Portare un CIDR IPv4 pubblico su IPAM usando solo la AWS CLI
Segui questi passaggi per portare un CIDR IPv4 su IPAM e allocare un indirizzo IP elastico (EIP) utilizzando soltanto la AWS CLI.
Importante
Questo tutorial presuppone che tu abbia già completato i passaggi nelle sezioni seguenti:
-
Ciascun passaggio di questo tutorial deve essere eseguito da uno dei tre account di AWS Organizations:
L'account di gestione.
L'account membro configurato come amministratore IPAM in Come integrare IPAM con account in un’organizzazione AWS. In questo tutorial, tale account verrà chiamato account IPAM.
L'account membro dell'organizzazione che alloca i CIDR da un pool IPAM. In questo tutorial, tale account verrà chiamato account membro.
Indice
Fase 1: creazione di profili denominati della AWS CLI e ruoli IAM
Passaggio 4: effettuare il provisioning di un CIDR al pool di livello superiore
Passaggio 5: creazione di un pool regionale all'interno del pool di livello superiore
Passaggio 6: effettuare il provisioning di un CIDR al pool Regionale
Passaggio 9: assegnazione di un indirizzo IP elastico dal pool
Passaggio 10: associazione dell'indirizzo IP elastico a un'istanza EC2
Fase 1: creazione di profili denominati della AWS CLI e ruoli IAM
Per completare questo tutorial come singolo utente AWS, puoi utilizzare profili denominati AWS CLI per passare da un ruolo IAM a un altro. I profili denominati sono raccolte di impostazioni e credenziali a cui si fa riferimento quando si utilizza l'opzione --profile con la AWS CLI. Per ulteriori informazioni su come creare ruoli IAM e profili denominati per gli account AWS, consulta Using an IAM role in the AWS CLI.
Crea un ruolo e un profilo denominato per ciascuno dei tre account AWS che utilizzerai in questo tutorial:
Un profilo chiamato
management-accountper l'account di gestione di AWS Organizations.Un profilo chiamato
ipam-accountper l'account membro di AWS Organizations configurato come amministratore IPAM.Un profilo chiamato
member-accountper l'account membro di AWS Organizations che alloca i CIDR da un pool IPAM.
Dopo avere creato i ruoli IAM e i profili denominati, torna su questa pagina e vai al passaggio successivo. Nel resto di questo tutorial potrai osservare che i comandi AWS CLI di esempio utilizzano l'opzione --profile con uno dei profili con nome per indicare quale account deve eseguire il comando.
Passaggio 2: creazione di un IPAM
Questa fase è facoltativa. Se un IPAM è già stato creato con regioni operative di us-east-1 e us-west-2 create, questo passaggio può essere ignorato. Crea un IPAM e specifica una Regione operativa di us-east-1 e us-west-2. È necessario selezionare una Regione operativa in modo da poter utilizzare l'opzione località durante la creazione del pool IPAM. L'integrazione IPAM con BYOIP richiede che la località sia impostata su qualsiasi pool verrà utilizzato per il CIDR BYOIP.
Questo passaggio deve essere eseguito dall'account IPAM.
Esegui il comando seguente:
aws ec2 create-ipam --descriptionmy-ipam--regionus-east-1--operating-regionsRegionName=us-west-2--profileipam-account
Nell'output sarà visualizzato l'IPAM creato. Prendere nota del valore per PublicDefaultScopeId. L'ID dell'ambito pubblico è necessario nel passaggio successivo. Stai utilizzando l'ambito pubblico perché i CIDR BYOIP sono indirizzi IP pubblici, che è ciò a cui è destinato l'ambito pubblico.
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
Passaggio 3: creazione di un pool IPAM di livello superiore
Completa i passaggi descritti in questa sezione per creare un pool IPAM di livello superiore.
Questo passaggio deve essere eseguito dall'account IPAM.
Per creare un pool di indirizzi IPv4 per tutte le risorse AWS che utilizzano la AWS CLI
-
Esegui il comando seguente per creare un pool IPAM. Utilizza l'ID dell'ambito pubblico dell'IPAM creato nella fase precedente.
Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 create-ipam-pool --regionus-east-1--ipam-scope-idipam-scope-0087d83896280b594--description"top-level-IPv4-pool"--address-familyipv4--profileipam-accountNell'output, vedrai
create-in-progress, il che indica che è in corso la creazione del pool.{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "None", "PoolDepth": 1, "State": "create-in-progress", "Description": "top-level-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [] } } -
Esegui il seguente comando fino a quando non viene visualizzato uno stato di
create-completenell'output.aws ec2 describe-ipam-pools --regionus-east-1--profileipam-accountIl seguente output esemplificativo mostra lo stato del pool.
{ "IpamPools": [ { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "None", "PoolDepth": 1, "State": "create-complete", "Description": "top-level-IPV4-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [] } ] }
Passaggio 4: effettuare il provisioning di un CIDR al pool di livello superiore
Effettua il provisioning di un blocco CIDR al pool di livello superiore. Tieni presente che quando effettui il provisioning di un CIDR IPv4 a un pool all'interno del pool di livello superiore, il CIDR IPv4 minimo di cui è possibile effettuare il provisioning è /24; non sono consentiti CIDR più specifici (come ad esempio /25).
Nota
-
Se hai verificato il controllo del dominio con un certificato X.509, devi includere il CIDR e il messaggio BYOIP e la firma del certificato che hai creato in quel passaggio in modo da poter verificare il controllo dello spazio pubblico.
-
Se hai verificato il controllo del dominio con un record TXT DNS, devi includere il CIDR e il token di verifica IPAM che hai creato in quel passaggio in modo da poter verificare il controllo dello spazio pubblico.
È necessario solo verificare il controllo del dominio quando si effettua il provisioning del CIDR BYOIP al pool di livello superiore. Per il pool regionale all'interno di quello di livello superiore, è possibile omettere l'opzione di verifica della proprietà del dominio.
Questo passaggio deve essere eseguito dall'account IPAM.
Importante
È necessario solo verificare il controllo del dominio quando si effettua il provisioning del CIDR BYOIP al pool di livello superiore. Per il pool regionale all'interno di quello di livello superiore, è possibile omettere l'opzione di controllo del dominio. Una volta effettuato l'accesso al BYOIP su IPAM, non è necessario eseguire la convalida della proprietà quando dividi il BYOIP tra Regioni e account.
Per effettuare il provisioning di un blocco CIDR al pool utilizzando la AWS CLI
-
Per eseguire il provisioning del CIDR con le informazioni sul certificato, utilizzare il seguente esempio di comando. Oltre a sostituire i valori necessari nell'esempio, assicurati di sostituire
MessageeSignaturecon i valoritext_messageesigned_messageche hai inserito in Verifica il dominio con un certificato X.509.aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profileipam-accountPer eseguire il provisioning del CIDR con le informazioni sul token di verifica, utilizzare il seguente esempio di comando. Oltre a sostituire i valori necessari nell'esempio, assicurati di sostituire
ipam-ext-res-ver-token-0309ce7f67a768cf0e con l'ID tokenIpamExternalResourceVerificationTokenIdche hai inserito in Verifica il dominio con un record TXT DNS.aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--verification-method dns-token --ipam-external-resource-verification-token-idipam-ext-res-ver-token-0309ce7f67a768cf0--profileipam-accountNell'output, sarà visualizzato il provisioning del CIDR in sospeso.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-provision" } } -
Assicurati che su questo CIDR sia stato effettuato il provisioning prima di continuare.
Importante
Sebbene la maggior parte del provisioning venga completata entro due ore, il completamento del processo di provisioning per gli intervalli pubblicizzabili pubblicamente può richiedere fino a una settimana.
Esegui il seguente comando fino a quando non viene visualizzato uno stato di
provisionednell'output.aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountIl seguente output esemplificativo mostra lo stato.
{ "IpamPoolCidrs": [ { "Cidr": "130.137.245.0/24", "State": "provisioned" } ] }
Passaggio 5: creazione di un pool regionale all'interno del pool di livello superiore
Crea un pool regionale all'interno del pool di livello superiore.
L'impostazione locale per il pool deve essere una delle seguenti:
Una regione AWS in cui desideri che questo pool IPAM sia disponibile per le allocazioni.
Il gruppo di confine di rete per una zona locale AWS in cui desideri che questo pool IPAM sia disponibile per le allocazioni (zone locali supportate). Questa opzione è disponibile solo per i pool IPv4 IPAM in ambito pubblico.
