Tutorial: Übertragen eines vorhandenen BYOIP-IPv4-CIDR an IPAM - Amazon Virtual Private Cloud
Schritt 1: Erstellen Sie benannte AWS CLI-Profile und IAM-RollenSchritt 2: Abrufen der ID Ihres IPAM für den öffentlichen BereichSchritt 3: Erstellen eines IPAM-PoolsSchritt 4: Freigeben des IPAM-Pools mit AWS RAMSchritt 5: Übertragen eines vorhandenen BYOIP-IPV4-CIDR an IPAMSchritt 6: Anzeigen des CIDR in IPAMSchritt 7: Bereinigen

Tutorial: Übertragen eines vorhandenen BYOIP-IPv4-CIDR an IPAM

Führen Sie diese Schritte aus, um ein vorhandenes IPv4-CIDR auf IPAM zu übertragen. Wenn Sie bereits ein IPv4 BYOIP CIDR mit AWS haben, können Sie den CIDR aus einem öffentlichen IPv4-Pool auf IPAM verschieben. Sie können ein IPv6 CIDR nicht an IPAM übertragen.

In diesem Tutorial wird davon ausgegangen, dass Sie bereits erfolgreich einen IP-Adressbereich an AWS übertragen haben, indem Sie den in Bring Your Own IP Addresses (BYOIP) an Amazon EC2 beschriebenen Prozess durchgeführt haben und nun diesen IP-Adressbereich an IPAM übertragen möchten. Wenn Sie zum ersten Mal eine neue IP-Adressadresse zu AWS bringen, führen Sie die Schritte in Tutorial: Mitbringen eigener IP-Adressen in IPAM aus.

Wenn Sie einen öffentlichen IPv4-Pool an IPAM übertragen, hat dies keine Auswirkungen auf bestehende Zuordnungen. Sobald Sie einen öffentlichen IPv4-Pool an IPAM übertragen haben, können Sie je nach Ressourcentyp möglicherweise die vorhandenen Zuordnungen überwachen. Weitere Informationen finden Sie unter Überwachen Sie die CIDR-Nutzung nach Ressourcen.

Anmerkung

  • Dieses Tutorial geht davon aus, dass Sie die Schritte in Erstellen eines IPAM bereits abgeschlossen haben.

  • Jeder Schritt dieses Tutorials muss von einem von zwei AWS-Konten ausgeführt werden:

    • Das Konto für den IPAM-Administrator. In diesem Tutorial wird dieses Konto als IPAM-Konto bezeichnet.

    • Das Konto in Ihrer Organisation, dem das BYOIP CIDR gehört. In diesem Tutorial wird dieses Konto als BYOIP-CIDR-Besitzerkonto bezeichnet.

Schritt 1: Erstellen Sie benannte AWS CLI-Profile und IAM-Rollen

Um dieses Tutorial als AWS-Einzelbenutzer abzuschließen, können Sie benannte AWS CLI-Profile verwenden, um von einer IAM-Rolle zu einer anderen zu wechseln. Benannte Profile sind Sammlungen von Einstellungen und Anmeldeinformationen, auf die Sie verweisen, wenn Sie die Option --profile mit der AWS CLI verwenden. Weitere Informationen zum Erstellen von IAM-Rollen und benannten Profilen für AWS-Konten finden Sie unter Verwenden einer IAM-Rolle in der AWS CLI.

Erstellen Sie eine Rolle und ein benanntes Profil für jedes der drei AWS-Konten, die Sie in diesem Tutorial verwenden werden:

  • Ein Profil namens ipam-account für das AWS-Konto, das der IPAM-Administrator ist.

  • Ein Profil namens byoip-owner-account für das AWS-Konto in Ihrer Organisation, dem das BYOIP CIDR gehört.

Nachdem Sie die IAM-Rollen und benannten Profile erstellt haben, kehren Sie zu dieser Seite zurück und fahren Sie mit dem nächsten Schritt fort. Sie werden im weiteren Verlauf dieses Tutorials feststellen, dass die AWS CLI-Beispielbefehle die --profile-Option mit einem der benannten Profile verwenden, um anzugeben, welches Konto den Befehl ausführen muss.

