Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat arsitektur IPAM Multi-wilayah yang hierarkis dengan menggunakan Terraform AWS
Donny Schreiber, Amazon Web Services
Ringkasan
IP Address Management (IPAM) adalah komponen penting dari manajemen jaringan, dan menjadi semakin kompleks ketika organisasi menskalakan infrastruktur cloud mereka. Tanpa IPAM yang tepat, organisasi berisiko konflik alamat IP, ruang alamat yang terbuang, dan pemecahan masalah kompleks yang dapat menyebabkan pemadaman dan downtime aplikasi. Pola ini menunjukkan bagaimana menerapkan solusi IPAM komprehensif untuk lingkungan AWS perusahaan dengan menggunakan HashiCorp Terraform. Ini membantu organisasi untuk membuat arsitektur IPAM multi-wilayah hierarkis yang memfasilitasi manajemen alamat IP terpusat di semua Akun AWS dalam suatu organisasi.AWS
Pola ini membantu Anda menerapkan Manajer Alamat IP VPC Amazon dengan hierarki kumpulan empat tingkat yang canggih: kolam tingkat atas, kolam Regional, kumpulan unit bisnis, dan kumpulan khusus lingkungan. Struktur ini mendukung tata kelola alamat IP yang tepat sambil memungkinkan pendelegasian manajemen IP ke tim yang sesuai dalam organisasi. Solusinya menggunakan AWS Resource Access Manager (AWS RAM) untuk berbagi kumpulan IP Address Manager secara mulus di seluruh organisasi. AWS RAM memusatkan dan menstandarisasi spesifikasi IPAM, yang dapat dibangun oleh tim di semua akun yang dikelola.
Pola ini dapat membantu Anda mencapai hal berikut:
Mengotomatiskan alokasi alamat IP di seluruh Wilayah AWS, unit bisnis, dan lingkungan.
Menegakkan kebijakan jaringan organisasi melalui validasi terprogram.
Skala infrastruktur jaringan secara efisien seiring dengan berkembangnya kebutuhan bisnis.
Mengurangi overhead operasional melalui manajemen terpusat ruang alamat IP.
Mempercepat penerapan beban kerja cloud-native dengan alokasi rentang CIDR swalayan.
Mencegah konflik alamat melalui kontrol dan validasi berbasis kebijakan.
Prasyarat dan batasan
Prasyarat
Satu atau lebih Akun AWS, dikelola sebagai organisasi di AWS Organizations.
Hub jaringan atau akun manajemen jaringan yang akan berfungsi sebagai administrator yang didelegasikan oleh IP Address Manager.
AWS Command Line Interface (AWS CLI), diinstal dan dikonfigurasi.
Izin untuk mengelola IP Address Manager, AWS RAM, dan virtual private cloud (VPCs), dikonfigurasi di AWS Identity and Access Management (IAM).
Batasan
IP Address Manager tunduk pada kuota layanan. Kuota layanan default untuk pool adalah 50 per lingkup. Menjalankan penerapan ini untuk 6 Wilayah, 2 unit bisnis, dan 4 lingkungan akan membuat 67 kumpulan. Oleh karena itu, peningkatan kuota mungkin diperlukan.
Memodifikasi atau menghapus kumpulan IP Address Manager setelah sumber daya dialokasikan dapat menyebabkan masalah ketergantungan. Anda harus melepaskan alokasi sebelum Anda dapat menghapus kumpulan.
Di IP Address Manager, pemantauan sumber daya dapat mengalami sedikit keterlambatan dalam mencerminkan perubahan sumber daya. Penundaan ini bisa sekitar 20 menit.
IP Address Manager tidak dapat secara otomatis menerapkan keunikan alamat IP di berbagai cakupan.
Tag khusus harus mematuhi praktik terbaik AWS penandaan. Misalnya, setiap kunci harus unik dan tidak dapat dimulai dengan
aws:.Ada pertimbangan dan batasan saat mengintegrasikan IP Address Manager dengan akun di luar organisasi Anda.
