Automatisieren Sie die Aktualisierung von Präfixlisten mit IPAM - Amazon Virtual Private Cloud
Das Problem, das dadurch gelöst wirdFunktionsweiseWann sollte es verwendet werdenVoraussetzungenEinrichtungsschritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisieren Sie die Aktualisierung von Präfixlisten mit IPAM

Eine verwaltete Präfixliste besteht aus einer Reihe von CIDR-Blöcken, auf die Sie in Sicherheitsgruppenregeln und Routingtabellen verweisen können, anstatt einzelne IP-Adressen anzugeben. Anstatt beispielsweise separate Sicherheitsgruppenregeln für10.1.0.0/16, und zu erstellen10.2.0.0/16, können Sie eine Präfixliste erstellen10.3.0.0/16, die alle drei enthält, CIDRs und in einer einzigen Regel darauf verweisen.

Es gibt zwei Typen:

  • Vom Kunden verwaltete Präfixlisten: IP-Bereiche, die Sie definieren und verwalten

  • AWS-verwaltete Präfixlisten: IP-Bereiche für AWS Dienste (wie S3 oder) CloudFront

Diese IPAM-Funktion automatisiert die Verwaltung von kundenverwalteten Präfixlisten, indem Ihre CIDR-Einträge mit Ihren Netzwerkänderungen synchronisiert werden.

Das Problem, das dadurch gelöst wird

Ohne Automatisierung verbringen Netzwerkteams viel Zeit damit, Präfixlisten manuell zu aktualisieren, wenn sich die Infrastruktur ändert, und konsistente Präfixlisten in allen Umgebungen und Regionen aufrechtzuerhalten.

IPAM löst dieses Problem, indem es Ihnen ermöglicht, Regeln zu erstellen, die Präfixlisten automatisch füllen. Sie können zwei Methoden verwenden: Referenzieren Sie CIDRs aus Ihren IPAM-Pools oder erstellen Sie Regeln auf der Grundlage Ihrer tatsächlichen AWS Ressourcen, z. B. „alle mit env=prod VPCs markierten Objekte einbeziehen“, „alle Subnetze in us-east-1 einbeziehen“ oder „alle Elastic IP-Adressen einbeziehen, die dem Konto 123456789 gehören“. Wenn Sie diese Ressourcen hinzufügen CIDRs oder entfernen, aktualisiert IPAM die Präfixliste automatisch mit ihren.

Funktionsweise

Sie erstellen Regeln, die IPAM mitteilen, welche IP-Adressen in eine Präfixliste aufgenommen werden sollen. Beispiel: „Alle mit env=prod CIDRs markierten VPCs einbeziehen“. Wenn Sie Production hinzufügen oder entfernen, aktualisiert IPAM automatisch VPCs die Präfixliste.

Wann sollte es verwendet werden

  • Sicherheitsgruppen: Erstellen Sie die Regel „include all VPCs tagged env=prod“ VPCs, sodass beim Hinzufügen neuer Produkte diese automatisch in Ihren Sicherheitsgruppenregeln zulässig sind

  • Multiregion: Stellen Sie dieselben IPAM-Regeln in mehreren Regionen bereit, um identische Präfixlisten beizubehalten, ohne CIDR-Einträge manuell kopieren zu müssen

  • Dynamische Infrastruktur: Wenn Sie create/delete VPCs oder Subnetze, CIDRs werden diese automatisch added/removed aus Präfixlisten ohne manuelle Updates übernommen

Voraussetzungen

Stellen Sie vor Beginn sicher, dass Sie über Folgendes verfügen:

Einrichtungsschritte

Schritt 1: Erstellen Sie einen IPAM-Präfixlisten-Resolver

Definieren Sie, welche CIDRs in Ihre Präfixliste aufgenommen werden sollen, indem Sie einen IPAM-Präfixlisten-Resolver erstellen.

AWS Management Console
Um einen IPAM-Präfixlisten-Resolver zu erstellen

  1. Öffnen Sie die IPAM-Konsole.

  2. Wählen Sie im Navigationsbereich die Option Prefix List Resolvers aus.

  3. Wählen Sie Resolver für die Präfixliste erstellen aus.

  4. Wählen Sie in Schritt 1: Resolver-Details konfigurieren die folgenden Optionen aus:

    • IPAM: Eine IPAM-Instanz

    • Adressfamilie: oder IPv4 IPv6

    • Namensschild — optional: Ein beschreibender Name

    • Beschreibung — optional: Eine Beschreibung

    • Schlagworte: Ressourcen-Tags

  5. Wählen Sie Weiter aus.

  6. Wählen Sie in Schritt 2: Regeln konfigurieren die Option Regel hinzufügen aus. Sie können bis zu 99 Regeln hinzufügen.

    Wichtig

    Sie können einen Präfixlisten-Resolver ohne CIDR-Auswahlregeln erstellen, aber er generiert leere Versionen (die keine enthalten CIDRs), bis Sie Regeln hinzufügen.

