Apportez votre propre CIDR IPv4 à IPAM à l'aide duAWSManagement Console (Console de gestion) et leAWSCLI - Amazon Virtual Private Cloud
Étape 1 : Création de profils d'AWS CLI nommés et de rôles IAMÉtape 2 : Création d'un groupe IPAM niveau supérieurÉtape 3. Création d'un groupe régional dans le groupe de niveau supérieurÉtape 4 : publication du CIDRÉtape 5. Partager le groupe régionalÉtape 6 : allocation d’une adresse IP Elastic à partir du groupeÉtape 7 : association de l’adresse IP Elastic à une instance EC2Étape 8 : nettoyageAlternative à l’étape 6

Apportez votre propre CIDR IPv4 à IPAM à l'aide duAWSManagement Console (Console de gestion) et leAWSCLI

Suivez ces étapes pour apporter un CIDR IPv4 à IPAM et allouer une adresse IP élastique (EIP Address) à l'aide de la commandeAWSManagement Console (Console de gestion) et leAWSCLI.

Important

Étape 1 : Création de profils d'AWS CLI nommés et de rôles IAM

Pour suivre ce didacticiel en tant qu'utilisateur AWS unique, vous pouvez utiliser des profils nommés AWS CLI pour passer d'un rôle IAM à un autre. Les profils nommés sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option --profile associée à l'AWS CLI. Pour plus d’informations sur la création de rôles IAM et de profils nommés pour les comptes AWS, consultez la section Using an IAM role in the AWS CLI.

Créez un rôle et un profil nommé pour chacun des trois comptes AWS que vous utiliserez dans ce didacticiel :

  • Un profil appelémanagement-accountpour leAWSCompte de gestion Organizations.

  • Un profil appelé ipam-accountpour le AWSCompte membre Organizations configuré pour être votre administrateur IPAM.

  • Un profil appelé member-accountpour le AWSCompte membre Organizations de votre organisation qui allouera des CIDR à partir d'un groupe IPAM.

Une fois que vous avez créé les rôles IAM et les profils nommés, revenez à cette page et passez à l'étape suivante. Vous remarquerez tout au long de ce didacticiel que l'échantillon AWS CLI commande l'utilisation de --profile l'option avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.

Étape 2 : Création d'un groupe IPAM niveau supérieur

Suivez les étapes de cette section pour créer un groupe IPAM de niveau supérieur.

Cette étape doit être réalisée par le compte IPAM.

Création d'un groupe

  1. Ouvrez la console IPAM à partir de l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le panneau de navigation, sélectionnez Pools (Groupes).

  3. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public. Pour plus d'informations sur les portées, consultez Fonctionnement d'IPAM.

  4. Sélectionnez Create pool (Créer un groupe).

  5. (Facultatif) Ajoutez une valeur Name tag (Étiquette de nom) du groupe et une Description du groupe.

  6. Sous Source, choisissez Portée IPAM.

  7. SousAddress family (Famille d'adresses), choisissezIPv4.

  8. Sous Planification des ressources, laissez sélectionné Planifier l'espace IP dans la portée. Pour plus d'informations sur l'utilisation de cette option pour planifier l'espace IP de sous-réseau dans un VPC, consultez Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau.

  9. SousLocale (paramètre régional), choisissezAucun.

    L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP. Puisque nous allons créer un groupe IPAM de niveau supérieur contenant un groupe régional et que nous allons allouer de l'espace à une adresse IP élastique à partir du groupe régional, vous définirez les paramètres régionaux sur le groupe régional, et non sur le groupe de niveau supérieur. Vous ajouterez les paramètres régionaux au groupe régional lorsque vous le créerez à une étape ultérieure.

    Note

    Si vous créez un groupe unique uniquement et non un groupe de niveau supérieur comportant des groupes régionaux, vous devez choisir un paramètre régional pour ce groupe afin que le groupe soit disponible pour les allocations.

  10. Sous Source IP publique, choisissez BYOIP.

  11. Dans la section CIDR à provisionner, effectuez l’une des opérations suivantes :

    Notez que lors de l'approvisionnement d'un CIDR IPv4 à un groupe au sein du groupe de niveau supérieur, le CIDR IPv4 minimum que vous pouvez approvisionner est /24; les CIDR plus spécifiques (tels que /25) ne sont pas autorisés.

