Automatisation des mises à jour des listes de préfixes avec IPAM - Amazon Virtual Private Cloud
La solution au problèmeFonctionnementContexte d’utilisationPrérequisÉtapes de configuration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Automatisation des mises à jour des listes de préfixes avec IPAM

Une liste de préfixes gérée est un ensemble de blocs CIDR que vous pouvez référencer dans des règles de groupe de sécurité et des tables de routage au lieu de spécifier des adresses IP individuelles. Par exemple, au lieu de créer des règles de groupe de sécurité distinctes pour 10.1.0.0/1610.2.0.0/16, et 10.3.0.0/16, vous pouvez créer une liste de préfixes contenant les trois CIDR et référencer cette dernière dans une seule règle.

Deux types de listes de préfixes existent :

  • Listes de préfixes gérées par le client : plages d’adresses IP que vous définissez et gérez

  • Listes de préfixes gérées par AWS : plages d’adresses IP associées à des services AWS (tels que S3 ou CloudFront)

Cette fonctionnalité IPAM automatise la gestion des listes de préfixes gérées par le client, en faisant en sorte que vos entrées CIDR demeurent synchronisées avec les modifications apportées au réseau.

La solution au problème

Sans automatisation, les équipes réseau passent beaucoup de temps à mettre à jour manuellement les listes de préfixes lorsque l’infrastructure évolue et à maintenir des listes de préfixes cohérentes entre les environnements et les régions.

L’IPAM résout ce problème en vous permettant de créer des règles qui renseignent automatiquement les listes de préfixes. Vous pouvez utiliser deux approches : référencer les CIDR à partir de vos groupes IPAM ou créer des règles basées sur vos ressources AWS réelles, telles que « inclure tous les VPC balisés avec env=prod », « inclure tous les sous-réseaux dans us-east-1 » ou « inclure toutes les adresses IP Elastic détenues par le compte 123456789 ». Lorsque vous ajoutez ou supprimez ces ressources, l’IPAM met automatiquement à jour la liste de préfixes avec leurs CIDR.

Fonctionnement

Créez des règles qui indiquent à l’IPAM les adresses IP à inclure dans une liste de préfixes. Par exemple, « inclure tous les CIDR VPC balisés avec env=prod ». Lorsque vous ajoutez ou supprimez des VPC de production, l’IPAM met automatiquement à jour la liste de préfixes.

Contexte d’utilisation

  • Groupes de sécurité : créez une règle « inclure tous les VPC balisés avec env=prod » pour que lors de l’ajout de nouveaux VPC de production, ces derniers soient automatiquement autorisés dans les règles de vos groupes de sécurité.

  • Multi-région : déployez les mêmes règles IPAM dans plusieurs régions pour conserver des listes de préfixes identiques sans copier manuellement les entrées CIDR.

  • Infrastructure dynamique : lorsque vous créez/supprimez des VPC ou des sous-réseaux, leurs CIDR sont automatiquement ajoutés/supprimés des listes de préfixes sans mise à jour manuelle.

Prérequis

Avant de commencer, assurez-vous de ce qui suit :

Étapes de configuration

Étape 1 : création d’un résolveur de liste de préfixes IPAM

Définissez les CIDR à inclure dans votre liste de préfixes en créant un résolveur de liste de préfixes IPAM.

AWS Management Console
Pour créer un résolveur de liste de préfixes IPAM

  1. Ouvrez la console IPAM.

  2. Dans le panneau de navigation, sélectionnez Résolveurs de listes de préfixes.

  3. Sélectionnez Créer un résolveur de liste de préfixes.

  4. À l’étape 1 : configurer les détails du résolveur, choisissez les éléments suivants :

    • IPAM : instance IPAM

    • Famille d’adresses : IPv4 ou IPv6

    • Balise Nom – facultatif : nom descriptif

    • Description – Facultatif : description

    • Balises : balises de ressource

  5. Choisissez Suivant.

  6. À l’étape 2 : configurer les règles, sélectionnez Ajouter une règle. Vous pouvez ajouter jusqu’à 99 règles.

    Important

    Vous pouvez créer un résolveur de liste de préfixes sans aucune règle de sélection de CIDR, cependant le résolveur générera des versions vides (ne contenant aucun CIDR) jusqu’à ce que vous ajoutiez des règles.

