Automatización de las actualizaciones de la lista de prefijos con IPAM - Amazon Virtual Private Cloud
El problema que esto resuelveFuncionamientoCuándo se debe usarRequisitos previosPasos de configuración

Automatización de las actualizaciones de la lista de prefijos con IPAM

Una lista de prefijos administrada es un conjunto de bloques CIDR que puede utilizar como referencia en las reglas de los grupos de seguridad y en las tablas de enrutamiento, en lugar de especificar direcciones IP individuales. Por ejemplo, en lugar de crear reglas de grupo de seguridad independientes para 10.1.0.0/16, 10.2.0.0/16 y 10.3.0.0/16, puede crear una única lista de prefijos que incluya los tres bloques CIDR y hacer referencia a esta en una sola regla.

Hay dos tipos:

  • Listas de prefijos administradas por el cliente: rangos de direcciones IP que usted define y administra

  • Listas de prefijos administradas por AWS: rangos de direcciones IP para servicios de AWS (como S3 o CloudFront)

Esta característica de IPAM automatiza la administración de las listas de prefijos administradas por el cliente y mantiene las entradas CIDR sincronizadas con los cambios en la red.

El problema que esto resuelve

Sin la automatización, los equipos de red deben invertir una cantidad considerable de tiempo en actualizar manualmente las listas de prefijos cuando cambia la infraestructura y en garantizar la coherencia de dichas listas en todos los entornos y regiones.

IPAM soluciona este problema al permitir la creación de reglas que actualizan automáticamente las listas de prefijos. Puede usar dos enfoques: hacer referencia a los bloques CIDR de los grupos de IPAM o crear reglas basadas en los recursos reales de AWS, por ejemplo: “incluir todas las VPC etiquetadas con env=prod”, “incluir todas las subredes en us-east-1” o “incluir todas las direcciones IP elásticas pertenecientes a la cuenta 123456789”. Al agregar o eliminar estos recursos, IPAM actualiza la lista de prefijos con sus bloques CIDR de forma automática.

Funcionamiento

Cree reglas que indiquen a IPAM qué direcciones IP incluir en una lista de prefijos. Por ejemplo: “incluir todos los bloques CIDR de las VPC etiquetadas con env=prod”. Cuando agregue o elimine VPC de producción, IPAM actualiza la lista de prefijos de forma automática.

Cuándo se debe usar

  • Grupos de seguridad: cree una regla “incluir todas las VPC etiquetadas con env=prod” para que, al agregar nuevas VPC de producción, estas se autoricen automáticamente en las reglas del grupo de seguridad

  • Multirregión: implemente las mismas reglas de IPAM en varias regiones para mantener listas de prefijos idénticas sin copiar manualmente las entradas CIDR

  • Infraestructura dinámica: cuando cree o elimine VPC o subredes, los bloques CIDR se agregarán o eliminarán automáticamente de las listas de prefijos, sin necesidad de actualizaciones manuales

Requisitos previos

Antes de comenzar, asegúrese de que dispone de lo siguiente:

Pasos de configuración

Paso 1: Creación de un solucionador de lista de prefijos de IPAM

Defina qué bloques CIDR incluir en la lista de prefijos mediante la creación de un solucionador de lista de prefijos de IPAM.

AWS Management Console
Para crear un solucionador de lista de prefijos de IPAM

  1. Abra la consola de IPAM.

  2. En el panel de navegación, elija Solucionadores de lista de prefijos.

  3. Elija Crear solucionador de lista de prefijos.

  4. En el Paso 1: Configurar detalles del solucionador, seleccione lo siguiente:

    • IPAM: una instancia de IPAM

    • Familia de direcciones: IPv4 o IPv6

    • Etiqueta de nombre (opcional): un nombre descriptivo

    • Descripción (opcional): una descripción

    • Etiquetas: etiquetas de recursos

  5. Elija Siguiente.

  6. En el Paso 2: Configurar las reglas, elija Agregar regla. Puede agregar hasta 99 reglas.

    importante

    Puede crear un solucionador de listas de prefijos sin incluir reglas de selección de CIDR; sin embargo, generará versiones vacías (sin bloques CIDR) hasta que se agreguen dichas reglas.