Arsitektur
Arsitektur target
Konfigurasi IP Address Manager dan hirarki pool
Diagram berikut menunjukkan konstruksi logis dari arsitektur target. Lingkup adalah wadah tingkat tertinggi di IP Address Manager. Setiap ruang lingkup mewakili ruang alamat IP untuk satu jaringan. Kumpulan adalah kumpulan rentang alamat IP yang berdekatan (atau rentang CIDR) dalam ruang lingkup. Pools membantu Anda mengatur alamat IP Anda sesuai dengan kebutuhan routing dan keamanan Anda. Diagram ini menunjukkan empat tingkat hierarkis kolam: kolam tingkat atas, kolam Regional, kolam unit bisnis, dan kolam lingkungan.
Solusi ini menetapkan hierarki yang jelas dari kumpulan IP Address Manager:
Kumpulan tingkat atas mencakup seluruh ruang alamat IP organisasi, seperti.
10.176.0.0/12Kolam Regional adalah untuk alokasi khusus Wilayah, seperti untuk.
10.176.0.0/15us-east-1Kumpulan unit bisnis adalah alokasi khusus domain di masing-masing. Wilayah AWS Misalnya, unit bisnis keuangan di
us-east-1Wilayah mungkin memiliki10.176.0.0/16.Kolam lingkungan adalah alokasi khusus tujuan untuk lingkungan yang berbeda. Misalnya, unit bisnis keuangan di
us-east-1Wilayah mungkin memiliki10.176.0.0/18lingkungan produksi.
Topologi penyebaran ini mendistribusikan sumber daya IP Address Manager secara geografis sambil mempertahankan kontrol terpusat. Berikut ini adalah fitur-fiturnya:
IP Address Manager digunakan dalam satu primer Wilayah AWS.
Wilayah Tambahan terdaftar sebagai wilayah operasi, di mana Manajer Alamat IP dapat mengelola sumber daya.
Setiap wilayah operasi menerima kumpulan alamat khusus dari kolam tingkat atas.
Sumber daya di semua wilayah operasi dikelola secara terpusat melalui IP Address Manager di Wilayah utama.
Setiap kolam Regional memiliki properti lokal yang terkait dengan Wilayahnya untuk membantu Anda mengalokasikan sumber daya dengan benar.
Validasi rentang CIDR tingkat lanjut
Solusi ini dirancang untuk mencegah penyebaran konfigurasi yang tidak valid. Saat Anda menerapkan kumpulan melalui Terraform, berikut ini divalidasi selama fase rencana Terraform:
Memvalidasi bahwa semua rentang CIDR lingkungan terkandung dalam rentang CIDR unit bisnis induknya
Mengonfirmasi bahwa semua rentang CIDR unit bisnis terkandung dalam rentang CIDR regional induknya
Memverifikasi bahwa semua rentang CIDR Regional terkandung dalam rentang CIDR tingkat atas
Memeriksa rentang CIDR yang tumpang tindih dalam tingkat hierarki yang sama
Memvalidasi pemetaan lingkungan yang tepat ke unit bisnis masing-masing
Alokasi rentang CIDR
Diagram berikut menunjukkan contoh bagaimana pengembang atau administrator dapat membuat alamat IP baru VPCs dan mengalokasikan alamat IP dari tingkat pool.
Diagram menunjukkan alur kerja berikut:
Melalui Konsol Manajemen AWS, the AWS CLI, atau melalui infrastruktur sebagai kode (IAc), pengembang atau administrator meminta rentang CIDR berikutnya yang tersedia di kolam
AY3lingkungan.IP Address Manager mengalokasikan rentang CIDR berikutnya yang tersedia di pool tersebut ke VPC.
AY3-4Rentang CIDR ini tidak dapat lagi digunakan.
Otomatisasi dan skala
Solusi ini dirancang untuk skalabilitas sebagai berikut:
Ekspansi regional — Tambahkan Wilayah baru dengan memperluas konfigurasi Terraform dengan entri kumpulan Regional tambahan.
Pertumbuhan unit bisnis — Mendukung unit bisnis baru dengan menambahkannya ke peta konfigurasi BU.