Schritt 2: Abrufen der ID Ihres IPAM für den öffentlichen Bereich

Führen Sie die Schritte in diesem Abschnitt aus, um die ID Ihres IPAMs für den öffentlichen Bereich abzurufen. Dieser Schritt sollte vom ipam-account-Konto ausgeführt werden.

Führen Sie den folgenden Befehl aus, um Ihre ID für den öffentlichen Bereich abzurufen.

aws ec2 describe-ipams --region us-east-1 --profile ipam-account

In der Ausgabe sehen Sie Ihre ID für den öffentlichen Bereich. Notieren Sie die Werte für PublicDefaultScopeId. Sie benötigen ihn im nächsten Schritt.

{
 "Ipams": [
        {
            "OwnerId": "123456789012",
            "IpamId": "ipam-090e48e75758de279",
            "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
            "PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
            "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
            "ScopeCount": 2,
            "Description": "my-ipam",
            "OperatingRegions": [
                {
                    "RegionName": "us-east-1"
                },
                {
                    "RegionName": "us-west-2"
                }
            ],
            "Tags": []
        }
    ]
}

Schritt 3: Erstellen eines IPAM-Pools

Um einen IPAM-Pool zu erstellen, führen Sie die Schritte in diesem Abschnitt aus. Dieser Schritt sollte vom ipam-account-Konto ausgeführt werden. Der von Ihnen erstellte IPAM-Pool muss ein Pool der obersten Ebene mit der --locale-Option sein, die der BYOIP-CIDR-Region AWS entspricht. Sie können ein BYOIP nur in einen IPAM-Pool der obersten Ebene übertragen.

Wichtig

Wenn Sie den Pool erstellen, müssen Sie --aws-service ec2 einschließen. Der von Ihnen gewählte Service bestimmt den AWS-Service, bei dem die CIDR beworben werden kann. Derzeit ist die einzige Option ec2, was bedeutet, dass die aus diesem Pool zugewiesenen CIDRs für den Amazon-EC2-Service (für elastische IP-Adressen) und den Amazon-VPC-Service (für CIDRs, die mit VPCs verknüpft sind) beworben werden können.

So erstellen Sie einen IPv4-Adresspool für das übertragene BYOIP CIDR mit dem AWS CLI

  1. Führen Sie den folgenden Befehl aus, um einen IPAM-Pool zu erstellen. Verwenden Sie die ID des öffentlichen Bereichs des IPAM, die Sie im vorherigen Schritt abgerufen haben.

    aws ec2 create-ipam-pool --region us-east-1 --profile ipam-account --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-pool" --locale us-west-2 --aws-service ec2 --address-family ipv4

    In der Ausgabe sehen Sie create-in-progress, was darauf hinweist, dass die Poolerstellung im Gange ist.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-west-2",
        "PoolDepth": 1,
        "State": "create-in-progress",
        "Description": "top-level-pool",
        "AutoImport": false,
        "AddressFamily": "ipv4",
        "Tags": [],
        "AwsService": "ec2"
    }
}

  2. Führen Sie den folgenden Befehl aus, bis Sie den Status von create-complete in der Ausgabe sehen.

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    Das folgende Beispiel zeigt den Status des Pools. Die OwnerId benötigen Sie im nächsten Schritt.

    {
    "IpamPools": [
        {
            "OwnerId": "123456789012",
            "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
            "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
            "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
            "IpamScopeType": "public",
            "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
            "Locale": "us-west-2",
            "PoolDepth": 1,
            "State": "create-complete",
            "Description": "top-level-pool",
            "AutoImport": false,
            "AddressFamily": "ipv4",
            "Tags": [],
            "AwsService": "ec2"
        }
    ]
}

Schritt 4: Freigeben des IPAM-Pools mit AWS RAM

Führen Sie die Schritte in diesem Abschnitt aus, um einen IPAM-Pool mit AWS RAM freizugeben, sodass ein anderes AWS-Konto ein vorhandenes BYOIP-IPV4-CIDR an den IPAM-Pool übertragen und diesen verwenden kann. Dieser Schritt sollte vom ipam-account-Konto ausgeführt werden.

