# 计划 IP 地址预置
<a name="planning-ipam"></a>

按照本部分中的步骤，使用 IPAM 池计划 IP 地址预置。如果您已经配置了 IPAM 账户，则这些步骤应该由该账户完成。公有范围和私有范围中池的创建过程不同。本节包括在私有范围中创建区域池的步骤。有关 BYOIP 和 BYOASN 教程，请参阅 [教程](tutorials-ipam.md)。

**重要**  
要跨 AWS 账户使用 IPAM 池，您必须将 IPAM 与 AWS Organizations 集成，否则某些功能可能无法正常工作。有关更多信息，请参阅 [将 IPAM 与 AWS Organization 中的账户集成](enable-integ-ipam.md)。

在 IPAM 中，池是连续 IP 地址范围（或 CIDR）的集合。池使您能够根据路由和安全需求组织 IP 地址。您可以为您的 IPAM 区域以外的 AWS 区域创建池。例如，如果您对开发和生产应用程序有不同的路由和安全需求，则可以为每个应用程序创建一个池。

在本部分的第一步中，您将创建顶级池。然后，您将在顶级池中创建一个区域池。在区域池中，您可以根据需要创建其他池，例如生产和开发环境池。默认情况下，您最多可以创建深度为 10 的池。有关 IPAM 配额的信息，请参阅 [IPAM 的配额](quotas-ipam.md)。

**注意**  
术语 *provision*（预置）和 *allocate*（分配）在本用户指南和 IPAM 控制台中使用。*Provision*（预置）在您将 CIDR 添加到 IPAM 池时使用。*Allocate*（分配）在您将 IPAM 池中的 CIDR 与资源关联时使用。

以下示例显示了池结构的层次结构，您可以通过完成本部分中的步骤来创建这些结构：
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
  + 私有范围
    + 顶级池
      + AWS 区域 1 中的区域池
        + 开发池
          + VPC 的分配

此结构可以作为您可能希望如何使用 IPAM 的示例，但是您可以使用 IPAM 来满足企业的需求。有关最佳实践的更多信息，请参阅 [Amazon VPC IP Address Manager Best Practices](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-vpc-ip-address-manager-best-practices/)。

如果您正在创建单个 IPAM 池，请完成 [创建顶级 IPv4 池](create-top-ipam.md) 中的步骤，然后跳至 [从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。

**Topics**
+ [示例 IPAM 池计划](planning-examples-ipam.md)
+ [创建 IPv4 池](intro-create-ipv4-pools.md)
+ [在 IPAM 中创建 IPv6 地址池](intro-create-ipv6-pools.md)

# 示例 IPAM 池计划
<a name="planning-examples-ipam"></a>

您可以使用 IPAM 满足企业的需求。本部分提供有关如何组织 IP 地址的示例。

## 多个 AWS 区域中的 IPv4 池
<a name="w2aab9c15c23b5"></a>

以下示例显示了顶级池内多个AWS区域的 IPAM 池层次结构。每个 AWS 区域池中有两个 IPAM 开发池，一个池用于开发资源，一个池用于生产资源。

![\[IPAM 池层次结构示例 1\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/ipam-example-pool-base.png)


## 适用于多个业务线的 IPv4 池
<a name="w2aab9c15c23b7"></a>

以下示例显示了顶级池内多个业务线的 IPAM 池层次结构。每条业务线的每个池包含三个 AWS 区域池。每个区域池中有两个 IPAM 开发池，一个池用于预生产资源，一个池用于生产资源。

![\[IPAM 池层次结构示例 2\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/ipam-example-2-914px.png)


## 一个 AWS 区域中的 IPv6 池
<a name="w2aab9c15c23b9"></a>

以下示例显示了区域池内多个业务线的 IPAM IPv6 池层次结构。每个区域池中有三个 IPAM 池，分别用于沙盒资源、开发资源以及生产资源。

![\[IPAM 池层次结构示例 3\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/ipam-example-34.png)


## 适用于多个业务线的子网池
<a name="w2aab9c15c23c11"></a>

以下示例显示了多个业务线和 dev/prod 子网池的资源规划池的层次结构。有关使用 IPAM 规划子网 IP 地址空间的更多信息，请参阅 [教程：为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。

![\[IPAM 池层次结构示例 4\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/ipam-example-pool-subnet-integ.png)


