使用 IPAM 政策定義公有 IPv4 配置策略 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IPAM 政策定義公有 IPv4 配置策略

IPAM 政策是一組規則,定義如何將 IPAM 集區的公有 IPv4 地址分配給 AWS 資源。每個規則會將 AWS 服務對應至服務將用於取得 IP 地址的 IPAM 集區。單一政策可以有多個規則,並套用到多個 AWS 區域。如果 IPAM 集區用完地址,則服務會回復到 Amazon 提供的 IP 地址。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。如果您使用自己的 IP (BYOIP),這有助於降低 AWS 公有 IPv4 成本。

何時使用 IPAM 政策

使用 IPAM 政策來:

  • 使用 BYOIP 地址降低公有 IPv4 成本

  • 集中控制 AWS 資源使用的 IP 集區

  • 確保整個組織的 IP 配置一致

運作方式

當您在強制執行 IPAM 政策的帳戶中建立需要公有 IP 地址 AWS 的資源時:

  • IPAM 會依序檢查您的政策規則。

  • 如果規則符合資源類型,IPAM 會從指定的集區配置 IP。

  • 如果集區為空且啟用溢位,Amazon 會提供 IP 地址。

  • 如果沒有規則相符,則會套用預設行為。

支援的 服務和資源

您可以建立 IPAM 政策,以定義如何從 IPAM 集區將公有 IPv4 地址配置給下列 AWS 服務和資源:

  • 彈性 IP 地址 EIPs)

  • 區域 NAT 閘道

重要

對於 EIPs,如果您在將公有 IPv4 地址配置給 EIP 時選擇特定的 IPAM 集區,則會覆寫 IPAM 政策。

先決條件

術語

IPAM 政策

IPAM 政策是一組規則,定義如何將 IPAM 集區的公有 IPv4 地址分配給 AWS 資源。每個規則會將 AWS 服務對應至服務將用於取得 IP 地址的 IPAM 集區。單一政策可以有多個規則,並套用到多個 AWS 區域。如果 IPAM 集區用完地址,則服務會回復到 Amazon 提供的 IP 地址。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。

配置規則

IPAM 政策中的選用組態,可將 AWS 資源類型映射至特定 IPAM 集區。如果未定義規則,資源類型會預設為使用 Amazon 提供的 IP 地址。

Target

組織中可套用 IPAM 政策 AWS 的個別 AWS 帳戶或實體。

步驟 1:建立 IPAM 政策

使用 AWS 主控台:

請依照下列步驟,使用 AWS 主控台建立 IPAM 政策:

  1. 請在 https://console.aws.amazon.com/ipam/ 開啟 IPAM 主控台。

  2. 在左側導覽窗格中選擇 Policies (政策)。

  3. 選擇建立政策

  4. 輸入政策的名稱 (選用)。

  5. 選取要與此政策建立關聯的 IPAM

  6. (選用) 新增標籤。

  7. 選擇建立政策

使用 AWS CLI:

使用 create-ipam-policy 命令。

步驟 2:新增配置規則

建立政策後,您需要新增配置規則,以定義 IP 地址的配置方式:

使用 AWS 主控台:

請依照下列步驟,使用 AWS 主控台新增配置規則:

  1. 在左側導覽窗格中選擇 Policies (政策)。

  2. 選擇您在上一個步驟中建立的政策。

  3. 在您的政策詳細資訊頁面中,選擇配置規則索引標籤。

  4. 選擇建立配置規則

  5. 設定 服務組態

    • 地區設定:選擇您希望套用此政策 AWS 的區域 (us-east-1) 或本地區域。

    • 資源類型:選取此政策 AWS 的服務或資源類型 (彈性 IP 地址)。

  6. 設定規則組態

    • IPAM 集區:選取將提供 IP 地址的 IPAM 集區。

    • 檢閱集區詳細資訊 (地區、公有 IP 來源、可用空間和可用 CIDR 範圍)。

  7. (選用) 選擇新增規則以建立其他規則。

  8. 選擇建立配置規則

使用 AWS CLI:

使用 modify-ipam-policy-allocation-rules 命令。

步驟 3:啟用政策

指定哪些帳戶應該使用此政策。

使用 AWS 主控台:

請依照下列步驟,使用 AWS 主控台啟用政策:

  1. 在政策詳細資訊頁面中,選擇目標索引標籤。

  2. 選擇管理政策目標

  3. 執行以下任意一項:

    • 對於單一帳戶用量 (IPAM 未與 AWS Organizations 整合),請為您的帳戶選擇啟用

    • 對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時):

      • 組織結構區段中,選取您要套用此政策的帳戶或組織單位。

      • 勾選每個目標的已啟用核取方塊。

      • 選擇 Save Changes (儲存變更)。

      • 重要:啟用此政策將取代所選帳戶或組織單位上的任何作用中 IPAM 政策。

使用 AWS CLI:

根據您的設定使用 enable-ipam-policy 命令:

對於單一帳戶使用 (IPAM 未與 AWS Organizations 整合):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012
重要

啟用此政策將取代所選帳戶或組織單位上的任何作用中 IPAM 政策。

步驟 4:(選用) 全組織強制執行

如果您已在 AWS Organizations 實體上啟用此 IPAM 政策,請使用宣告政策在 IPAM 政策之外新增集中式管理和控管。

這會新增的內容:

全組織強制執行提供下列優點:

  • 跨所有組織帳戶的集中式政策管理

  • 自動強制執行,不含每個帳戶組態

  • 防止帳戶層級政策變更的控管控制

事前準備:

在設定整個組織的強制執行之前,請確定您有:

  • AWS 已啟用所有功能的組織

  • 組織管理帳戶或委派管理員帳戶中的 IPAM

  • Organizations 和 IPAM 的適當許可

如需使用宣告政策設定整個組織強制執行的詳細說明,請參閱AWS 《 Organizations 使用者指南》中的宣告政策入門

步驟 5:測試您的政策

啟用您在其中一個目標帳戶中設定類型 (例如 EIP) 的新資源。資源會自動使用來自 IPAM 集區的 IP 地址。

重要

對於 EIPs,如果您在將公有 IPv4 地址配置給 EIP 時選擇特定的 IPAM 集區,則會覆寫 IPAM 政策。

步驟 6:監控用量

在主控台中檢查您的 IPAM 集區,以查看要配置給資源的 IP 地址。