Automatizza gli aggiornamenti degli elenchi di prefissi con IPAM - Amazon Virtual Private Cloud
Il problema che questo risolveCome funzionaQuando utilizzarloPrerequisitiPassaggi di impostazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Automatizza gli aggiornamenti degli elenchi di prefissi con IPAM

Un elenco di prefissi gestito è un insieme di blocchi CIDR a cui è possibile fare riferimento nelle regole dei gruppi di sicurezza e nelle tabelle di routing anziché specificare singoli indirizzi IP. Ad esempio, invece di creare regole di gruppo di sicurezza separate per10.1.0.0/16, e 10.2.0.0/1610.3.0.0/16, è possibile creare un elenco di prefissi contenente tutti CIDRs e tre e fare riferimento ad esso in un'unica regola.

Esistono due tipi:

  • Elenchi di prefissi gestiti dal cliente: intervalli IP definiti e gestiti dall'utente

  • AWS-elenchi di prefissi gestiti: intervalli IP per AWS servizi (come S3 o) CloudFront

Questa funzionalità IPAM automatizza la gestione degli elenchi di prefissi gestiti dai clienti mantenendo le voci CIDR sincronizzate con le modifiche alla rete.

Il problema che questo risolve

Senza automazione, i team di rete dedicano molto tempo all'aggiornamento manuale degli elenchi di prefissi quando l'infrastruttura cambia e al mantenimento di elenchi di prefissi coerenti tra ambienti e regioni.

IPAM risolve questo problema consentendoti di creare regole che compilano automaticamente gli elenchi di prefissi. Puoi utilizzare due approcci: fare riferimento CIDRs ai tuoi pool IPAM o creare regole basate sulle tue AWS risorse effettive, ad esempio «includi tutti i VPCs tag con env=prod», «includi tutte le sottoreti in us-east-1' o «includi tutti gli indirizzi IP elastici di proprietà dell'account 123456789'. Quando aggiungi o rimuovi queste risorse, IPAM aggiorna automaticamente l'elenco dei prefissi CIDRs con le loro.

Come funziona

Si creano regole che indicano a IPAM quali indirizzi IP includere in un elenco di prefissi. Ad esempio, «includi tutti i VPC CIDRs etichettati con env=prod». Quando si aggiunge o si rimuove la produzione VPCs, IPAM aggiorna automaticamente l'elenco dei prefissi.

Quando utilizzarlo

  • Gruppi di sicurezza: crea una regola «includi tutti i VPCs tag env=prod» in modo che quando aggiungi una nuova produzione VPCs, questi vengano automaticamente consentiti nelle regole del tuo gruppo di sicurezza

  • Multiregione: implementa le stesse regole IPAM in più regioni per mantenere elenchi di prefissi identici senza copiare manualmente le voci CIDR

  • Infrastruttura dinamica: quando tu create/delete VPCs o le sottoreti, queste provengono automaticamente dagli elenchi di prefissi senza aggiornamenti manuali CIDRs added/removed

Prerequisiti

Prima di iniziare, assicurati di avere:

Passaggi di impostazione

Passaggio 1: creare un risolutore di elenchi di prefissi IPAM

Definisci quale CIDRs includere nell'elenco dei prefissi creando un risolutore di elenchi di prefissi IPAM.

AWS Management Console
Per creare un risolutore di elenchi di prefissi IPAM

  1. Aprire la console IPAM.

  2. Nel riquadro di navigazione, scegli Prefix list resolvers.

  3. Scegli Crea risolutore di elenchi di prefissi.

  4. Nel passaggio 1: configura i dettagli del resolver, scegli quanto segue:

    • IPAM: un'istanza IPAM

    • Famiglia di indirizzi: o IPv4 IPv6

    • Targhetta portanome - opzionale: un nome descrittivo

    • Descrizione - opzionale: una descrizione

    • Tag: tag di risorse

  5. Scegli Next (Successivo).

  6. Nel Passaggio 2: Configura le regole, scegli Aggiungi regola. Puoi aggiungere fino a 99 regole.

    Importante

    È possibile creare un risolutore di elenchi di prefissi senza alcuna regola di selezione CIDR, ma genererà versioni vuote (contenenti no CIDRs) finché non si aggiungono regole.