# 创建 IPv4 池
<a name="intro-create-ipv4-pools"></a>

按照本部分中的步骤创建 IPv4 IPAM 池层次结构。

以下示例显示了池结构的层次结构，您可以使用本指南中的说明创建这些结构。在本部分中，您将创建 IPv4 IPAM 池层次结构：
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
  + 私有范围
    + 顶级池 (10.0.0.0/8)
      + AWS 区域 2 中的区域池 (10.0.0.0/16)
        + 开发池 (10.0.0.0/24)
          + VPC 的分配 (10.0.0.0/25)

在前述示例中，所使用的 CIDR 仅为示例。它们说明，顶级池中的每个资源池都预置了顶级 CIDR 的一部分。

**Topics**
+ [创建顶级 IPv4 池](create-top-ipam.md)
+ [创建区域 IPv4 池](create-reg-ipam.md)
+ [创建开发 IPv4 池](create-dev-ipam.md)

# 创建顶级 IPv4 池
<a name="create-top-ipam"></a>

按照本部分中的步骤创建 IPv4 顶级 IPAM 池。创建池时，您需要为池预置 CIDR 以供使用。然后，将该空间分配给分配。分配是从一个 IPAM 池到另一个 IPAM 池或资源的 CIDR 分配。

以下示例显示了池结构的层次结构，您可以使用本指南中的说明创建这些结构。在此步骤中，您正在创建顶级 IPAM 池：
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
  + 私有范围
    + **顶级池 (10.0.0.0/8)**
      + AWS 区域 1 中的区域池 (10.0.0.0/16)
        + 非生产 VPC 的开发池 (10.0.0.0/24)
          + VPC 的分配 (10.0.0.0/25)

在前述示例中，所使用的 CIDR 仅为示例。它们说明，顶级池中的每个资源池都预置了顶级 CIDR 的一部分。

创建 IPAM 池时，您可以为在 IPAM 池中进行的分配配置规则。

分配规则使您能够配置以下内容：
+ 如果 IPAM 在此池的 CIDR 范围内发现 CIDR，是否应该自动将 CIDR 导入 IPAM 池 
+ 池内分配所需的网络掩码长度
+ 池中资源的所需标签
+ 池中资源的所需区域设置。区域设置是 IPAM 池可用于分配的 AWS 区域。

分配规则决定了资源是合规还是不合规。有关合规性的其他信息，请参阅 [按资源监控 CIDR 使用情况](monitor-cidr-compliance-ipam.md)。

**重要**  
分配规则中没有显示另外一条隐式规则。如果资源位于 IPAM 池中（该池是 AWS Resource Access Manager (RAM) 中的共享资源），必须将资源所有者配置为 AWS RAM 中的主体。有关使用 RAM 共享池的更多信息，请参阅 [使用 AWS RAM 共享 IPAM 池](share-pool-ipam.md)。

以下示例说明了如何使用分配规则控制对 IPAM 池的访问：

**Example**  
当您根据路由和安全需求创建池时，您可能希望只允许某些资源使用池。在这种情况下，您可以设置一个分配规则，说明任何想要此池中的 CIDR 的资源都必须具有与分配规则标签要求匹配的标签。例如，您可通过设置分配规则，说明只有带标签 *prod* 的 VPC 才可以从 IPAM 池中获取 CIDR。您还可以设置一条规则，指出从此池中分配的 CIDR 不得超过 /24。在这种情况下，从此池使用大于 /24 的 CIDR 创建资源违反了池上的分配规则，导致创建失败。CIDR 大于 /24 的现有资源被标记为不合规。  
本主题介绍了如何使用 AWS 提供的 IP 地址范围创建顶级 IPv4 池。如果要将自带 IPv4 地址范围导入 AWS（BYOIP），需要满足一些先决条件。有关更多信息，请参阅 [教程：将 IP 地址带入 IPAM](tutorials-byoip-ipam.md)。

------
#### [ AWS Management Console ]

**如需创建池**

1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。

1. 在导航窗格中，选择**池**。

1. 选择**创建池**。

1. 在 **IPAM 范围**下，选择要使用的私有范围。有关范围的更多信息，请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。