So geben Sie einen IPv4-Adresspool mit der AWS CLI frei

  1. Sehen Sie sich die für IPAM-Pools verfügbaren AWS RAM-Berechtigungen an. Sie benötigen beide ARNs, um die Schritte in diesem Abschnitt durchführen zu können.

    aws ram list-permissions --region us-east-1 --profile ipam-account --resource-type ec2:IpamPool
    {
    "permissions": [
        {
           "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool",
           "version": "1",
           "defaultVersion": true,
           "name": "AWSRAMDefaultPermissionsIpamPool",
           "resourceType": "ec2:IpamPool",
           "status": "ATTACHABLE",
           "creationTime": "2022-06-30T13:04:29.335000-07:00",
           "lastUpdatedTime": "2022-06-30T13:04:29.335000-07:00",
           "isResourceTypeDefault": true
        },
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMPermissionIpamPoolByoipCidrImport",
            "resourceType": "ec2:IpamPool",
            "status": "ATTACHABLE",
            "creationTime": "2022-06-30T13:03:55.032000-07:00",
            "lastUpdatedTime": "2022-06-30T13:03:55.032000-07:00",
            "isResourceTypeDefault": false
        }
    ]
}

  2. Erstellen Sie eine Ressourcenfreigabe, damit das Konto byoip-owner-account BYOIP-CIDRs in IPAM importieren kann. Der Wert für --resource-arns ist der ARN des IPAM-Pools, den Sie im vorherigen Abschnitt erstellt haben. Beim Wert für --principals handelt es sich um die ID des BYOIP-CIDR-Eigentümerkontos. Der Wert für --permission-arns ist der ARN der AWSRAMPermissionIpamPoolByoipCidrImport-Berechtigung.

    aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare2 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport
    {                                                                                                                    
    "resourceShare": {                                                                                               
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7993758c-a4ea-43ad-be12-b3abaffe361a",
        "name": "PoolShare2",                                                                                      
        "owningAccountId": "123456789012",                                                                                         
        "allowExternalPrincipals": true,                                                                             
        "status": "ACTIVE",                                                                                          
        "creationTime": "2023-04-28T07:32:25.536000-07:00",                                                          
        "lastUpdatedTime": "2023-04-28T07:32:25.536000-07:00"                                                        
        }                                                                                                                
}

  3. (Optional) Wenn Sie nach Abschluss der Übertragung dem Konto byoip-owner-account erlauben möchten, IP-Adress-CIDRs aus dem IPAM-Pool öffentlichen IPv4-Pools zuzuweisen, kopieren Sie den ARN für AWSRAMDefaultPermissionsIpamPool und erstellen Sie eine zweite Ressourcenfreigabe. Der Wert für --resource-arns ist der ARN des IPAM-Pools, den Sie im vorherigen Abschnitt erstellt haben. Beim Wert für --principals handelt es sich um die ID des BYOIP-CIDR-Eigentümerkontos. Der Wert für --permission-arns ist der ARN der AWSRAMDefaultPermissionsIpamPool-Berechtigung.

    aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare1 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool
    {                                                                                                                    
    "resourceShare": {                                                                                               
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
        "name": "PoolShare1",                                                                                      
        "owningAccountId": "123456789012",                                                                                         
        "allowExternalPrincipals": true,                                                                             
        "status": "ACTIVE",                                                                                          
        "creationTime": "2023-04-28T07:31:25.536000-07:00",                                                          
        "lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00"                                                        
        }                                                                                                                
}

Als Ergebnis der Erstellung der Ressourcenfreigabe in RAM kann das Konto byoip-owner-account jetzt CIDRs nach IPAM verschieben.