    Important

    Bien que la plupart des approvisionnements soient effectués dans les deux heures, le processus d’allocation des plages qui peuvent être annoncées publiquement peut durer jusqu’à une semaine.

  12. Laissez l’option Configurer les paramètres des règles d’allocation de ce groupe non sélectionnée.

  13. (En option) Sélectionnez Tags (Étiquettes) pour le groupe.

  14. Sélectionnez Create pool (Créer un groupe).

Vérifiez que ce CIDR a été provisionné avant de continuer. Vous pouvez voir l'état de l'approvisionnement dans l'onglet CIDRdans la page des détails du groupe.

Étape 3. Création d'un groupe régional dans le groupe de niveau supérieur

Création d'un groupe régional dans le groupe de niveau supérieur L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP. Vous ajouterez les paramètres régionaux au groupe régional lorsque vous le créerez dans cette section. Le Locale doit faire partie de l’une des régions d’exploitation que vous avez configurées lorsque vous avez créé l’IPAM. Par exemple, un paramètre régional us-east-1 signifie que us-east-1 doit être une région opérationnelle pour l’IPAM. Une paramètre régional us-east-1-scl-1 (un groupe frontalier de réseau utilisé pour les zones locales) signifie que l’IPAM doit avoir une région opérationnelle us-east-1.

Cette étape doit être réalisée par le compte IPAM.

Création d'un groupe dans un groupe de niveau supérieur

  1. Ouvrez la console IPAM à partir de l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le panneau de navigation, sélectionnez Pools (Groupes).

  3. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Si vous ne souhaitez pas utiliser la portée privée par défaut, dans le menu déroulant en haut du panneau de contenu, choisissez la portée que vous souhaitez utiliser. Pour plus d'informations sur les portées, consultez Fonctionnement d'IPAM.

  4. Sélectionnez Create pool (Créer un groupe).

  5. (Facultatif) Ajoutez une valeur Name tag (Étiquette de nom) du groupe et une Description du groupe.

  6. Sous Source, sélectionnez le groupe de niveau supérieur que vous avez créé dans la section précédente.

  7. Sous Planification des ressources, laissez sélectionné Planifier l'espace IP dans la portée. Pour plus d'informations sur l'utilisation de cette option pour planifier l'espace IP de sous-réseau dans un VPC, consultez Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau.

  8. Sous Paramètres régionaux, choisissez les paramètres régionaux du groupe. Dans ce didacticiel, nous allons utiliser us-east-2comme paramètre régional pour le groupe régional. Les options disponibles proviennent des Régions d'exploitation que vous avez sélectionnées lors de la création de votre IPAM.

    Les paramètres régionaux du groupe doivent être l’une des options suivantes :

    • Une Région AWS dans laquelle vous souhaitez que ce groupe IPAM soit disponible pour les allocations.

    • Le groupe frontalier de réseau pour une zone locale AWS dans laquelle vous souhaitez rendre disponible ce groupe IPAM pour les attributions (zones locales prises en charge). Cette option n’est disponible que pour les groupes IPv4 IPAM du périmètre public.

    • Une zone locale AWS dédiée. Pour créer un groupe dans une zone locale AWS dédiée, entrez la zone locale AWS dédiée dans l’entrée du sélecteur.

    Par exemple, vous pouvez uniquement allouer un CIDR à un VPC à partir d'un groupe IPAM qui partage un paramètre régional avec la Région du VPC. Notez que lorsque vous avez choisi un paramètre régional pour un groupe, vous ne pouvez pas le modifier. Si la région d'accueil de l'IPAM n'est pas disponible en raison d'une panne et que les paramètres régionaux du groupe sont différents de ceux de la région d'accueil de l'IPAM, le groupe peut toujours être utilisé pour allouer des adresses IP.

    La sélection d'un paramètre régional garantit qu'il n'y a aucune dépendance régionale entre votre groupe et les ressources qui y sont allouées.

  9. Sous Service, choisissez EC2 (EIP/VPC). Le service que vous sélectionnez détermine le service AWS où le CIDR pourra être annoncé. Actuellement, la seule option est EC2 (EIP/VPC), ce qui signifie que les CIDR alloués à partir de ce groupe pourront être annoncés pour le service Amazon EC2 (pour les adresses IP Elastic) et le service Amazon VPC (pour les CIDR associés aux VPC).

