本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 僅使用 CLI 將您自己的公有 IPv4 CIDR AWS 帶到 IPAM
請依照下列步驟,僅使用 AWS CLI,自攜 IPv4 CIDR 至 IPAM,並以 CIDR 分配彈性 IP 地址 (EIP)。
**重要**
此教學課程假設您已完成下列各節中的步驟:
[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md).
[建立 IPAM](create-ipam.md).
本教學課程的每個步驟必須由三個 AWS Organizations 帳戶的其中一個完成:
管理帳戶。
在 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md) 中設定為您 IPAM 管理員的成員帳戶。在本教學課程中,此帳戶將稱為 IPAM 帳戶。
您組織中的成員帳戶將會從 IPAM 集區分配 CIDR。在本教學課程中,此帳戶將稱為成員帳戶。
**Topics**
+ [
## 步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色
](#tutorials-create-profiles)
+ [
## 步驟 2:建立 IPAM
](#tutorials-byoip-ipam-ipv4-2)
+ [
## 步驟 3:建立最上層 IPAM 集區
](#tutorials-byoip-ipam-ipv4-3)
+ [
## 步驟 4:在最上層集區佈建 CIDR
](#tutorials-byoip-ipam-ipv4-4)
+ [
## 步驟 5:在最上層集區內建立一個區域集區。
](#tutorials-byoip-ipam-ipv4-5)
+ [
## 步驟 6:在區域集區中佈建 CIDR
](#tutorials-byoip-ipam-ipv4-6)
+ [
## 步驟 7:公告 CIDR
](#tutorials-byoip-ipam-ipv4-11)
+ [
## 第 8 步:共用區域集區
](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [
## 第 9 步:從集區配置彈性 IP 位址
](#tutorials-byoip-ipam-ipv4-console-cli-all-eip)
+ [
## 第 10 步:建立彈性 IP 位址與 EC2 執行個體的關聯
](#tutorials-byoip-ipam-ipv4-console-cli-assoc-eip)
+ [
## 步驟 11:清除
](#tutorials-byoip-ipam-ipv4-cli-cleanup)
+ [
## 第 9 步的替代方案
](#tutorials-byoip-ipam-ipv4-cli-alt)
## 步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色
若要以單一 AWS 使用者身分完成本教學課程,您可以使用 AWS CLI 具名設定檔從一個 IAM 角色切換到另一個角色。[具名設定檔](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)是您在搭配 AWS CLI使用 `--profile` 選項時所參考的設定和憑證的集合。如需如何為 AWS 帳戶建立 IAM 角色和具名設定檔的詳細資訊,請參閱[《》中的使用 IAM 角色 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)。
為您將在本教學課程中使用的三個 AWS 帳戶各建立一個角色和一個具名設定檔:
+ `management-account` 為 AWS Organizations 管理帳戶呼叫的設定檔。
+ `ipam-account` 為 AWS Organizations 成員帳戶呼叫的設定檔,設定為您的 IPAM 管理員。
+ 您組織中 `member-account` AWS Organizations 成員帳戶的 設定檔,將從 IPAM 集區配置 CIDRs。
建立 IAM 角色和具名設定檔後,請返回此頁面並繼續下一個步驟。在本教學課程的其餘部分,您會注意到範例 AWS CLI 命令使用 `--profile`選項搭配其中一個具名設定檔,以指出哪個帳戶必須執行 命令。
## 步驟 2:建立 IPAM
此為選擇性步驟。如果已建立 IPAM,其作業區域為 `us-east-1` 和 `us-west-2`,則可略過此步驟。建立 IPAM 並指定作業區域為 `us-east-1` 和 `us-west-2`。必須選取作業區域,才能在建立 IPAM 集區時使用地區設定選項。IPAM 與 BYOIP 整合需要在 BYOIP CIDR 使用的任何集區上設定地區設定。
此步驟必須由 IPAM 帳戶完成。
執行以下命令:
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account
```
您會在輸出結果中看到您已建立的 IPAM。請記下 `PublicDefaultScopeId` 的值。下一個步驟需使用您的公有範圍 ID。您要使用公有範圍是因為 BYOIP CIDR 是公有 IP 地址,這也是公有範圍的用途。
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
```
## 步驟 3:建立最上層 IPAM 集區
完成本節中的步驟來建立最上層 IPAM 集區。
此步驟必須由 IPAM 帳戶完成。
**使用 為所有 AWS 資源建立 IPv4 地址集區 AWS CLI**
1. 執行下列命令以建立 IPAM 集區。使用您在上一個步驟中建立的 IPAM 公有範圍 ID。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv4-pool" --address-family ipv4 --profile ipam-account
