本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# IPAM
<a name="ipam"></a>

[Amazon VPC IP 地址管理器（IPAM）](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)是一项 AWS 功能，可帮助您管理组织的所有公有和私有 IP 地址。IPAM 对不同业务部门和特定 AWS 区域的 IP 地址进行分类。IPAM 会跟踪已在使用的 IP 地址和剩余的 IP 地址。它还可帮助避免 IP 地址重叠，并根据所选网络掩码向 VPC 提供特定的 CIDR 数据块。

## 委派 IPAM
<a name="delegate-ipam"></a>

默认情况下，组织的 IPAM 配置可在 AWS Control Tower 管理账户中使用。要通过网络账户管理 IPAM，请将 IPAM 管理权限从 AWS Control Tower 管理账户委派给网络账户：

1. 在 AWS Control Tower 管理账户中，导航到 Amazon VPC 服务。

1. 打开 Amazon VPC IP 地址管理器。

1. 在左侧窗格中，选择组织设置。

1. 选择**编辑**，然后输入您在创建账户时记下的网络账户编号。

1. 保存更改。

配置委派后，您可以看到这些详细信息在网络账户的 IPAM 组织设置中反映出来。

## 设计 IPAM 层次结构
<a name="hierarchy"></a>

在开始配置 IPAM 之前，请根据以下标准分析组织所需的结构：
+ IPAM 将使用的 CIDR 数据块
+ 应通过 IPAM 为其配置网络账户的业务部门
+ 通过此 IPAM 管理的 AWS 区域

## 配置 IPAM
<a name="configure-ipam"></a>

要配置 IPAM，请执行以下操作：

1. 打开 AWS 管理控制台，然后导航到 Amazon VPC IP 地址管理器控制台。

1. 创建 IPAM。输入名称、运行的 AWS 区域和描述。

   创建 IPAM 时，它将包括两个范围：
   + 公有，用于配置和使用公有 CIDR 数据块
   + 私有，用于配置和使用私有 CIDR 数据块

1. 创建顶层 IPAM 池。在下图中，顶层池是 AWS 池。

     
![在 AWS 池下，为三个 AWS 区域的预生产和生产环境配置 VPC。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/robust-network-design-control-tower/images/ipam-architecture.png)

1. 创建较低层级的池：
   + 区域的池
   + 区域内预生产和生产环境的池

   请务必指定池的适当范围。通常，我们建议对大多数网络使用私有范围，除非您想使用自己公有 CIDR 数据块中的公有 IP 地址来托管服务。

1. 使用 AWS Resource Access Manager（AWS RAM）与其他 AWS Organizations 组织单元（OU）账户共享 IPAM。与要在其中创建资源的每个账户共享 IPAM。这些账户应在组织网络范围内，并属于顶层 IPAM 池。

我们建议您在创建所有 VPC 时都使用基于 IPAM 的 VPC 创建。这有助于确保新 VPC 的 CIDR 数据块不会与现有 VPC 发生冲突。新 VPC 使用您之前设置的池配置创建。