Fleksibilitas lingkungan — Konfigurasikan jenis lingkungan yang berbeda, seperti pengembangan atau produksi, berdasarkan kebutuhan organisasi.
Dukungan multi-akun — Bagikan kumpulan di semua akun di organisasi Anda melalui AWS RAM.
Penyediaan VPC otomatis — Integrasikan dengan alur kerja penyediaan VPC untuk mengotomatiskan alokasi rentang CIDR.
Struktur hierarkis juga memungkinkan untuk skala delegasi dan kontrol yang berbeda, seperti berikut ini:
Administrator jaringan mungkin mengelola kumpulan tingkat atas dan Regional.
Tim TI unit bisnis mungkin telah mendelegasikan kontrol dari kumpulan masing-masing.
Tim aplikasi mungkin menggunakan alamat IP dari kumpulan lingkungan yang ditunjuk.
catatan
Anda juga dapat mengintegrasikan solusi ini dengan AWS Control Tower Account Factory for Terraform (AFT). Untuk informasi selengkapnya, lihat Integrasi dengan AFT di bagian Informasi tambahan dari pola ini.
Alat
Layanan AWS
Amazon CloudWatch membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time.
AWS Command Line Interface (AWS CLI) adalah alat open source yang membantu Anda berinteraksi Layanan AWS melalui perintah di shell baris perintah Anda.
AWS Organizationsadalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
AWS Resource Access Manager (AWS RAM) membantu Anda berbagi sumber daya dengan aman Akun AWS untuk mengurangi overhead operasional dan memberikan visibilitas dan auditabilitas.
Amazon Virtual Private Cloud (Amazon VPC) membantu Anda meluncurkan AWS sumber daya ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur yang dapat diskalakan. AWSIP Address Manager adalah fitur Amazon VPC. Ini membantu Anda merencanakan, melacak, dan memantau alamat IP untuk AWS beban kerja Anda.
Alat-alat lainnya
HashiCorp Terraform
adalah alat infrastruktur sebagai kode (IAc) yang membantu Anda menggunakan kode untuk menyediakan dan mengelola infrastruktur dan sumber daya cloud.
Repositori kode
Kode untuk pola ini tersedia di Contoh Terraform Implementasi untuk Hierarchical IPAM
Modul root - Orkestrasi penerapan dan variabel input.
Modul IPAM — Implementasi inti dari arsitektur yang dijelaskan dalam pola ini.
Modul tag - Penandaan standar untuk semua sumber daya.
Praktik terbaik
Pertimbangkan praktik terbaik berikut untuk perencanaan jaringan:
Rencanakan terlebih dahulu - Rencanakan ruang alamat IP Anda secara menyeluruh sebelum penerapan. Untuk informasi selengkapnya, lihat Merencanakan penyediaan alamat IP.
Hindari rentang CIDR yang tumpang tindih — Pastikan rentang CIDR di setiap level tidak tumpang tindih.
Ruang penyangga cadangan — Selalu alokasikan rentang CIDR yang lebih besar dari yang dibutuhkan untuk mengakomodasi pertumbuhan.
Alokasi alamat IP dokumen — Pertahankan dokumentasi strategi alokasi alamat IP Anda.
Pertimbangkan praktik terbaik penerapan berikut:
Mulailah dengan non-produksi - Terapkan di lingkungan non-produksi terlebih dahulu.
Gunakan manajemen status Terraform — Terapkan penyimpanan dan penguncian status jarak jauh. Untuk informasi selengkapnya, lihat Penyimpanan status dan penguncian
dalam dokumentasi Terraform. Menerapkan kontrol versi - Kontrol versi semua kode Terraform.
Implementasikan CI/CD integrasi — Gunakan pipeline continuous integration dan continuous delivery (CI/CD) untuk penerapan berulang.
Pertimbangkan praktik terbaik operasional berikut:
Aktifkan impor otomatis - Konfigurasikan kumpulan Manajer Alamat IP untuk menemukan dan mengimpor sumber daya yang ada secara otomatis. Ikuti petunjuk di Edit kolam IPAM untuk mengaktifkan impor otomatis.