  7. Scegli uno dei tipi di regole:

    • CIDR statico: un elenco fisso CIDRs che non cambia (come un elenco manuale replicato tra le regioni)

    • Pool IPAM CIDR: CIDRs da pool IPAM specifici (come tutti CIDRs quelli del pool di produzione IPAM)

      Se scegli questa opzione, scegli quanto segue:

      • Ambito IPAM: seleziona l'ambito IPAM per cercare risorse

      • Condizioni:

        • Proprietà

          • ID pool IPAM: seleziona un pool IPAM che contiene le risorse

          • CIDR (ad esempio 10.24.34.0/23)

        • Operazione: è uguale Equals/Not

        • Valore: il valore in base al quale soddisfare la condizione

    • Ambito della risorsa CIDR: CIDRs da AWS risorse come sottoreti VPCs, EIPs all'interno di un ambito IPAM

      Se scegli questa opzione, scegli quanto segue:

      • Ambito IPAM: seleziona l'ambito IPAM per cercare risorse

      • Tipo di risorsa: seleziona una risorsa, ad esempio un VPC o una sottorete.

      • Condizioni:

        • Proprietà:

          • ID risorsa: l'ID univoco di una risorsa (come vpc-1234567890abcdef0)

          • Proprietario della risorsa (ad esempio 111122223333)

          • Regione delle risorse (come us-east-1)

          • Tag di risorsa (come chiave: nome, valore: dev-vpc-1)

          • CIDR (come 10.24.34.0/23)

        • Operazione: è uguale Equals/Not

        • Valore: il valore in base al quale soddisfare la condizione

  8. Scegli Next (Successivo).

  9. Scegli Convalida e crea.

Command line

I comandi in questa sezione rimandano al AWS CLI Command Reference. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Utilizzate i seguenti AWS CLI comandi per creare un risolutore di elenchi di prefissi IPAM:

Passaggio 2: creare un obiettivo resolver per connettersi a un elenco di prefissi

Collega il tuo resolver a un elenco di prefissi esistente creando un obiettivo del resolver. Usa l'ID del resolver restituito dal passaggio 1.

AWS Management Console
Per creare una destinazione del resolver con elenco di prefissi IPAM

  1. Nella console IPAM, scegli Prefix list resolvers.

  2. Scegli il resolver che hai creato nel passaggio 1.

  3. Nella pagina dei dettagli del resolver, scegli la scheda Obiettivi.

  4. Scegli Crea obiettivo.

  5. Configura la destinazione:

    • Regione: seleziona la regione in cui esiste l'elenco di prefissi gestiti esistente o dove ne creerai uno.

    • Elenco di prefissi: scegli un elenco di prefissi gestiti esistente o creane uno nuovo

  6. In Versione desiderata, seleziona una delle seguenti opzioni:

    • Tieni sempre traccia della versione più recente: scegli questa opzione per gli aggiornamenti automatici se desideri che gli elenchi di prefissi rimangano aggiornati sulle modifiche dell'infrastruttura senza interventi manuali.

    • Tieni traccia delle versioni specifiche: scegli questa opzione per garantire la stabilità quando hai bisogno di aggiornamenti prevedibili e controllati e desideri approvare manualmente le modifiche agli elenchi di prefissi.

  7. Scegli Crea obiettivo.

Command line

I comandi in questa sezione rimandano al AWS CLI Command Reference. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Utilizzate i seguenti AWS CLI comandi per creare un target resolver con elenco di prefissi IPAM:

IPAM ora aggiorna automaticamente l'elenco dei prefissi in base alle regole. L'elenco dei prefissi verrà compilato con CIDRs i criteri corrispondenti ai tuoi criteri.

Fase 3: Monitoraggio delle versioni e della sincronizzazione

Come risultato della creazione di un resolver e di un target per l'elenco di prefissi, il resolver dell'elenco di prefissi genera versioni CIDR in base alle regole dell'utente, quindi il target sincronizza quelle CIDRs dal resolver con uno specifico elenco di prefissi gestiti. Ogni versione è un'istantanea di ciò che corrispondeva alle tue regole in quel momento. CIDRs Il numero di versione aumenta ogni volta che l'elenco CIDR cambia a causa di modifiche all'infrastruttura.

