Automatisez les mises à jour des listes de préfixes avec IPAM - Amazon Virtual Private Cloud
Le problème que cela résoutComment ça marcheQuand l'utiliserPrérequisÉtapes de configuration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Automatisez les mises à jour des listes de préfixes avec IPAM

Une liste de préfixes gérée est un ensemble de blocs CIDR auxquels vous pouvez faire référence dans les règles des groupes de sécurité et les tables de routage au lieu de spécifier des adresses IP individuelles. Par exemple, au lieu de créer des règles de groupe de sécurité distinctes pour 10.1.0.0/1610.2.0.0/16, et10.3.0.0/16, vous pouvez créer une liste de préfixes contenant les trois CIDRs et y faire référence dans une seule règle.

Il en existe deux types :

  • Listes de préfixes gérées par le client : plages d'adresses IP que vous définissez et gérez

  • AWS-listes de préfixes gérées : plages d'adresses IP pour les AWS services (tels que S3 ou) CloudFront

Cette fonctionnalité IPAM automatise la gestion des listes de préfixes gérées par les clients en synchronisant vos entrées CIDR avec les modifications de votre réseau.

Le problème que cela résout

Sans automatisation, les équipes réseau passent beaucoup de temps à mettre à jour manuellement les listes de préfixes lorsque l'infrastructure change et à maintenir des listes de préfixes cohérentes entre les environnements et les régions.

L'IPAM résout ce problème en vous permettant de créer des règles qui renseignent automatiquement les listes de préfixes. Vous pouvez utiliser deux approches : faire référence CIDRs à vos pools IPAM ou créer des règles basées sur vos AWS ressources réelles, telles que « inclure tout VPCs étiqueté avec env=prod », « inclure tous les sous-réseaux dans us-east-1 » ou « inclure toutes les adresses IP élastiques détenues par le compte 123456789 ». Lorsque vous ajoutez ou supprimez ces ressources, IPAM met automatiquement à jour la liste des préfixes avec leurs. CIDRs

Comment ça marche

Vous créez des règles qui indiquent à l'IPAM les adresses IP à inclure dans une liste de préfixes. Par exemple, « inclure tous les VPC CIDRs étiquetés avec env=prod ». Lorsque vous ajoutez ou supprimez de la production VPCs, IPAM met automatiquement à jour la liste des préfixes.

Quand l'utiliser

  • Groupes de sécurité : créez une règle « inclure tous les éléments VPCs tagués env=prod » afin que, lorsque vous ajoutez une nouvelle production VPCs, ils soient automatiquement autorisés dans les règles de votre groupe de sécurité

  • Multi-région : déployez les mêmes règles IPAM dans plusieurs régions pour conserver des listes de préfixes identiques sans copier manuellement les entrées CIDR

  • Infrastructure dynamique : lorsque vous create/delete VPCs ou des sous-réseaux, ils CIDRs apparaissent automatiquement à added/removed partir de listes de préfixes sans mises à jour manuelles

Prérequis

Avant de commencer, assurez-vous d'avoir :

Étapes de configuration

Étape 1 : Création d'un résolveur de liste de préfixes IPAM

Définissez ceux CIDRs à inclure dans votre liste de préfixes en créant un résolveur de liste de préfixes IPAM.

AWS Management Console
Pour créer un résolveur de liste de préfixes IPAM

  1. Ouvrez la console IPAM.

  2. Dans le volet de navigation, choisissez Prefix list resolvers.

  3. Choisissez Créer un résolveur de liste de préfixes.

  4. À l'étape 1 : Configuration des détails du résolveur, choisissez ce qui suit :

    • IPAM : une instance IPAM

    • Adresse de la famille : IPv4 ou IPv6

    • Étiquette nominative - facultatif : un nom descriptif

    • Description - facultatif : une description

    • Tags : Tags de ressources

  5. Choisissez Suivant.

  6. À l'étape 2 : Configuration des règles, sélectionnez Ajouter une règle. Vous pouvez ajouter jusqu'à 99 règles.

    Important

    Vous pouvez créer un résolveur de liste de préfixes sans aucune règle de sélection CIDR, mais il générera des versions vides (ne contenant aucune CIDRs) jusqu'à ce que vous ajoutiez des règles.