   默认情况下，创建池时，默认的私有范围被选中。私有作用域中的池必须为 IPv4 池。公有作用域中的池可以是 IPv4 池，也可以是 IPv6 池。公开范围适用于所有公有空间。

1. （可选）添加池的**名称标签**和池的描述。

1. 在**源**下，选择 **IPAM 范围**。

1. 在**地址系列**下，选择 **IPv4**。

1. 在**资源规划**下，保持选中**在范围内规划 IP 空间**。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息，请参阅 [教程：为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。

1. 对于**区域设置**，选择**无**。您将在区域池中设置区域设置。

   区域设置是您希望此 IPAM 池可用于分配的 AWS 区域。例如，您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意，当您为池选择了区域设置后，无法对其进行修改。如果 IPAM 的主区域由于中断而不可用，并且池的区域设置与 IPAM 的主区域不同，则该池仍可用于分配 IP 地址。

1. （可选）您可以在没有 CIDR 的情况下创建池，但是在为该池预置 CIDR 之前，无法使用该池进行分配。要预置 CIDR，请选择**添加新 CIDR**。输入要为池预置的 IPv4 CIDR。如果要将自带 IPv4 或 IPv6 IP 地址范围导入 AWS，需要满足一些先决条件。有关更多信息，请参阅 [教程：将 IP 地址带入 IPAM](tutorials-byoip-ipam.md)。

1. 为此池选择可选的分配规则：
   + **自动导入发现的资源**：如果 **Locale**（区域设置）被设置为 **None**（无），则此选项不可用。如果选中此选项，IPAM 将持续查找此池的 CIDR 范围内的资源，并将其作为分配自动导入到 IPAM 中。请注意以下几点：
     + 为了成功导入，不得将分配给这些资源的 CIDR 分配给其他资源。
     + 无论 IPAM 是否符合池的分配规则，都将导入 CIDR，因此可能会导入资源且随后会将资源标记为不合规。
     + 如果 IPAM 发现多个重叠的 CIDR，IPAM 将仅导入最大的 CIDR。
     + 如果 IPAM 发现多个具有匹配 CIDR 的 CIDR，IPAM 将只随机导入其中一个。
**警告**  
创建 IPAM 后，请在创建 VPC 时选择 IPAM 分配的 CIDR 块选项。否则，您为 VPC 选择的 CIDR 可能会与 IPAM CIDR 分配重叠。
如果您已在 IPAM 池中分配了 VPC，则无法自动导入具有重叠 CIDR 的 VPC。例如，假设您在 IPAM 池中分配了具有 10.0.0.0/26 CIDR 的 VPC，则无法导入具有 10.0.0.0/23 CIDR（将涵盖 10.0.0.0/26 CIDR）的 VPC。
将现有的 VPC CIDR 分配自动导入 IPAM 需要一些时间才能完成。
   + **最短网络掩码长度**：此 IPAM 池中的 CIDR 分配所需的符合要求的最小网络掩码长度以及可以从池中分配的最大大小的 CIDR 块。最短网络掩码长度必须小于最大网络掩码长度。IPv4 地址的可能网络掩码长度为 0 - 32。IPv6 地址的可能网络掩码长度为 0 - 128。
   + **默认网络掩码长度**：添加到此池的分配的默认网络掩码长度。例如，如果为此池预置的 CIDR 是 **10.0.0.0/8** 并且您在此处输入 **16**，则此池中任何新分配的网络掩码长度都将默认为 /16。
   + **最大网络掩码长度**：此池中的 CIDR 分配所需的最大网络掩码长度。此值表示可以从池中分配的最小大小的 CIDR 块。
   + **标记要求**：资源分配池中的空间所需的标签。如果资源在分配空间后更改了标签，或者如果池中的分配标记规则发生了更改，则该资源可能会被标记为不合规。
   + **区域设置**：使用此池中的 CIDR 的资源所需的区域设置。自动导入的没有此区域设置的资源将被标记为不合规。不会自动导入到池中的资源将不允许从池中分配空间，除非它们位于此区域设置。
**注意**  
分配规则仅适用于该资源池中的[托管资源](monitor-cidr-compliance-ipam.md)。这些规则不适用于池内池中的资源。

1. （可选）为池选择 **Tags**（标签）。

1. 选择**创建池**。

1. 请参阅[创建区域 IPv4 池](create-reg-ipam.md)。

------
#### [ Command line ]