Una zona locale AWS dedicata
. Per creare un pool all'interno di una zona locale AWS dedicata, inserisci la zona locale AWS dedicata nell'input del selettore.
Ad esempio, è possibile assegnare un CIDR per un VPC solo da un pool IPAM che condivide una lingua con la Regione del VPC. Tieni presente che dopo aver scelto una lingua per un pool, questa non può essere modificata. Se la regione di origine dell'IPAM non è disponibile a causa di un'interruzione e il pool è in una località differente dalla regione di origine dell'IPAM, il pool può essere ancora utilizzato per assegnare gli indirizzi IP.
Quando esegui i comandi in questa sezione, il valore per --region deve includere l'opzione --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP. Ad esempio, se hai creato il pool BYOIP con un'impostazione locale di us-east-1, --region dovrebbe essere us-east-1. Se hai creato il pool BYOIP con un'impostazione locale di us-east-1-scl-1 (un gruppo di confine di rete usato per le zone locali), --region dovrebbe essere us-east-1 perché quella regione gestisce l'impostazione locale us-east-1-scl-1.
Questo passaggio deve essere eseguito dall'account IPAM.
La scelta di una località garantisce che non vi siano dipendenze interregionali tra il pool e le risorse da esso assegnate. Le opzioni qui disponibili provengono dalle Regioni operative scelte al momento della creazione dell'IPAM. In questo tutorial, useremo us-west-2 come località del pool regionale.
Importante
Quando crei il pool, devi includere --aws-service ec2. Il servizio selezionato determina il servizio AWS in cui il CIDR sarà pubblicizzabile. Attualmente, l'unica opzione possibile è ec2, il che significa che i CIDR allocati da questo pool saranno pubblicizzabili per il servizio Amazon EC2 (per gli indirizzi IP elastici) e per il servizio Amazon VPC (per i CIDR associati ai VPC).
Per creare di un pool Regionale utilizzando la AWS CLI
-
Per creare un pool, esegui il comando seguente.
aws ec2 create-ipam-pool --description"Regional-IPv4-pool"--regionus-east-1--ipam-scope-idipam-scope-0087d83896280b594--source-ipam-pool-idipam-pool-0a03d430ca3f5c035--localeus-west-2--address-familyipv4--aws-service ec2 --profileipam-accountNell'output, potrai visualizzare IPAM mentre crea il pool.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0d8f3646b61ca5987", "SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-west-2", "PoolDepth": 2, "State": "create-in-progress", "Description": "Regional--pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [], "ServiceType": "ec2" } } -
Esegui il seguente comando fino a quando non viene visualizzato uno stato di
create-completenell'output.aws ec2 describe-ipam-pools --regionus-east-1--profileipam-accountNell'output, vedrai i pool contenuti nel tuo IPAM. In questo tutorial è stato creato un pool di livello superiore e un pool Regionale, in modo da vederli entrambi.
Passaggio 6: effettuare il provisioning di un CIDR al pool Regionale
Effettua il provisioning di un blocco CIDR al pool Regionale.
Nota
Quando effettui il provisioning di un CIDR a un pool regionale all'interno del pool di livello superiore, il CIDR IPv4 più specifico di cui è possibile effettuare il provisioning è /24 e non sono consentiti CIDR più specifici (come /25). Dopo aver creato il pool regionale, è possibile creare pool più piccoli (ad esempio /25) all'interno dello stesso. Tieni presente che, se condividi il pool regionale o i pool al suo interno, questi pool possono essere utilizzati solo nelle impostazioni locali di quello regionale.
Questo passaggio deve essere eseguito dall'account IPAM.
Per assegnare un blocco CIDR al pool Regionale utilizzando la AWS CLI
-
Esegui il comando seguente per effettuare il provisioning del CIDR.
aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--cidr130.137.245.0/24--profileipam-accountNell'output, sarà visualizzato il provisioning del CIDR in sospeso.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-provision" } } -
Esegui il seguente comando fino a quando non viene visualizzato uno stato di
provisionednell'output.aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountIl seguente output esemplificativo mostra lo stato corretto.