  7. Choisissez l’un des types de règles suivants :

    • CIDR statique : liste fixe de CIDR qui ne changent pas (comme une liste manuelle répliquée entre les régions)

    • CIDR du groupe IPAM : CIDR provenant de groupes IPAM spécifiques (comme tous les CIDR de votre groupe de production IPAM)

      Si vous choisissez cette option, choisissez les éléments suivants :

      • Portée IPAM : sélectionnez la portée IPAM pour rechercher des ressources

      • Conditions:

        • Propriété

          • ID du groupe IPAM : sélectionnez un groupe IPAM contenant les ressources

          • CIDR (comme, 10.24.34.0/23)

        • Opération : égal à/non égal à

        • Valeur : valeur à laquelle répondre à la condition

    • CIDR de ressource de portée : CIDR provenant de ressources AWS telles que des VPC, des sous-réseaux, des EIP dans une portée IPAM

      Si vous choisissez cette option, choisissez les éléments suivants :

      • Portée IPAM : sélectionnez la portée IPAM pour rechercher des ressources

      • Type de ressource : sélectionnez une ressource, comme un VPC ou un sous-réseau

      • Conditions:

        • Propriété:

          • ID de ressource : ID unique d’une ressource (comme vpc-1234567890abcdef0)

          • Propriétaire de la ressource (comme 111122223333)

          • Région de la ressource (comme us-east-1)

          • Balise de ressource (comme clé : nom, valeur : dev-vpc-1)

          • CIDR (comme 10.24.34.0/23)

        • Opération : égal à/non égal à

        • Valeur : valeur à laquelle répondre à la condition

  8. Choisissez Suivant.

  9. Choisissez Valider et créer.

Command line

Les commandes de cette section renvoient vers la documentation de référence sur les commandes de l’AWS CLI. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Utilisez les commandes AWS CLI suivantes pour créer un résolveur de liste de préfixes IPAM :

Étape 2 : création d’une cible de résolveur pour se connecter à une liste de préfixes

Reliez votre résolveur à une liste de préfixes existante en créant une cible de résolveur. Utilisez l’ID du résolveur renvoyé à l’étape 1.

AWS Management Console
Pour créer une cible de résolveur de liste de préfixes IPAM

  1. Dans la console IPAM, sélectionnez Résolveurs de listes de préfixes.

  2. Choisissez le résolveur que vous avez créé à l’étape 1.

  3. Sur la page des détails du résolveur, sélectionnez l’onglet Cibles.

  4. Sélectionnez Créer une cible.

  5. Configurez la cible :

    • Région : sélectionnez la région dans laquelle se trouve la liste de préfixes gérée existante ou dans laquelle vous prévoyez d’en créer une.

    • Liste de préfixes : choisissez une liste de préfixes gérée existante ou créez-en une nouvelle.

  6. Sous Version souhaitée, sélectionnez l’une des options suivantes :

    • Toujours suivre la dernière version : choisissez cette option pour les mises à jour automatiques lorsque vous souhaitez que vos listes de préfixes restent à jour avec les modifications de l’infrastructure sans intervention manuelle.

    • Suivre une version spécifique : choisissez cette option pour des raisons de stabilité lorsque vous avez besoin de mises à jour prévisibles et contrôlées et que vous souhaitez approuver manuellement les modifications apportées à vos listes de préfixes.

  7. Sélectionnez Créer une cible.

Command line

Les commandes de cette section renvoient vers la documentation de référence sur les commandes de l’AWS CLI. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Utilisez les commandes AWS CLI suivantes pour créer une cible de résolveur de liste de préfixes IPAM :

L’IPAM met désormais automatiquement à jour votre liste de préfixes en fonction de vos règles. La liste des préfixes sera renseignée avec les CIDR correspondant à vos critères.

Étape 3 : surveillance des versions et de la synchronisation

À la suite de la création d’un résolveur de liste de préfixes et d’une cible, le résolveur de liste de préfixes génère des versions de CIDR en fonction de vos règles, puis la cible synchronise ces CIDR à partir du résolveur avec une liste de préfixes gérée spécifique. Chaque version est un instantané des CIDR qui correspondaient à vos règles à ce moment-là. Le numéro de version augmente chaque fois que la liste CIDR change en raison de modifications de l’infrastructure.

