf der Grundlage der CIDR-Auswahlregeln des zugehörigen Resolvers aktualisiert.