Automatizar atualizações da lista de prefixos com o IPAM - Amazon Virtual Private Cloud
O problema que isso resolveComo funcionaQuando usarPré-requisitosEtapas de configuração

Automatizar atualizações da lista de prefixos com o IPAM

Uma lista de prefixos gerenciada é um conjunto de blocos CIDR que você pode referenciar nas regras do grupo de segurança e nas tabelas de roteamento, em vez de especificar endereços IP individuais. Por exemplo, em vez de criar regras de grupo de segurança separadas para 10.1.0.0/16, 10.2.0.0/16 e 10.3.0.0/16, você pode criar uma lista de prefixos contendo todos os três CIDRs e referenciá-la em uma única regra.

Existem dois tipos:

  • Listas de prefixos gerenciadas pelo cliente: intervalos de IP que você define e gerencia

  • Listas de prefixos gerenciadas pela AWS: intervalos de IP para serviços da AWS (como S3 ou CloudFront)

Esse recurso do IPAM automatiza o gerenciamento de listas de prefixos gerenciadas pelo cliente, mantendo suas entradas CIDR sincronizadas com as alterações na sua rede.

O problema que isso resolve

Sem automação, as equipes de rede gastam muito tempo atualizando manualmente as listas de prefixos quando a infraestrutura muda e mantendo listas de prefixos consistentes em todos os ambientes e regiões.

O IPAM resolve esse problema ao permitir que você crie regras que preenchem automaticamente listas de prefixos. Você pode usar duas abordagens: referenciar CIDRs de seus pools IPAM ou criar regras com base em seus recursos reais da AWS, como “incluir todas as VPCs com a etiqueta env=prod”, “incluir todas as sub-redes em us-east-1” ou “incluir todos os endereços IP elásticos pertencentes à conta 123456789”. Quando você adiciona ou remove esses recursos, o IPAM atualiza automaticamente a lista de prefixos com seus respectivos CIDRs.

Como funciona

Você cria regras que informam ao IPAM quais endereços IP devem ser incluídos em uma lista de prefixos. Por exemplo, “incluir todos os CIDRs de VPC com a etiqueta env=prod” Quando você adiciona ou remove VPCs de produção, o IPAM atualiza automaticamente a lista de prefixos.

Quando usar

  • Grupos de segurança: crie uma regra “incluir todas as VPCs com a etiqueta env=prod” para que, quando você adicionar novas VPCs de produção, elas sejam automaticamente permitidas nas regras do seu grupo de segurança.

  • Várias regiões: implante as mesmas regras de IPAM em várias regiões para manter listas de prefixos idênticas sem copiar manualmente as entradas CIDR.

  • Infraestrutura dinâmica: quando você cria/exclui VPCs ou sub-redes, seus CIDRs são automaticamente adicionados/removidos das listas de prefixos sem atualizações manuais.

Pré-requisitos

Antes de começar, verifique se você tem:

Etapas de configuração

Etapa 1: Criar um resolvedor de lista de prefixos do IPAM

Defina quais CIDRs incluir na sua lista de prefixos, criando um resolvedor de lista de prefixos do IPAM.

AWS Management Console
Para criar um resolvedor de lista de prefixos do IPAM

  1. Abra o console do IPAM.

  2. No painel de navegação, selecione Resolvedores de lista de prefixos.

  3. Selecione Criar resolvedor de lista de prefixos.

  4. Na Etapa 1: Configurar detalhes do resolvedor, escolha o seguinte:

    • IPAM: uma instância do IPAM

    • Família de endereços: IPv4 ou IPv6

    • Etiqueta de nome - opcional: um nome descritivo

    • Descrição - opcional: uma descrição

    • Etiquetas: etiquetas de recursos

  5. Escolha Próximo.

  6. Na Etapa 2: Configurar regras, escolha Adicionar regra. É possível adicionar até 99 regras.

    Importante

    É possível criar um resolvedor de lista de prefixos sem nenhuma regra de seleção de CIDR, mas ele gerará versões vazias (sem CIDRs) até que você adicione regras.

