Automatizza gli aggiornamenti degli elenchi di prefissi con IPAM - Amazon Virtual Private Cloud
Problema risoltoCome funzionaQuando usare questa funzionePrerequisitiPassaggi di impostazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Automatizza gli aggiornamenti degli elenchi di prefissi con IPAM

Un elenco di prefissi gestiti è una serie di intervalli CIDR che puoi richiamare nelle regole del gruppo di sicurezza e nelle tabelle di routing invece di indicare singoli indirizzi IP. Ad esempio, anziché creare regole distinte per il gruppo di sicurezza e per 10.1.0.0/16 10.2.0.0/16 e 10.3.0.0/16, potrai creare un elenco di prefissi con tutti e tre i CIDR e richiamarlo in un’unica regola.

Esistono due tipi di elenchi:

  • Elenchi di prefissi gestiti dai clienti: intervalli IP definiti e gestiti dall’utente.

  • Elenchi di prefissi gestiti da AWS: intervalli IP per servizi AWS (ad esempio S3 o CloudFront)

Questa funzionalità IPAM automatizza la gestione degli elenchi di prefissi gestiti dai clienti, mantenendo le voci CIDR sincronizzate con le modifiche apportate alla rete.

Problema risolto

Senza automazione, i team della rete devono dedicare molto tempo all’aggiornamento manuale degli elenchi di prefissi in caso di modifiche dell’infrastruttura, oltre ad assicurare l’uniformità degli elenchi di prefissi tra vari ambienti e regioni.

IPAM risolve questo problema attraverso la creazione di regole che consentono di compilare automaticamente gli elenchi di prefissi. Puoi utilizzare due diversi approcci: richiamare i CIDR dei pool IPAM o creare regole in base alle risorse AWS effettive, ad esempio “Includi tutti i VPC con il tag env=prod”, “Includi tutte le sottoreti in us-east-1” o “Includi tutti gli indirizzi IP elastici di proprietà dell’account 123456789”. Quando vengono aggiunte o rimosse queste risorse, IPAM aggiorna automaticamente l’elenco di prefissi con i rispettivi CIDR.

Come funziona

Dovrai creare regole che indicano a IPAM quali indirizzi IP includere in un elenco di prefissi. Ad esempio, “Includi tutti i CIDR VPC con il tag env=prod”. Quando vengono aggiunti o rimossi VPC di produzione, IPAM aggiorna automaticamente l’elenco di prefissi.

Quando usare questa funzione

  • Gruppi di sicurezza: crea una regola “Includi tutti i VPC con il tag env=prod”, in modo che ogni volta che vengono aggiunti nuovi VPC di produzione, questi vengano autorizzati automaticamente nelle regole del gruppo di sicurezza

  • Disponibilità in più regioni: implementa le stesse regole IPAM in più regioni per mantenere elenchi di prefissi identici senza copiare manualmente le voci CIDR

  • Infrastruttura dinamica: quando crei o elimini VPC o sottoreti, i relativi CIDR vengono aggiunti o rimossi automaticamente dagli elenchi di prefissi senza la necessità di aggiornamenti manuali

Prerequisiti

Prima di iniziare, assicurati di disporre dei seguenti elementi:

Passaggi di impostazione

Passaggio 1: creazione di un resolver per un elenco di prefissi IPAM

Definisci quali CIDR includere nell’elenco di prefissi creando un resolver pe l’elenco di prefissi IPAM.

AWS Management Console
Creare un resolver per un elenco di prefissi IPAM

  1. Apri la console IPAM.

  2. Nel riquadro di navigazione, seleziona Resolver per elenchi di prefissi.

  3. Seleziona Crea resolver per un elenco di prefissi.

  4. Al punto 1) Configurazione dei dettagli del resolver, indica i seguenti elementi:

    • IPAM: un’istanza IPAM

    • Famiglia di indirizzi: IPv4 o IPv6

    • Tag con il nome (facoltativo): un nome descrittivo

    • Descrizione (facoltativa): una descrizione

    • Tag: tag di risorse

  5. Scegli Next (Successivo).

  6. Al punto 2) Configurazione delle regole, seleziona Aggiungi regola. Puoi aggiungere fino a 99 regole.

    Importante

    Puoi creare un resolver per un elenco di prefissi senza indicare una regola di selezione dei CIDR, ma se non inserisci una regola verranno generate versioni vuote (senza CIDR).

