Masalah ini memecahkan Cara kerjanya Kapan menggunakannya Prasyarat Langkah-langkah penyiapan

Otomatiskan pembaruan daftar awalan dengan IPAM

Daftar awalan terkelola adalah sekumpulan blok CIDR yang dapat Anda referensikan dalam aturan grup keamanan dan tabel rute alih-alih menentukan alamat IP individual. Misalnya, alih-alih membuat aturan grup keamanan terpisah untuk10.1.0.0/16,, dan 10.2.0.0/1610.3.0.0/16, Anda dapat membuat satu daftar awalan yang berisi ketiganya CIDRs dan mereferensikannya dalam satu aturan.

Ada dua jenis:

Daftar awalan yang dikelola pelanggan: Rentang IP yang Anda tentukan dan kelola
AWS-daftar awalan terkelola: rentang IP untuk AWS layanan (seperti S3 atau) CloudFront

Fitur IPAM ini mengotomatiskan pengelolaan daftar awalan yang dikelola pelanggan dengan menjaga entri CIDR Anda disinkronkan dengan perubahan jaringan Anda.

Masalah ini memecahkan

Tanpa otomatisasi, tim jaringan menghabiskan waktu yang signifikan untuk memperbarui daftar awalan secara manual saat infrastruktur berubah dan mempertahankan daftar awalan yang konsisten di seluruh lingkungan dan Wilayah.

IPAM memecahkan ini dengan membiarkan Anda membuat aturan yang secara otomatis mengisi daftar awalan. Anda dapat menggunakan dua pendekatan: referensi CIDRs dari kolam IPAM Anda, atau membuat aturan berdasarkan AWS sumber daya Anda yang sebenarnya — seperti 'sertakan semua yang VPCs ditandai dengan env=prod', 'sertakan semua subnet di us-east-1', atau 'sertakan semua alamat IP Elastis yang dimiliki oleh akun 123456789'. Ketika Anda menambahkan atau menghapus sumber daya ini, IPAM secara otomatis memperbarui daftar awalan dengan mereka. CIDRs

Cara kerjanya

Anda membuat aturan yang memberi tahu IPAM alamat IP mana yang akan disertakan dalam daftar awalan. Misalnya, “sertakan semua VPC yang CIDRs ditandai dengan env=prod”. Saat Anda menambah atau menghapus produksi VPCs, IPAM secara otomatis memperbarui daftar awalan.

Kapan menggunakannya

Grup keamanan: Buat aturan “sertakan semua env = prod yang VPCs ditandai” sehingga saat Anda menambahkan produksi baru VPCs, aturan tersebut secara otomatis diizinkan dalam aturan grup keamanan Anda
Multi-wilayah: Terapkan aturan IPAM yang sama di beberapa wilayah untuk menyimpan daftar awalan yang identik tanpa menyalin entri CIDR secara manual
Infrastruktur dinamis: Ketika Anda create/delete VPCs atau subnet, mereka CIDRs secara otomatis added/removed dari daftar awalan tanpa pembaruan manual

Prasyarat

Sebelum Anda mulai, pastikan Anda memiliki:

IPAM dengan Tingkat Lanjut diaktifkan
Daftar awalan yang dikelola pelanggan (atau buat satu selama penyiapan)
Izin IAM untuk IPAM dan operasi daftar awalan EC2

Langkah-langkah penyiapan

Langkah 1: Buat resolver daftar awalan IPAM

Tentukan mana CIDRs yang akan disertakan dalam daftar awalan Anda dengan membuat resolver daftar awalan IPAM.