Memantau penggunaan alamat IP - Mengatur alarm untuk ambang batas penggunaan alamat IP. Untuk informasi selengkapnya, lihat Memantau IPAM dengan Amazon CloudWatch.
Audit secara teratur - Audit penggunaan dan kepatuhan alamat IP secara berkala. Untuk informasi selengkapnya, lihat Melacak penggunaan alamat IP di IPAM.
Bersihkan alokasi yang tidak digunakan - Lepaskan alokasi alamat IP saat sumber daya dinonaktifkan. Untuk informasi lebih lanjut, lihat Deprovision CIDRs dari pool.
Pertimbangkan praktik terbaik keamanan berikut:
Terapkan hak istimewa terkecil - Gunakan peran IAM dengan izin minimum yang diperlukan. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan di IAM dan Manajemen Identitas dan akses di IPAM.
Gunakan kebijakan kontrol layanan — Menerapkan kebijakan kontrol layanan (SCPs) untuk menerapkan penggunaan IP Address Manager di organisasi Anda. Untuk informasi selengkapnya, lihat Menegakkan penggunaan IPAM untuk pembuatan VPC dengan. SCPs
Kontrol berbagi sumber daya - Kelola ruang lingkup berbagi sumber daya IP Address Manager dengan hati-hati AWS RAM. Untuk informasi selengkapnya, lihat Berbagi kumpulan IPAM menggunakan AWS RAM.
Menegakkan penandaan - Menerapkan penandaan wajib untuk semua sumber daya yang terkait dengan Manajer Alamat IP. Untuk informasi selengkapnya, lihat Strategi penandaan di bagian Informasi tambahan.
Epik
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Aktifkan AWS Organizations fitur. | Pastikan semua AWS Organizations fitur diaktifkan. Untuk petunjuk, lihat Mengaktifkan semua fitur untuk organisasi AWS Organizations dalam AWS Organizations dokumentasi. | Administrator AWS |
Aktifkan berbagi sumber daya di AWS RAM. | Menggunakan AWS CLI, masukkan perintah berikut untuk mengaktifkan berbagi AWS RAM sumber daya untuk organisasi Anda:
Untuk informasi selengkapnya, lihat Mengaktifkan berbagi sumber daya AWS Organizations dalam AWS RAM dokumentasi. | Administrator AWS |
Tentukan administrator untuk IP Address Manager. | Dari akun manajemen organisasi, menggunakan AWS CLI, masukkan perintah berikut, di
catatanBiasanya, akun hub jaringan atau jaringan digunakan sebagai administrator yang didelegasikan untuk IP Address Manager. Untuk informasi selengkapnya, lihat Mengintegrasikan IPAM dengan akun di AWS Organisasi dalam dokumentasi Manajer Alamat IP. | Administrator AWS |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Tentukan arsitektur jaringan. | Tentukan dan dokumentasikan arsitektur jaringan Anda, termasuk rentang CIDR untuk Wilayah, unit bisnis, dan lingkungan. Untuk informasi selengkapnya, lihat Merencanakan penyediaan alamat IP dalam dokumentasi Manajer Alamat IP. | Insinyur jaringan |
Kloning repositori. |
| DevOps insinyur |
Konfigurasikan variabel. |
| Insinyur jaringan, Terraform |
Menyebarkan sumber daya Manajer Alamat IP. |
| Terraform |
Validasi penerapan. |
| AWS Umum, Insinyur jaringan |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Buat sebuah VPC. | Ikuti langkah-langkah di Buat VPC di dokumentasi Amazon VPC. Saat Anda mencapai langkah untuk memilih rentang CIDR untuk VPC, alokasikan rentang berikutnya yang tersedia dari salah satu Regional, unit bisnis, dan kolam lingkungan Anda. | AWS Umum, Administrator jaringan, Insinyur jaringan |
Validasi alokasi rentang CIDR. |
| AWS Umum, Administrator jaringan, Insinyur jaringan |