```
您會在輸出結果中看到 `create-in-progress`,表示正在建立集區。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
下例的輸出結果顯示集區的狀態:
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-IPV4-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
]
}
```
## 步驟 4:在最上層集區佈建 CIDR
在最上層集區佈建 CIDR 區塊。請注意,在最上層集區內的某集區佈建 IPv4 CIDR 時,您可佈建的最小 IPv4 CIDR 為 `/24`;不得佈建更明確的 CIDR (例如 `/25`)。
**注意**
如果您[使用 X.509 憑證驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert),則必須包含在該步驟中建立的 CIDR 和 BYOIP 訊息和憑證簽章,以便我們能夠驗證您是否控制公有空間。
如果您[使用 DNS TXT 記錄驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt),則必須包含在該步驟中建立的 CIDR 和 IPAM 驗證符記,以便我們能夠驗證您是否控制公有空間。
只有在最上層集區中佈建 BYOIP CIDR 時才需驗證網域控制。最上層集區內的區域集區可省略網域控制擁有權選項。
此步驟必須由 IPAM 帳戶完成。
**重要**
只有在最上層集區中佈建 BYOIP CIDR 時才需驗證網域控制。最上層集區內的區域集區可省略網域控制選項。將 BYOIP 加入至 IPAM 後,如果要將 BYOIP 分割給多個區域與帳戶,就無需再驗證擁有權。
**使用 將 CIDR 區塊佈建至集區 AWS CLI**
1. 若要使用憑證資訊佈建 CIDR,請使用下列命令範例。除了視需要在範例中替換這些值之外,請確保將 `Message` 和 `Signature` 值替換為您在 [使用 X.509 憑證驗證網域](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert) 中獲得的 `text_message` 和 `signed_message` 值。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profile ipam-account
```
若要使用驗證符記資訊佈建 CIDR,請使用下列命令範例。除了視需要在範例中替換這些值之外,請確保將 `ipam-ext-res-ver-token-0309ce7f67a768cf0` 替換為您在 [使用 DNS TXT 記錄驗證網域](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt) 中獲得的 `IpamExternalResourceVerificationTokenId` 符記 ID。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account
```
輸出結果會顯示 CIDR 的佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. 請先確定此 CIDR 已佈建,然後再繼續。
**重要**
大多數佈建會在兩個小時內完成,但公開可廣告範圍的佈建過程最多可能需要一週的時間。
執行下列命令,直到輸出結果顯示 `provisioned` 的狀態為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
下例的輸出結果即顯示狀態。
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## 步驟 5:在最上層集區內建立一個區域集區。
在最上層集區內建立一個區域集區。
集區的地區設定應是下列其中一項:
+ 您希望此 IPAM 集區可用於配置 AWS 的區域。
+ 您希望此 IPAM 集區可用於配置的 AWS Local Zone 的網路邊界群組 ([支援的 Local Zones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-zone-avail))。此選項僅適用於公有範圍內的 IPAM IPv4 集區。
+ [AWS 專用本地區域](https://aws.amazon.com/dedicatedlocalzones/)。若要在 AWS 專用本機區域中建立集區,請在選取器輸入中輸入 AWS 專用本機區域。
+ `Global` 當您想要在所有 AWS 區域全域使用 IP 地址時,例如 CloudFront 位置。`Global` 地區設定僅適用於公有 IPv4 集區。
例如,您只能從與 VPC 區域共用地區設定的 IPAM 集區為 VPC 配置 CIDR。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 IPAM 的主區域因中斷而無法使用,且集區的地區設定與 IPAM 的主區域不同,則仍然可以使用集區來配置 IP 位址。
當您執行本節中的命令時,`--region` 的值必須包含您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項。例如,如果您使用 *us-east-1* 作為地區設定建立了 BYOIP 集區,則 `--region` 應為 *us-east-1*。如果您使用 *us-east-1-scl-1* 作為地區設定建立了 BYOIP 集區 (該地區為本地區域的網路邊界群組),則 `--region` 應為 *us-east-1*,因為該區域會管理 *us-east-1-scl-1* 這一地區設定。
此步驟必須由 IPAM 帳戶完成。
選擇地區設定可確保您的集區和從中分配的資源之間沒有跨區域的依賴關係。可用選項來自您在建立 IPAM 時選擇的作業區域。在本教學課程中,我們將會使用 `us-west-2` 作為區域集區的地區設定。
