使用 IPAM 自動化字首清單更新

受管字首清單是一組 CIDR 區塊，您可以在安全群組規則與路由表中引用，而不是指定個別 IP 位址。例如，您可以建立一個包含所有三個 CIDR 的字首清單，並在單一規則中引用它，而不是為 10.1.0.0/16、10.2.0.0/16 和 10.3.0.0/16 分別建立安全群組規則。

受管字首清單有兩種類型：

客戶受管字首清單：您定義並管理的 IP 範圍
AWS 受管字首清單：AWS 服務 (例如 S3 或 CloudFront) 的 IP 範圍

此 IPAM 功能可使 CIDR 項目與您的網路變更保持同步，從而自動化管理客戶受管字首清單。

此功能解決了以下問題

如果沒有自動化，網路團隊會在基礎結構變更與維護跨環境和跨區域的字首清單一致性時，花費大量時間手動更新字首清單。

IPAM 可讓您建立自動填入字首清單的規則，從而解決了此問題。您可以使用兩種方法：引用 IPAM 集區中的 CIDR，或根據實際的 AWS 資源建立規則，例如：「包含帶有 env=prod 標記的所有 VPC」、「包含 us-east-1 中的所有子網路」或「包含帳戶 123456789 擁有的所有彈性 IP 位址」。您新增或移除這些資源時，IPAM 會自動根據 CIDR 更新字首清單。

運作方式

您可以建立規則，告知 IPAM 要在字首清單中包含的 IP 位址。例如「包含帶有 env=prod 標記的所有 VPC CIDR」。您新增或移除生產 VPC 時，IPAM 會自動更新字首清單。

使用時機

安全群組：建立規則「包含標記帶有 env=prod 標記所有 VPC」，因此當您新增新的生產 VPC 時，安全群組規則會自動允許這些 VPC
多區域：在多個區域中部署相同的 IPAM 規則，以保持相同的字首清單，而無需手動複製 CIDR 項目
動態基礎結構：您建立/刪除 VPC 或子網路時，其 CIDR 會自動從字首清單中新增/移除，無需手動更新

必要條件

開始前，請確保您具備以下條件：

已啟用進階方案的 IPAM
客戶受管字首清單 (或在設定期間建立字首清單)
IPAM 與 EC2 字首清單操作的 IAM 許可

設定步驟

步驟 1：建立 IPAM 字首清單解析程式

透過建立 IPAM 字首清單解析程式，定義要包含在字首清單中的 CIDR。

AWS Management Console

建立 IPAM 字首清單解析程式

開啟 IAM 主控台。
在導覽窗格中，選擇字首清單解析程式。
選擇建立字首清單解析程式。
在步驟 1：設定解析程式詳細資訊中，選擇下列項目：
- IPAM：IPAM 執行個體
- 位址系列：IPv4 或 IPv6
- 名稱標籤 – 選用：描述性名稱
- 描述 – 選用：描述
- 標籤：資源標籤
選擇下一步。
在步驟 2：設定規則中，選擇新增規則。您最多可新增 99 條規則。

重要
可以在沒有任何 CIDR 選取規則的情況下建立字首清單解析程式，但此操作會產生空白版本 (不包含任何 CIDR)，直至您新增規則為止。
選擇其中一個規則類型：
- 靜態 CIDR：不會變更的 CIDR 固定清單 (例如，跨區域複寫的手動清單)
- IPAM 集區 CIDR：來自特定 IPAM 集區的 CIDR (例如來自 IPAM 生產集區的所有 CIDR)
  
  如果您選擇此選項，請選擇下列項目：
  - IPAM 範圍：選取用於搜尋資源的 IPAM 範圍
  - 條件
    
    屬性
    
    IPAM 集區 ID：選取包含資源的 IPAM 集區
    
    CIDR (例如 10.24.34.0/23)
    
    操作：等於/不等於
    
    值：要比對條件的值
- 範圍資源 CIDR：來自 IPAM 範圍內 VPC、子網路、EIP 等 AWS 資源的 CIDR
  
  如果您選擇此選項，請選擇下列項目：
  - IPAM 範圍：選取用於搜尋資源的 IPAM 範圍
  - 資源類型：選取資源，例如 VPC 或子網路。
  - 條件
    
    屬性
    
    資源 ID：資源的唯一 ID (例如 vpc-1234567890abcdef0)
    
    資源擁有者 (例如 111122223333)
    
    資源區域 (例如 us-east-1)
    
    資源標籤 (例如索引鍵：名稱、值：dev-vpc-1)
    