  7. Seleziona uno dei seguenti tipi di regole:

    • CIDR statico: un elenco fisso di CIDR che non vengono modificati (ad esempio, un elenco manuale replicato tra le regioni)

    • CIDR di pool IPAM: CIDR provenienti da pool IPAM specifici (come tutti i CIDR del pool di produzione IPAM)

      Se scegli questa opzione, procedi come segue

      • Ambito IPAM: seleziona l’ambito IPAM per cercare risorse

      • Condizioni di:

        • Proprietà

          • ID pool IPAM: seleziona un pool IPAM che contiene le risorse

          • CIDR (ad esempio, 10.24.34.0/23)

        • Operazione: uguale/non uguale a

        • Valore: il valore in base al quale la condizione viene soddisfatta

    • Ambito risorse CIDR: CIDR provenienti da risorse AWS come VPC, sottoreti, EIP all’interno di un ambito IPAM

      Se scegli questa opzione, procedi come segue:

      • Ambito IPAM: seleziona l’ambito IPAM per cercare risorse

      • Tipo di risorsa: seleziona una risorsa, ad esempio un VPC o una sottorete.

      • Condizioni di:

        • :

          • ID risorsa: l’ID univoco di una risorsa (ad esempio, vpc-1234567890abcdef0)

          • Proprietario della risorsa (ad esempio, 111122223333)

          • Regione della risorsa (ad esempio, us-east-1)

          • Tag risorsa (come chiave: nome, valore: dev-vpc-1)

          • CIDR (ad esempio, 10.24.34.0/23)

        • Operazione: uguale/non uguale a

        • Valore: il valore in base al quale la condizione viene soddisfatta

  8. Scegli Next (Successivo).

  9. Seleziona Convalida e crea.

Command line

I comandi in questa sezione rimandano al Riferimento ai comandi AWS CLI. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Usa i seguenti comandi della AWS CLI per creare un resolver per un elenco di prefissi IPAM:

Passaggio 2: creazione di una destinazione del resolver per connettersi a un elenco di prefissi

Collega il resolver a un elenco di prefissi esistente creando una destinazione del resolver. Usa l’ID del resolver indicato al punto 1.

AWS Management Console
Creare una destinazione del resolver per un elenco di prefissi IPAM

  1. Nella console IPAM, seleziona Resolver per elenchi di prefissi.

  2. Seleziona il resolver creato al punto 1.

  3. Nella pagina dei dettagli del resolver, seleziona la scheda Destinazioni.

  4. Seleziona Crea destinazione.

  5. Configurazione della destinazione:

    • Regione: seleziona la regione in cui si trova l’elenco di prefissi gestiti esistente o dove ne verrà creato uno.

    • Elenco di prefissi: seleziona un elenco di prefissi gestiti esistente o creane uno nuovo

  6. In Versione desiderata, seleziona una delle seguenti opzioni:

    • Tieni sempre traccia della versione più recente: seleziona questa opzione per gli aggiornamenti automatici se desideri che gli elenchi di prefissi rimangano aggiornati in base alle modifiche dell’infrastruttura senza interventi manuali.

    • Tieni traccia delle versioni specifiche: seleziona questa opzione per garantire la stabilità quando hai bisogno di aggiornamenti prevedibili e controllati e quando vuoi approvare manualmente le modifiche agli elenchi di prefissi.

  7. Seleziona Crea destinazione.

Command line

I comandi in questa sezione rimandano al Riferimento ai comandi AWS CLI. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Usa i seguenti comandi della AWS CLI per creare una destinazione del resolver per un elenco di prefissi IPAM:

IPAM ora aggiornerà automaticamente l’elenco di prefissi in base alle regole. L’elenco di prefissi verrà compilato con CIDR corrispondenti ai criteri specificati.

Passaggio 3: monitoraggio delle versioni e della sincronizzazione

A seguito della creazione di un resolver e di una destinazione per l’elenco di prefissi, il resolver per l’elenco di prefissi genera versioni CIDR in base alle regole definite, e la destinazione sincronizza questi CIDR dal resolver con uno specifico elenco di prefissi gestiti. Ogni versione mostra quali CIDR corrispondevano alle regole in quel momento. Il numero di versione aumenta ogni volta che l’elenco dei CIDR cambia a seguito di modifiche all’infrastruttura.