  7. Elija uno de los siguientes tipos de reglas:

    • CIDR estática: una lista fija de bloques CIDR que no cambia (similar a una lista manual replicada en las regiones)

    • CIDR del grupo de IPAM: CIDR provenientes de grupos específicos de IPAM (por ejemplo, todos los CIDR del grupo de producción de IPAM)

      Si selecciona esta opción, elija lo siguiente:

      • Ámbito de IPAM: seleccione el ámbito de IPAM en el que desea buscar recursos

      • Condiciones de:

        • Propiedad

          • ID del grupo de IPAM: seleccione un grupo de IPAM que contenga los recursos

          • CIDR (como 10.24.34.0/23)

        • Operación: igual/no igual

        • Valor: el valor con el que se debe cumplir la condición

    • CIDR de recurso de ámbito: CIDR de recursos de AWS, como VPC, subredes o direcciones IP elásticas dentro de un ámbito de IPAM

      Si selecciona esta opción, elija lo siguiente:

      • Ámbito de IPAM: seleccione el ámbito de IPAM en el que desea buscar recursos

      • Tipo de recurso: seleccione un recurso, como una VPC o una subred.

      • Condiciones de:

        • :

          • ID de recurso: el identificador único de un recurso (como vpc-1234567890abcdef0)

          • Propietario del recurso (como 111122223333)

          • Región del recurso (como us-east-1)

          • Etiqueta del recurso (como clave: nombre, valor: dev-vpc-1)

          • CIDR (como 10.24.34.0/23)

        • Operación: igual/no igual

        • Valor: el valor con el que se debe cumplir la condición

  8. Elija Siguiente.

  9. Elija Validar y crear.

Command line

Los comandos de esta sección contienen enlaces a la Referencia de comandos de la AWS CLI. La documentación proporciona descripciones detalladas de las opciones que puede utilizar al ejecutar los comandos.

Utilice los siguientes comandos de la AWS CLI para crear un solucionador de listas de prefijos de IPAM:

Paso 2: Creación de un destino de solucionador para conectarlo a una lista de prefijos

Vincule el solucionador a una lista de prefijos existente mediante la creación de un destino de solucionador. Use el ID del solucionador devuelto en el paso 1.

AWS Management Console
Para crear un destino de solucionador de lista de prefijos de IPAM

  1. En la consola de IPAM, elija Solucionadores de listas de prefijos.

  2. Elija el solucionador que creó en el paso 1.

  3. En la página de detalles del solucionador, elija la pestaña Destinos.

  4. Elija Crear destino.

  5. Configurar el destino:

    • Región: seleccione la región donde exista la lista de prefijos administrada o donde vaya a crear una.

    • Lista de prefijos: elija una lista de prefijos administrada existente o cree una nueva

  6. En Versión deseada, seleccione una de las siguientes opciones:

    • Seguir siempre la versión más reciente: elija esta opción para recibir actualizaciones automáticas cuando desee que las listas de prefijos se mantengan actualizadas con los cambios de infraestructura sin intervención manual.

    • Seguir una versión específica: elija esta opción para mantener la estabilidad cuando necesite actualizaciones predecibles y controladas, y prefiera aprobar manualmente los cambios en las listas de prefijos.

  7. Elija Crear destino.

Command line

Los comandos de esta sección contienen enlaces a la Referencia de comandos de la AWS CLI. La documentación proporciona descripciones detalladas de las opciones que puede utilizar al ejecutar los comandos.

Use los siguientes comandos de la AWS CLI para crear un destino de solucionador de lista de prefijos de IPAM:

IPAM ahora actualiza automáticamente la lista de prefijos según las reglas. La lista de prefijos se completará con los CIDR que coincidan con los criterios.

Paso 3: Supervisión de versiones y sincronización

Como resultado de crear un solucionador y un destino de lista de prefijos, el solucionador genera versiones de CIDR según las reglas, y el destino sincroniza esos CIDR del solucionador con una lista de prefijos administrada específica. Cada versión es una instantánea de los CIDR que coincidían con las reglas en ese momento. El número de versión aumenta cada vez que la lista de CIDR cambia debido a modificaciones en la infraestructura.