本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。

请使用以下 AWS CLI 命令在您的 IPAM 中创建或编辑顶级池：

1. 创建池：[create-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-pool.html)。

1. 创建池后对其进行编辑以修改分配规则：[modify-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-pool.html)。

------

# 创建区域 IPv4 池
<a name="create-reg-ipam"></a>

按照本部分中的步骤在顶级池中创建区域池。如果您只需要顶级池，不需要其他区域和开发池，请跳至 [从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。

**注意**  
公有范围和私有范围中池的创建过程不同。本节包括在私有范围中创建区域池的步骤。有关 BYOIP 和 BYOASN 教程，请参阅 [教程](tutorials-ipam.md)。

以下示例显示了池结构的层次结构，您可以按照本指南中的说明创建这些结构。在此步骤中，您正在创建区域 IPAM 池：
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
  + 私有范围
    + 顶级池 (10.0.0.0/8)
      + **AWS 区域 1 中的区域池 (10.0.0.0/16)**
        + 非生产 VPC 的开发池 (10.0.0.0/24)
          + VPC 的分配 (10.0.0.0/25)

在前述示例中，所使用的 CIDR 仅为示例。它们说明，顶级池中的每个资源池都预置了顶级 CIDR 的一部分。

------
#### [ AWS Management Console ]

**要在顶级池中创建区域池**

1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。

1. 在导航窗格中，选择**池**。

1. 选择**创建池**。

1. 在 **IPAM 范围**下，选择您在创建顶层池时使用的范围。有关范围的更多信息，请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。

1. （可选）添加池的**名称标签**和池的描述。

1. 在**源**下，选择 **IPAM 池**。然后选择您在上一部分中创建的顶级池。

1. 如果您在公共范围内创建此池，则会看到一个**地址系列**选项。选择 **IPv4**。

1. 在**资源规划**下，保持选中**在范围内规划 IP 空间**。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息，请参阅 [教程：为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。

1. 选择池的区域设置。选择区域设置可确保池与从中分配的资源之间没有跨区域依赖关系。可用的选项来自您在创建 IPAM 时选择的运营区域。

   区域设置是您希望此 IPAM 池可用于分配的 AWS 区域。例如，您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意，当您为池选择了区域设置后，无法对其进行修改。如果 IPAM 的主区域由于中断而不可用，并且池的区域设置与 IPAM 的主区域不同，则该池仍可用于分配 IP 地址。
**注意**  
如果您在免费套餐中创建池，则只能选择与 IPAM 的主区域相匹配的区域设置。要跨区域使用所有 IPAM 功能，请[升级到高级等级](mod-ipam-tier.md)。

1. 如果您在公共范围内创建此池，则会看到一个**服务**选项。选择 **EC2（EIP/VPC）**。您选择的服务将决定可传播 CIDR 的 AWS 服务。目前，唯一的选择是 **EC2（EIP/VPC）**，这意味着从此池中分配的 CIDR 在 Amazon EC2 服务（适用于弹性 IP 地址）和 Amazon VPC 服务（适用于与 VPC 关联的 CIDR）中是可传播的。

1. （可选）选择要为池预置的 CIDR。您可以在没有 CIDR 的情况下创建池，但是在为该池预置 CIDR 之前，您将无法使用该池进行分配。您可以通过编辑池随时将 CIDR 添加到池中。

1. 这里的分配规则选项与创建顶级池时的选项相同。请参阅 [创建顶级 IPv4 池](create-top-ipam.md) 以了解创建池时可用的选项。区域池的分配规则不是从顶级池继承来的。如果您不在此应用任何规则，则不会为池设置分配规则。

1. （可选）为池选择 **Tags**（标签）。

1. 配置完池后，选择**创建池**。

1. 请参阅[创建开发 IPv4 池](create-dev-ipam.md)。

------
#### [ Command line ]

本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。

请使用以下 AWS CLI 命令在您的 IPAM 中创建区域池：

1. 获取要在其中创建池的范围的 ID：[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)

1. 获取要在其中创建池的池的 ID：[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)

1. 创建池：[create-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-pool.html)

1. 查看新池：[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)

------

根据需要，重复这些步骤以在顶级池中创建额外的池。

# 创建开发 IPv4 池
<a name="create-dev-ipam"></a>

按照本部分中的步骤在区域池中创建开发池。如果您只需要顶层和区域池，不需要开发池，请跳至 [从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。