  7. Escolha um dos tipos de regras:

    • CIDR estático: uma lista fixa de CIDRs que não mudam (como uma lista manual replicada entre regiões)

    • CIDR de grupo do IPAM: CIDRs de grupos do IPAM específicos (como todos os CIDRs do seu grupo de produção do IPAM)

      Se escolher esta opção, selecione o seguinte:

      • Escopo do IPAM: selecione o escopo do IPAM para procurar recursos

      • Condições do:

        • Propriedade

          • ID do grupo do IPAM: selecione um grupo do IPAM que contenha os recursos

          • CIDR (como 10.24.34.0/23)

        • Operação: Igual/Não igual

        • Valor: o valor no qual corresponder à condição

    • CIDR de recurso de escopo: CIDRs de recursos da AWS, como VPCs, sub-redes e EIPs dentro de um escopo do IPAM

      Se escolher esta opção, selecione o seguinte:

      • Escopo do IPAM: selecione o escopo do IPAM para procurar recursos

      • Tipo de recurso: selecione um recurso, como VPC ou sub-rede.

      • Condições do:

        • Propriedade:

          • ID do recurso: o ID exclusivo de um recurso (como vpc-1234567890abcdef0)

          • Proprietário do recurso (como 111122223333)

          • Região do recurso (como us-east-1)

          • Etiqueta de recurso (como chave: nome, valor: dev-vpc-1)

          • CIDR (como 10.24.34.0/23)

        • Operação: Igual/Não igual

        • Valor: o valor no qual corresponder à condição

  8. Escolha Próximo.

  9. Escolha Validar e criar.

Command line

Os comandos nessa seção são vinculados à Referência de comando AWS CLI. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos.

Use os seguintes comandos da AWS CLI para criar um resolvedor de lista de prefixos do IPAM:

Etapa 2: Criar um destino de resolução para se conectar a uma lista de prefixos

Vincule seu resolvedor a uma lista de prefixos existente criando um destino de resolvedor. Use o ID do resolvedor retornado na Etapa 1.

AWS Management Console
Para criar um destino de resolução de lista de prefixos do IPAM

  1. No console do IPAM, escolha Resolvedores de listas de prefixos.

  2. Selecione o resolvedor criado na Etapa 1.

  3. Na página de detalhes do resolvedor, selecione a guia Destinos.

  4. Escolha Criar destino.

  5. Configure o destino:

    • Região: selecione a região em que a lista de prefixos gerenciados existe ou na qual você criará uma.

    • Lista de prefixos: escolha uma lista de prefixos gerenciados existente ou crie uma nova

  6. Em Versão desejada, selecione uma destas opções:

    • Sempre acompanhar a versão mais recente: escolha essa opção para atualizações automáticas quando quiser que as suas listas de prefixos permaneçam atualizadas com as alterações na infraestrutura sem intervenção manual.

    • Rastrear uma versão específica: escolha essa opção para obter estabilidade quando precisar de atualizações previsíveis e controladas e quiser aprovar manualmente as alterações nas suas listas de prefixos.

  7. Escolha Criar destino.

Command line

Os comandos nessa seção são vinculados à Referência de comando AWS CLI. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos.

Use os seguintes comandos da AWS CLI para criar um destino de resolvedor de lista de prefixos do IPAM:

O IPAM agora atualiza automaticamente sua lista de prefixos com base nas suas regras. A lista de prefixos será preenchida com CIDRs que corresponderem aos seus critérios.

Etapa 3: Monitorar versões e a sincronização

Como resultado da criação de um resolvedor de lista de prefixos e um destino, o resolvedor de lista de prefixos gera versões de CIDRs com base nas suas regras e, em seguida, o destino sincroniza esses CIDRs do resolvedor com uma lista de prefixos gerenciada específica. Cada versão é um snapshot do que os CIDRs corresponderam às suas regras naquele momento específico. O número da versão aumenta sempre que a lista de CIDRs é alterada devido a mudanças na infraestrutura.

