Bringen Sie Ihr eigenes öffentliches IPv4-CIDR zu IPAM, indem Sie nur die AWS-CLI verwenden
Befolgen Sie diese Schritte, um ein IPv4-CIDR zu IPAM zu bringen und dem CIDR eine Elastic-IP-Adresse (EIP) zuzuweisen, indem Sie nur die verwenden AWS CLI.
Wichtig
In diesem Tutorial wird davon ausgegangen, dass Sie die Schritte in den folgenden Abschnitten bereits ausgeführt haben:
-
Jeder Schritt dieses Tutorials muss von einem der drei AWS-Organizations-Konten ausgeführt werden:
Das Verwaltungskonto.
Das als Ihr IPAM-Administrator konfigurierte Mitgliedskonto in Integration von IPAM mit Konten in AWS Organizations. In diesem Tutorial wird dieses Konto als IPAM-Konto bezeichnet.
Das Mitgliedskonto in Ihrer Organisation, das CIDRs aus einem IPAM-Pool zuweist. In diesem Tutorial wird dieses Konto als Mitgliedskonto bezeichnet.
Inhalt
Schritt 1: Erstellen Sie benannte AWS CLI-Profile und IAM-Rollen
Schritt 4: Stellen Sie ein CIDR für den Pool der obersten Ebene bereit
Schritt 5: Erstellen Sie einen regionalen Pool im Pool der obersten Ebene
Schritt 6: Stellen Sie ein CIDR für den regionalen Pool bereit
Schritt 10: Verknüpfen der Elastic-IP-Adresse mit einer EC2-Instance
Schritt 1: Erstellen Sie benannte AWS CLI-Profile und IAM-Rollen
Um dieses Tutorial als AWS-Einzelbenutzer abzuschließen, können Sie benannte AWS CLI-Profile verwenden, um von einer IAM-Rolle zu einer anderen zu wechseln. Benannte Profile sind Sammlungen von Einstellungen und Anmeldeinformationen, auf die Sie verweisen, wenn Sie die Option --profile mit der AWS CLI verwenden. Weitere Informationen zum Erstellen von IAM-Rollen und benannten Profilen für AWS-Konten finden Sie unter Verwenden einer IAM-Rolle in der AWS CLI.
Erstellen Sie eine Rolle und ein benanntes Profil für jedes der drei AWS-Konten, die Sie in diesem Tutorial verwenden werden:
Ein Profil namens
management-accountfür das Verwaltungskonto von AWS-Organizations.Ein Profil namens
ipam-accountfür das Mitgliedskonto von AWS-Organizations, das als Ihr IPAM-Administrator konfiguriert ist.Ein Profil namens
member-accountfür das AWS-Organizations-Mitgliedskonto in Ihrer Organisation, das CIDRs aus einem IPAM-Pool zuweist.
Nachdem Sie die IAM-Rollen und benannten Profile erstellt haben, kehren Sie zu dieser Seite zurück und fahren Sie mit dem nächsten Schritt fort. Sie werden im weiteren Verlauf dieses Tutorials feststellen, dass die AWS CLI-Beispielbefehle die --profile-Option mit einem der benannten Profile verwenden, um anzugeben, welches Konto den Befehl ausführen muss.
Schritt 2: Erstellen eines IPAMs
Dieser Schritt ist optional. Wenn Sie bereits ein IPAM mit erstellten Betriebsregionen von us-east-1 und us-west-2 erstellt haben, können Sie diesen Schritt überspringen. Erstellen Sie ein IPAM und geben Sie eine Betriebsregion von us-east-1 und us-west-2 an. Sie müssen eine Betriebsregion auswählen, damit Sie die Gebietsschemaoption verwenden können, wenn Sie Ihren IPAM-Pool erstellen. Die IPAM-Integration mit BYOIP setzt voraus, dass das Gebietsschema für den Pool festgelegt ist, der für das BYOIP CIDR verwendet wird.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
Führen Sie den folgenden Befehl aus:
aws ec2 create-ipam --descriptionmy-ipam--regionus-east-1--operating-regionsRegionName=us-west-2--profileipam-account
In der Ausgabe sehen Sie das von Ihnen erstellte IPAM. Notieren Sie den Wert für PublicDefaultScopeId. Im nächsten Schritt benötigen Sie Ihre ID für den öffentlichen Bereich. Sie verwenden den öffentlichen Bereich, da BYOIP-CIDRs öffentliche IP-Adressen sind, wofür der öffentliche Bereich bestimmt ist.