  7. Wählen Sie einen der Regeltypen aus:

    • Statische CIDR: Eine feste Liste CIDRs , die sich nicht ändert (wie eine manuelle Liste, die über mehrere Regionen hinweg repliziert wird)

    • IPAM-Pool-CIDR: CIDRs aus bestimmten IPAM-Pools (wie alle CIDRs aus Ihrem IPAM-Produktionspool)

      Wenn Sie diese Option wählen, wählen Sie Folgendes:

      • IPAM-Bereich: Wählen Sie den IPAM-Bereich aus, um nach Ressourcen zu suchen

      • Bedingungen:

        • Eigenschaft

          • IPAM-Pool-ID: Wählen Sie einen IPAM-Pool aus, der die Ressourcen enthält

          • CIDR (wie 10.24.34.0/23)

        • Equals/Not Bedienung: entspricht

        • Wert: Der Wert, für den die Bedingung erfüllt werden soll

    • Bereichsressource CIDR: CIDRs aus AWS Ressourcen wie VPCs Subnetzen EIPs innerhalb eines IPAM-Bereichs

      Wenn Sie diese Option wählen, wählen Sie Folgendes:

      • IPAM-Bereich: Wählen Sie den IPAM-Bereich aus, um nach Ressourcen zu suchen

      • Ressourcentyp: Wählen Sie eine Ressource aus, z. B. eine VPC oder ein Subnetz.

      • Bedingungen:

        • Eigentum:

          • Ressourcen-ID: Die eindeutige ID einer Ressource (wie vpc-1234567890abcdef0)

          • Besitzer der Ressource (wie 111122223333)

          • Ressourcenregion (wie us-east-1)

          • Ressourcen-Tag (wie Schlüssel: Name, Wert: dev-vpc-1)

          • CIDR (wie 10.24.34.0/23)

        • Equals/Not Bedienung: entspricht

        • Wert: Der Wert, für den die Bedingung erfüllt werden soll

  8. Wählen Sie Weiter aus.

  9. Wählen Sie Validieren und erstellen.

Command line

Die Befehle in diesem Abschnitt sind mit der AWS CLI Befehlsreferenz verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

Verwenden Sie die folgenden AWS CLI Befehle, um einen IPAM-Präfixlisten-Resolver zu erstellen:

Schritt 2: Erstellen Sie ein Resolver-Ziel, um eine Verbindung zu einer Präfixliste herzustellen

Verknüpfen Sie Ihren Resolver mit einer vorhandenen Präfixliste, indem Sie ein Resolver-Ziel erstellen. Verwenden Sie die in Schritt 1 zurückgegebene Resolver-ID.

AWS Management Console
Um ein Resolver-Ziel für eine IPAM-Präfixliste zu erstellen

  1. Wählen Sie in der IPAM-Konsole die Option Prefix List Resolvers aus.

  2. Wählen Sie den Resolver aus, den Sie in Schritt 1 erstellt haben.

  3. Wählen Sie auf der Seite mit den Resolver-Details die Registerkarte Ziele aus.

  4. Wählen Sie Ziel erstellen.

  5. Konfigurieren Sie das Ziel:

    • Region: Wählen Sie die Region aus, in der die bestehende Liste verwalteter Präfixe existiert oder in der Sie eine erstellen möchten.

    • Präfixliste: Wählen Sie eine bestehende verwaltete Präfixliste aus oder erstellen Sie eine neue

  6. Wählen Sie unter Gewünschte Version eine der folgenden Optionen aus:

    • Immer die neueste Version verfolgen: Wählen Sie diese Option für automatische Updates, wenn Sie möchten, dass Ihre Präfixlisten bei Infrastrukturänderungen ohne manuelles Eingreifen auf dem neuesten Stand bleiben.

    • Bestimmte Version nachverfolgen: Wählen Sie diese Option aus Stabilitätsgründen, wenn Sie vorhersehbare, kontrollierte Updates benötigen und Änderungen an Ihren Präfixlisten manuell genehmigen möchten.

  7. Wählen Sie Ziel erstellen aus.

Command line

Die Befehle in diesem Abschnitt sind mit der AWS CLI Befehlsreferenz verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

Verwenden Sie die folgenden AWS CLI Befehle, um ein Resolver-Ziel für die IPAM-Präfixliste zu erstellen:

IPAM aktualisiert Ihre Präfixliste jetzt automatisch auf der Grundlage Ihrer Regeln. Die Präfixliste wird mit Daten gefüllt, CIDRs die Ihren Kriterien entsprechen.

Schritt 3: Versionen und Synchronisation überwachen

Als Ergebnis der Erstellung eines Präfixlisten-Resolvers und eines Ziels generiert der Präfixlisten-Resolver CIDR-Versionen auf der Grundlage Ihrer Regeln. Anschließend synchronisiert das Ziel diese CIDRs vom Resolver mit einer bestimmten verwalteten Präfixliste. Jede Version ist eine Momentaufnahme dessen, was zu diesem Zeitpunkt Ihren Regeln CIDRs entsprach. Die Versionsnummer wird jedes Mal erhöht, wenn sich die CIDR-Liste aufgrund von Infrastrukturänderungen ändert.