Exemplo de versão:

Estado inicial (versão 1)

Ambiente de produção:

  • vpc-prod-web (10.1.0.0/16) - com a etiqueta env=prod

  • vpc-prod-db (10.2.0.0/16) - com a etiqueta env=prod

Regra de resolução: incluir todas as VPCs com a etiqueta env=prod

CIDRs da versão 1: 10.1.0.0/16, 10.2.0.0/16

Alteração na infraestrutura (Versão 2)

Nova VPC adicionada:

  • vpc-prod-api (10.3.0.0/16) - com a etiqueta env=prod

O IPAM detecta automaticamente a alteração e cria uma nova versão.

CIDRs da versão 2: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

Esta seção explica como monitorar a criação de versões com o console da AWS ou a AWS CLI e o sucesso da sincronização com a AWS CLI.

Além disso, recomendamos que você defina alarmes do CloudWatch para métricas de falha, pois talvez seja necessário reavaliar e ajustar as regras de seleção de CIDR para permanecer dentro dos limites de versão e tamanho da lista de prefixos. Para obter uma lista das métricas do CloudWatch relacionadas às listas de prefixos do IPAM, consulte Métricas do resolvedor da lista de prefixos do IPAM.

AWS Management Console
Para visualizar as versões criadas e monitorar a sincronização de destino

  1. No console do IPAM, escolha Resolvedores de listas de prefixos.

  2. Selecione o resolvedor criado na Etapa 1.

  3. Na página de detalhes do resolvedor, selecione a guia Versões. Aqui você verá todas as versões que foram criadas pelo resolvedor, juntamente com todos os CIDRs na versão.

  4. Na página de detalhes do resolvedor, selecione a guia Monitoramento. Nesta visualização, Métricas do resolvedor da lista de prefixos do IPAM são apresentados em forma de gráfico:

    • Criação com êxito da versão do resolvedor de lista de prefixos

    • Falha na criação da versão do resolvedor de lista de prefixos

  5. Na guia Monitoramento, também é possível configurar um alarme CloudWatch selecionando Criar alarme para a criação da versão do resolvedor da lista de prefixos. Você será direcionado para o console do CloudWatch com o alarme parcialmente configurado para a métrica. Para obter mais informações sobre como concluir a criação do alarme, consulte Criar um alarme CloudWatch com base em um limite estático no Guia do usuário do Amazon CloudWatch.

Command line

Os comandos nessa seção são vinculados à Referência de comando AWS CLI. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos.

Use os comandos da AWS CLI a seguir para monitorar as versões e a sincronização:

  1. Use o comando get-ipam-prefix-list-resolver-version-entries para ver a versão mais recente criada pelo resolvedor.

  2. Use o comando describe-ipam-prefix-list-resolver-targets para monitorar o status de sincronização do destino do resolvedor.

O comando monitor mostra:

  • state - estado atual da sincronização (create-complete, modify-complete, entre outros)

  • lastSyncedVersion - última versão sincronizada com êxito

  • desiredVersion - versão de destino para sincronizar

  • stateMessage - detalhes do erro se a sincronização falhar

Etapa 4: (Opcional) Habilitar e desabilitar a sincronização da lista de prefixos do IPAM

Se uma lista de prefixos gerenciada tiver sido configurada como um destino da lista de prefixos do IPAM e você quiser fazer alterações na lista de prefixos sem precisar de permissão para acessar o destino do resolvedor da lista de prefixos do IPAM, é possível modificar a lista de prefixos gerenciada e desativar a sincronização com o resolvedor da lista de prefixos do IPAM. Quando desabilitada, a lista de prefixos de CIDRs não é atualizada automaticamente e você pode fazer alterações nela. Quando habilitada, a lista de prefixos CIDRs é atualizada automaticamente com base nas regras de seleção CIDR do resolvedor associado.