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
Schritt 3: Erstellen Sie einen IPAM-Pool der obersten Ebene
Führen Sie die Schritte in diesem Abschnitt durch, um einen IPAM-Pool der obersten Ebene zu erstellen.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
So erstellen Sie einen IPv4-Adresspool für alle Ihre AWS-Ressourcen mithilfe der AWS CLI
-
Führen Sie den folgenden Befehl aus, um einen IPAM-Pool zu erstellen. Verwenden Sie die ID des öffentlichen Bereichs des IPAM, den Sie im vorherigen Schritt erstellt haben.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 create-ipam-pool --regionus-east-1--ipam-scope-idipam-scope-0087d83896280b594--description"top-level-IPv4-pool"--address-familyipv4--profileipam-accountIn der Ausgabe sehen Sie
create-in-progress, was darauf hinweist, dass die Poolerstellung im Gange ist.{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "None", "PoolDepth": 1, "State": "create-in-progress", "Description": "top-level-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [] } } -
Führen Sie den folgenden Befehl aus, bis Sie den Status von
create-completein der Ausgabe sehen.aws ec2 describe-ipam-pools --regionus-east-1--profileipam-accountDas folgende Beispiel zeigt den Status des Pools.
{ "IpamPools": [ { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "None", "PoolDepth": 1, "State": "create-complete", "Description": "top-level-IPV4-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [] } ] }
Schritt 4: Stellen Sie ein CIDR für den Pool der obersten Ebene bereit
Stellen Sie einen CIDR-Block für den Pool der obersten Ebene bereit. Beachten Sie, dass bei der Bereitstellung eines IPv4-CIDR für einen Pool innerhalb des Pools der obersten Ebene das minimale IPv4-CIDR, das Sie bereitstellen können, /24 beträgt; spezifischere CIDRs (wie /25) sind nicht zulässig.
Anmerkung
-
Wenn Sie Ihre Domain-Kontrolle mit einem X.509-Zertifikat verifiziert haben, müssen Sie das CIDR, die BYOIP-Nachricht und die Zertifikatssignatur angeben, die Sie in diesem Schritt erstellt haben, damit wir überprüfen können, ob Sie den öffentlichen Raum kontrollieren.
-
Wenn Sie Ihre Domain-Kontrolle mit einem DNS-TXT-Datensatz verifiziert haben, müssen Sie das CIDR- und IPAM-Token angeben, die Sie in diesem Schritt erstellt haben, damit wir überprüfen können, ob Sie den öffentlichen Raum kontrollieren.
Sie müssen die Domain-Kontrolle nur verifizieren, wenn Sie das BYOIP CIDR für den Pool der obersten Ebene bereitstellen. Für den Regionalpool im Pool der obersten Ebene können Sie die Option zur Domäneneigentumsüberprüfung auslassen.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
Wichtig
Sie müssen die Domain-Kontrolle nur verifizieren, wenn Sie das BYOIP CIDR für den Pool der obersten Ebene bereitstellen. Für den Regionalpool im Pool der obersten Ebene können Sie die Option zur Domain-Kontrolle auslassen. Sobald Sie Ihre BYOIP an IPAM integriert haben, müssen Sie keine Eigentumsvalidierung durchführen, wenn Sie das BYOIP auf Regionen und Konten aufteilen.
So stellen Sie einen CIDR-Block für den Pool mit der bereit AWS CLI
-
Verwenden Sie das folgende Befehlsbeispiel, um dem CIDR Zertifikatsinformationen zur Verfügung zu stellen. Achten Sie nicht nur darauf, die Werte wie im Beispiel angegeben zu ersetzen, sondern ersetzen Sie auch die Werte
MessageundSignaturedurch die Wertetext_messageundsigned_message, die Sie in Überprüfen Ihrer Domain mit einem X.509-Zertifikat erhalten haben.aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profileipam-accountVerwenden Sie das folgende Befehlsbeispiel, um dem CIDR Verifizierungstoken-Informationen zur Verfügung zu stellen. Achten Sie nicht nur darauf, die Werte wie im Beispiel angegeben zu ersetzen, sondern ersetzen Sie
ipam-ext-res-ver-token-0309ce7f67a768cf0und durch die Token-IDIpamExternalResourceVerificationTokenId, die Sie in Überprüfen Ihrer Domain mit einem DNS-TXT-Datensatz erhalten haben.aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--verification-method dns-token --ipam-external-resource-verification-token-idipam-ext-res-ver-token-0309ce7f67a768cf0--profileipam-accountIn der Konsolenausgabe sehen Sie die CIDR-Bereitstellung.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-provision" } } -
Stellen Sie sicher, dass dieses CIDR bereitgestellt wurde, bevor Sie fortfahren.