{ "IpamPoolCidrs": [ { "Cidr": "130.137.245.0/24", "State": "provisioned" } ] }
Fase 7: pubblicizzare il CIDR
I passaggi in questa sezione devono essere eseguiti dall'account IPAM. Una volta associato l'indirizzo IP elastico (EIP) a un'istanza o a Elastic Load Balancer, puoi iniziare a pubblicizzare il CIDR che hai portato su AWS presente nel pool con il codice --aws-service
ec2 definito. In questo tutorial, questo è il tuo pool Regionale. Per impostazione predefinita, il CIDR non è pubblicizzato, il che significa che non è accessibile pubblicamente su Internet. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere all'opzione --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.
Questo passaggio deve essere eseguito dall'account IPAM.
Nota
Lo stato dell'annuncio non limita la capacità di assegnare indirizzi IP elastici. Anche se il CIDR BYOIPv4 non è pubblicizzato, puoi comunque creare EIP dal pool IPAM.
Inizia a pubblicizzare il CIDR utilizzando la AWS CLI
-
Esegui il comando seguente per pubblicizzare il CIDR.
aws ec2 advertise-byoip-cidr --regionus-west-2--cidr130.137.245.0/24--profileipam-accountNell'output, vedrai che il CIDR è pubblicizzato.
{ "ByoipCidr": { "Cidr": "130.137.245.0/24", "State": "advertised" } }
Passaggio 8: condivisione del pool regionale
Segui la procedura descritta in questa sezione per condividere il pool IPAM utilizzando AWS Resource Access Manager (RAM).
Abilitazione della condivisione delle risorse in AWS RAM
Dopo aver creato il tuo IPAM, ti consigliamo di condividere il pool regionale con altri account della tua organizzazione. Prima di condividere un pool IPAM, completa la procedura descritta in questa sezione per abilitare la condivisione delle risorse con AWS RAM. Se usi la AWS CLI per abilitare la condivisione delle risorse, utilizza l'opzione --profile
.management-account
Per abilitare la condivisione delle risorse
-
Tramite l'account di gestione di AWS Organizations, apri la console AWS RAM all'indirizzo https://console.aws.amazon.com/ram/
. -
Nel riquadro di navigazione a sinistra, scegli Impostazioni, poi Abilita condivisione con AWS Organizations e quindi Salva impostazioni.
Ora puoi condividere un pool IPAM con altri membri dell'organizzazione.
Condividi un pool IPAM utilizzando AWS RAM
In questa sezione condividerai il pool regionale con un altro account AWS Organizations membro. Per istruzioni complete sulla condivisione dei pool IPAM, comprese le informazioni sulle autorizzazioni IAM richieste, consulta Condividi un pool IPAM utilizzando AWS RAM. Se usi la AWS CLI per abilitare la condivisione delle risorse, utilizza l'opzione --profile .ipam-account
Per condividere un pool IPAM utilizzando AWS RAM
-
Tramite l'account di gestione IPAM, apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/
. -
Nel pannello di navigazione, seleziona Pool.
-
Scegli l'ambito privato e il pool IPAM e seleziona Operazioni > Visualizza dettagli.
-
Alla voce Condivisione risorse, scegli Crea condivisione di risorse. Si apre la console AWS RAM. Il pool è condiviso tramite AWS RAM.
-
Selezionare Create a resource share (Crea una condivisione di risorse).
-
Nella console AWS RAM, scegli nuovamente Creazione di una condivisione di risorse.
-
Aggiungi un Nome per il pool condiviso.
-
In Seleziona il tipo di risorsa, scegli Pool IPAM e poi l'ARN del pool che vuoi condividere.
-
Scegli Next (Successivo).
-
Scegli l'autorizzazione AWSRAMPermissionIpamPoolByoipCidrImport. I dettagli delle opzioni di autorizzazione non rientrano nell'ambito di questo tutorial, ma puoi trovare ulteriori informazioni su queste opzioni alla sezione Condividi un pool IPAM utilizzando AWS RAM.
-
Scegli Next (Successivo).
-
Sotto le voci Principali > Seleziona il tipo principale, scegli Account AWS e inserisci l'ID dell'account che porterà un intervallo di indirizzi IP su IPAM, quindi scegli Aggiungi.
-
Scegli Next (Successivo).
-
Controlla le opzioni di condivisione delle risorse e i principali con cui condividerai, quindi scegli Crea.
