# 创建 IPv4 池
按照本部分中的步骤创建 IPv4 IPAM 池层次结构。
以下示例显示了池结构的层次结构,您可以使用本指南中的说明创建这些结构。在本部分中,您将创建 IPv4 IPAM 池层次结构:
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
+ 私有范围
+ 顶级池 (10.0.0.0/8)
+ AWS 区域 2 中的区域池 (10.0.0.0/16)
+ 开发池 (10.0.0.0/24)
+ VPC 的分配 (10.0.0.0/25)
在前述示例中,所使用的 CIDR 仅为示例。它们说明,顶级池中的每个资源池都预置了顶级 CIDR 的一部分。
**Topics**
+ [创建顶级 IPv4 池](create-top-ipam.md)
+ [创建区域 IPv4 池](create-reg-ipam.md)
+ [创建开发 IPv4 池](create-dev-ipam.md)
# 创建顶级 IPv4 池
按照本部分中的步骤创建 IPv4 顶级 IPAM 池。创建池时,您需要为池预置 CIDR 以供使用。然后,将该空间分配给分配。分配是从一个 IPAM 池到另一个 IPAM 池或资源的 CIDR 分配。
以下示例显示了池结构的层次结构,您可以使用本指南中的说明创建这些结构。在此步骤中,您正在创建顶级 IPAM 池:
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
+ 私有范围
+ **顶级池 (10.0.0.0/8)**
+ AWS 区域 1 中的区域池 (10.0.0.0/16)
+ 非生产 VPC 的开发池 (10.0.0.0/24)
+ VPC 的分配 (10.0.0.0/25)
在前述示例中,所使用的 CIDR 仅为示例。它们说明,顶级池中的每个资源池都预置了顶级 CIDR 的一部分。
创建 IPAM 池时,您可以为在 IPAM 池中进行的分配配置规则。
分配规则使您能够配置以下内容:
+ 如果 IPAM 在此池的 CIDR 范围内发现 CIDR,是否应该自动将 CIDR 导入 IPAM 池
+ 池内分配所需的网络掩码长度
+ 池中资源的所需标签
+ 池中资源的所需区域设置。区域设置是 IPAM 池可用于分配的 AWS 区域。
分配规则决定了资源是合规还是不合规。有关合规性的其他信息,请参阅 [按资源监控 CIDR 使用情况](monitor-cidr-compliance-ipam.md)。
**重要**
分配规则中没有显示另外一条隐式规则。如果资源位于 IPAM 池中(该池是 AWS Resource Access Manager (RAM) 中的共享资源),必须将资源所有者配置为 AWS RAM 中的主体。有关使用 RAM 共享池的更多信息,请参阅 [使用 AWS RAM 共享 IPAM 池](share-pool-ipam.md)。
以下示例说明了如何使用分配规则控制对 IPAM 池的访问:
**Example**
当您根据路由和安全需求创建池时,您可能希望只允许某些资源使用池。在这种情况下,您可以设置一个分配规则,说明任何想要此池中的 CIDR 的资源都必须具有与分配规则标签要求匹配的标签。例如,您可通过设置分配规则,说明只有带标签 *prod* 的 VPC 才可以从 IPAM 池中获取 CIDR。您还可以设置一条规则,指出从此池中分配的 CIDR 不得超过 /24。在这种情况下,从此池使用大于 /24 的 CIDR 创建资源违反了池上的分配规则,导致创建失败。CIDR 大于 /24 的现有资源被标记为不合规。
本主题介绍了如何使用 AWS 提供的 IP 地址范围创建顶级 IPv4 池。如果要将自带 IPv4 地址范围导入 AWS(BYOIP),需要满足一些先决条件。有关更多信息,请参阅 [教程:将 IP 地址带入 IPAM](tutorials-byoip-ipam.md)。
------
#### [ AWS Management Console ]
**如需创建池**
1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。
1. 在导航窗格中,选择**池**。
1. 选择**创建池**。
1. 在 **IPAM 范围**下,选择要使用的私有范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。
默认情况下,创建池时,默认的私有范围被选中。私有作用域中的池必须为 IPv4 池。公有作用域中的池可以是 IPv4 池,也可以是 IPv6 池。公开范围适用于所有公有空间。
1. (可选)添加池的**名称标签**和池的描述。
1. 在**源**下,选择 **IPAM 范围**。
1. 在**地址系列**下,选择 **IPv4**。
1. 在**资源规划**下,保持选中**在范围内规划 IP 空间**。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息,请参阅 [教程:为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。
1. 对于**区域设置**,选择**无**。您将在区域池中设置区域设置。
区域设置是您希望此 IPAM 池可用于分配的 AWS 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。如果 IPAM 的主区域由于中断而不可用,并且池的区域设置与 IPAM 的主区域不同,则该池仍可用于分配 IP 地址。
1. (可选)您可以在没有 CIDR 的情况下创建池,但是在为该池预置 CIDR 之前,无法使用该池进行分配。要预置 CIDR,请选择**添加新 CIDR**。输入要为池预置的 IPv4 CIDR。如果要将自带 IPv4 或 IPv6 IP 地址范围导入 AWS,需要满足一些先决条件。有关更多信息,请参阅 [教程:将 IP 地址带入 IPAM](tutorials-byoip-ipam.md)。
1. 为此池选择可选的分配规则:
+ **自动导入发现的资源**:如果 **Locale**(区域设置)被设置为 **None**(无),则此选项不可用。如果选中此选项,IPAM 将持续查找此池的 CIDR 范围内的资源,并将其作为分配自动导入到 IPAM 中。请注意以下几点:
+ 为了成功导入,不得将分配给这些资源的 CIDR 分配给其他资源。
+ 无论 IPAM 是否符合池的分配规则,都将导入 CIDR,因此可能会导入资源且随后会将资源标记为不合规。
+ 如果 IPAM 发现多个重叠的 CIDR,IPAM 将仅导入最大的 CIDR。
+ 如果 IPAM 发现多个具有匹配 CIDR 的 CIDR,IPAM 将只随机导入其中一个。
**警告**
创建 IPAM 后,请在创建 VPC 时选择 IPAM 分配的 CIDR 块选项。否则,您为 VPC 选择的 CIDR 可能会与 IPAM CIDR 分配重叠。
如果您已在 IPAM 池中分配了 VPC,则无法自动导入具有重叠 CIDR 的 VPC。例如,假设您在 IPAM 池中分配了具有 10.0.0.0/26 CIDR 的 VPC,则无法导入具有 10.0.0.0/23 CIDR(将涵盖 10.0.0.0/26 CIDR)的 VPC。
将现有的 VPC CIDR 分配自动导入 IPAM 需要一些时间才能完成。
+ **最短网络掩码长度**:此 IPAM 池中的 CIDR 分配所需的符合要求的最小网络掩码长度以及可以从池中分配的最大大小的 CIDR 块。最短网络掩码长度必须小于最大网络掩码长度。IPv4 地址的可能网络掩码长度为 0 - 32。IPv6 地址的可能网络掩码长度为 0 - 128。
+ **默认网络掩码长度**:添加到此池的分配的默认网络掩码长度。例如,如果为此池预置的 CIDR 是 **10.0.0.0/8** 并且您在此处输入 **16**,则此池中任何新分配的网络掩码长度都将默认为 /16。
+ **最大网络掩码长度**:此池中的 CIDR 分配所需的最大网络掩码长度。此值表示可以从池中分配的最小大小的 CIDR 块。
+ **标记要求**:资源分配池中的空间所需的标签。如果资源在分配空间后更改了标签,或者如果池中的分配标记规则发生了更改,则该资源可能会被标记为不合规。
+ **区域设置**:使用此池中的 CIDR 的资源所需的区域设置。自动导入的没有此区域设置的资源将被标记为不合规。不会自动导入到池中的资源将不允许从池中分配空间,除非它们位于此区域设置。
**注意**
分配规则仅适用于该资源池中的[托管资源](monitor-cidr-compliance-ipam.md)。这些规则不适用于池内池中的资源。
1. (可选)为池选择 **Tags**(标签)。
1. 选择**创建池**。
1. 请参阅[创建区域 IPv4 池](create-reg-ipam.md)。
------
#### [ Command line ]
本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。
请使用以下 AWS CLI 命令在您的 IPAM 中创建或编辑顶级池:
1. 创建池:[create-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-pool.html)。
1. 创建池后对其进行编辑以修改分配规则:[modify-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-pool.html)。
------
# 创建区域 IPv4 池
按照本部分中的步骤在顶级池中创建区域池。如果您只需要顶级池,不需要其他区域和开发池,请跳至 [从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。
**注意**
公有范围和私有范围中池的创建过程不同。本节包括在私有范围中创建区域池的步骤。有关 BYOIP 和 BYOASN 教程,请参阅 [教程](tutorials-ipam.md)。
以下示例显示了池结构的层次结构,您可以按照本指南中的说明创建这些结构。在此步骤中,您正在创建区域 IPAM 池:
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
+ 私有范围
+ 顶级池 (10.0.0.0/8)
+ **AWS 区域 1 中的区域池 (10.0.0.0/16)**
+ 非生产 VPC 的开发池 (10.0.0.0/24)
+ VPC 的分配 (10.0.0.0/25)
在前述示例中,所使用的 CIDR 仅为示例。它们说明,顶级池中的每个资源池都预置了顶级 CIDR 的一部分。
------
#### [ AWS Management Console ]
**要在顶级池中创建区域池**
1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。
1. 在导航窗格中,选择**池**。
1. 选择**创建池**。
1. 在 **IPAM 范围**下,选择您在创建顶层池时使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。
1. (可选)添加池的**名称标签**和池的描述。
1. 在**源**下,选择 **IPAM 池**。然后选择您在上一部分中创建的顶级池。
1. 如果您在公共范围内创建此池,则会看到一个**地址系列**选项。选择 **IPv4**。
1. 在**资源规划**下,保持选中**在范围内规划 IP 空间**。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息,请参阅 [教程:为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。
1. 选择池的区域设置。选择区域设置可确保池与从中分配的资源之间没有跨区域依赖关系。可用的选项来自您在创建 IPAM 时选择的运营区域。
区域设置是您希望此 IPAM 池可用于分配的 AWS 区域。例如,您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意,当您为池选择了区域设置后,无法对其进行修改。如果 IPAM 的主区域由于中断而不可用,并且池的区域设置与 IPAM 的主区域不同,则该池仍可用于分配 IP 地址。