以下示例显示了池结构的层次结构，您可以使用本指南中的说明创建这些结构。在此步骤中，您正在创建一个开发 IPAM 池：
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
  + 私有范围
    + 顶级池 (10.0.0.0/8)
      + AWS 区域 1 中的区域池 (10.0.0.0/16)
        + **非生产 VPC 的开发池 (10.0.0.0/24)**
          + VPC 的分配 (10.0.1.0/25)

在前述示例中，所使用的 CIDR 仅为示例。它们说明，顶级池中的每个资源池都预置了顶级 CIDR 的一部分。

------
#### [ AWS Management Console ]

**在区域池中创建开发池**

1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。

1. 在导航窗格中，选择**池**。

1. 选择**创建池**。

1. 在 **IPAM 范围**下，选择您在创建顶层池和区域池时使用的范围。有关范围的更多信息，请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。

1. （可选）添加池的**名称标签**和池的描述。

1. 在**源**下，选择 **IPAM 池**。然后选择区域池。

1. 在**资源规划**下，保持选中**在范围内规划 IP 空间**。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息，请参阅 [教程：为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。

1. （可选）选择要为池预置的 CIDR。您只能预置已经预置到顶级池中的 CIDR。您可以在没有 CIDR 的情况下创建池，但是在为该池预置 CIDR 之前，您将无法使用该池进行分配。您可以通过编辑池随时将 CIDR 添加到池中。

1. 这里的分配规则选项与创建顶级和区域池时的选项相同。请参阅 [创建顶级 IPv4 池](create-top-ipam.md) 以了解创建池时可用的选项。池的分配规则不是从层次结构中其上方的池中继承来的。如果您不在此应用任何规则，则不会为池设置分配规则。

1. （可选）为池选择**标签**。

1. 配置完池后，选择**创建池**。

1. 请参阅[从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。

------
#### [ Command line ]

本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。

请使用以下 AWS CLI 命令在您的 IPAM 中创建区域池：

1. 获取要在其中创建池的范围的 ID：[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)

1. 获取要在其中创建池的池的 ID：[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)

1. 创建池：[create-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-pool.html)

1. 查看新池：[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)

------

根据需要，重复这些步骤以在区域池中创建额外的开发池。

# 在 IPAM 中创建 IPv6 地址池
<a name="intro-create-ipv6-pools"></a>

AWS 在其许多服务（包括 EC2、VPC 和 S3）之间提供 IPv6 连接，使您能够使用 IPv6 增加的地址空间和增强的安全功能。IPv6 设计用于解决 IPv4 的这一基本限制。通过转移到 128 位地址空间，IPv6 提供了大量唯一的 IP 地址。这种大规模的地址扩展使互联技术的连续扩散成为可能，从智能手机和物联网设备到云基础设施不一而足。

此外，您可以使用 IPAM 来确保使用连续的 IPv6 CIDR 创建 VPC。连续分配的 CIDR 是按顺序分配的 CIDR。它们使您能够简化安全和网络规则；IPv6 CIDR 可以跨网络和安全结构（如访问控制列表、路由表、安全组和防火墙）聚合在单个条目中。

按照本部分中的步骤创建 IPAM IPv6 池层次结构。创建池时，您可以为池预置 CIDR 以供使用。池将该 CIDR 中的空间分配给池内的分配。分配是从一个 IPAM 池到另一个资源或 IPAM 池的 CIDR 分配。

**注意**  
AWS 同时提供公有和私有 IPv6 寻址。AWS 认为公有 IP 地址是从 AWS 公开发布在互联网上的，而私有 IP 地址不是，也不能从 AWS 公开发布在互联网上。如果希望自己的私有网络支持 IPv6，并且不打算将流量从这些地址路由到互联网，则可在私有范围内创建 IPv6 池。有关公有和私有 IPv6 地址的更多信息，请参阅《Amazon VPC 用户指南》**中的 [IPv6 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-ipv6-addresses)。

以下示例显示了池结构的层次结构，您可以使用本指南中的说明创建这些结构。在本部分中，您将创建 IPv6 IPAM 池层次结构：
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
  + 范围
    + AWS 区域 1 中的区域池 (2001:db8::/52) 
      + 开发池 (2001:db8::/54)
        +  VPC 的分配 (2001:db8::/56)