AWS Management Console

Untuk membuat resolver daftar awalan IPAM

Buka konsol IPAM.
Di panel navigasi, pilih Penyelesai daftar awalan.
Pilih Buat resolver daftar awalan.
Pada Langkah 1: Konfigurasikan detail resolver, pilih yang berikut ini:
- IPAM: Sebuah contoh IPAM
- Alamat keluarga: IPv4 atau IPv6
- Tag nama - opsional: Nama deskriptif
- Deskripsi - opsional: Deskripsi
- Tags: Tag sumber daya
Pilih Berikutnya.
Pada Langkah 2: Konfigurasikan aturan, pilih Tambahkan aturan. Anda dapat menambahkan hingga 99 aturan.

penting
Anda dapat membuat resolver daftar awalan tanpa aturan pemilihan CIDR apa pun, tetapi itu akan menghasilkan versi kosong (tidak mengandung CIDRs) hingga Anda menambahkan aturan.
Pilih salah satu jenis aturan:
- CIDR statis: Daftar tetap CIDRs yang tidak berubah (seperti daftar manual yang direplikasi di seluruh Wilayah)
- CIDR kolam IPAM: CIDRs dari kolam IPAM tertentu (seperti semua CIDRs dari kolam produksi IPAM Anda)
  
  Jika Anda memilih opsi ini, pilih yang berikut ini:
  - Lingkup IPAM: Pilih lingkup IPAM untuk mencari sumber daya
  - Ketentuan:
    
    Properti
    
    ID kolam IPAM: Pilih kolam IPAM yang berisi sumber daya
    
    CIDR (seperti 10.24.34.0/23)
    
    Operasi: Equals/Not sama
    
    Nilai: Nilai yang cocok dengan kondisi
- Cakupan sumber daya CIDR: CIDRs dari AWS sumber daya seperti VPCs, subnet, EIPs dalam lingkup IPAM
  
  Jika Anda memilih opsi ini, pilih yang berikut ini:
  - Lingkup IPAM: Pilih lingkup IPAM untuk mencari sumber daya
  - Jenis sumber daya: Pilih sumber daya, seperti VPC atau subnet.
  - Ketentuan:
    
    Properti:
    
    ID Sumber Daya: ID unik sumber daya (seperti vpc-1234567890abcdef0)
    
    Pemilik sumber daya (seperti 111122223333)
    
    Wilayah sumber daya (seperti us-east-1)
    
    Tag sumber daya (seperti kunci: nama, nilai: dev-vpc-1)
    
    CIDR (seperti 10.24.34.0/23)
    
    Operasi: Equals/Not sama
    
    Nilai: Nilai yang cocok dengan kondisi
Pilih Berikutnya.
Pilih Validasi dan buat.

Command line

Perintah di bagian ini menautkan ke Referensi AWS CLI Perintah. Dokumentasi memberikan deskripsi rinci tentang opsi yang dapat Anda gunakan saat menjalankan perintah.

Gunakan AWS CLI perintah berikut untuk membuat resolver daftar awalan IPAM:

Gunakan perintah create-ipam-prefix-list-resolver dan simpan ID resolver yang dikembalikan untuk langkah 2.

Langkah 2: Buat target resolver untuk terhubung ke daftar awalan

Tautkan resolver Anda ke daftar awalan yang ada dengan membuat target resolver. Gunakan ID resolver yang dikembalikan dari Langkah 1.

IPAM sekarang secara otomatis memperbarui daftar awalan Anda berdasarkan aturan Anda. Daftar awalan akan diisi dengan CIDRs pencocokan kriteria Anda.

Langkah 3: Memantau versi dan sinkronisasi

Sebagai hasil dari pembuatan resolver daftar awalan dan target, penyelesai daftar awalan menghasilkan versi CIDR berdasarkan aturan Anda dan kemudian target menyinkronkannya CIDRs dari resolver ke daftar awalan terkelola tertentu. Setiap versi adalah snapshot dari apa yang CIDRs cocok dengan aturan Anda pada saat itu. Nomor versi bertambah setiap kali daftar CIDR berubah karena perubahan infrastruktur.

