使用 IPAM 自動化字首清單更新

受管字首清單是一組 CIDR 區塊，您可以在安全群組規則和路由表中參考，而不是指定個別 IP 地址。例如，您可以建立一個字首清單，其中包含所有三個 CIDRs，並在單一規則中參考它10.3.0.0/16，而不是為 10.2.0.0/16、 10.1.0.0/16和建立單獨的安全群組規則。

有兩種類型：

客戶受管字首清單：您定義和管理的 IP 範圍
AWS受管字首清單： AWS 服務的 IP 範圍（例如 S3 或 CloudFront)

此 IPAM 功能可讓 CIDR 項目與您的網路變更保持同步，以自動化客戶受管字首清單的管理。

此問題解決了

如果沒有自動化，網路團隊會在基礎設施變更和維護跨環境和區域的一致字首清單時，花費大量時間手動更新字首清單。

IPAM 透過讓您建立自動填入字首清單的規則來解決此問題。您可以使用兩種方法：參考 IPAM 集區的 CIDRs，或根據您的實際 AWS 資源建立規則，例如 ' 包含標記 env=prod' 的所有 VPCs、' 包含 us-east-1' 中的所有子網路，或 ' 包含帳戶 123456789' 擁有的所有彈性 IP 地址。當您新增或移除這些資源時，IPAM 會自動更新字首清單及其 CIDRs。

運作方式

您可以建立規則，告知 IPAM 要在字首清單中包含哪些 IP 地址。例如，「包含以 env=prod 標記的所有 VPC CIDRs」。當您新增或移除生產 VPCs時，IPAM 會自動更新字首清單。

使用時機

安全群組：建立規則「包含所有標記為 env=prod VPCs」，因此當您新增新的生產 VPCs 時，安全群組規則會自動允許它們
多區域：在多個區域中部署相同的 IPAM 規則，以保留相同的字首清單，而無需手動複製 CIDR 項目
動態基礎設施：當您建立/刪除 VPCs 或子網路時，其 CIDRs會自動從字首清單中新增/移除，無需手動更新

先決條件

開始前，請確保您具備以下條件：

已啟用進階方案的 IPAM
客戶受管字首清單（或在設定期間建立）
IPAM 和 EC2 字首清單操作的 IAM 許可

設定步驟

步驟 1：建立 IPAM 字首清單解析程式

透過建立 IPAM 字首清單解析程式，定義要包含在字首清單中的 CIDRs。

AWS Management Console

建立 IPAM 字首清單解析程式

開啟 IPAM 主控台。
在導覽窗格中，選擇字首清單解析程式。
選擇建立字首清單解析程式。
在步驟 1：設定解析程式詳細資訊中，選擇下列項目：
- IPAM：IPAM 執行個體
- 地址系列：IPv4 或 IPv6
- 名稱標籤 - 選用：描述性名稱
- 描述 - 選用：描述
- 標籤：資源標籤
選擇下一步。
在步驟 2：設定規則中，選擇新增規則。您最多可以新增 99 個規則。

重要
您可以在沒有任何 CIDR 選擇規則的情況下建立字首清單解析程式，但會產生空白版本（不包含 CIDRs)，直到您新增規則為止。
選擇其中一個規則類型：
- 靜態 CIDR：未變更的 CIDRs 固定清單（例如跨區域複寫的手動清單）
- IPAM 集區 CIDR：來自特定 IPAM 集區的 CIDRs （例如來自 IPAM 生產集區的所有 CIDRs)
  
  如果您選擇此選項，請選擇下列項目：
  - IPAM 範圍：選取要搜尋資源的 IPAM 範圍
  - 條件：
    
    屬性
    
    IPAM 集區 ID：選取包含資源的 IPAM 集區
    
    CIDR （例如 10.24.34.0/23)
    
    操作：等於/不等於
    
    值：要比對條件的值
- 範圍資源 CIDR：來自 IPAM 範圍內 VPCs、子網路、EIPs 等 AWS 資源的 CIDRs
  
  如果您選擇此選項，請選擇下列項目：
  - IPAM 範圍：選取要搜尋資源的 IPAM 範圍
  - 資源類型：選取資源，例如 VPC 或子網路。
  - 條件：
    
    屬性：
    
    資源 ID：資源的唯一 ID （例如 vpc-1234567890abcdef0)
    
    資源擁有者（例如 111122223333)
    
    資源區域（例如 us-east-1)
    
    資源標籤（例如金鑰：名稱、值：dev-vpc-1)
    