Esempio di versione:

Stato iniziale (versione 1)

Ambiente di produzione:

  • vpc-prod-web (10.1.0.0/16) - taggato env=prod

  • vpc-prod-db (10.2.0.0/16) - contrassegnato con env=prod

Regola Resolver: include tutti i tag VPCs env=prod

Versione 1:10.1.0.0/16, 10.2.0.0/16 CIDRs

Modifica dell'infrastruttura (versione 2)

Nuovo VPC aggiunto:

  • vpc-prod-api (10.3.0.0/16) - contrassegnato con env=prod

IPAM rileva automaticamente la modifica e crea una nuova versione.

Versione 2 CIDRs: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

Questa sezione spiega come monitorare la creazione di versioni con la AWS console o la AWS CLI e il successo della sincronizzazione con la CLI. AWS

Inoltre, ti consigliamo di impostare CloudWatch allarmi sulle metriche degli errori, poiché potrebbe essere necessario rivalutare e modificare le regole di selezione CIDR per rimanere entro i limiti delle dimensioni dell'elenco di versioni e prefissi. Per un elenco di CloudWatch metriche relative agli elenchi di prefissi IPAM, consulta. Elenco di prefissi IPAM, metriche del resolver

AWS Management Console
Per visualizzare le versioni create e monitorare la sincronizzazione delle destinazioni

  1. Nella console IPAM, scegli Prefix list resolvers.

  2. Scegli il resolver che hai creato nel passaggio 1.

  3. Nella pagina dei dettagli del resolver, scegli la scheda Versioni. Qui vedrai tutte le versioni che sono state create dal resolver insieme a tutte le versioni presenti CIDRs nella versione.

  4. Nella pagina dei dettagli del resolver, scegli la scheda Monitoraggio. In questa visualizzazione, Elenco di prefissi IPAM, metriche del resolver sono presentati sotto forma di grafico:

    • Creazione della versione del resolver dell'elenco dei prefissi avvenuta con successo

    • Errore di creazione della versione del resolver dell'elenco dei prefissi

  5. Dalla scheda Monitoraggio, puoi anche configurare un CloudWatch allarme scegliendo Crea allarme per la creazione della versione del risolutore dell'elenco di prefissi. Verrai indirizzato alla CloudWatch console con l'allarme parzialmente configurato per la metrica. Per ulteriori informazioni su come completare la creazione dell'allarme, consulta Creare un CloudWatch allarme basato su una soglia statica nella Amazon CloudWatch User Guide.

Command line

I comandi in questa sezione rimandano al AWS CLI Command Reference. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Utilizzate i seguenti AWS CLI comandi per monitorare le versioni e la sincronizzazione:

  1. Usa il resolver-version-entries comando get-ipam-prefix-list- per visualizzare l'ultima versione creata da resolver.

  2. Utilizzate il comando describe-ipam-prefix-list-resolver-targets per monitorare lo stato di sincronizzazione del target del resolver.

Il comando monitor mostra:

  • state - stato di sincronizzazione corrente (create-complete, modify-complete e altro)

  • lastSyncedVersion - ultima versione sincronizzata con successo

  • DesiredVersion: versione di destinazione con cui sincronizzarsi

  • StateMessage: dettagli dell'errore se la sincronizzazione non è riuscita

Passaggio 4: (Facoltativo) Abilita e disabilita la sincronizzazione dell'elenco di prefissi IPAM

Se un elenco di prefissi gestito è stato configurato come destinazione dell'elenco di prefissi IPAM e si desidera apportare modifiche all'elenco di prefissi senza bisogno dell'autorizzazione per accedere alla destinazione del resolver dell'elenco di prefissi IPAM, è possibile modificare l'elenco di prefissi gestiti e disabilitare la sincronizzazione con il risolutore dell'elenco di prefissi IPAM. Se disabilitato, l'elenco dei prefissi non viene aggiornato automaticamente ed è possibile modificarlo. CIDRs Se abilitato, l'elenco dei CIDRs prefissi viene aggiornato automaticamente in base alle regole di selezione CIDR del resolver associato.