-
Per consentire all'account
member-accountdi assegnare l'indirizzo IP CIDRS dal pool IPAM, crea una seconda condivisione di risorse conAWSRAMDefaultPermissionsIpamPool. Il valore per--resource-arnsè l'ARN del pool IPAM creato nella sezione precedente. Il valore per--principalsè l'ID account dimember-account. Il valore per--permission-arnsè l'ARN dell'autorizzazioneAWSRAMDefaultPermissionsIpamPool.
Passaggio 9: assegnazione di un indirizzo IP elastico dal pool
Completa i passaggi in questa sezione per assegnare un indirizzo IP elastico dal pool. Tieni presente che, se utilizzi i pool IPv4 pubblici per assegnare indirizzi IP elastici, puoi utilizzare i passaggi alternativi in Alternativa al passaggio 9 anziché i passaggi in questa sezione.
Importante
Se visualizzi un errore correlato alla mancata disponibilità delle autorizzazioni per chiamare ec2:AllocateAddress, l'autorizzazione gestita attualmente assegnata al pool IPAM che è stata condivisa con te deve essere aggiornata. Contatta la persona che ha creato la condivisione delle risorse e chiedile di aggiornare l'autorizzazione gestita di AWSRAMPermissionIpamResourceDiscovery alla versione predefinita. Per ulteriori informazioni, consulta Creazione di una condivisione di risorse nella Guida per l'utente di AWS RAM.
Passaggio 10: associazione dell'indirizzo IP elastico a un'istanza EC2
Completa i passaggi descritti in questa sezione per associare l'indirizzo IP elastico a un'istanza EC2.
Passaggio 11: pulizia
Segui i passaggi in questa sezione per ripulire le risorse che hai creato e di cui hai effettuato il provisioning in questo tutorial. Quando esegui i comandi in questa sezione, il valore per --region deve includere l'opzione --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.
Eliminazione tramite la AWS CLI
-
Visualizza l'allocazione dell'EIP gestita in IPAM.
Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountL'output mostra l'assegnazione in IPAM.
{ "IpamPoolAllocations": [ { "Cidr": "130.137.245.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b2", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "123456789012" } ] } -
Arresta la pubblicizzazione del CIDR IPv4.
Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 withdraw-byoip-cidr --regionus-west-2--cidr130.137.245.0/24--profileipam-accountNell'output, potrai vedere che lo stato CIDR è cambiato da pubblicizzato a provisioning effettuato.
{ "ByoipCidr": { "Cidr": "130.137.245.0/24", "State": "provisioned" } } -
Rilascia l'indirizzo IP elastico.
Questo passaggio deve essere eseguito dall'account membro.
aws ec2 release-address --regionus-west-2--allocation-ideipalloc-0db3405026756dbf6--profilemember-accountNon vedrai alcun output quando esegui questo comando.
-
Come puoi vedere, l'allocazione dell'EIP non è più gestita in IPAM. IPAM può aver bisogno di tempo per rilevare che l'indirizzo IP elastico è stato rimosso. Non è possibile continuare a ripulire e revocare il provisioning del CIDR del pool IPAM fino a quando non si vede che l'assegnazione è stata rimossa da IPAM. Quando esegui il comando in questa sezione, il valore per
--regiondeve includere l'opzione--localeche hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountL'output mostra l'assegnazione in IPAM.
{ "IpamPoolAllocations": [] } -
Revoca il provisioning del CIDR dal pool regionale. Quando esegui il comando in questo passaggio, il valore per
--regiondeve corrispondere alla Regione del tuo IPAM.Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 deprovision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--cidr130.137.245.0/24--profileipam-accountNell'output, sarà visualizzata la revoca del provisioning del CIDR in sospeso.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-deprovision" } }La revoca del provisioning richiede tempo per il completamento. Controlla lo stato di revoca del provisioning.
aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountAspetta fino a quando visualizzerai provisioning revocato prima di passare al passaggio successivo.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "deprovisioned" } } -
Elimina le condivisioni RAM e disabilita l'integrazione di RAM con AWS Organizations. Completa i passaggi descritti nella sezione Deleting a resource share in AWS RAM e Disabling resource sharing with AWS Organizations della AWSGuida per l’utente di RAM, in questo ordine, per eliminare le condivisioni RAM e disabilitare l’integrazione RAM con AWS Organizations.