**重要**
建立集區時,必須包含 `--aws-service ec2`。您選取的服務會決定 CIDR 可公告 AWS 的服務。目前,唯一的選項是 `ec2`,這意味著從此集區配置的 CIDR 可針對 Amazon EC2 服務 (適用於彈性 IP 地址) 和 Amazon VPC 服務 (適用於與 VPC 關聯的 CIDR) 進行公告。
**使用 建立區域集區 AWS CLI**
1. 執行下列命令以建立集區。
```
aws ec2 create-ipam-pool --description "Regional-IPv4-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-0a03d430ca3f5c035 --locale us-west-2 --address-family ipv4 --aws-service ec2 --profile ipam-account
```
您會在輸出結果中看到 IPAM 建立了集區。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "Regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"ServiceType": "ec2"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
您會在輸出結果中看到 IPAM 內的集區。在本教學課程中,我們建立了最上層和區域集區,所以這兩種集區您都會看到。
## 步驟 6:在區域集區中佈建 CIDR
在區域集區中佈建 CIDR 區塊。
**注意**
在最上層集區內的某集區佈建 CIDR 時,您可佈建的最具體的 IPv4 CIDR 為 `/24`;不得佈建更具體的 CIDR (例如 `/25`)。建立區域集區後,您可以在同一區域集區內建立更小的集區 (例如 `/25`)。請注意,如果您共用區域集區或其中的集區,這些集區只能在相同區域集區的區域設定中使用。
此步驟必須由 IPAM 帳戶完成。
**使用 將 CIDR 區塊指派給區域集區 AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
輸出結果會顯示 CIDR 的佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `provisioned` 的狀態為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
下例的輸出結果顯示正確狀態。
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## 步驟 7:公告 CIDR
本節中的步驟必須由 IPAM 帳戶完成。將彈性 IP 地址 (EIP) 與執行個體或 Elastic Load Balancer 建立關聯後,您就可以開始公告您帶到 AWS 已`--aws-service ec2`定義集區中的 CIDR。在本教學課程中是指您的區域集區。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項相符。
此步驟必須由 IPAM 帳戶完成。
**注意**
廣告狀態不會限制您配置彈性 IP 位址的能力。即使您的 BYOIPv4 CIDR 沒有公告,您仍然可以從 IPAM 集區建立 EIP。
**使用 開始公告 CIDR AWS CLI**
+ 執行下列命令以公告 CIDR。
```
aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
您會在輸出結果中看到 CIDR 已公告。
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "advertised"
}
}
```
## 第 8 步:共用區域集區
遵循本節中的步驟,使用 AWS Resource Access Manager (RAM) 共用 IPAM 集區。
### 在 中啟用資源共用 AWS RAM
建立 IPAM 之後,您會想要與組織中的其他帳戶共用區域集區。在您共用 IPAM 集區之前,請完成本節中的步驟,以啟用與 共用資源 AWS RAM。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile management-account`選項。
**啟用資源共用**
1. 使用 AWS Organizations 管理帳戶,在 https://[https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) 開啟 AWS RAM 主控台。
1. 在左側導覽窗格中,選擇**設定**,選擇**啟用共用 AWS Organizations**,然後選擇**儲存設定**。
您現在可以與組織的其他成員共用 IPAM 集區。
### 使用 共用 IPAM 集區 AWS RAM
在本節中,您將與另一個 AWS Organizations 成員帳戶共用區域集區。如需共用 IPAM 集區的完整說明 (包括所需 IAM 許可的相關資訊),請參閱 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile ipam-account`選項。
**使用 共用 IPAM 集區 AWS RAM**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍,選擇 IPAM 集區,然後選擇 **動作** > **檢視詳細資料**。
1. 在 **Resource sharing** (資源共用) 底下,選擇 **Create resource share** (建立資源共用)。 AWS RAM 主控台隨即開啟。您可以使用 共用集區 AWS RAM。
1. 選擇 **Create a resource share** (建立資源共用)。