Exemple de version :

État initial (version 1)

Environnement de production :

  • vpc-prod-web (10.1.0.0/16) – balisé avec env=prod

  • vpc-prod-db (10.2.0.0/16) – balisé avec env=prod

Règle du résolveur : inclure tous les VPC balisés avec env=prod

CIDR version 1 : 10.1.0.0/16, 10.2.0.0/16

Modification de l’infrastructure (version 2)

Nouveau VPC ajouté :

  • vpc-prod-api (10.3.0.0/16) – balisé avec env=prod

L’IPAM détecte automatiquement la modification et crée une nouvelle version.

CIDR version 2 : 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

Cette section explique comment surveiller la création de versions à l’aide de la console AWS ou de l’interface de ligne de commande AWS et la réussite de la synchronisation avec l’interface de ligne de commande AWS.

Nous vous encourageons également à configurer des alarmes CloudWatch sur les métriques de défaillance, car vous devrez peut-être réévaluer et ajuster les règles de sélection des CIDR afin de respecter les limites de version et de taille de liste de préfixes. Pour obtenir la liste des métriques CloudWatch relatives aux listes de préfixes IPAM, consultez la section Métriques de résolveur de listes de préfixes IPAM.

AWS Management Console
Pour afficher les versions créées et surveiller la synchronisation des cibles

  1. Dans la console IPAM, sélectionnez Résolveurs de listes de préfixes.

  2. Choisissez le résolveur que vous avez créé à l’étape 1.

  3. Sur la page des détails du résolveur, sélectionnez l’onglet Versions. Vous y verrez toutes les versions créées par le résolveur ainsi que tous les CIDR contenus dans la version.

  4. Sur la page de détails du résolveur, sélectionnez l’onglet Surveillance. Cette vue présente les Métriques de résolveur de listes de préfixes IPAM sous forme de graphique :

    • Réussite de la création de la version du résolveur de listes de préfixes

    • Échec de la création de la version du résolveur de listes de préfixes

  5. Dans l’onglet Surveillance, vous pouvez également configurer une alarme CloudWatch en choisissant Créer une alarme en cas de création de version du résolveur de liste de préfixes. Vous êtes redirigé vers la console CloudWatch avec l’alarme partiellement configurée pour la métrique. Pour plus d’informations sur la finalisation de la création de l’alarme, consultez la section Create a CloudWatch alarm based on a static threshold dans le Guide d’utilisation d’Amazon CloudWatch..

Command line

Les commandes de cette section renvoient vers la documentation de référence sur les commandes de l’AWS CLI. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Utilisez les commandes AWS CLI suivantes pour surveiller les versions et la synchronisation :

  1. Utilisez la commande get-ipam-prefix-list-resolver-version-entries pour afficher la dernière version créée par le résolveur.

  2. Utilisez la commande describe-ipam-prefix-list-resolver-targets pour surveiller l’état de synchronisation de la cible du résolveur.

La commande de surveillance affiche les éléments suivants :

  • state : état de synchronisation actuel (create-complete, modify-complete, etc.)

  • lastSyncedVersion : dernière version synchronisée avec succès

  • desiredVersion : version cible avec laquelle effectuer la synchronisation

  • stateMessage : détails de l’erreur en cas d’échec de la synchronisation

Étape 4 : (facultatif) activation et désactivation de la synchronisation de la liste de préfixes IPAM

Si une liste de préfixes gérée a été configurée comme cible de liste de préfixes IPAM et que vous souhaitez apporter des modifications à la liste de préfixes sans avoir besoin d’autorisations pour accéder à la cible du résolveur de liste de préfixes IPAM, vous pouvez modifier la liste de préfixes gérée et désactiver la synchronisation avec le résolveur de liste de préfixes IPAM. Si vous désactivez cette fonctionnalité, les CIDR de la liste de préfixes ne seront pas automatiquement mis à jour et vous pourrez les modifier. Si vous activez cette fonctionnalité, les CIDR de la liste de préfixes seront automatiquement mis à jour en fonction des règles de sélection des CIDR du résolveur associé.