Questo passaggio deve essere eseguito rispettivamente dall'account IPAM e dall'account di gestione. Se usi la AWS CLI per eliminare le condivisioni RAM e disabilitare l'integrazione di RAM, utilizza le opzioni
--profileeipam-account--profile.management-account -
Elimina il pool regionale. Quando esegui il comando in questo passaggio, il valore per
--regiondeve corrispondere alla Regione del tuo IPAM.Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 delete-ipam-pool --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountNell'output, è possibile visualizzare lo stato di eliminazione.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0d8f3646b61ca5987", "SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "reg-ipv4-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4" } } -
Revoca il provisioning del CIDR dal pool di livello superiore. Quando esegui il comando in questo passaggio, il valore per
--regiondeve corrispondere alla Regione del tuo IPAM.Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 deprovision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--profileipam-accountNell'output, sarà visualizzata la revoca del provisioning del CIDR in sospeso.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-deprovision" } }La revoca del provisioning richiede tempo per il completamento. Utilizzare il seguente comando per controllare lo stato della revoca del provisioning.
aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountAspetta fino a quando visualizzerai provisioning revocato prima di passare al passaggio successivo.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "deprovisioned" } } -
Elimina il pool di livello superiore. Quando esegui il comando in questo passaggio, il valore per
--regiondeve corrispondere alla Regione del tuo IPAM.Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 delete-ipam-pool --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountNell'output, è possibile visualizzare lo stato di eliminazione.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "top-level-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4" } } -
Elimina l'IPAM. Quando esegui il comando in questo passaggio, il valore per
--regiondeve corrispondere alla Regione del tuo IPAM.Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 delete-ipam --regionus-east-1--ipam-idipam-090e48e75758de279--profileipam-accountNell'output, visualizzerai la risposta IPAM. Ciò significa che l'IPAM è stato eliminato.
{ "Ipam": { "OwnerId": "123456789012", "IpamId": "ipam-090e48e75758de279", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "PublicDefaultScopeId": "ipam-scope-0087d83896280b594", "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d", "ScopeCount": 2, "OperatingRegions": [ { "RegionName": "us-east-1" }, { "RegionName": "us-west-2" } ], } }
Alternativa al passaggio 9
Se utilizzi i pool IPv4 pubblici per assegnare indirizzi IP elastici, puoi utilizzare i passaggi in questa sezione anziché quelli in Passaggio 9: assegnazione di un indirizzo IP elastico dal pool.
Indice
Passaggio 1: creazione di un pool IPv4 pubblico
Questo passaggio in genere viene eseguito da un altro account AWS che desidera effettuare il provisioning di un indirizzo IP elastico, ad esempio un account membro.
Importante
I pool IPv4 pubblici e i pool IPAM sono gestiti da risorse distinte in AWS. I pool IPv4 pubblici sono risorse per account singolo che consentono di convertire i CIDR di proprietà pubblica in indirizzi IP elastici. I pool IPAM possono essere utilizzati per assegnare lo spazio pubblico ai pool IPv4 pubblici.
Per creare un pool IPv4 pubblico tramite la AWS CLI
-
Esegui il comando seguente per effettuare il provisioning del CIDR. Quando esegui il comando in questa sezione, il valore per
--regiondeve corrispondere all'opzione--localeche hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.aws ec2 create-public-ipv4-pool --regionus-west-2--profilemember-accountNell'output, potrai visualizzare l'ID del pool IPv4 pubblico. Sarà necessario questo ID nel passaggio successivo.
{ "PoolId": "ipv4pool-ec2-0019eed22a684e0b2" }
Passaggio 2: effettuare il provisioning del CIDR IPv4 pubblico al pool IPv4 pubblico
Effettua il provisioning del CIDR IPv4 pubblico al pool IPv4 pubblico. Il valore per --region deve corrispondere al valore --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP. La --netmask-length meno specifica che puoi definire è 24.
Questo passaggio deve essere eseguito dall'account membro.
Per creare un pool IPv4 pubblico tramite la AWS CLI
-
Esegui il comando seguente per effettuare il provisioning del CIDR.
aws ec2 provision-public-ipv4-pool-cidr --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--pool-idipv4pool-ec2-0019eed22a684e0b2--netmask-length24--profilemember-accountNell'output, sarà visualizzato il CIDR su cui è stato effettuato il provisioning.