1. 在 AWS RAM 主控台中,再次選擇**建立資源共享**。
1. 新增共用集區的**名稱**。
1. 在 **選取資源類型** 下,選擇 **IPAM 集區**,然後選擇您要共用的集區 ARN。
1. 選擇**下一步**。
1. 選擇 **AWSRAMPermissionIpamPoolByoipCidrImport** 許可。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md) 中了解有關這些選項的詳細資訊。
1. 選擇**下一步**。
1. 在**主體** > **選取主體類型**下,選擇 **AWS 帳戶**並輸入要將 IP 地址範圍帶入 IPAM 之帳戶的帳戶 ID,然後選擇**新增**。
1. 選擇**下一步**。
1. 檢閱資源共用選項,以及您要與其共用的主體,然後選擇**建立**。
1. 若要允許 **member-account** 帳戶從 IPAM 集區配置 IP 位址 CIDRS,請使用 `AWSRAMDefaultPermissionsIpamPool` 建立第二個資源共用。`--resource-arns` 值為您在上一節建立之 IPAM 集區的 ARN。`--principals` 的值是 **member-account** 的帳戶 ID。`--permission-arns` 值為 `AWSRAMDefaultPermissionsIpamPool` 許可的 ARN。
## 第 9 步:從集區配置彈性 IP 位址
按照本節中的步驟,從集區配置彈性 IP 位址。請注意,如果您使用公有 IPv4 集區來配置彈性 IP 位址,您可以使用 [第 9 步的替代方案](#tutorials-byoip-ipam-ipv4-cli-alt) 中的替代步驟,而非本節中的步驟。
**重要**
如果您看到與沒有呼叫 ec2:AllocateAddress 相關的錯誤,則需要更新目前指派給與您共用的 IPAM 集區的受管許可。聯絡建立資源共用的人員,並要求他們將受管許可 `AWSRAMPermissionIpamResourceDiscovery` 更新為預設版本。如需詳細資訊,請參閱《*AWS RAM 使用者指南*》中的[更新資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。
------
#### [ AWS Management Console ]
請依照*《Amazon EC2 使用者指南》*中的[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)中的步驟配置地址,但請注意下列事項:
+ 此步驟必須由該成員帳戶完成。
+ 請確定您在 EC2 主控台中的 AWS 區域與您在建立區域集區時選擇的區域設定選項相符。
+ 選擇地址集區時,請選擇**使用 IPv4 IPAM 集區配置**的選項,然後選擇您建立的區域集區。
------
#### [ Command line ]
使用 [allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 命令從集區配置地址。您使用的 `--region` 必須與您在步驟 2 中建立集區時所選擇的 `-locale` 選項相符。在 `--ipam-pool-id` 中包含您在第 2 步中建立的 IPAM 集區的 ID。您也可以選擇 IPAM 集區中的特定 `/32`,方法是使用 `--address` 選項。
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
回應範例:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)。
------
## 第 10 步:建立彈性 IP 位址與 EC2 執行個體的關聯
完成本節中的步驟,建立彈性 IP 位址與 EC2 執行個體的關聯。
------
#### [ AWS Management Console ]
請遵循《*Amazon EC2 使用者指南*》中的[關聯彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating)的步驟,從 IPAM 集區配置彈性 IP 地址,但請注意下列事項:當您使用 AWS 管理主控台選項時,您在 中關聯彈性 IP 地址 AWS 的區域必須符合您在建立區域集區時選擇的區域設定選項。
此步驟必須由該成員帳戶完成。
------
#### [ Command line ]
此步驟必須由該成員帳戶完成。設定 `--profile member-account` 選項。
使用 [associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 命令,建立彈性 IP 位址與 Outpost 執行個體的關聯。您在 `--region` 中關聯彈性 IP 位址的 `--locale` 選項必須與您創建區域集區時選擇的選項相符。
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
回應範例:
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[將彈性 IP 位址與執行中的執行個體或網路介面建立關聯](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating)。
------
## 步驟 11:清除
請依照本節中的步驟清除您在本教學課程中佈建和建立的資源。當您執行本節中的命令時,`--region` 的值必須包含您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項。
**使用 清除 AWS CLI**
1. 檢視管理於 IPAM 中的 EIP 分配。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
1. 停止公告 IPv4 CIDR。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