在前述示例中，所使用的 CIDR 仅为示例。它们说明，区域池中的开发池预置了区域池 CIDR 的一部分。

**Topics**
+ [在 IPAM 中创建区域 IPv6 池](create-ipv6-reg-pool.md)
+ [在 IPAM 中创建开发 IPv6 池](create-ipv6-dev-pool.md)

# 在 IPAM 中创建区域 IPv6 池
<a name="create-ipv6-reg-pool"></a>

按照本部分中的步骤创建 IPv6 区域 IPAM 池。当您向池预置 Amazon 提供的 IPv6 CIDR 块时，必须将其预置到已选择区域设置（AWS 区域）的池中。创建池时，您可以为池预置 CIDR 以供稍后使用或添加。然后，将该空间分配给分配。分配是从一个 IPAM 池到另一个 IPAM 池或资源的 CIDR 分配。

以下示例显示了池结构的层次结构，您可以使用本指南中的说明创建这些结构。在此步骤中，您将创建 IPv6 区域 IPAM 池：
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
  + 范围
    + **AWS 区域 1 中的区域池 (2001:db8::/52)**
      + 开发池 (2001:db8::/54)
        +  VPC 的分配 (2001:db8::/56)

在前述示例中，所使用的 CIDR 仅为示例。它们说明，IPv6 区域池中的每个池都预置了 IPv6 区域 CIDR 的一部分。

创建 IPAM 池时，您可以为在 IPAM 池中进行的分配配置规则。

分配规则使您能够配置以下内容：
+ 池内分配所需的网络掩码长度
+ 池中资源的所需标签
+ 池中资源的所需区域设置。区域设置是 IPAM 池可用于分配的 AWS 区域。

分配规则决定了资源是合规还是不合规。有关合规性的其他信息，请参阅 [按资源监控 CIDR 使用情况](monitor-cidr-compliance-ipam.md)。

**注意**  
分配规则中没有显示另外一条隐式规则。如果资源位于 IPAM 池中（该池是 AWS Resource Access Manager (RAM) 中的共享资源），必须将资源所有者配置为 AWS RAM 中的主体。有关使用 RAM 共享池的更多信息，请参阅 [使用 AWS RAM 共享 IPAM 池](share-pool-ipam.md)。

以下示例说明了如何使用分配规则控制对 IPAM 池的访问：

**Example**  
当您根据路由和安全需求创建池时，您可能希望只允许某些资源使用池。在这种情况下，您可以设置一个分配规则，说明任何想要此池中的 CIDR 的资源都必须具有与分配规则标签要求匹配的标签。例如，您可通过设置分配规则，说明只有带标签 *prod* 的 VPC 才可以从 IPAM 池中获取 CIDR。

**注意**  
本主题旨在介绍如何使用 AWS 提供的 IPv6 地址范围或使用私有 IPv6 范围创建 IPv6 区域池。如果要将自带公有 IPv4 或 IPv6 IP 地址范围引入 AWS（BYOIP），需要满足一些先决条件。有关更多信息，请参阅 [教程：将 IP 地址带入 IPAM](tutorials-byoip-ipam.md)。
如果要在私有范围内创建 IPv6 池，则可使用私有 IPv6 GUA 或 ULA 范围。要使用私有 GUA 范围，必须先在 IPAM 上启用该选项（请参阅[启用预置私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md)）。

------
#### [ AWS Management Console ]

**如需创建池**

1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。

1. 在导航窗格中，选择**池**。

1. 选择**创建池**。

1. 在 **IPAM 范围**下，选择一个私有或公有范围。如果希望自己的私有网络支持 IPv6，并且不打算将流量从这些地址路由到互联网，则可选择私有范围。有关范围的更多信息，请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。

   默认情况下，创建池时，默认的私有范围被选中。

1. （可选）添加池的**名称标签**和池的描述。

1. 在**源**下，选择 **IPAM 范围**。

1. 对于**地址系列**，选择 **IPv6**。如果在公有范围内创建此池，则该池中的所有 CIDR 都可以公开公开发布。

1. 在**资源规划**下，保持选中**在范围内规划 IP 空间**。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息，请参阅 [教程：为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。