    CIDR (例如 10.24.34.0/23)
    
    操作：等於/不等於
    
    值：要比對條件的值
選擇下一步。
選擇驗證並建立。

Command line

本節中的命令與 AWS CLI Command Reference 連結。本文件旨在詳細說明執行命令時可使用的選項。

使用下列 AWS CLI 命令來建立 IPAM 字首清單解析程式：

使用 create-ipam-prefix-list-resolver 命令，並儲存傳回解析程式 ID，在步驟 2 中使用。

步驟 2：建立解析程式目標以連線至字首清單

建立解析程式目標，將解析程式連結至現有的字首清單。使用步驟 1 傳回的解析程式 ID。

IPAM 現在會根據規則自動更新您的字首清單。該字首清單會填入符合條件的 CIDR。

步驟 3：監控版本與同步情況

由於建立了字首清單解析程式與目標，字首清單解析程式會根據規則產生 CIDR 版本，然後目標會將這些 CIDR 從解析程式同步到特定的受管字首清單。每個版本都是在特定時刻與您的規則相符的 CIDR 的快照。每次 CIDR 清單因基礎設施變更而變更時，版本編號就會遞增。

版本範例：

初始狀態 (第 1 版)

生產環境：

vpc-prod-web (10.1.0.0/16) – 帶有 env=prod 標記
vpc-prod-db (10.2.0.0/16) – 帶有 env=prod 標記

解析程式規則：包含所有帶有 env=prod 標記的 VPC

第 1 版 CIDR：10.1.0.0/16、10.2.0.0/16

基礎結構變更 (第 2 版)

新增了新的 VPC：

vpc-prod-api (10.3.0.0/16) – 帶有 env=prod 標記

IPAM 會自動偵測變更並建立新版本。

第 2 版 CIDR：10.1.0.0/16、10.2.0.0/16、10.3.0.0/16

本節說明如何使用 AWS 主控台或 AWS CLI 監控版本建立，以及使用 AWS CLI 監控同步是否成功。

此外，建議針對失敗指標設定 CloudWatch 警示，因為您可能需要重新評估與調整 CIDR 選取規則，以確保版本與字首清單大小在限制範圍內。如需與 IPAM 字首清單相關的 CloudWatch 指標清單，請參閱 IPAM 字首清單解析程式指標。

AWS Management Console

檢視建立的版本並監控目標同步情況

在 IPAM 主控台中，選擇字首清單解析程式。
選擇您在步驟 1 中建立的解析程式。
在解析程式詳細資訊頁面上，選擇版本索引標籤。在這裡，您將看到解析程式已建立的所有版本，以及各版本中的所有 CIDR。
在解析程式詳細資訊頁面上，選擇監控索引標籤。在此檢視中，IPAM 字首清單解析程式指標會以圖形形式顯示：
- 字首清單解析程式版本建立成功
- 字首清單解析程式版本建立失敗
在監控索引標籤中，也可以選擇為字首清單解析程式版本建立建立警示來設定 CloudWatch 警示。系統會將您導向 CloudWatch 主控台，您會看到針對該指標的警示已完成部分設定。如需有關如何完成警示建立的詳細資訊，請參閱 Amazon CloudWatch User Guide 中的 Create a CloudWatch alarm based on a static threshold。

Command line

本節中的命令與 AWS CLI Command Reference 連結。本文件旨在詳細說明執行命令時可使用的選項。

使用下列 AWS CLI 命令來監控版本與同步情況：

使用 get-ipam-prefix-list-resolver-version-entries 命令來檢視解析程式建立的最新版本。
使用 describe-ipam-prefix-list-resolver-targets 命令來監控解析程式目標同步狀態。

監控命令會顯示：

state– 目前同步狀態 (建立完成、修改完成等)
lastSyncedVersion – 上次成功同步的版本
desiredVersion – 要同步的目標版本
stateMessage – 同步失敗時的錯誤詳細資訊

步驟 4：(選用) 啟用和停用 IPAM 字首清單同步

如果受管字首清單已設定為 IPAM 字首清單目標，而且您想要變更字首清單，而不需要存取 IPAM 字首清單解析程式目標的許可，您可以修改受管字首清單，並停用與 IPAM 字首清單解析程式的同步。停用後，字首清單 CIDR 不會自動更新，您可以對其進行變更。啟用後，字首清單 CIDR 會根據相關聯的解析程式 CIDR 選取規則自動更新。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

管理 IPAM 中的 IP 地址空間

變更 VPC CIDR 的監控狀態