Wichtig
Während die Bereitstellung in den meisten Fällen innerhalb von zwei Stunden abgeschlossen sein wird, kann es bis zu einer Woche dauern, bis der Bereitstellungsprozess für öffentlich zugängliche Bereiche abgeschlossen ist.
Führen Sie den folgenden Befehl aus, bis Sie den Status von
provisionedin der Ausgabe sehen.aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountDie folgende Beispielausgabe zeigt den Zustand.
{ "IpamPoolCidrs": [ { "Cidr": "130.137.245.0/24", "State": "provisioned" } ] }
Schritt 5: Erstellen Sie einen regionalen Pool im Pool der obersten Ebene
Erstellen Sie einen regionalen Pool im Pool der obersten Ebene.
Das Gebietsschema für den Pool sollte eines der folgenden sein:
Eine AWS-Region, in der dieser IPAM-Pool für Zuweisungen verfügbar sein soll.
Die Netzwerkgrenzgruppe für eine AWS Local Zone, in der dieser IPAM-Pool für Zuweisungen verfügbar sein soll (unterstützte Local Zones). Diese Option ist nur für IPAM-IPv4-Pools im öffentlichen Bereich verfügbar.
Eine AWS Dedicated Local Zone
. Um einen Pool innerhalb einer AWS Dedicated Local Zone zu erstellen, geben Sie die AWS Dedicated Local Zone in die Auswahleingabe ein.
Sie können beispielsweise nur ein CIDR für eine VPC aus einem IPAM-Pool zuweisen, der ein Gebietsschema mit der Region der VPC teilt. Beachten Sie, dass Sie es nicht ändern können, wenn Sie ein Gebietsschema für einen Pool ausgewählt haben. Wenn die Heimatregion des IPAM aufgrund eines Ausfalls nicht verfügbar ist und der Pool einen anderen Standort hat als die Heimatregion des IPAM, kann der Pool weiterhin zur Zuweisung von IP-Adressen verwendet werden.
Wenn Sie die Befehle in diesem Abschnitt ausführen, muss der Wert für --region die --locale-Option enthalten, die Sie eingegeben haben, als Sie den Pool erstellt haben, der für das BYOIP CIDR verwendet wird. Wenn Sie beispielsweise den BYOIP-Pool mit dem Gebietsschema us-east-1 erstellt haben, sollte --region den Wert us-east-1 haben. Wenn Sie den BYOIP-Pool mit dem Gebietsschema us-east-1-scl-1 (einer Netzwerkgrenzgruppe, die für Local Zones verwendet wird) erstellt haben, sollte --region den Wert us-east-1 haben, weil diese Region das Gebietsschema us-east-1-scl-1 verwaltet.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
Die Auswahl eines Gebietsschemas stellt sicher, dass es keine regionsübergreifenden Abhängigkeiten zwischen Ihrem Pool und den daraus zugewiesenen Ressourcen gibt. Die verfügbaren Optionen stammen aus den Betriebsregionen, die Sie beim Erstellen Ihres IPAM ausgewählt haben. In diesem Tutorial verwenden wir us-west-2 als Gebietsschema für den regionalen Pool.
Wichtig
Wenn Sie den Pool erstellen, müssen Sie --aws-service ec2 einschließen. Der von Ihnen gewählte Service bestimmt den AWS-Service, bei dem die CIDR beworben werden kann. Derzeit ist die einzige Option ec2, was bedeutet, dass die aus diesem Pool zugewiesenen CIDRs für den Amazon-EC2-Service (für elastische IP-Adressen) und den Amazon-VPC-Service (für CIDRs, die mit VPCs verknüpft sind) beworben werden können.
So erstellen Sie einen regionalen Pool mit der AWS CLI
-
Führen Sie den folgenden Befehl aus, um den Pool zu erstellen.
aws ec2 create-ipam-pool --description"Regional-IPv4-pool"--regionus-east-1--ipam-scope-idipam-scope-0087d83896280b594--source-ipam-pool-idipam-pool-0a03d430ca3f5c035--localeus-west-2--address-familyipv4--aws-service ec2 --profileipam-accountIn der Ausgabe sehen Sie, wie IPAM den Pool erstellt.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0d8f3646b61ca5987", "SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-west-2", "PoolDepth": 2, "State": "create-in-progress", "Description": "Regional--pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [], "ServiceType": "ec2" } } -
Führen Sie den folgenden Befehl aus, bis Sie den Status von
create-completein der Konsolenausgabe sehen.aws ec2 describe-ipam-pools --regionus-east-1--profileipam-accountIn der Ausgabe sehen Sie die Pools, die Sie in Ihrem IPAM haben. In diesem Tutorial haben wir einen Pool auf oberster Ebene und einen regionalen Pool erstellt, sodass Sie beide sehen.