1. 选择池的**区域设置**。要向池预置 Amazon 提供的 IPv6 CIDR 块，必须向已选择区域设置（AWS 区域）的池预置该 IPv6 CIDR 块。选择区域设置可确保池与从中分配的资源之间没有跨区域依赖关系。可用选项来自创建 IPAM 时为其选择的运营区域。您可以随时添加其他运营区域。

   区域设置是您希望此 IPAM 池可用于分配的 AWS 区域。例如，您只能从与 VPC 的区域共享区域设置的 IPAM 池中为 VPC 分配 CIDR。请注意，当您为池选择了区域设置后，无法对其进行修改。如果 IPAM 的主区域由于中断而不可用，并且池的区域设置与 IPAM 的主区域不同，则该池仍可用于分配 IP 地址。
**注意**  
如果您在免费套餐中创建池，则只能选择与 IPAM 的主区域相匹配的区域设置。要跨区域使用所有 IPAM 功能，请[升级到高级等级](mod-ipam-tier.md)。

1. （可选）如果要在公有范围内创建 IPv6 池，请在**服务**下选择 **EC2（EIP/VPC）**。您选择的服务将决定可传播 CIDR 的 AWS 服务。目前，唯一的选择是 **EC2（EIP/VPC）**，这意味着从此池中分配的 CIDR 在 Amazon EC2 服务（适用于弹性 IP 地址）和 Amazon VPC 服务（适用于与 VPC 关联的 CIDR）中是可传播的。

1. （可选）如果要在公有范围内创建 IPv6 池，请在**公有 IP 源**选项下选择 **Amazon 拥有**，让 AWS 为该池提供 IPv6 地址范围。如本页顶部所述，本主题介绍了如何使用 AWS 提供的 IP 地址范围创建 IPv6 区域池。如果要将自带 IPv4 或 IPv6 地址范围导入 AWS（BYOIP），需要满足一些先决条件。有关更多信息，请参阅 [教程：将 IP 地址带入 IPAM](tutorials-byoip-ipam.md)。

1. （可选）您可以创建不含 CIDR 的池，但是在为其预调配 CIDR 之前，您将无法使用该池进行分配。要预置 CIDR，请执行下列某项操作：
   + 如果要在公有范围内创建具有 **Amazon 拥有的公有 IP 源**的 IPv6 池来预置 CIDR，则在**要预置的 CIDR** 下选择**添加 Amazon 拥有的 CIDR**，然后选择 CIDR 的网络掩码大小（介于 /40 和 /52 之间）。在下拉菜单中选择网络掩码长度时，您会看到网络掩码长度及网络掩码所代表的 /56 CIDR 数量。默认情况下，您可以向区域池添加一个 Amazon 提供的 IPv6 CIDR 块。有关提高默认限制的信息，请参阅 [IPAM 的配额](quotas-ipam.md)。
   + 如果要在私有范围内创建 IPv6 池，则可使用私有 IPv6 GUA 或 ULA 范围：
     + 有关私有 IPv6 寻址的重要详细信息，请参阅《Amazon VPC 用户指南》**中的[私有 IPv6 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-ipv6-addresses-private)。
     + 要使用私有 IPv6 ULA 范围，则在**要预置的 CIDR** 下选择**按网络掩码添加 ULA CIDR**并选择网络掩码大小，或者选择**输入私有 IPv6 CIDR** 并输入 ULA 范围。有效的 IPv6 ULA 空间是指任何低于 fd00:: /8 且不与 Amazon 预留范围 fd00::/16 重叠的空间。
     + 要使用私有 IPv6 GUA 范围，必须先在 IPAM 上启用该选项（请参阅[启用预置私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md)）。启用私有 IPv6 GUA CIDR 后，在**输入私有 IPv6 CIDR** 中输入 IPv6 GUA。