Esempio di versione:

Stato iniziale (versione 1)

Ambiente di produzione:

  • vpc-prod-web (10.1.0.0/16) - con il tag env=prod

  • vpc-prod-db (10.2.0.0/16) - con il tag env=prod

Regola del resolver: includi tutti i VPC con il tag env=prod

CIDR versione 1: 10.1.0.0/16, 10.2.0.0/16

Modifica dell’infrastruttura (versione 2)

Nuovo VPC aggiunto:

  • vpc-prod-api (10.3.0.0/16) - con tag env=prod

IPAM rileva automaticamente la modifica e crea una nuova versione.

CIDR versione 2: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

Questa sezione illustra come monitorare la creazione di versioni con la console AWS o con la CLI AWS e il completamento della sincronizzazione con la CLI AWS.

Inoltre, ti invitiamo a impostare gli allarmi CloudWatch in base ai parametri di errore, poiché potrebbe essere necessario rivalutare e modificare le regole di selezione dei CIDR per rispettare i limiti di dimensioni della versione e dell’elenco di prefissi. Per un elenco dei parametri CloudWatch relativi agli elenchi di prefissi IPAM, consulta Parametri del resolver per l’elenco di prefissi IPAM.

AWS Management Console
Visualizzare le versioni create e monitorare la sincronizzazione della destinazione

  1. Nella console IPAM, seleziona Resolver per elenchi di prefissi.

  2. Seleziona il resolver creato al punto 1.

  3. Nella pagina dei dettagli del resolver, seleziona la scheda Versioni. Qui potrai vedere tutte le versioni che sono state create dal resolver e tutti i CIDR presenti nella versione.

  4. Nella pagina dei dettagli del resolver, seleziona la scheda Monitoraggio. In questa visualizzazione, i Parametri del resolver per l’elenco di prefissi IPAM sono riportati in un grafico:

    • Creazione della versione del resolver per l’elenco di prefissi completata

    • Creazione della versione del resolver per l’elenco di prefissi non completata

  5. Nella scheda Monitoraggio puoi anche configurare un allarme CloudWatch selezionando Crea allarme per la creazione della versione del resolver per l’elenco di prefissi. Verrai reindirizzato alla console CloudWatch con l’allarme parzialmente configurato in base al parametro. Per ulteriori informazioni su come completare la creazione di un allarme, consulta Create a CloudWatch alarm based on a static threshold nella Guida per l’utente di Amazon CloudWatch.

Command line

I comandi in questa sezione rimandano al Riferimento ai comandi AWS CLI. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Usa i seguenti comandi della AWS CLI per monitorare le versioni e la sincronizzazione:

  1. Usa il comando get-ipam-prefix-list-resolver-version-entries per visualizzare l’ultima versione creata dal resolver.

  2. Usa il comando describe-ipam-prefix-list-resolver-targets per monitorare lo stato di sincronizzazione della destinazione del resolver.

Il comando di monitoraggio mostra:

  • state: lo stato di sincronizzazione corrente (create-complete, modify-complete e altri)

  • lastSyncedVersion: l’ultima versione sincronizzata correttamente

  • desiredVersion: la versione di destinazione per la sincronizzazione

  • stateMessage: dettagli degli errori se la sincronizzazione non è stata completata

Passaggio 4: (facoltativo) attivazione e disattivazione della sincronizzazione dell’elenco di prefissi IPAM

Se un elenco di prefissi gestiti è stato configurato come destinazione dell’elenco di prefissi IPAM e vuoi modificare l’elenco di prefissi senza richiedere l’autorizzazione per accedere alla destinazione del resolver dell’elenco di prefissi IPAM, potrai modificare l’elenco di prefissi gestiti e disabilitare la sincronizzazione con il resolver per l’elenco di prefissi IPAM. Disattivando questa opzione, i CIDR dell’elenco di prefissi non vengono aggiornati automaticamente e potrai modificarli. Se questa opzione è abilitata, i CIDR dell’elenco di prefissi vengono aggiornati automaticamente in base alle regole di selezione dei CIDR del resolver associato.