您會在輸出結果中看到 CIDR 狀態從 **advertised** (已公告) 變成 **provisioned** (已佈建)。
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
}
```
1. 釋出彈性 IP 地址。
此步驟必須由該成員帳戶完成。
```
aws ec2 release-address --region us-west-2 --allocation-id eipalloc-0db3405026756dbf6 --profile member-account
```
當您執行此命令時,將不會看到任何輸出結果。
1. 檢視不再以 IPAM 進行管理的 EIP 分配。IPAM 可能需要一段時間才能發現彈性 IP 地址已遭移除。您無法繼續清除和解除佈建 IPAM 集區的 CIDR,直到您發現配置已從 IPAM 移除為止。當您執行本節中的命令時,`--region` 的值必須包含您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": []
}
```
1. 解除佈建區域集區 CIDR。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
輸出結果會顯示 CIDR 的解除佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
解除佈建需要一段時間才能完成。檢查解除佈建狀態。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
請等到狀態變成 **deprovisioned** (已解除佈建) 後,再繼續進行下一個步驟。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. 刪除 RAM 共用並停用與 AWS Organizations 整合的 RAM。完成 RAM [AWS 使用者指南中的刪除 RAM 中的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)和[停用與 AWS Organizations 的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)中的步驟,以刪除 RAM 共用並停用與 AWS Organizations 的 RAM 整合。 *AWS *
此步驟必須各自由 IPAM 帳戶和管理帳戶完成。如果您使用 AWS CLI 刪除 RAM 共用並停用 RAM 整合,請使用 ` --profile ipam-account`和 ` --profile management-account`選項。
1. 刪除區域集區。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
您可在輸出結果中看到刪除狀態。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv4-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. 解除佈建最上層集區 CIDR。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --profile ipam-account
```
輸出結果會顯示 CIDR 的解除佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
解除佈建需要一段時間才能完成。執行下列命令以檢查解除佈建的狀態。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
請等到狀態變成 **deprovisioned** (已解除佈建) 後,再繼續進行下一個步驟。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. 刪除上層集區。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
您可在輸出結果中看到刪除狀態。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. 刪除 IPAM。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account
```
您會在輸出結果中看到 IPAM 回應。這表示 IPAM 已刪除。
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
}
}
```
## 第 9 步的替代方案
如果您使用公有 IPv4 集區來配置彈性 IP 位址,您可以使用本節中的步驟,而非 [第 9 步:從集區配置彈性 IP 位址](#tutorials-byoip-ipam-ipv4-console-cli-all-eip) 中的步驟。
**Topics**
+ [
### 第 1 步:建立公有 IPv4 集區
](#tutorials-byoip-ipam-ipv4-9)
+ [
### 第 2 步:在公有 IPv4 集區佈建公有 IPv4 CIDR
](#tutorials-byoip-ipam-ipv4-9)
+ [
### 第 3 步:在公有 IPv4 集區中建立彈性 IP 位址
](#tutorials-byoip-ipam-ipv4-10)
+ [
### 第 9 步清除的替代方案
](#tutorials-byoip-ipam-ipv4-cli-alt-cleanup)
### 第 1 步:建立公有 IPv4 集區
此步驟通常由想要佈建彈性 IP 地址的不同 AWS 帳戶完成,例如成員帳戶。
**重要**
公有 IPv4 集區和 IPAM 集區由 中的不同資源管理 AWS。公有 IPv4 集區是單一帳戶資源,可讓您將公有的 CIDR 轉換為彈性 IP 地址。使用 IPAM 集區可將公有空間配置給公有 IPv4 集區。