Schritt 6: Stellen Sie ein CIDR für den regionalen Pool bereit
Stellen Sie einen CIDR-Block für den regionalen Pool bereit.
Anmerkung
Bei der Bereitstellung eines CIDR für einen Pool innerhalb des Pools der obersten Ebene ist das spezifischte IPv4-CIDR, das Sie bereitstellen können, /24; spezifischere CIDRs (wie /25) sind nicht zulässig. Nachdem Sie den regionalen Pool erstellt haben, können Sie kleinere Pools (z. B. /25) innerhalb desselben regionalen Pools erstellen. Wenn Sie den regionalen Pool oder die darin enthaltenen Pools teilen, können diese Pools nur in dem Gebietsschema verwendet werden, das für denselben regionalen Pool festgelegt ist.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
So weisen Sie dem Regionalpool einen CIDR-Block zu, indem Sie die verwenden AWS CLI
-
Führen Sie den folgenden Befehl aus, um das CIDR bereitzustellen.
aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--cidr130.137.245.0/24--profileipam-accountIn der Ausgabe sehen Sie die CIDR-Bereitstellung.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-provision" } } -
Führen Sie den folgenden Befehl aus, bis Sie den Status von
provisionedin der Ausgabe sehen.aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountDie folgende Beispielausgabe zeigt den korrekten Zustand.
{ "IpamPoolCidrs": [ { "Cidr": "130.137.245.0/24", "State": "provisioned" } ] }
Schritt 7: Werben für das CIDR
Die Schritte in diesem Abschnitt müssen vom IPAM-Konto ausgeführt werden. Nachdem Sie die Elastic-IP-Adresse (EIP) mit einer Instance oder einem Elastic Load Balancer verknüpft haben, können Sie damit beginnen, das CIDR, das Sie zu AWS gebracht haben, in einem Pool mit definiertem --aws-service
ec2 anzukündigen. In diesem Tutorial ist das Ihr regionaler Pool. Standardmäßig wird das CIDR nicht beworben, was bedeutet, dass es über das Internet nicht öffentlich zugänglich ist. Wenn Sie die Befehle in diesem Abschnitt ausführen, muss der Wert für --region der --locale-Option entsprechen, die Sie eingegeben haben, als Sie den Pool erstellt haben, der für das BYOIP CIDR verwendet wird.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
Anmerkung
Der Werbestatus schränkt nicht Ihre Fähigkeit ein, Elastic-IP-Adressen zuzuweisen. Auch wenn Ihr BYOIPv4-CIDR nicht beworben wird, können Sie dennoch Elastic-IP-Adressen aus dem IPAM-Pool erstellen.
Beginnen Sie mit der Werbung für das CIDR mit AWS CLI
-
Führen Sie den folgenden Befehl aus, um das CIDR anzukündigen.
aws ec2 advertise-byoip-cidr --regionus-west-2--cidr130.137.245.0/24--profileipam-accountIn der Ausgabe sehen Sie, dass das CIDR beworben wird.
{ "ByoipCidr": { "Cidr": "130.137.245.0/24", "State": "advertised" } }
Schritt 8: Teilen des regionalen Pools
Führen Sie die Schritte in diesem Abschnitt aus, um den IPAM-Pool mithilfe von AWS Resource Access Manager (RAM) freizugeben.
Aktivieren der Ressourcenfreigabe in AWS RAM
Nachdem Sie Ihren IPAM erstellt haben, sollten Sie den regionalen Pool mit anderen Konten in Ihrer Organisation teilen. Führen Sie vor der Freigabe eines IPAM-Pools die Schritte in diesem Abschnitt aus, um die Ressourcenfreigabe mit AWS RAM zu aktivieren. Wenn Sie das AWS CLI verwenden, um die Ressourcenfreigabe zu aktivieren, verwenden Sie die Option --profile
.management-account
So aktivieren Sie die Ressourcenfreigabe
-
Öffnen Sie mit dem Verwaltungskonto von AWS Organizations die AWS RAM-Konsole unter https://console.aws.amazon.com/ram/
. -
Wählen Sie im linken Navigationsbereich nacheinander Einstellungen, Freigabe aktivieren mit AWS Organizations und Einstellungen speichern aus.
