Tentukan strategi IPv4 alokasi publik dengan kebijakan IPAM - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tentukan strategi IPv4 alokasi publik dengan kebijakan IPAM

Kebijakan IPAM adalah seperangkat aturan yang menentukan bagaimana IPv4 alamat publik dari kolam IPAM dialokasikan ke sumber daya. AWS Setiap aturan memetakan AWS layanan ke kolam IPAM yang akan digunakan layanan untuk mendapatkan alamat IP. Satu kebijakan dapat memiliki beberapa aturan dan diterapkan ke beberapa AWS Wilayah. Jika kumpulan IPAM kehabisan alamat maka layanan mundur ke alamat IP yang disediakan Amazon. Kebijakan dapat diterapkan ke AWS akun individu atau entitas dalam AWS Organizations. Jika Anda membawa IP Anda sendiri (BYOIP), ini membantu mengurangi biaya AWS publik IPv4 Anda.

Kapan menggunakan kebijakan IPAM

Gunakan kebijakan IPAM untuk:

  • Mengurangi IPv4 biaya publik dengan menggunakan alamat BYOIP

  • Kontrol secara terpusat IP mana yang digunakan AWS sumber daya Anda

  • Pastikan alokasi IP yang konsisten di seluruh organisasi Anda

Cara kerjanya

Saat Anda membuat AWS sumber daya yang memerlukan alamat IP publik di akun dengan kebijakan IPAM diberlakukan:

  • IPAM memeriksa aturan kebijakan Anda secara berurutan.

  • Jika aturan cocok dengan jenis sumber daya, IPAM mengalokasikan IP dari kumpulan yang ditentukan.

  • Jika pool kosong dan overflow diaktifkan, Amazon memberikan alamat IP.

  • Jika tidak ada aturan yang cocok, perilaku default berlaku.

Layanan dan sumber daya yang didukung

Anda dapat membuat kebijakan IPAM untuk menentukan bagaimana IPv4 alamat publik dari kumpulan IPAM dialokasikan ke AWS layanan dan sumber daya berikut:

  • Alamat IP elastis (EIPs)

  • Gerbang NAT regional

penting

Untuk EIPs, jika Anda memilih kumpulan IPAM tertentu saat mengalokasikan IPv4 alamat publik kepada mereka, itu akan mengesampingkan kebijakan IPAM.

Prasyarat

Terminologi

Kebijakan IPAM

Kebijakan IPAM adalah seperangkat aturan yang menentukan bagaimana IPv4 alamat publik dari kolam IPAM dialokasikan ke sumber daya. AWS Setiap aturan memetakan AWS layanan ke kolam IPAM yang akan digunakan layanan untuk mendapatkan alamat IP. Satu kebijakan dapat memiliki beberapa aturan dan diterapkan ke beberapa AWS Wilayah. Jika kumpulan IPAM kehabisan alamat maka layanan mundur ke alamat IP yang disediakan Amazon. Kebijakan dapat diterapkan ke AWS akun individu atau entitas dalam AWS Organizations. Kebijakan dapat diterapkan ke AWS akun individu atau entitas dalam AWS Organizations.

Aturan alokasi

Konfigurasi opsional dalam kebijakan IPAM yang memetakan jenis AWS sumber daya ke kumpulan IPAM tertentu. Jika tidak ada aturan yang ditentukan, sumber daya akan mengetik default untuk menggunakan alamat IP yang disediakan Amazon.

Target

AWS Akun individu atau entitas dalam AWS Organisasi tempat kebijakan IPAM dapat diterapkan.

Langkah 1: Buat kebijakan IPAM

Menggunakan AWS Konsol:

Ikuti langkah-langkah berikut untuk membuat kebijakan IPAM menggunakan AWS Konsol:

  1. Buka konsol IPAM di https://console.aws.amazon.com/ipam/.

  2. Di panel navigasi di sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Masukkan Nama untuk kebijakan Anda (opsional).

  5. Pilih IPAM untuk dikaitkan dengan kebijakan ini.

  6. (Opsional) Tambahkan tanda.

  7. Pilih Buat kebijakan.

Menggunakan AWS CLI:

Gunakan perintah create-ipam-policy.