**使用 建立公有 IPv4 集區 AWS CLI**
+ 執行下列命令以佈建 CIDR。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項相符。
```
aws ec2 create-public-ipv4-pool --region us-west-2 --profile member-account
```
您會在輸出結果中看到公有 IPv4 集區 ID。下一個步驟需要用到此 ID。
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2"
}
```
### 第 2 步:在公有 IPv4 集區佈建公有 IPv4 CIDR
在公有 IPv4 集區中佈建公有 IPv4 CIDR。`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 值相符。您可以定義的最不具體的 `--netmask-length` 是 `24`。
此步驟必須由該成員帳戶完成。
**使用 建立公有 IPv4 集區 AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 provision-public-ipv4-pool-cidr --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --netmask-length 24 --profile member-account
```
輸出結果會顯示已佈建的 CIDR。
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"PoolAddressRange": {
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
}
```
1. 執行下列命令以檢視公有 IPv4 集區中佈建的 CIDR。
```
aws ec2 describe-byoip-cidrs --region us-west-2 --max-results 10 --profile member-account
```
輸出結果會顯示已佈建的 CIDR。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。透過本教學課程的最後一個步驟可設定此 CIDR,使其公告在網路上。
```
{
"ByoipCidrs": [
{
"Cidr": "130.137.245.0/24",
"StatusMessage": "Cidr successfully provisioned",
"State": "provisioned"
}
]
}
```
### 第 3 步:在公有 IPv4 集區中建立彈性 IP 位址
在公有 IPv4 集區中建立彈性 IP 地址 (EIP)。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項相符。
此步驟必須由該成員帳戶完成。
**使用 從公有 IPv4 集區建立 EIP AWS CLI**
1. 執行下列命令以建立 EIP。
```
aws ec2 allocate-address --region us-west-2 --public-ipv4-pool ipv4pool-ec2-0019eed22a684e0b2 --profile member-account
```
您會在輸出結果中看到配置。
```
{
"PublicIp": "130.137.245.100",
"AllocationId": "eipalloc-0db3405026756dbf6",
"PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
1. 執行下列命令以檢視透過 IPAM 進行管理的 EIP 配置。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
### 第 9 步清除的替代方案
請完成下列步驟,以清除使用第 9 步的替代方案建立的公有 IPv4 集區。您應該在 [步驟 10:清除](tutorials-byoip-ipam-ipv6.md#tutorials-byoip-ipam-ipv4-cleanup) 中的標準清除程序期間釋出彈性 IP 位址之後,完成這些步驟。
1. 檢視您的 BYOIP CIDR。
此步驟必須由該成員帳戶完成。
```
aws ec2 describe-public-ipv4-pools --region us-west-2 --profile member-account
```
輸出結果會顯示 BYOIP CIDR 中的 IP 地址。
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 256,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
1. 釋出公有 IPv4 集區的 CIDR。當您執行本節中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由該成員帳戶完成。
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --cidr 130.137.245.0/24 --profile member-account
```
1. 再次檢視您的 BYOIP CIDR,並確保其中不再有已佈建的地址。當您執行本節中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由該成員帳戶完成。
```
aws ec2 describe-public-ipv4-pools --region us-east-1 --profile member-account
```
您會在輸出結果的公有 IPv4 集區中看到 IP 地址計數。
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```