IPAM

Amazon VPC IP 地址管理器（IPAM）是一项 AWS 功能，可帮助您管理组织的所有公有和私有 IP 地址。IPAM 对不同业务部门和特定 AWS 区域的 IP 地址进行分类。IPAM 会跟踪已在使用的 IP 地址和剩余的 IP 地址。它还可帮助避免 IP 地址重叠，并根据所选网络掩码向 VPC 提供特定的 CIDR 数据块。

委派 IPAM

默认情况下，组织的 IPAM 配置可在 AWS Control Tower 管理账户中使用。要通过网络账户管理 IPAM，请将 IPAM 管理权限从 AWS Control Tower 管理账户委派给网络账户：

在 AWS Control Tower 管理账户中，导航到 Amazon VPC 服务。
打开 Amazon VPC IP 地址管理器。
在左侧窗格中，选择组织设置。
选择编辑，然后输入您在创建账户时记下的网络账户编号。
保存更改。

配置委派后，您可以看到这些详细信息在网络账户的 IPAM 组织设置中反映出来。

设计 IPAM 层次结构

在开始配置 IPAM 之前，请根据以下标准分析组织所需的结构：

IPAM 将使用的 CIDR 数据块
应通过 IPAM 为其配置网络账户的业务部门
通过此 IPAM 管理的 AWS 区域

配置 IPAM

要配置 IPAM，请执行以下操作：

打开 AWS 管理控制台，然后导航到 Amazon VPC IP 地址管理器控制台。
创建 IPAM。输入名称、运行的 AWS 区域和描述。

创建 IPAM 时，它将包括两个范围：
- 公有，用于配置和使用公有 CIDR 数据块
- 私有，用于配置和使用私有 CIDR 数据块
创建顶层 IPAM 池。在下图中，顶层池是 AWS 池。
创建较低层级的池：
- 区域的池
- 区域内预生产和生产环境的池
请务必指定池的适当范围。通常，我们建议对大多数网络使用私有范围，除非您想使用自己公有 CIDR 数据块中的公有 IP 地址来托管服务。
使用 AWS Resource Access Manager（AWS RAM）与其他 AWS Organizations 组织单元（OU）账户共享 IPAM。与要在其中创建资源的每个账户共享 IPAM。这些账户应在组织网络范围内，并属于顶层 IPAM 池。

我们建议您在创建所有 VPC 时都使用基于 IPAM 的 VPC 创建。这有助于确保新 VPC 的 CIDR 数据块不会与现有 VPC 发生冲突。新 VPC 使用您之前设置的池配置创建。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

强大的网络配置

配置 VPC