Langkah 2: Tambahkan aturan alokasi

Setelah membuat kebijakan, Anda perlu menambahkan aturan alokasi yang menentukan bagaimana alamat IP dialokasikan:

Menggunakan AWS Konsol:

Ikuti langkah-langkah berikut untuk menambahkan aturan alokasi menggunakan AWS Konsol:

  1. Di panel navigasi di sebelah kiri, pilih Kebijakan.

  2. Pilih kebijakan yang Anda buat di langkah sebelumnya.

  3. Di halaman detail kebijakan, pilih tab Aturan alokasi.

  4. Pilih Buat aturan alokasi.

  5. Konfigurasikan konfigurasi Layanan:

    • Lokal: Pilih AWS Wilayah (us-east-1) atau Zona Lokal tempat Anda ingin kebijakan ini berlaku.

    • Jenis sumber daya: Pilih jenis AWS layanan atau sumber daya untuk kebijakan ini (Alamat IP elastis).

  6. Konfigurasikan konfigurasi Aturan:

    • Kolam IPAM: Pilih kolam IPAM yang akan memberikan alamat IP.

    • Tinjau detail kumpulan (lokal, sumber IP publik, ruang yang tersedia, dan rentang CIDR tersedia).

  7. (Opsional) Pilih Tambahkan aturan baru untuk membuat aturan tambahan.

  8. Pilih Buat aturan alokasi.

Menggunakan AWS CLI:

Gunakan perintah modify-ipam-policy-allocation-rules.

Langkah 3: Aktifkan kebijakan

Tentukan akun mana yang harus menggunakan kebijakan ini.

Menggunakan AWS Konsol:

Ikuti langkah-langkah berikut untuk mengaktifkan kebijakan menggunakan AWS Konsol:

  1. Di halaman detail kebijakan, pilih tab Target.

  2. Pilih Kelola target kebijakan.

  3. Lakukan salah satu tindakan berikut:

    • Untuk penggunaan akun tunggal (IPAM tidak terintegrasi dengan AWS Organizations), pilih Aktifkan untuk akun Anda.

    • Untuk IPAM yang terintegrasi dengan AWS Organizations (ketika Anda adalah admin yang didelegasikan):

      • Di bagian Struktur organisasi, pilih akun atau unit organisasi tempat Anda ingin menerapkan kebijakan ini.

      • Centang kotak Diaktifkan untuk setiap target.

      • Pilih Simpan Perubahan.

      • Penting: Mengaktifkan kebijakan ini akan menggantikan kebijakan IPAM aktif apa pun pada akun atau unit organisasi yang dipilih.

Menggunakan AWS CLI:

Gunakan enable-ipam-policyperintah berdasarkan pengaturan Anda:

Untuk penggunaan akun tunggal (IPAM tidak terintegrasi dengan AWS Organizations):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

Untuk IPAM yang terintegrasi dengan AWS Organizations (ketika Anda adalah admin yang didelegasikan):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012
penting

Mengaktifkan kebijakan ini akan menggantikan kebijakan IPAM aktif apa pun pada akun atau unit organisasi yang dipilih.

Langkah 4: (Opsional) Penegakan seluruh organisasi

Jika Anda telah mengaktifkan kebijakan IPAM ini pada entitas AWS Organizations, gunakan kebijakan deklaratif untuk menambahkan manajemen dan tata kelola terpusat di atas kebijakan IPAM Anda.

Apa yang ditambahkan ini:

Penegakan hukum di seluruh organisasi memberikan manfaat berikut:

  • Manajemen kebijakan terpusat di semua akun organisasi

  • Penegakan otomatis tanpa konfigurasi per akun

  • Kontrol tata kelola untuk mencegah perubahan kebijakan di tingkat akun

Prasyarat:

Sebelum menyiapkan penegakan hukum di seluruh organisasi, pastikan Anda memiliki:

  • AWS Organizations dengan semua fitur diaktifkan

  • IPAM di akun manajemen organisasi atau akun administrator yang didelegasikan

  • Izin yang sesuai untuk Organizations dan IPAM

Untuk petunjuk mendetail tentang menyiapkan penegakan hukum di seluruh organisasi dengan kebijakan deklaratif, lihat Memulai kebijakan deklaratif di Panduan Pengguna Organizations AWS .

Langkah 5: Uji kebijakan Anda

Aktifkan sumber daya baru dari jenis yang Anda konfigurasikan (seperti EIP) di salah satu akun target. Sumber daya akan secara otomatis menggunakan alamat IP dari kolam IPAM Anda.

penting

Untuk EIPs, jika Anda memilih kumpulan IPAM tertentu saat mengalokasikan IPv4 alamat publik kepada mereka, itu akan mengesampingkan kebijakan IPAM.

Langkah 6: Pantau penggunaan

Periksa kolam IPAM Anda di konsol untuk melihat alamat IP dialokasikan ke sumber daya Anda.