  10. Sous CIDR à allouer, choisissez un CIDR à allouer pour le groupe.

    Note

    Lors de l’approvisionnement d’un CID à un groupe régional au sein du groupe de niveau supérieur, le CIDR IPv4 le plus spécifique que vous pouvez approvisionner est /24 ; les CIDR plus spécifiques (tels que /25) ne sont pas autorisés. Après avoir créé le groupe régional, vous pouvez créer des groupes plus petits (tels que /25) au sein du même groupe régional. Notez que si vous partagez le groupe régional ou les groupes qu’il contient, ces groupes ne peuvent être utilisés que dans les paramètres régionaux définis sur le même groupe régional.

  11. Activez l’option Configurer les paramètres des règles d’allocation de ce groupe. Vous disposez ici des mêmes options de règle d'allocation que lorsque vous avez créé le groupe de premier niveau. Consultez Création d'un groupe IPv4 de niveau supérieur pour obtenir une explication des options disponibles lorsque vous créez des groupes. Les règles d'allocation du groupe régional ne sont pas héritées du groupe de niveau supérieur. Si vous n'appliquez aucune règle ici, aucune règle d'allocation ne sera définie pour le groupe.

  12. (En option) Sélectionnez Tags (Étiquettes) pour le groupe.

  13. Lorsque vous avez fini de configurer votre groupe, choisissez Create pool (Créer un groupe).

Vérifiez que ce CIDR a été provisionné avant de continuer. Vous pouvez voir l'état de l'approvisionnement dans l'onglet CIDRdans la page des détails du groupe.

Étape 4 : publication du CIDR

Les étapes de cette section doivent être réalisées par le compte IPAM. Une fois que vous avez associé l'adresse IP Elastic (EIP) à une instance ou à Elastic Load Balancer, vous pouvez commencer à publier le CIDR que vous avez fourni à AWS et qui est dans un groupe ayant défini le Service EC2 (EIP/VPC). Dans ce didacticiel, il s'agit de votre groupe régional. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet.

Cette étape doit être réalisée par le compte IPAM.

Note

Le statut de la publicité ne limite pas votre capacité à attribuer des adresses IP Elastic. Même si votre CIDR BYOIPv4 n’est pas annoncé, vous pouvez toujours créer des EIP à partir du groupe IPAM.

Pour publier le CIDR

  1. Ouvrez la console IPAM à partir de l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le panneau de navigation, sélectionnez Pools (Groupes).

  3. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public. Pour plus d'informations sur les portées, consultez Fonctionnement d'IPAM.

  4. Choisissez le groupe régional que vous avez créé dans ce didacticiel.

  5. Cliquez sur l'onglet CIDR.

  6. Sélectionnez le CIDR BYOIP et cliquez sur Actions >Publicité.

  7. Cliques sur Publicité CIDR.

Par conséquent, le CIDR BYOIP est annoncé et la valeur dans la colonne Publicité passe deRetiré à Annoncé.

Étape 5. Partager le groupe régional

Suivez les étapes de cette section pour partager le groupe IPAM en utilisant AWS Resource Access Manager (RAM).

Activer le partage des ressources dans AWS RAM

Après avoir créé votre IPAM, partagez le groupe régional avec d'autres comptes de votre organisation. Avant de partager un groupe IPAM, suivez les étapes de cette section pour activer le partage des ressources avec AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'option --profile management-account.

Pour activer le partage des ressources

  1. À l'aide du compte de gestion AWS Organizations, ouvrez la console AWS RAM à l'adresse suivante : https://console.aws.amazon.com/ram/.

  2. Dans le volet de navigation de gauche, choisissez Paramètres, choisissez Activer le partage avec AWS Organizations, puis choisissez Enregistrer les paramètres.

Vous pouvez désormais partager un groupe IPAM avec d'autres membres de l'organisation.

Partager d'un groupe IPAM à l'aide deAWS RAM

Dans cette section, vous partagerez le groupe régional avec un autre compte membre AWS Organizations. Pour obtenir des instructions complètes sur le partage de groupes IPAM, y compris des informations sur les autorisations IAM requises, consultez Partage d'un groupe IPAM à l'aide d'AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'option --profile ipam-account.