Beispiel für eine Version:

Anfangszustand (Version 1)

Produktionsumgebung:

  • vpc-prod-web (10.1.0.0/16) — verschlagwortet mit env=prod

  • vpc-prod-db (10.2.0.0/16) — verschlagwortet mit env=prod

Resolver-Regel: Schließt alle mit env=prod markierten Dateien ein VPCs

Version 1:10.1.0.0/16, 10.2.0.0/16 CIDRs

Änderung der Infrastruktur (Version 2)

Neue VPC hinzugefügt:

  • vpc-prod-api (10.3.0.0/16) — verschlagwortet mit env=prod

IPAM erkennt die Änderung automatisch und erstellt eine neue Version.

Version 2 CIDRs: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

In diesem Abschnitt wird erklärt, wie Sie die Versionserstellung mit der AWS Konsole oder AWS CLI und den Erfolg der Synchronisation mit der AWS CLI überwachen können.

Wir empfehlen Ihnen außerdem, CloudWatch Alarme für Fehlermetriken einzurichten, da Sie möglicherweise die CIDR-Auswahlregeln neu bewerten und anpassen müssen, um die Grenzen für die Größe der Versions- und Präfixlisten einzuhalten. Eine Liste der CloudWatch Metriken im Zusammenhang mit IPAM-Präfixlisten finden Sie unter. Resolver-Metriken der IPAM-Präfixliste

AWS Management Console
Um die erstellten Versionen anzuzeigen und die Zielsynchronisierung zu überwachen

  1. Wählen Sie in der IPAM-Konsole die Option Prefix List Resolvers aus.

  2. Wählen Sie den Resolver aus, den Sie in Schritt 1 erstellt haben.

  3. Wählen Sie auf der Detailseite des Resolvers die Registerkarte Versionen aus. Hier sehen Sie alle Versionen, die vom Resolver erstellt wurden, sowie alle Versionen, die CIDRs in der Version enthalten sind.

  4. Wählen Sie auf der Detailseite des Resolvers die Registerkarte Überwachung aus. In dieser Ansicht Resolver-Metriken der IPAM-Präfixliste werden in grafischer Form dargestellt:

    • Die Erstellung der Version des Resolvers für die Präfixliste war erfolgreich

    • Die Erstellung der Version des Resolvers für die Präfixliste ist fehlgeschlagen

  5. Auf der Registerkarte Überwachung können Sie auch einen CloudWatch Alarm konfigurieren, indem Sie die Option Alarm erstellen für die Versionserstellung der Präfixliste auswählen. Sie werden zur CloudWatch Konsole weitergeleitet, in der der Alarm teilweise für die Metrik konfiguriert ist. Weitere Informationen darüber, wie Sie die Erstellung des Alarms abschließen, finden Sie unter Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts im CloudWatch Amazon-Benutzerhandbuch.

Command line

Die Befehle in diesem Abschnitt verweisen auf die AWS CLI Befehlsreferenz. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

Verwenden Sie die folgenden AWS CLI Befehle, um Versionen und Synchronisation zu überwachen:

  1. Verwenden Sie den resolver-version-entries Befehl get-ipam-prefix-list-, um die neueste Version anzuzeigen, die vom Resolver erstellt wurde.

  2. Verwenden Sie den Befehl describe-ipam-prefix-list-resolver-targets, um den Synchronisierungsstatus des Resolver-Ziels zu überwachen.

Der Befehl monitor zeigt:

  • state — aktueller Synchronisierungsstatus (erstellen-abgeschlossen, ändern-abgeschlossen und mehr)

  • lastSyncedVersion - letzte erfolgreich synchronisierte Version

  • desiredVersion — Zielversion, mit der synchronisiert werden soll

  • StateMessage — Fehlerdetails, wenn die Synchronisierung fehlgeschlagen ist

Schritt 4: (Optional) Aktivieren und deaktivieren Sie die Synchronisierung der IPAM-Präfixliste

Wenn eine verwaltete Präfixliste als Ziel für die IPAM-Präfixliste konfiguriert wurde und Sie Änderungen an der Präfixliste vornehmen möchten, ohne eine Zugriffsberechtigung für das IPAM-Präfixlisten-Resolverziel zu benötigen, können Sie die verwaltete Präfixliste ändern und die Synchronisation mit dem IPAM-Präfixlisten-Resolver deaktivieren. Wenn sie deaktiviert ist, wird die Präfixliste CIDRs nicht automatisch aktualisiert und Sie können Änderungen daran vornehmen. Wenn diese Option aktiviert ist, wird die Präfixliste CIDRs automatisch auf der Grundlage der CIDR-Auswahlregeln des zugehörigen Resolvers aktualisiert.