    CIDR （例如 10.24.34.0/23)
    
    操作：等於/不等於
    
    值：要比對條件的值
選擇下一步。
選擇驗證並建立。

Command line

本節中的命令連結至 AWS CLI 命令參考。本文件旨在詳細說明執行命令時可使用的選項。

使用下列 AWS CLI 命令來建立 IPAM 字首清單解析程式：

使用 create-ipam-prefix-list-resolver 命令，並儲存步驟 2 傳回的解析程式 ID。

步驟 2：建立解析程式目標以連線至字首清單

透過建立解析程式目標，將解析程式連結至現有的字首清單。使用步驟 1 傳回的解析程式 ID。

IPAM 現在會根據您的規則自動更新您的字首清單。字首清單會填入符合您條件CIDRs。

步驟 3：監控版本和同步

由於建立字首清單解析程式和目標，字首清單解析程式會根據您的規則產生 CIDR 版本，然後將這些 CIDRs 從解析程式同步到特定的受管字首清單。每個版本都是 CIDRs 當時符合您規則的快照。每次 CIDR 清單因基礎設施變更而變更時，版本編號都會遞增。

版本範例：

初始狀態（第 1 版）

生產環境：

vpc-prod-web (10.1.0.0/16) - 標記的 env=prod
vpc-prod-db (10.2.0.0/16) - 標記的 env=prod

解析程式規則：包含所有標記為 env=prod VPCs

第 1 版 CIDRs：10.1.0.0/16、10.2.0.0/16

基礎設施變更（第 2 版）

新增了新的 VPC：

vpc-prod-api (10.3.0.0/16) - 標記的 env=prod

IPAM 會自動偵測變更並建立新的版本。

第 2 版 CIDRs：10.1.0.0/16、10.2.0.0/16、10.3.0.0/16

本節說明如何使用 AWS 主控台或 CLI AWS 監控版本建立，以及使用 CLI AWS 監控同步成功。

此外，我們建議您在失敗指標上設定 CloudWatch 警示，因為您可能需要重新評估和調整 CIDR 選擇規則，以保持在版本和字首清單大小的限制內。如需與 IPAM 字首清單相關的 CloudWatch 指標清單，請參閱 IPAM 字首清單解析程式指標。

AWS Management Console

檢視建立的版本並監控目標同步

在 IPAM 主控台中，選擇字首清單解析程式。
選擇您在步驟 1 中建立的解析程式。
在解析程式詳細資訊頁面上，選擇版本索引標籤。在這裡，您將看到解析程式建立的任何版本，以及版本中的任何 CIDRs。
在解析程式詳細資訊頁面上，選擇監控索引標籤。在此檢視中， IPAM 字首清單解析程式指標會以圖形形式顯示：
- 字首清單解析程式版本建立成功
- 字首清單解析程式版本建立失敗
從監控索引標籤中，您也可以選擇建立字首清單解析程式版本的警示來設定 CloudWatch 警示。系統會將您導向 CloudWatch 主控台，並針對指標部分設定警示。如需如何完成建立警示的詳細資訊，請參閱《Amazon CloudWatch 使用者指南》中的根據靜態閾值建立 CloudWatch 警示。 Amazon CloudWatch

Command line

本節中的命令連結至 AWS CLI 命令參考。本文件旨在詳細說明執行命令時可使用的選項。

使用下列 AWS CLI 命令來監控版本和同步：

使用 get-ipam-prefix-list-resolver-version-entries 命令來檢視解析程式建立的最新版本。
使用 describe-ipam-prefix-list-resolver-targets 命令來監控解析程式目標同步狀態。

Monitor 命令會顯示：

狀態 - 目前同步狀態（建立完成、修改完成等）
lastSyncedVersion - 上次成功同步的版本
desiredVersion - 要同步的目標版本
stateMessage - 同步失敗時的錯誤詳細資訊

步驟 4：（選用）啟用和停用 IPAM 字首清單同步

如果受管字首清單已設定為 IPAM 字首清單目標，而且您想要變更字首清單，而不需要存取 IPAM 字首清單解析程式目標的許可，您可以修改受管字首清單，並停用與 IPAM 字首清單解析程式的同步。停用時，字首清單 CIDRs不會自動更新，您可以對其進行變更。啟用時，字首清單 CIDRs 會根據相關聯的解析程式 CIDR 選擇規則自動更新。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

管理 IPAM 中的 IP 地址空間

變更 VPC CIDR 的監控狀態