Pour partager un groupe IPAM à l'aide de AWS RAM

  1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse suivante : https://console.aws.amazon.com/ipam/.

  2. Dans le panneau de navigation, sélectionnez Pools (Groupes).

  3. Choisissez le périmètre privé, choisissez le groupe IPAM, puis choisissez Actions > Afficher les détails.

  4. Sous Resource sharing (Partage de ressources), sélectionnez Create resource share (Créer un partage de ressources). La console AWS RAM s’ouvre. Vous partagez le groupe en utilisant AWS RAM.

  5. Sélectionnez Create a resource share (Créer un partage de ressources).

  6. Dans la console AWS RAM, sélectionnez à nouveau Créer un partage de ressources.

  7. Ajoutez un Nom pour la ressource partagée.

  8. Sous Sélectionner le type de ressource, choisissez Groupes IPAM, puis choisissez l’ARN du groupe que vous souhaitez partager.

  9. Choisissez Suivant.

  10. Sélectionnez l'autorisation AWSRAMPermissionIpamPoolByoipCidrImport. Les détails des options d'autorisation ne sont pas abordés dans ce didacticiel, mais vous pouvez en savoir plus sur ces options dans Partage d'un groupe IPAM à l'aide d'AWS RAM.

  11. Choisissez Suivant.

  12. Dans Principaux > Sélectionner le type de principal, choisissez Compte AWS, saisissez l'ID du compte qui transmettra une plage d'adresses IP à IPAM, puis choisissez Ajouter.

  13. Choisissez Suivant.

  14. Examinez les options de partage de ressources et les principaux avec lesquels vous procéderez au partage, puis sélectionnez Créer.

  15. Pour autoriser le compte member-account à allouer les CIDR de l’adresse IP à partir du groupe IPAM, créez un deuxième partage de ressources avec AWSRAMDefaultPermissionsIpamPool. La valeur pour --resource-arns est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur de --principals est l’ID de compte du member-account. La valeur pour --permission-arns est l'ARN de l'autorisation AWSRAMDefaultPermissionsIpamPool.

Étape 6 : allocation d’une adresse IP Elastic à partir du groupe

Suivez les étapes de cette section pour allouer une adresse IP Elastic à partir du groupe. Notez que si vous utilisez des groupes IPv4 publics pour allouer des adresses IP Elastic, vous pouvez utiliser les étapes alternatives Alternative à l’étape 6 plutôt que celles de cette section.

Important

Si vous détectez une erreur liée au fait que vous ne disposez pas des autorisations nécessaires pour appeler ec2:AllocateAddress, l’autorisation gérée actuellement attribuée au groupe IPAM qui a été partagé avec vous doit être mise à jour. Contactez la personne qui a créé le partage de ressources et demandez-lui de mettre à jour l’autorisation gérée AWSRAMPermissionIpamResourceDiscovery vers la version par défaut. Pour de plus amples informations, consultez Mettre à jour un partage de ressources dans le Guide de l'utilisateur AWS RAM.

AWS Management Console

Suivez les étapes décrites dans la section Allouer une adresse IP Elastic dans le Guide de l’utilisateur Amazon EC2 pour attribuer l’adresse, mais notez ce qui suit :

  • Cette étape doit être effectuée par le compte membre.

  • Assurez-vous que la région AWS dans laquelle vous vous trouvez dans la console EC2 correspond au paramètre régional que vous avez choisi lors de la création du groupe régional.

  • Lorsque vous choisissez le groupe d’adresses, choisissez l’option Allouer à l’aide d’un groupe IPAM IPv4 et choisissez le groupe régional que vous avez créé.

Command line

Allouez une adresse depuis le groupe à l’aide de la commande allocate-address. L’option --region utilisée doit correspondre à l’option -locale que vous avez choisie lors de la création du groupe à l’étape 2. Incluez l’ID du groupe IPAM que vous avez créé à l’étape 2 dans --ipam-pool-id. En option, vous pouvez également choisir un élément spécifique /32 dans votre groupe IPAM en utilisant l’option --address.

aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce

Exemple de réponse :

{                                                    
    "PublicIp": "18.97.0.41",                        
    "AllocationId": "eipalloc-056cdd6019c0f4b46",    
    "PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce", 
    "NetworkBorderGroup": "us-east-1",               
    "Domain": "vpc"                                  
}

Pour plus d’informations, veuillez consulter la rubrique Attribuer une adresse IP Elastic dans le Guide de l’utilisateur Amazon EC2.