Schritt 5: Übertragen eines vorhandenen BYOIP-IPV4-CIDR an IPAM

Führen Sie die Schritte in diesem Abschnitt aus, um ein vorhandenes BYOIP-IPV4-CIDR an IPAM zu übertragen. Dieser Schritt sollte vom byoip-owner-account-Konto ausgeführt werden.

Wichtig

Wenn Sie einen IPv4-Adressbereich mit zu AWS bringen, können Sie alle IP-Adressen des Bereichs verwenden, einschließlich der ersten Adresse (der Netzwerkadresse) und der letzten Adresse (der Broadcast-Adresse).

Um das BYOIP CIDR an IPAM zu übertragen, muss der BYOIP-CIDR-Besitzer die folgenden Berechtigungen in seiner IAM-Richtlinie haben:

  • ec2:MoveByoipCidrToIpam

  • ec2:ImportByoipCidrToIpam

Anmerkung

Für diesen Schritt können Sie die AWS-Managementkonsole oder die AWS CLI verwenden.

AWS Management Console
So übertragen Sie einen BYOIP CIDR in den IPAM-Pool:

  1. Öffnen Sie die IPAM-Konsole unter https://console.aws.amazon.com/ipam/ als das byoip-owner-account-Konto.

  2. Wählen Sie im Navigationsbereich Pools aus.

  3. Wählen Sie den Pool der obersten Ebene, der in diesem Tutorial erstellt und geteilt wurde.

  4. Wählen Sie Aktionen > BYOIP CIDR übertragen.

  5. Wählen Sie BYOIP CIDR übertragen.

  6. Wählen Sie Ihren BYOIP CIDR.

  7. Wählen Sie Bereitstellung.

Command line

Verwenden Sie die folgenden AWS CLI-Befehle, um einen BYOIP CIDR mithilfe der AWS CLI an den IPAM-Pool zu übertragen:

  1. Führen Sie den folgenden Befehl aus, um das CIDR zu übertragen. Stellen Sie sicher, dass der --region-Wert die AWS-Region des BYOIP CIDR ist.

    aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24

    In der Ausgabe sehen Sie die CIDR-Bereitstellung.

    {
    "ByoipCidr": {                                                                 
        "Cidr": "130.137.249.0/24",                                              
        "State": "pending-transfer"                                                      
    }                                                                              
}

  2. Stellen Sie sicher, dass das CIDR übertragen wurde. Führen Sie den folgenden Befehl aus, bis Sie den Status von complete-transfer in der Ausgabe sehen.

    aws ec2 move-byoip-cidr-to-ipam --region us-west-2  --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24

    Die folgende Beispielausgabe zeigt den Zustand.

    {
    "ByoipCidr": {                                                                 
        "Cidr": "130.137.249.0/24",                                              
        "State": "complete-transfer"                                                      
    }                                                                              
}

Schritt 6: Anzeigen des CIDR in IPAM

Führen Sie die Schritte in diesem Abschnitt aus, um den CIDR in IPAM anzuzeigen. Dieser Schritt sollte vom ipam-account-Konto ausgeführt werden.

So zeigen Sie das übertragene BYOIP CIDR im IPAM-Pool mit der an AWS CLI

  • Führen Sie den folgenden Befehl aus, um die in IPAM verwaltete Zuweisung anzuzeigen. Stellen Sie sicher, dass der --region-Wert die AWS-Region des BYOIP CIDR ist.

    aws ec2 get-ipam-pool-allocations --region us-west-2  --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987

    Die Ausgabe zeigt die Zuweisung in IPAM.

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "130.137.249.0/24",
            "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
            "ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
            "ResourceType": "ec2-public-ipv4-pool",
            "ResourceOwner": "111122223333"
        }
    ]
}

Schritt 7: Bereinigen

Führen Sie die Schritte in diesem Abschnitt aus, um die Ressourcen zu entfernen, die Sie in diesem Tutorial erstellt haben. Dieser Schritt sollte vom ipam-account-Konto ausgeführt werden.