Pantau Manajer Alamat IP. | Konfigurasikan pemantauan dan alarm yang terkait dengan alokasi sumber daya IP Address Manager. Untuk informasi dan petunjuk selengkapnya, lihat Memantau IPAM dengan Amazon CloudWatch dan Memantau penggunaan CIDR berdasarkan sumber daya dalam dokumentasi Manajer Alamat IP. | AWS Umum |
Menegakkan penggunaan IP Address Manager. | Buat kebijakan kontrol layanan (SCP) AWS Organizations yang mengharuskan anggota di organisasi Anda untuk menggunakan IP Address Manager saat mereka membuat VPC. Untuk petunjuknya, lihat Menerapkan penggunaan IPAM untuk pembuatan VPC dengan dokumentasi SCPs Manajer Alamat IP. | AWS umum, administrator AWS |
Pemecahan masalah
| Isu | Solusi |
|---|---|
Terraform gagal dengan sumber daya Manajer Alamat IP tidak ditemukan | Pastikan akun administrator IP Address Manager didelegasikan dengan benar dan AWS Penyedia Anda diautentikasi ke akun tersebut. |
Alokasi rentang CIDR gagal | Periksa apakah rentang CIDR yang diminta sesuai dengan rentang yang tersedia dari kumpulan Manajer Alamat IP dan tidak tumpang tindih dengan alokasi yang ada. |
AWS RAM berbagi masalah | Verifikasi bahwa berbagi sumber daya diaktifkan untuk AWS Organisasi Anda. Verifikasi bahwa prinsipal yang benar, organisasi Amazon Resource Name (ARN), digunakan dalam pembagian AWS RAM . |
Kesalahan validasi hierarki kumpulan | Pastikan bahwa rentang CIDR kolam anak terkandung dengan benar dalam rentang CIDR kolam induk mereka dan tidak tumpang tindih dengan kolam saudara kandung. |
Batas kuota IP Address Manager terlampaui | Minta peningkatan kuota untuk kumpulan IP Address Manager. Untuk informasi selengkapnya, lihat Meminta peningkatan kuota di Panduan Pengguna Service Quotas. |
Sumber daya terkait
Layanan AWS dokumentasi
AWS posting blog
Video dan tutorial
Informasi tambahan
Integrasi dengan AFT
Anda dapat mengintegrasikan solusi ini dengan AWS Control Tower Account Factory for Terraform (AFT) untuk memastikan bahwa akun yang baru disediakan secara otomatis menerima konfigurasi jaringan yang tepat. Dengan menerapkan solusi IPAM ini di akun hub jaringan Anda, akun baru yang dibuat melalui AFT dapat mereferensikan kumpulan Manajer Alamat IP bersama saat Anda membuat. VPCs
Contoh kode berikut menunjukkan integrasi AFT dalam kustomisasi akun dengan menggunakan AWS Systems Manager Parameter Store:
# Get the IP Address Manager pool ID from Parameter Store data "aws_ssm_parameter" "dev_ipam_pool_id" { name = "/org/network/ipam/finance/dev/pool-id" } # Create a VPC using the IP Address Manager pool resource "aws_vpc" "this" { ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value ipv4_netmask_length = 24 tags = { Name = "aft-account-vpc" } }
Strategi penandaan
Solusinya menerapkan strategi penandaan yang komprehensif untuk memfasilitasi manajemen sumber daya. Contoh kode berikut menunjukkan bagaimana itu digunakan:
# Example tag configuration module "tags" { source = "./modules/tags" # Required tags product_name = "enterprise-network" feature_name = "ipam" org_id = "finance" business_unit = "network-operations" owner = "network-team" environment = "prod" repo = "https://github.com/myorg/ipam-terraform" branch = "main" cost_center = "123456" dr_tier = "tier1" # Optional tags optional_tags = { "project" = "network-modernization" "stack_role" = "infrastructure" } }
Tag ini secara otomatis diterapkan ke semua sumber IP Address Manager. Ini memfasilitasi tata kelola yang konsisten, alokasi biaya, dan manajemen sumber daya.