{ "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "PoolAddressRange": { "FirstAddress": "130.137.245.0", "LastAddress": "130.137.245.255", "AddressCount": 256, "AvailableAddressCount": 256 } } -
Esegui il comando seguente per visualizzare il CIDR su cui è stato effettuato il provisioning nel pool IPv4 pubblico.
aws ec2 describe-byoip-cidrs --regionus-west-2--max-results10--profilemember-accountNell'output, sarà visualizzato il CIDR su cui è stato effettuato il provisioning. Per impostazione predefinita, il CIDR non è pubblicizzato, il che significa che non è accessibile pubblicamente su Internet. Avrai la possibilità di impostare questo CIDR su pubblicizzato nell'ultimo passaggio di questo tutorial.
{ "ByoipCidrs": [ { "Cidr": "130.137.245.0/24", "StatusMessage": "Cidr successfully provisioned", "State": "provisioned" } ] }
Passaggio 3: creazione di un indirizzo IP elastico dal pool IPv4 pubblico
Crea un indirizzo IP elastico (EIP) dal pool IPv4 pubblico. Quando esegui il comando in questa sezione, il valore per --region deve corrispondere all'opzione --locale che hai inserito quando hai creato il pool che verrà utilizzato per il CIDR BYOIP.
Questo passaggio deve essere eseguito dall'account membro.
Per creare un EIP dal pool IPv4 pubblico utilizzando la AWS CLI
-
Per creare l'EIP, esegui il comando seguente.
aws ec2 allocate-address --regionus-west-2--public-ipv4-poolipv4pool-ec2-0019eed22a684e0b2--profilemember-accountNell'output, potrai vedere l'assegnazione.
{ "PublicIp": "130.137.245.100", "AllocationId": "eipalloc-0db3405026756dbf6", "PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2", "NetworkBorderGroup": "us-east-1", "Domain": "vpc" } -
Esegui il comando seguente per visualizzare l'assegnazione EIP gestita in IPAM.
Questo passaggio deve essere eseguito dall'account IPAM.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountL'output mostra l'assegnazione in IPAM.
{ "IpamPoolAllocations": [ { "Cidr": "130.137.245.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b2", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "123456789012" } ] }
Alternativa alla pulizia del passaggio 9
Completa questi passaggi per ripulire i pool IPv4 pubblici creati con l'alternativa al passaggio 9. È necessario completare questi passaggi dopo aver rilasciato l'indirizzo IP elastico durante il processo di pulizia standard in Passaggio 10: eliminazione.
-
Visualizza i CIDR BYOIP.
Questo passaggio deve essere eseguito dall'account membro.
aws ec2 describe-public-ipv4-pools --regionus-west-2--profilemember-accountNell'output, vedrai gli indirizzi IP nel tuo CIDR BYOIP.
{ "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "Description": "", "PoolAddressRanges": [ { "FirstAddress": "130.137.245.0", "LastAddress": "130.137.245.255", "AddressCount": 256, "AvailableAddressCount": 256 } ], "TotalAddressCount": 256, "TotalAvailableAddressCount": 256, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] } -
Rilascia il CIDR dal pool IPv4 pubblico. Quando esegui il comando in questa sezione, il valore per
--regiondeve corrispondere alla Regione del tuo IPAM.Questo passaggio deve essere eseguito dall'account membro.
aws ec2 deprovision-public-ipv4-pool-cidr --regionus-east-1--pool-idipv4pool-ec2-0019eed22a684e0b2--cidr130.137.245.0/24--profilemember-account -
Visualizza di nuovo i CIDR BYOIP e assicurati che non ci siano più indirizzi con provisioning. Quando esegui il comando in questa sezione, il valore per
--regiondeve corrispondere alla Regione del tuo IPAM.Questo passaggio deve essere eseguito dall'account membro.
aws ec2 describe-public-ipv4-pools --regionus-east-1--profilemember-accountNell'output, vedrai il conteggio degli indirizzi IP nel pool IPv4 pubblico.
{ "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "Description": "", "PoolAddressRanges": [], "TotalAddressCount": 0, "TotalAvailableAddressCount": 0, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] }