Étape 7 : association de l’adresse IP Elastic à une instance EC2

Suivez les étapes de cette section pour association de l’adresse IP Elastic à une instance EC2.

AWS Management Console

Suivez les étapes décrites dans Associer une adresse IP Elastic dans le Guide de l’utilisateur Amazon EC2 pour attribuer une adresse IP Elastic à partir du groupe IPAM, mais notez ce qui suit : lorsque vous utilisez l’option Console de gestion AWS, la région AWS à laquelle vous associez l’adresse IP Elastic doit correspondre au paramètre régional que vous avez choisi lors de la création du groupe régional.

Cette étape doit être effectuée par le compte membre.

Command line

Cette étape doit être effectuée par le compte membre. Utilisez l'option --profile member-account.

Utilisez la commande associate-address pour associer une adresse IP Elastic à une instance. L’option --region à laquelle vous associez l’adresse IP Elastic doit correspondre à l’option --locale que vous avez choisie lors de la création du groupe régional.

aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41

Exemple de réponse :

{                                                
    "AssociationId": "eipassoc-06aa85073d3936e0e"
}

Pour plus d’informations, voir Associer une adresse IP Elastic à une instance ou à une interface réseau dans le Guide de l’utilisateur Amazon EC2.

Étape 8 : nettoyage

Suivez les étapes de cette section pour nettoyer les ressources que vous avez provisionnées et créées dans ce tutoriel.

Étape 1 : Retirez le CIDR de la publicité

Cette étape doit être réalisée par le compte IPAM.

  1. Ouvrez la console IPAM à partir de l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le panneau de navigation, sélectionnez Pools (Groupes).

  3. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public.

  4. Choisissez le groupe régional que vous avez créé dans ce didacticiel.

  5. Cliquez sur l'onglet CIDR.

  6. Sélectionnez le CIDR BYOIP et cliquez sur Actions >Enlever de la publicité.

  7. Cliquez sur Enlever CIDR.

Par conséquent, le CIDR BYOIP n'est plus annoncé et la valeur dans la colonne Publicité passe de Annoncé à Retiré.

Étape 2 : Dissocier une adresse IP élastique

Cette étape doit être effectuée par le compte membre. Si vous utilisez le AWS CLI, utilisez l'option --profile member-account.

  • Suivez les étapes Dissocier une adresse IP Elasticdans le Guide de l’utilisateur Amazon EC2 pour dissocier l’EIP. Lorsque vous ouvrez EC2 dans la console de gestion AWS, la région AWS dans laquelle vous dissociez l'EIP doit correspondre à l'option Locale que vous avez choisie lors de la création du groupe qui sera utilisé pour le CIDR BYOIP. Dans ce tutoriel, il s'agit de votre groupe régional.

Étape 3 : Affectation de l'adresse IP élastique

Cette étape doit être effectuée par le compte membre. Si vous utilisez le AWS CLI, utilisez l'option --profile member-account.

  • Suivez les étapes pour Libérer une adresse IP Elastic ;dans le Guide de l’utilisateur Amazon EC2pour libérer une adresse IP Elastic (EIP) à partir du groupe IPv4 public. Lorsque vous ouvrez EC2 dans la console de gestion AWS, la région AWS dans laquelle vous allouez l'EIP doit correspondre à l'option Locale que vous avez choisie lors de la création du groupe qui sera utilisé pour le CIDR BYOIP.

Étape 4 : suppression des partages RAM et désactivation de l’intégration de la RAM avec AWS Organizations

Cette étape doit être effectuée par le compte IPAM et le compte de gestion respectivement. Si vous utilisez l'AWS CLI pour supprimer les partages RAM et désactiver l'intégration de la RAM, utilisez les options --profile ipam-account et --profile management-account.

Étape 5 : désaprovisionner les CIDR du groupe régional et du groupe de niveau supérieur

Cette étape doit être réalisée par le compte IPAM. Si vous utilisez la AWS CLI pour partager le groupe, utilisez l'option --profile ipam-account.

Étape 6 : supprimer le groupe régional et le groupe de niveau supérieur

Cette étape doit être réalisée par le compte IPAM. Si vous utilisez la AWS CLI pour partager le groupe, utilisez l'option --profile ipam-account.