Nun können Sie einen IPAM-Pool für andere Mitglieder der Organisation freigeben.
Freigeben eines IPAM-Pools mit AWS RAM
In diesem Abschnitt teilen Sie den regionalen Pool mit einem andere Mitgliedskonto von AWS Organizations. Vollständige Anweisungen zur Freigabe von IPAM-Pools, einschließlich Informationen zu den erforderlichen IAM-Berechtigungen, finden Sie unter Teilen Sie einen IPAM-Pool mit AWS RAM. Wenn Sie das AWS CLI verwenden, um die Ressourcenfreigabe zu aktivieren, verwenden Sie die Option --profile .ipam-account
So geben Sie einen IPAM-Pool mit AWS RAM frei
-
Öffnen Sie mithilfe des IPAM-Administratorkontos die IPAM-Konsole unter https://console.aws.amazon.com/ipam/
. -
Wählen Sie im Navigationsbereich Pools aus.
-
Wählen Sie den privaten Bereich und dann den IPAM-Pool aus. Wählen Sie anschließend Aktionen > Details anzeigen aus.
-
Unter Resource sharing (Ressourcenfreigabe), wählen Sie Create resource share (Ressourcenfreigabe erstellen) aus. Die AWS RAM-Konsole wird geöffnet. Sie teilen den Pool mit AWS RAM.
-
Wählen Sie Create a resource share (Ressourcenfreigabe erstellen) aus.
-
Wählen Sie in der AWS RAM-Konsole erneut Ressourcenfreigabe erstellen aus.
-
Fügen Sie einen Namen für den freigegebenen Pool hinzu.
-
Wählen Sie unter Ressourcentyp auswählen die Option IPAM-Pools und dann den ARN des Pools aus, den Sie teilen möchten.
-
Wählen Sie Weiter aus.
-
Wählen Sie die Berechtigung AWSRAMPermissionIpamPoolByoipCidrImport. Die Details der Berechtigungsoptionen würden den Rahmen dieses Tutorials sprengen. Unter Teilen Sie einen IPAM-Pool mit AWS RAM können Sie jedoch mehr über diese Optionen erfahren.
-
Wählen Sie Weiter aus.
-
Wählen Sie unter Prinzipale > Prinzipaltyp auswählen die Option AWS-Konto und geben Sie die Konto-ID des Kontos ein, das IPAM einen IP-Adressbereich hinzufügen soll, und wählen Sie Hinzufügen.
-
Wählen Sie Weiter aus.
-
Überprüfen Sie die Optionen für die Ressourcenfreigabe und die Prinzipale, für die die Freigabe erfolgt. Wählen Sie dann Erstellen aus.
-
Damit das
member-account-Konto IP-Adressen-CIDRS aus dem IPAM-Pool zuweisen kann, erstellen Sie eine zweite Ressourcenfreigabe mitAWSRAMDefaultPermissionsIpamPool. Der Wert für--resource-arnsist der ARN des IPAM-Pools, den Sie im vorherigen Abschnitt erstellt haben. Der Wert für--principalsist die Konto-ID vonmember-account. Der Wert für--permission-arnsist der ARN derAWSRAMDefaultPermissionsIpamPool-Berechtigung.
Schritt 9: Zuweisen einer Elastic-IP-Adresse aus dem Pool
Führen Sie die Schritte in diesem Abschnitt aus, um eine Elastic-IP-Adresse aus dem Pool zuzuweisen. Wenn Sie öffentliche IPv4-Pools für die Zuweisung von Elastic-IP-Adressen verwenden, können Sie die alternativen Schritte unter Alternative zu Schritt 9 anstelle der Schritte in diesem Abschnitt verwenden.
Wichtig
Wenn Sie eine Fehlermeldung erhalten, weil Sie nicht berechtigt sind, ec2:AllocateAddress aufzurufen, muss die verwaltete Berechtigung aktualisiert werden, die derzeit dem mit Ihnen geteilten IPAM-Pool zugewiesen ist. Wenden Sie sich an die Person, die die Ressourcenfreigabe erstellt hat, und bitten Sie sie, die verwaltete Berechtigung AWSRAMPermissionIpamResourceDiscovery auf die Standardversion zu aktualisieren. Weitere Informationen finden Sie unter Aktualisieren einer Ressourcenfreigabe im AWS RAM-Benutzerhandbuch.