Ejemplo de la versión:

Estado inicial (versión 1)

Entorno de producción:

  • vpc-prod-web (10.1.0.0/16): etiquetado con env=prod

  • vpc-prod-db (10.2.0.0/16): etiquetado con env=prod

Regla del solucionador: incluir todas las VPC etiquetadas con env=prod

CIDR de la versión 1: 10.1.0.0/16, 10.2.0.0/16

Cambio en la infraestructura (versión 2)

Nueva VPC agregada:

  • vpc-prod-api (10.3.0.0/16): etiquetado con env=prod

IPAM detecta automáticamente el cambio y crea una nueva versión.

CIDR de la versión 2: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

Esta sección explica cómo supervisar la creación de versiones mediante la consola de AWS o la CLI de AWS, y cómo verificar la sincronización correcta mediante la CLI de AWS.

Además, se recomienda configurar alarmas de CloudWatch basadas en las métricas de fallos, ya que podría ser necesario reevaluar y ajustar las reglas de selección de CIDR para mantenerse dentro de los límites de tamaño de las listas de versiones y de prefijos. Para obtener una lista de las métricas de CloudWatch relacionadas con las listas de prefijos de IPAM, consulte Métricas del solucionador de lista de prefijos de IPAM.

AWS Management Console
Para ver las versiones creadas y supervisar la sincronización del destino

  1. En la consola de IPAM, elija Solucionadores de listas de prefijos.

  2. Elija el solucionador que creó en el paso 1.

  3. En la página de detalles del solucionador, elija la pestaña Versiones. Aquí verá las versiones creadas por el solucionador junto con los CIDR incluidos en cada versión.

  4. En la página de detalles del solucionador, elija la pestaña Supervisión. En esta vista, las Métricas del solucionador de lista de prefijos de IPAM se presentan en forma de gráfico:

    • Se creó correctamente la versión del solucionador de listas de prefijos

    • Error en la creación de versión del solucionador de lista de prefijos

  5. Desde la pestaña Supervisión, también puede configurar una alarma de CloudWatch. Paa ello, elija Crear alarma para la creación de versión del solucionador de lista de prefijos. Se le redirige a la consola de CloudWatch con la alarma parcialmente configurada para la métrica. Para obtener más información sobre cómo finalizar la creación de la alarma, consulte Creación de una alarma de CloudWatch basada en un umbral estático en la Guía del usuario de Amazon CloudWatch.

Command line

Los comandos de esta sección contienen enlaces a la Referencia de comandos de la AWS CLI. La documentación proporciona descripciones detalladas de las opciones que puede utilizar al ejecutar los comandos.

Utilice los siguientes comandos de la AWS CLI para supervisar las versiones y la sincronización:

  1. Use el comando get-ipam-prefix-list-resolver-version-entries para ver la versión más reciente creada por el solucionador.

  2. Use el comando describe-ipam-prefix-list-resolver-targets para supervisar el estado de sincronización del destino del solucionador.

El comando de supervisión muestra:

  • state: estado de sincronización actual (create-complete, modify-complete y otros)

  • lastSyncedVersion: última versión sincronizada correctamente

  • desiredVersion: versión de destino a la que se debe sincronizar

  • stateMessage: detalles del error si la sincronización falla

Paso 4: (opcional) Habilitación y desactivación de la sincronización de la lista de prefijos de IPAM

Si una lista de prefijos administrada se ha configurado como destino de una lista de prefijos de IPAM y desea realizar cambios en dicha lista sin necesitar permisos para acceder al destino del solucionador de lista de prefijos de IPAM, puede modificar la lista de prefijos administrada y desactivar la sincronización con el solucionador de lista de prefijos de IPAM. Cuando la sincronización está desactivada, los CIDR de la lista de prefijos no se actualizan automáticamente y es posible modificarlos. Cuando está habilitada, los CIDR de la lista de prefijos se actualizan automáticamente en función de las reglas de selección de CIDR del solucionador asociado.