  • Suivez les étapes de Suppression d'un groupepour supprimer le groupe régional et ensuite le groupe de niveau supérieur, dans cet ordre.

Alternative à l’étape 6

Si vous utilisez des groupes IPv4 publics pour allouer des adresses IP Elastic, vous pouvez utiliser les étapes de cette section plutôt que celles de la section Étape 6 : allocation d’une adresse IP Elastic à partir du groupe.

Étape 1 : création d’un groupe IPv4 public

Cette étape doit être effectuée par le compte membre qui fournira une adresse IP élastique.

Note

  • Cette étape doit être effectuée par le compte membre en utilisant le AWS CLI.

  • Les groupes IPv4 publics et IPAM sont gérés par des ressources distinctes dans AWS. Les groupes IPv4 publics sont des ressources de compte unique qui vous permettent de convertir vos CIDR publics en adresses IP Elastic. Les groupes IPAM peuvent être utilisés pour allouer votre espace public à des groupes IPv4 publics.

Pour créer un groupe IPv4 public à l'aide de l' AWS CLI

  • Exécutez la commande suivante pour provisionner le CIDR. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à l'option Locale que vous avez choisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.

    aws ec2 create-public-ipv4-pool --region us-east-2 --profile member-account

    Dans la sortie, vous verrez apparaître l'ID du groupe IPv4 public. Vous aurez besoin de cet ID à la prochaine étape.

    {
    "PoolId": "ipv4pool-ec2-09037ce61cf068f9a"
}

Étape 2 : allocation du CIDR IPv4 public à votre groupe IPv4 public

Provisionnez le CIDR IPv4 public à votre groupe IPv4 public. La valeur pour --region doit correspondre à la valeur Locale que vous avez choisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP. --netmask-length est la quantité d'espace du groupe IPAM que vous souhaitez apporter à votre groupe publique. La valeur ne peut pas être supérieure à la longueur du masque réseau du groupe IPAM. Le --netmask-length le moins précis que vous puissiez définir est 24.

Note

  • Si vous apportez une plage de CIDR /24 à IPAM pour la partager au sein d'une organisation AWS, vous pouvez attribuer des préfixes plus petits à plusieurs groupes IPAM, par exemple /27 (avec -- netmask-length 27), plutôt que de provisionner l'intégralité du CIDR /24 (avec -- netmask-length 24) comme indiqué dans ce didacticiel.

  • Cette étape doit être effectuée par le compte membre en utilisant le AWS CLI.

Pour créer un groupe IPv4 public à l'aide de l' AWS CLI

  1. Exécutez la commande suivante pour provisionner le CIDR.

    aws ec2 provision-public-ipv4-pool-cidr --region us-east-2 --ipam-pool-id ipam-pool-04d8e2d9670eeab21 --pool-id ipv4pool-ec2-09037ce61cf068f9a --netmask-length 24 --profile member-account

    Dans la sortie, vous verrez apparaître le CIDR provisionné.

    {                                      
    "PoolId": "ipv4pool-ec2-09037ce61cf068f9a", 
    "PoolAddressRange": {                       
        "FirstAddress": "130.137.245.0",        
        "LastAddress": "130.137.245.255",       
        "AddressCount": 256,                    
        "AvailableAddressCount": 256            
    }                                           
}

  2. Exécutez la commande suivante pour afficher le CIDR provisionné dans le groupe IPv4 public.

    aws ec2 describe-public-ipv4-pools --region us-east-2 --max-results 10 --profile member-account

    Dans la sortie, vous verrez apparaître le CIDR provisionné. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet. Vous aurez la possibilité de définir ce CIDR comme publié dans la dernière étape de ce tutoriel.

    {
    "PublicIpv4Pools": [
        {
            "PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
            "Description": "",
            "PoolAddressRanges": [
                {
                    "FirstAddress": "130.137.245.0",
                    "LastAddress": "130.137.245.255",
                    "AddressCount": 256,
                    "AvailableAddressCount": 255
                }
            ],
            "TotalAddressCount": 256,
            "TotalAvailableAddressCount": 255,
            "NetworkBorderGroup": "us-east-2",
            "Tags": []
        }
    ]
}

Une fois que vous avez créé le groupe IPv4 public, pour afficher le groupe IPv4 public alloué dans le groupe régional IPAM, ouvrez la console IPAM et affichez l'allocation dans le groupe régional sousAllocationsouRessources.