  7. Choisissez l'un des types de règles :

    • CIDR statique : une liste fixe de ceux CIDRs qui ne changent pas (comme une liste manuelle répliquée entre les régions)

    • CIDR du pool IPAM : CIDRs à partir de pools IPAM spécifiques (comme tous ceux CIDRs de votre pool de production IPAM)

      Si vous choisissez cette option, choisissez ce qui suit :

      • Champ d'application IPAM : sélectionnez le champ d'application IPAM pour rechercher des ressources

      • Conditions :

        • Propriété

          • ID du pool IPAM : sélectionnez un pool IPAM contenant les ressources

          • CIDR (comme 10.24.34.0/23)

        • Opération : Equals/Not égale

        • Valeur : valeur à laquelle répondre à la condition

    • CIDR de la ressource d'étendue : CIDRs à partir de AWS ressources telles que les sous-réseaux VPCs, EIPs au sein d'une portée IPAM

      Si vous choisissez cette option, choisissez ce qui suit :

      • Champ d'application IPAM : sélectionnez le champ d'application IPAM pour rechercher des ressources

      • Type de ressource : sélectionnez une ressource, telle qu'un VPC ou un sous-réseau.

      • Conditions :

        • Propriété :

          • ID de ressource : ID unique d'une ressource (comme vpc-1234567890abcdef0)

          • Propriétaire de la ressource (comme 111122223333)

          • Région ressource (comme us-east-1)

          • Balise de ressource (comme clé : nom, valeur : dev-vpc-1)

          • CIDR (comme 10.24.34.0/23)

        • Opération : Equals/Not égale

        • Valeur : valeur à laquelle répondre à la condition

  8. Choisissez Suivant.

  9. Choisissez Valider et créez.

Command line

Les commandes de cette section renvoient à la référence des AWS CLI commandes. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Utilisez les AWS CLI commandes suivantes pour créer un résolveur de liste de préfixes IPAM :

Étape 2 : créer une cible de résolution pour se connecter à une liste de préfixes

Liez votre résolveur à une liste de préfixes existante en créant une cible de résolution. Utilisez l'ID du résolveur renvoyé à l'étape 1.

AWS Management Console
Pour créer une cible de résolution de liste de préfixes IPAM

  1. Dans la console IPAM, choisissez Prefix list resolvers.

  2. Choisissez le résolveur que vous avez créé à l'étape 1.

  3. Sur la page des détails du résolveur, choisissez l'onglet Cibles.

  4. Choisissez Create target.

  5. Configurez la cible :

    • Région : Sélectionnez la région dans laquelle existe la liste de préfixes gérés existante ou dans laquelle vous allez en créer une.

    • Liste de préfixes : Choisissez une liste de préfixes gérés existante ou créez-en une nouvelle

  6. Sous Version souhaitée, sélectionnez l'une des options suivantes :

    • Suivez toujours la dernière version : choisissez cette option pour les mises à jour automatiques lorsque vous souhaitez que vos listes de préfixes restent à jour avec les modifications de l'infrastructure sans intervention manuelle.

    • Suivez une version spécifique : choisissez cette option pour des raisons de stabilité lorsque vous avez besoin de mises à jour prévisibles et contrôlées et que vous souhaitez approuver manuellement les modifications apportées à vos listes de préfixes.

  7. Choisissez Create target.

Command line

Les commandes de cette section renvoient à la référence des AWS CLI commandes. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Utilisez les AWS CLI commandes suivantes pour créer une cible de résolution de liste de préfixes IPAM :

IPAM met désormais automatiquement à jour votre liste de préfixes en fonction de vos règles. La liste des préfixes sera remplie en fonction de CIDRs vos critères.

Étape 3 : Surveiller les versions et synchroniser

À la suite de la création d'un résolveur de liste de préfixes et d'une cible, le résolveur de liste de préfixes génère des versions CIDR en fonction de vos règles, puis la cible synchronise celles du résolveur avec une liste CIDRs de préfixes gérée spécifique. Chaque version est un aperçu de ce qui CIDRs correspondait à vos règles à ce moment-là. Le numéro de version augmente chaque fois que la liste CIDR change en raison de modifications de l'infrastructure.