Schritt 10: Verknüpfen der Elastic-IP-Adresse mit einer EC2-Instance
Führen Sie die Schritte in diesem Abschnitt aus, um die Elastic-IP-Adresse einer EC2-Instance zuzuweisen.
Schritt 11: Bereinigen
Führen Sie die Schritte in diesem Abschnitt aus, um die Ressourcen zu bereinigen, die Sie in diesem Tutorial bereitgestellt und erstellt haben. Wenn Sie die Befehle in diesem Abschnitt ausführen, muss der Wert für --region die --locale-Option enthalten, die Sie eingegeben haben, als Sie den Pool erstellt haben, der für das BYOIP CIDR verwendet wird.
Bereinigen mithilfe der AWS CLI
-
Zeigen Sie die in IPAM verwaltete EIP-Zuweisung an.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountDie Ausgabe zeigt die Zuweisung in IPAM.
{ "IpamPoolAllocations": [ { "Cidr": "130.137.245.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b2", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "123456789012" } ] } -
Beenden Sie die Werbung für das IPv4-CIDR.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 withdraw-byoip-cidr --regionus-west-2--cidr130.137.245.0/24--profileipam-accountIn der Ausgabe sehen Sie, dass sich der CIDR-Status von advertised (beworben) zu provisioned (bereitgestellt) geändert hat.
{ "ByoipCidr": { "Cidr": "130.137.245.0/24", "State": "provisioned" } } -
Geben Sie die elastische IP-Adresse frei.
Dieser Schritt muss vom Mitgliedskonto durchgeführt werden.
aws ec2 release-address --regionus-west-2--allocation-ideipalloc-0db3405026756dbf6--profilemember-accountSie werden keine Ausgabe sehen, wenn Sie diesen Befehl ausführen.
-
Anzeigen der EIP-Zuweisung wird nicht mehr in IPAM verwaltet. Es kann einige Zeit dauern, bis IPAM feststellt, dass die elastische IP-Adresse entfernt wurde. Sie können das IPAM-Pool-CIDR nicht weiter bereinigen und die Bereitstellung aufheben, bis Sie feststellen, dass die Zuweisung aus IPAM entfernt wurde. Wenn Sie den Befehl in diesem Abschnitt ausführen, muss der Wert für
--regiondie--locale-Option enthalten, die Sie eingegeben haben, als Sie den Pool erstellt haben, der für das BYOIP CIDR verwendet wird.Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountDie Ausgabe zeigt die Zuweisung in IPAM.
{ "IpamPoolAllocations": [] } -
Heben Sie die Bereitstellung des regionalen Pool-CIDR auf. Wenn Sie die Befehle in diesem Schritt ausführen, muss der Wert für
--regionmit der Region Ihres IPAM übereinstimmen.Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 deprovision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--cidr130.137.245.0/24--profileipam-accountIn der Ausgabe sehen Sie die Aufhebung der Bereitstellung von CIDR.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-deprovision" } }Die Aufhebung der Bereitstellung dauert etwas. Überprüfen Sie den Status der Aufhebung der Bereitstellung.
aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountWarten Sie, bis deprovisioned (Bereitstellung aufgehoben) angezeigt wird, bevor Sie mit dem nächsten Schritt fortfahren.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "deprovisioned" } } -
Löschen Sie die RAM-Freigaben und deaktivieren Sie die RAM-Integration mit AWS-Organizations. Führen Sie die Schritte in Löschen einer Ressourcenfreigabe in AWS-RAM und Deaktivieren der Ressourcenfreigabe mit AWS Organizations im AWS-RAM-Benutzerhandbuch in dieser Reihenfolge aus, um die RAM-Freigaben zu löschen und die RAM-Integration mit AWS Organizations zu deaktivieren.
Dieser Schritt muss vom IPAM-Konto bzw. vom Verwaltungskonto ausgeführt werden. Wenn Sie die AWS CLI verwenden, um die RAM-Freigaben zu löschen und die RAM-Integration zu deaktivieren, verwenden Sie die Optionen
--profileundipam-account--profile.management-account -
Löschen des regionalen Pools. Wenn Sie den Befehl in diesem Schritt ausführen, muss der Wert für
--regionmit der Region Ihres IPAM übereinstimmen.Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 delete-ipam-pool --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountIn der Ausgabe sehen Sie den Löschstatus.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0d8f3646b61ca5987", "SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "reg-ipv4-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4" } } -
Heben Sie die Bereitstellung des Pool-CIDR der obersten Ebene auf. Wenn Sie die Befehle in diesem Schritt ausführen, muss der Wert für
--regionmit der Region Ihres IPAM übereinstimmen.Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 deprovision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--profileipam-accountIn der Ausgabe sehen Sie die Aufhebung der Bereitstellung von CIDR.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-deprovision" } }Die Aufhebung der Bereitstellung dauert etwas. Führen Sie den folgenden Befehl aus, um den Status der Aufhebung der Bereitstellung zu überprüfen.
aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountWarten Sie, bis deprovisioned (Bereitstellung aufgehoben) angezeigt wird, bevor Sie mit dem nächsten Schritt fortfahren.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "deprovisioned" } } -
Löschen des Pools der obersten Ebene. Wenn Sie den Befehl in diesem Schritt ausführen, muss der Wert für
--regionmit der Region Ihres IPAM übereinstimmen.Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 delete-ipam-pool --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountIn der Ausgabe sehen Sie den Löschstatus.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "top-level-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4" } } -
Löschen Sie das IPAM. Wenn Sie den Befehl in diesem Schritt ausführen, muss der Wert für
--regionmit der Region Ihres IPAM übereinstimmen.Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 delete-ipam --regionus-east-1--ipam-idipam-090e48e75758de279--profileipam-accountIn der Ausgabe sehen Sie die IPAM-Antwort. Das bedeutet, dass das IPAM gelöscht wurde.
{ "Ipam": { "OwnerId": "123456789012", "IpamId": "ipam-090e48e75758de279", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "PublicDefaultScopeId": "ipam-scope-0087d83896280b594", "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d", "ScopeCount": 2, "OperatingRegions": [ { "RegionName": "us-east-1" }, { "RegionName": "us-west-2" } ], } }
Alternative zu Schritt 9
Wenn Sie öffentliche IPv4-Pools für die Zuweisung von Elastic-IP-Adressen verwenden, können Sie die Schritte in diesem Abschnitt anstelle der Schritte unter Schritt 9: Zuweisen einer Elastic-IP-Adresse aus dem Pool verwenden.
Inhalt
Schritt 1: Erstellen eines öffentlichen IPv4-Pools
Dieser Schritt wird normalerweise von einem anderen AWS-Konto ausgeführt, das eine elastische IP-Adresse bereitstellen möchte, etwa das Mitgliedskonto.
Wichtig
Öffentliche IPv4-Pools und IPAM-Pools werden von unterschiedlichen Ressourcen in verwaltet AWS. Öffentliche IPv4-Pools sind Einzelkonto-Ressourcen, mit denen Sie Ihre öffentlichen CIDRs in elastische IP-Adressen konvertieren können. IPAM-Pools können verwendet werden, um Ihren öffentlichen Raum öffentlichen IPv4-Pools zuzuweisen.
So erstellen Sie einen öffentlichen IPv4-Pool mit der AWS CLI
-
Führen Sie den folgenden Befehl aus, um das CIDR bereitzustellen. Wenn Sie die Befehle in diesem Abschnitt ausführen, muss der Wert für
--regionder--locale-Option entsprechen, die Sie eingegeben haben, als Sie den Pool erstellt haben, der für das BYOIP CIDR verwendet wird.aws ec2 create-public-ipv4-pool --regionus-west-2--profilemember-accountIn der Ausgabe sehen Sie die öffentliche IPv4-Pool-ID. Sie benötigen diese ID im nächsten Schritt.
{ "PoolId": "ipv4pool-ec2-0019eed22a684e0b2" }
Schritt 2: Bereitstellen eines öffentlichen IPv4-CIDR für Ihren öffentlichen IPv4-Pool
Stellen Sie das öffentliche IPv4-CIDR für Ihren öffentlichen IPv4-Pool bereit. Der Wert für --region muss dem --locale-Wert entsprechen den Sie bei der Erstellung des Pools eingegeben haben, der für das BYOIP-CIDR verwendet wird. Die unspezifischste --netmask-length, die Sie definieren können, ist 24.
Dieser Schritt muss vom Mitgliedskonto durchgeführt werden.
So erstellen Sie einen öffentlichen IPv4-Pool mit der AWS CLI
-
Führen Sie den folgenden Befehl aus, um das CIDR bereitzustellen.
aws ec2 provision-public-ipv4-pool-cidr --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--pool-idipv4pool-ec2-0019eed22a684e0b2--netmask-length24--profilemember-accountIn der Ausgabe sehen Sie das bereitgestellte CIDR.