Étape 3 : allocation d’une adresse IP Elastic à partir du groupe IPv4 public

Suivez les étapes de la section Allocation d’une adresse IP Elastic du Guide de l’utilisateur Amazon EC2 pour allouer une EIP à partir du groupe public d’adresses IPv4. Lorsque vous ouvrez EC2 dans la console de gestion AWS, la région AWS dans laquelle vous allouez l'EIP doit correspondre à l'option Locale que vous avez choisie lors de la création du groupe qui sera utilisé pour le CIDR BYOIP.

Cette étape doit être effectuée par le compte membre. Si vous utilisez le AWS CLI, utilisez l'option --profile member-account.

Une fois ces trois étapes terminées, revenez au tutoriel Étape 7 : association de l’adresse IP Elastic à une instance EC2 et continuez jusqu’à ce que vous ayez terminé.

Alternative au nettoyage de l’étape 6

Procédez comme suit pour nettoyer les groupes IPv4 publics créés à l’aide de l’alternative à l’étape 9. Vous devez effectuer ces étapes après avoir publié l’adresse IP Elastic au cours du processus de nettoyage standard dans Étape 8 : nettoyage.

Étape 1 : désapprovisionnement du CIDR IPv4 public à votre groupe IPv4 public
Important

Cette étape doit être effectuée par le compte membre en utilisant le AWS CLI.

  1. Affichez vos CIDR BYOIP.

    aws ec2 describe-public-ipv4-pools --region us-east-2 --profile member-account

    Dans la sortie, vous verrez apparaître les adresses IP dans votre CIDR BYOIP.

    {
    "PublicIpv4Pools": [
        {
            "PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
            "Description": "",
            "PoolAddressRanges": [
                {
                    "FirstAddress": "130.137.245.0",
                    "LastAddress": "130.137.245.255",
                    "AddressCount": 256,
                    "AvailableAddressCount": 256
                }
            ],
            "TotalAddressCount": 256,
            "TotalAvailableAddressCount": 256,
            "NetworkBorderGroup": "us-east-2",
            "Tags": []
        }
    ]
}

  2. Exécutez la commande suivante pour libérer le CIDR à partir du groupe IPv4 public. 

    aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-2 --pool-id ipv4pool-ec2-09037ce61cf068f9a --cidr 130.137.245.0/24 --profile member-account

  3. Consultez à nouveau vos CIDR BYOIP et vérifiez qu'il n'y a plus d'adresses provisionnées. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à la Région de votre IPAM.

    aws ec2 describe-public-ipv4-pools --region us-east-2 --profile member-account

    Dans la sortie, vous verrez le nombre d'adresses IP dans votre groupe IPv4 public.

    {
    "PublicIpv4Pools": [
        {
            "PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
            "Description": "",
            "PoolAddressRanges": [],
            "TotalAddressCount": 0,
            "TotalAvailableAddressCount": 0,
            "NetworkBorderGroup": "us-east-2",
            "Tags": []
        }
    ]
}
Note

IPAM peut prendre un certain temps pour découvrir que les allocations publiques de groupe IPv4 ont été supprimées. Vous ne pouvez pas continuer à nettoyer et à désactiver le CIDR du groupe IPAM tant que vous ne voyez pas que l'allocation a été supprimée d'IPAM.

Étape 2 : supprimer le groupe public IPv4

Cette étape doit être effectuée par le compte membre.

  • Exécutez la commande suivante pour supprimer le CIDR provisionné dans le groupe IPv4 public. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à l'option Locale que vous avez choisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP. Dans ce tutoriel, il s'agit de votre groupe régional. Pour ce faire, vous devez passer par laAWS CLI.

    aws ec2 delete-public-ipv4-pool --region us-east-2 --pool-id ipv4pool-ec2-09037ce61cf068f9a --profile member-account

    Dans la sortie, vous verrez la valeur de retourvrai.

    {
"ReturnValue": true
}

    Une fois que vous avez supprimé le groupe, pour afficher l'allocation non gérée par IPAM, ouvrez la console IPAM et affichez les détails du groupe régional sousAllocations.