Contoh versi:

Keadaan Awal (Versi 1)

Lingkungan produksi:

vpc-prod-web (10.1.0.0/16) - ditandai env=prod
vpc-prod-db (10.2.0.0/16) - ditandai env=prod

Aturan penyelesai: Sertakan semua VPCs env = prod yang ditandai

Versi 1 CIDRs: 10.1.0.0/16, 10.2.0.0/16

Perubahan Infrastruktur (Versi 2)

VPC baru ditambahkan:

vpc-prod-api (10.3.0.0/16) - ditandai env=prod

IPAM secara otomatis mendeteksi perubahan dan membuat versi baru.

Versi 2 CIDRs: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

Bagian ini menjelaskan bagaimana Anda dapat memantau pembuatan versi dengan AWS konsol atau AWS CLI dan keberhasilan sinkronisasi dengan CLI. AWS

Selain itu, kami mendorong Anda untuk menyetel CloudWatch alarm pada metrik kegagalan karena Anda mungkin perlu menilai kembali dan menyesuaikan aturan pemilihan CIDR agar tetap berada dalam batas untuk versi dan ukuran daftar awalan. Untuk daftar CloudWatch metrik yang terkait dengan daftar awalan IPAM, lihat. Metrik penyelesai daftar awalan IPAM

AWS Management Console

Untuk melihat versi yang dibuat dan memantau sinkronisasi target

Di konsol IPAM, pilih Penyelesai daftar awalan.
Pilih resolver yang Anda buat di Langkah 1.
Pada halaman detail resolver, pilih tab Versi. Di sini Anda akan melihat versi apa pun yang telah dibuat oleh resolver bersama dengan versi apa pun CIDRs .
Pada halaman detail resolver, pilih tab Monitoring. Dalam tampilan ini, Metrik penyelesai daftar awalan IPAM disajikan dalam bentuk grafik:
- Keberhasilan pembuatan versi penyelesai daftar awalan
- Kegagalan pembuatan versi penyelesai daftar awalan
Dari tab Pemantauan, Anda juga dapat mengonfigurasi CloudWatch alarm dengan memilih Buat alarm untuk pembuatan versi penyelesai daftar awalan. Anda dibawa ke CloudWatch konsol dengan alarm yang dikonfigurasi sebagian untuk metrik. Untuk informasi selengkapnya tentang cara menyelesaikan pembuatan alarm, lihat Membuat CloudWatch alarm berdasarkan ambang batas statis di Panduan CloudWatch Pengguna Amazon.

Command line

Perintah di bagian ini menautkan ke Referensi AWS CLI Perintah. Dokumentasi memberikan deskripsi rinci tentang opsi yang dapat Anda gunakan saat menjalankan perintah.

Gunakan AWS CLI perintah berikut untuk memantau versi dan sinkronisasi:

Gunakan resolver-version-entries perintah get-ipam-prefix-list- untuk melihat versi terbaru yang dibuat oleh resolver.
Gunakan perintah describe-ipam-prefix-list-resolver-target untuk memantau status sinkronisasi target resolver.

Perintah monitor menunjukkan:

state - status sinkronisasi saat ini (create-complete, modify-complete, dan banyak lagi)
lastSyncedVersion - Versi terakhir berhasil disinkronkan
DesiredVersion - versi target untuk disinkronkan
StateMessage - detail kesalahan jika sinkronisasi gagal

Langkah 4: (Opsional) Aktifkan dan nonaktifkan sinkronisasi daftar awalan IPAM

Jika daftar awalan terkelola telah dikonfigurasi sebagai target daftar awalan IPAM dan Anda ingin membuat perubahan pada daftar awalan tanpa memerlukan izin untuk mengakses target penyelesai daftar awalan IPAM, Anda dapat mengubah daftar awalan terkelola dan menonaktifkan sinkronisasi dengan penyelesai daftar awalan IPAM. Ketika dinonaktifkan, daftar CIDRs awalan tidak diperbarui secara otomatis dan Anda dapat membuat perubahan pada mereka. Saat diaktifkan, daftar awalan diperbarui CIDRs secara otomatis berdasarkan aturan pemilihan CIDR resolver terkait.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengelola ruang alamat IP di IPAM

Ubah status pemantauan VPC CIDRs