1. 为此池选择可选的分配规则：
   + **最短网络掩码长度**：此 IPAM 池中的 CIDR 分配所需的符合要求的最小网络掩码长度以及可以从池中分配的最大大小的 CIDR 块。最短网络掩码长度必须小于最大网络掩码长度。IPv6 地址的可能网络掩码长度为 0 - 128。
   + **默认网络掩码长度**：添加到此池的分配的默认网络掩码长度。例如，如果为此池预置的 CIDR 是 `2001:db8::/52` 并且您在此处输入 56，则此池中任何新分配的网络掩码长度都将默认为 /56。
   + **最大网络掩码长度**：此池中的 CIDR 分配所需的最大网络掩码长度。此值表示可以从池中分配的最小大小的 CIDR 块。例如，如果您在此处输入 /56，则可以为此池中的 CIDR 分配的最小网络掩码长度为 /56。
   + **标记要求**：资源分配池中的空间所需的标签。如果资源在分配空间后更改了标签，或者如果池中的分配标记规则发生了更改，则该资源可能会被标记为不合规。
   + **区域设置**：使用此池中的 CIDR 的资源所需的区域设置。自动导入的没有此区域设置的资源将被标记为不合规。不会自动导入到池中的资源将不允许从池中分配空间，除非它们位于此区域设置。

1. （可选）为池选择 **Tags**（标签）。

1. 选择**创建池**。

1. 请参阅[在 IPAM 中创建开发 IPv6 池](create-ipv6-dev-pool.md)。

------
#### [ Command line ]

本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。

请使用以下 AWS CLI 命令在 IPAM 中创建或编辑 IPv6 区域池：

1. 如果要启用预置私有 IPv6 GUA CIDR，请使用 [modify-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam.html) 修改 IPAM，然后纳入用于 `enable-private-gua` 的选项。有关更多信息，请参阅 [启用预置私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md)。

1. 使用 [create-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-pool.html) 创建池。

1. 向池预置 CIDR：[provision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/provision-ipam-pool-cidr.html)。

1. 创建池后对其进行编辑以修改分配规则：[modify-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-pool.html)。

------

# 在 IPAM 中创建开发 IPv6 池
<a name="create-ipv6-dev-pool"></a>

按照本部分中的步骤在 IPv6 区域池中创建开发池。如果您只需要区域池，不需要开发池，请跳至 [从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。

以下示例显示了池结构的层次结构，您可以使用本指南中的说明创建这些结构。在此步骤中，您正在创建一个开发 IPAM 池：
+ IPAM 在 AWS 区域 1 和 AWS 区域 2 中运营
  + 范围
    + AWS 区域 1 中的区域池 (2001:db8::/52)
      + **开发池 (2001:db8::/54)**
        +  VPC 的分配 (2001:db8::/56)

在前述示例中，所使用的 CIDR 仅为示例。它们说明，顶级池中的每个资源池都预置了顶级 CIDR 的一部分。

------
#### [ AWS Management Console ]

**在 IPv6 区域池中创建开发池**

1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。

1. 在导航窗格中，选择**池**。

1. 选择**创建池**。

1. 在 **IPAM 范围**下，选择一个范围。有关范围的更多信息，请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。

1. （可选）添加池的**名称标签**和池的描述。

1. 在**源**下，选择 **IPAM 池**。然后在**源池**下，选择 IPv6 区域池。

1. 在**资源规划**下，保持选中**在范围内规划 IP 空间**。有关使用此选项规划 VPC 内的子网 IP 空间的更多信息，请参阅 [教程：为子网 IP 分配规划 VPC IP 地址空间](tutorials-subnet-planning.md)。

1. （可选）选择要为池预置的 CIDR。您只能预置已经预置到顶级池中的 CIDR。您可以在没有 CIDR 的情况下创建池，但是在为该池预置 CIDR 之前，您将无法使用该池进行分配。您可以通过编辑池随时将 CIDR 添加到池中。

1. 此处的分配规则选项与创建 IPv6 区域池时的选项相同。请参阅 [在 IPAM 中创建区域 IPv6 池](create-ipv6-reg-pool.md) 以了解创建池时可用的选项。池的分配规则不是从层次结构中其上方的池中继承来的。如果您不在此应用任何规则，则不会为池设置分配规则。

1. （可选）为池选择**标签**。

1. 配置完池后，选择**创建池**。

1. 请参阅[从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。

------
#### [ Command line ]

本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。

请使用以下 AWS CLI 命令在 IPAM 中创建 IPv6 区域池：

1. 获取要在其中创建池的范围的 ID：[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)

1. 获取要在其中创建池的池的 ID：[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)

1. 创建池：[create-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-pool.html)

1. 查看新池：[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)

------

根据需要重复这些步骤，以在 IPv6 区域池中创建其他开发池。