**注意**
如果您在免费套餐中创建池,则只能选择与 IPAM 的主区域相匹配的区域设置。要跨区域使用所有 IPAM 功能,请[升级到高级等级](mod-ipam-tier.md)。
1. 如果您在公共范围内创建此池,则会看到一个**服务**选项。选择 **EC2(EIP/VPC)**。您选择的服务将决定可传播 CIDR 的 AWS 服务。目前,唯一的选择是 **EC2(EIP/VPC)**,这意味着从此池中分配的 CIDR 在 Amazon EC2 服务(适用于弹性 IP 地址)和 Amazon VPC 服务(适用于与 VPC 关联的 CIDR)中是可传播的。
1. (可选)选择要为池预置的 CIDR。您可以在没有 CIDR 的情况下创建池,但是在为该池预置 CIDR 之前,您将无法使用该池进行分配。您可以通过编辑池随时将 CIDR 添加到池中。
1. 这里的分配规则选项与创建顶级池时的选项相同。请参阅 [创建顶级 IPv4 池](create-top-ipam.md) 以了解创建池时可用的选项。区域池的分配规则不是从顶级池继承来的。如果您不在此应用任何规则,则不会为池设置分配规则。
1. (可选)为池选择 **Tags**(标签)。
1. 配置完池后,选择**创建池**。
1. 请参阅[创建开发 IPv4 池](create-dev-ipam.md)。
------
#### [ Command line ]
本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。
请使用以下 AWS CLI 命令在您的 IPAM 中创建区域池:
1. 获取要在其中创建池的范围的 ID:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)
1. 获取要在其中创建池的池的 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 创建池:[create-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-pool.html)
1. 查看新池:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
------
根据需要,重复这些步骤以在顶级池中创建额外的池。
# 创建开发 IPv4 池
按照本部分中的步骤在区域池中创建开发池。如果您只需要顶层和区域池,不需要开发池,请跳至 [从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。
以下示例显示了池结构的层次结构,您可以使用本指南中的说明创建这些结构。在此步骤中,您正在创建一个开发 IPAM 池:
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
+ 私有范围
+ 顶级池 (10.0.0.0/8)
+ AWS 区域 1 中的区域池 (10.0.0.0/16)
+ **非生产 VPC 的开发池 (10.0.0.0/24)**
+ VPC 的分配 (10.0.1.0/25)
在前述示例中,所使用的 CIDR 仅为示例。它们说明,顶级池中的每个资源池都预置了顶级 CIDR 的一部分。
------
#### [ AWS Management Console ]
**在区域池中创建开发池**
1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。
1. 在导航窗格中,选择**池**。
1. 选择**创建池**。
1. 在 **IPAM 范围**下,选择您在创建顶层池和区域池时使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。
1. (可选)添加池的**名称标签**和池的描述。
1. 在**源**下,选择 **IPAM 池**。然后选择区域池。
1. 在**资源规划**下,保持选中**在范围内规划 IP 空间**。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息,请参阅 [教程:为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。
1. (可选)选择要为池预置的 CIDR。您只能预置已经预置到顶级池中的 CIDR。您可以在没有 CIDR 的情况下创建池,但是在为该池预置 CIDR 之前,您将无法使用该池进行分配。您可以通过编辑池随时将 CIDR 添加到池中。
1. 这里的分配规则选项与创建顶级和区域池时的选项相同。请参阅 [创建顶级 IPv4 池](create-top-ipam.md) 以了解创建池时可用的选项。池的分配规则不是从层次结构中其上方的池中继承来的。如果您不在此应用任何规则,则不会为池设置分配规则。
1. (可选)为池选择**标签**。
1. 配置完池后,选择**创建池**。
1. 请参阅[从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。
------
#### [ Command line ]
本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。
请使用以下 AWS CLI 命令在您的 IPAM 中创建区域池:
1. 获取要在其中创建池的范围的 ID:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)
1. 获取要在其中创建池的池的 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 创建池:[create-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-pool.html)
1. 查看新池:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
------
根据需要,重复这些步骤以在区域池中创建额外的开发池。