Exemple de version :

État initial (version 1)

Environnement de production :

  • vpc-prod-web (10.1.0.0/16) - étiqueté env=prod

  • vpc-prod-db (10.2.0.0/16) - étiqueté env=prod

Règle du résolveur : inclure tous les VPCs tags env=prod

Version 1 CIDRs : 10.1.0.0/16, 10.2.0.0/16

Modification de l'infrastructure (version 2)

Nouveau VPC ajouté :

  • vpc-prod-api (10.3.0.0/16) - étiqueté env=prod

L'IPAM détecte automatiquement le changement et crée une nouvelle version.

Version 2 CIDRs : 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

Cette section explique comment surveiller la création de versions à l'aide de la AWS console ou de la AWS CLI et le succès de la synchronisation avec la AWS CLI.

Nous vous encourageons également à définir des CloudWatch alarmes sur les indicateurs de défaillance, car vous devrez peut-être réévaluer et ajuster les règles de sélection du CIDR afin de respecter les limites de version et de taille de la liste de préfixes. Pour obtenir la liste des CloudWatch métriques relatives aux listes de préfixes IPAM, consultez. Mesures du résolveur de listes de préfixes IPAM

AWS Management Console
Pour afficher les versions créées et surveiller la synchronisation cible

  1. Dans la console IPAM, choisissez Prefix list resolvers.

  2. Choisissez le résolveur que vous avez créé à l'étape 1.

  3. Sur la page des détails du résolveur, choisissez l'onglet Versions. Vous verrez ici toutes les versions créées par le résolveur ainsi que toutes les versions présentes CIDRs dans la version.

  4. Sur la page des détails du résolveur, choisissez l'onglet Surveillance. Dans cette vue, Mesures du résolveur de listes de préfixes IPAM sont présentés sous forme de graphique :

    • Création réussie de la version du résolveur de listes de préfixes

    • Echec de création de la version du résolveur de liste de préfixes

  5. Dans l'onglet Surveillance, vous pouvez également configurer une CloudWatch alarme en choisissant Créer une alarme pour la création de la version du résolveur de listes de préfixes. Vous êtes redirigé vers la CloudWatch console avec l'alarme partiellement configurée pour la métrique. Pour plus d'informations sur la façon de terminer la création de l'alarme, consultez la section Création CloudWatch d'une alarme basée sur un seuil statique dans le guide de CloudWatch l'utilisateur Amazon.

Command line

Les commandes de cette section renvoient à la référence des AWS CLI commandes. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Utilisez les AWS CLI commandes suivantes pour contrôler les versions et la synchronisation :

  1. Utilisez la resolver-version-entries commande get-ipam-prefix-list- pour afficher la dernière version créée par le résolveur.

  2. Utilisez la commande describe-ipam-prefix-list-resolver-targets pour surveiller l'état de synchronisation de la cible du résolveur.

La commande monitor indique :

  • état : état de synchronisation actuel (création/achèvement, modification/achèvement, etc.)

  • lastSyncedVersion - dernière version synchronisée avec succès

  • DesiredVersion - version cible avec laquelle synchroniser

  • StateMessage : détails de l'erreur en cas d'échec de la synchronisation

Étape 4 : (Facultatif) Activer et désactiver la synchronisation de la liste de préfixes IPAM

Si une liste de préfixes gérée a été configurée comme cible de liste de préfixes IPAM et que vous souhaitez apporter des modifications à la liste de préfixes sans avoir besoin d'autorisation pour accéder à la cible du résolveur de liste de préfixes IPAM, vous pouvez modifier la liste de préfixes gérés et désactiver la synchronisation avec le résolveur de liste de préfixes IPAM. Lorsque cette option est désactivée, la liste des préfixes CIDRs n'est pas automatiquement mise à jour et vous pouvez y apporter des modifications. Lorsque cette option est activée, la liste des CIDRs préfixes est automatiquement mise à jour en fonction des règles de sélection CIDR du résolveur associé.