So bereinigen Sie die in diesem Tutorial erstellten Ressourcen mithilfe der AWS CLI

  1. Zum Löschen der freigegebenen Ressourcen des IPAM-Pools führen Sie den folgenden Befehl aus, um den ARN der ersten Ressourcenfreigabe abzurufen:

    aws ram get-resource-shares --region us-east-1 --profile ipam-account --name PoolShare1 --resource-owner SELF
    {
    "resourceShares": [
        {
            "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
            "name": "PoolShare1",
            "owningAccountId": "123456789012",
            "allowExternalPrincipals": true,
            "status": "ACTIVE",
            "creationTime": "2023-04-28T07:31:25.536000-07:00",
            "lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00",
            "featureSet": "STANDARD"
        }
    ]
}

  2. Kopieren Sie den ARN der Ressourcenfreigabe und löschen Sie damit die Ressourcenfreigabe des IPAM-Pools. 

    aws ram delete-resource-share --region us-east-1 --profile ipam-account --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f
    {                      
    "returnValue": true
}

  3. Wenn Sie unter Schritt 4: Freigeben des IPAM-Pools mit AWS RAM eine zusätzliche Ressourcenfreigabe erstellt haben, wiederholen Sie die beiden vorherigen Schritte, um den ARN der zweiten Ressourcenfreigabe für PoolShare2 abzurufen und die zweite Ressourcenfreigabe zu löschen.

  4. Führen Sie den folgenden Befehl aus, um die Zuordnungs-ID für den BYOIP CIDR abzurufen. Stellen Sie sicher, dass der --region-Wert der AWS-Region des BYOIP CIDR entspricht.

    aws ec2 get-ipam-pool-allocations --region us-west-2  --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987

    Die Ausgabe zeigt die Zuweisung in IPAM.

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "130.137.249.0/24",
            "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
            "ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
            "ResourceType": "ec2-public-ipv4-pool",
            "ResourceOwner": "111122223333"
        }
    ]
}

  5. Geben Sie den CIDR aus dem öffentlichen IPv4-Pool frei. Wenn Sie den Befehl in diesem Abschnitt ausführen, muss der Wert für --region mit der Region Ihres IPAMs übereinstimmen.

    Dieser Schritt muss vom byoip-owner-account-Konto ausgeführt werden.

    aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1  --profile byoip-owner-account --pool-id ipv4pool-ec2-0019eed22a684e0b3 --cidr 130.137.249.0/24

  6. Zeigen Sie Ihre BYOIP-CIDRs erneut an und stellen Sie sicher, dass keine bereitgestellten Adressen mehr vorhanden sind. Wenn Sie den Befehl in diesem Abschnitt ausführen, muss der Wert für --region mit der Region Ihres IPAMs übereinstimmen.

    Dieser Schritt muss vom byoip-owner-account-Konto ausgeführt werden.

    aws ec2 describe-public-ipv4-pools --region us-east-1 --profile byoip-owner-account

    In der Ausgabe sehen Sie die Anzahl der IP-Adressen in Ihrem öffentlichen IPv4-Pool.

    {
    "PublicIpv4Pools": [
        {
            "PoolId": "ipv4pool-ec2-0019eed22a684e0b3",
            "Description": "",
            "PoolAddressRanges": [],
            "TotalAddressCount": 0,
            "TotalAvailableAddressCount": 0,
            "NetworkBorderGroup": "us-east-1",
            "Tags": []
        }
    ]
}

  7. Führen Sie den folgenden Befehl aus, um den Pool der obersten Ebene zu löschen.

    aws ec2 delete-ipam-pool --region us-east-1  --profile ipam-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035

    In der Ausgabe sehen Sie den Löschstatus.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-east-1",
        "PoolDepth": 2,
        "State": "delete-in-progress",
        "Description": "top-level-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv4",
        "AwsService": "ec2"
    }
}