{ "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "PoolAddressRange": { "FirstAddress": "130.137.245.0", "LastAddress": "130.137.245.255", "AddressCount": 256, "AvailableAddressCount": 256 } } -
Führen Sie den folgenden Befehl aus, um das im öffentlichen IPv4-Pool bereitgestellte CIDR anzuzeigen.
aws ec2 describe-byoip-cidrs --regionus-west-2--max-results10--profilemember-accountIn der Ausgabe sehen Sie das bereitgestellte CIDR. Standardmäßig wird das CIDR nicht beworben, was bedeutet, dass es über das Internet nicht öffentlich zugänglich ist. Sie haben die Möglichkeit, dieses CIDR im letzten Schritt dieses Tutorials als beworben zu setzen.
{ "ByoipCidrs": [ { "Cidr": "130.137.245.0/24", "StatusMessage": "Cidr successfully provisioned", "State": "provisioned" } ] }
Schritt 3: Erstellen einer elastischen IP-Adresse aus dem öffentlichen IPv4-Pool
Erstellen Sie eine elastische IP-Adresse (EIP) aus dem öffentlichen IPv4-Pool. Wenn Sie die Befehle in diesem Abschnitt ausführen, muss der Wert für --region der --locale-Option entsprechen, die Sie eingegeben haben, als Sie den Pool erstellt haben, der für das BYOIP CIDR verwendet wird.
Dieser Schritt muss vom Mitgliedskonto durchgeführt werden.
So erstellen Sie eine EIP aus dem öffentlichen IPv4-Pool mit dem AWS CLI
-
Führen Sie den folgenden Befehl aus, um ein EIP zu erstellen.
aws ec2 allocate-address --regionus-west-2--public-ipv4-poolipv4pool-ec2-0019eed22a684e0b2--profilemember-accountIn der Ausgabe sehen Sie die Zuweisung.
{ "PublicIp": "130.137.245.100", "AllocationId": "eipalloc-0db3405026756dbf6", "PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2", "NetworkBorderGroup": "us-east-1", "Domain": "vpc" } -
Führen Sie den folgenden Befehl aus, um die in IPAM verwaltete EIP-Zuweisung anzuzeigen.
Dieser Schritt muss vom IPAM-Konto ausgeführt werden.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountDie Ausgabe zeigt die Zuweisung in IPAM.
{ "IpamPoolAllocations": [ { "Cidr": "130.137.245.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b2", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "123456789012" } ] }
Alternative zu Schritt 9 – Bereinigung
Gehen Sie wie folgt vor, um öffentliche IPv4-Pools zu bereinigen, die mit der Alternative zu Schritt 9 erstellt wurden. Sie sollten diese Schritte ausführen, nachdem Sie die Elastic-IP-Adresse während des Standardbereinigungsvorgangs in Schritt 10: Bereinigen freigegeben haben.
-
Zeigen Sie Ihre BYOIP CIDRs an.
Dieser Schritt muss vom Mitgliedskonto durchgeführt werden.
aws ec2 describe-public-ipv4-pools --regionus-west-2--profilemember-accountIn der Ausgabe sehen Sie die IP-Adressen in Ihrem BYOIP CIDR.
{ "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "Description": "", "PoolAddressRanges": [ { "FirstAddress": "130.137.245.0", "LastAddress": "130.137.245.255", "AddressCount": 256, "AvailableAddressCount": 256 } ], "TotalAddressCount": 256, "TotalAvailableAddressCount": 256, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] } -
Geben Sie den CIDR aus dem öffentlichen IPv4-Pool frei. Wenn Sie den Befehl in diesem Abschnitt ausführen, muss der Wert für
--regionmit der Region Ihres IPAMs übereinstimmen.Dieser Schritt muss vom Mitgliedskonto durchgeführt werden.
aws ec2 deprovision-public-ipv4-pool-cidr --regionus-east-1--pool-idipv4pool-ec2-0019eed22a684e0b2--cidr130.137.245.0/24--profilemember-account -
Zeigen Sie Ihre BYOIP-CIDRs erneut an und stellen Sie sicher, dass keine bereitgestellten Adressen mehr vorhanden sind. Wenn Sie den Befehl in diesem Abschnitt ausführen, muss der Wert für
--regionmit der Region Ihres IPAMs übereinstimmen.Dieser Schritt muss vom Mitgliedskonto durchgeführt werden.
aws ec2 describe-public-ipv4-pools --regionus-east-1--profilemember-accountIn der Ausgabe sehen Sie die Anzahl der IP-Adressen in Ihrem öffentlichen IPv4-Pool.
{ "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "Description": "", "PoolAddressRanges": [], "TotalAddressCount": 0, "TotalAvailableAddressCount": 0, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] }
