本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon VPC IP 地址管理員教學課程
以下教學課程說明如何使用 AWS CLI 執行常見的 IPAM 任務。若要取得 AWS CLI,請參閱 [存取 IPAM](access-ipam.md)。如需有關這些教學課程中提及之 IPAM 概念的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
**Topics**
+ [透過 AWS CLI 開始使用 IPAM](getting-started-with-ipam-using-the-aws-cli.md)
+ [使用主控台建立 IPAM 和集區](tutorials-get-started-console.md)
+ [使用 建立 IPAM 和集區 AWS CLI](tutorials-create-vpc-ipam.md)
+ [使用 檢視 IP 地址歷史記錄 AWS CLI](tutorials-historical-insights.md)
+ [將 ASN 帶入 IPAM](tutorials-byoasn.md)
+ [將 IP 地址帶入 IPAM](tutorials-byoip-ipam.md)
+ [將 BYOIP IPv4 CIDR 傳輸至 IPAM](tutorials-byoip-ipam-transfer-ipv4.md)
+ [為子網路 IP 配置規劃 VPC IP 地址空間](tutorials-subnet-planning.md)
+ [從 IPAM 集區配置循序彈性 IP 位址](tutorials-eip-pool.md)
# 透過 AWS CLI 開始使用 IPAM
本教學課程引導您在單一 AWS 帳戶中,透過 AWS CLI 設定與使用 Amazon VPC IP 位址管理器 (IPAM)。到本教學課程結束時,您將已建立 IPAM、IP 位址集區階層,並將 CIDR 配置給 VPC。
## 必要條件
在開始本教學課程之前,請確認已滿足以下條件:
+ 具有建立與管理 IPAM 資源之許可的 AWS 帳戶。
+ 已安裝 AWS CLI,並已使用正確的憑證完成設定。如需有關安裝 AWS CLI 的資訊,請參閱 [Installing or updating the latest version of the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。如需有關設定 AWS CLI 的資訊,請參閱 [Configuration basics](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html)。
+ 基本了解 IP 定址與 CIDR 標記法。
+ 基本了解 Amazon VPC 概念。
+ 完成本教學課程大約需要 30 分鐘。
## 建立 IPAM
第一步是建立具有作業區域的 IPAM。IPAM 可協助規劃、追蹤與監控 AWS 工作負載的 IP 位址。
建立在 us-east-1 與 us-west-2 中具有作業區域的 IPAM:
```
aws ec2 create-ipam \
--description "My IPAM" \
--operating-regions RegionName=us-east-1 RegionName=us-west-2
```
此命令會建立 IPAM,並使其能夠管理指定區域中的 IP 位址。作業區域是允許 IPAM 管理 IP 位址 CIDR 的 AWS 區域。
確認您的 IPAM 已建立:
```
aws ec2 describe-ipams
```
請記下輸出中的 IPAM ID,因為後續步驟會需要它。
等待 IPAM 完全建立並可用 (約 20 秒):
```
sleep 20
```
## 取得 IPAM 範圍 ID
您建立 IPAM 時,AWS 會自動建立一個私有範圍和一個公有範圍。在本教學課程中,我們將使用私有範圍。
擷取 IPAM 詳細資訊與私有範圍 ID:
```
aws ec2 describe-ipams --ipam-id ipam-0abcd1234
```
將 `ipam-0abcd1234` 取代為實際的 IPAM ID。
根據輸出內容,識別並記下 `PrivateDefaultScopeId` 欄位中的私有範圍 ID。這看起來會像是 `ipam-scope-0abcd1234`。
## 建立頂層 IPv4 集區
現在,在私有範圍內建立頂層集區。此集區將作為階層中所有其他集區的父集區。
建立頂層 IPv4 集區:
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--address-family ipv4 \
--description "Top-level pool"
```
將 `ipam-scope-0abcd1234` 取代為實際的私有範圍 ID。
等待集區完全建立並可用:
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-0abcd1234 --query 'IpamPools[0].State' --output text
```
將 `ipam-pool-0abcd1234` 取代為實際的頂層集區 ID。狀態變為 `create-complete` 後,再繼續操作。
集區可用後,為其佈建 CIDR 區塊:
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-0abcd1234 \
--cidr 10.0.0.0/8
```
等待 CIDR 完全佈建:
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-0abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/8'].State" --output text
```
狀態變為 `provisioned` 後,再繼續操作。
## 建立區域 IPv4 集區
然後,在最上層集區內建立一個區域集區。此集區將專屬於特定 AWS 區域。
建立區域 IPv4 集區:
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--source-ipam-pool-id ipam-pool-0abcd1234 \
--locale us-east-1 \
--address-family ipv4 \
--description "Regional pool in us-east-1"
```
將 `ipam-scope-0abcd1234` 取代為實際的私有範圍 ID,並將 `ipam-pool-0abcd1234` 取代為頂層集區 ID。
等待區域集區完全建立並可用:
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-1abcd1234 --query 'IpamPools[0].State' --output text
```
將 `ipam-pool-1abcd1234` 取代為實際的區域集區 ID。狀態變為 `create-complete` 後,再繼續操作。
集區可用後,為其佈建 CIDR 區塊:
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-1abcd1234 \
--cidr 10.0.0.0/16
```
等待 CIDR 完全佈建:
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/16'].State" --output text
```
狀態變為 `provisioned` 後,再繼續操作。
## 建立開發 IPv4 集區
現在,在區域集區內建立開發集區。此集區將用於開發環境。
建立開發 IPv4 集區:
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--source-ipam-pool-id ipam-pool-1abcd1234 \
--locale us-east-1 \
--address-family ipv4 \
--description "Development pool"
```
將 `ipam-scope-0abcd1234` 取代為實際的私有範圍 ID,並將 `ipam-pool-1abcd1234` 取代為區域集區 ID。
注意:請務必包含 `--locale` 參數,以符合父集區的地區設定。
等待開發集區完全建立並可用:
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-2abcd1234 --query 'IpamPools[0].State' --output text
```
將 `ipam-pool-2abcd1234` 取代為實際的開發集區 ID。狀態變為 `create-complete` 後,再繼續操作。
集區可用後,為其佈建 CIDR 區塊:
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-2abcd1234 \
--cidr 10.0.0.0/24
```
等待 CIDR 完全佈建:
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-2abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/24'].State" --output text
```
狀態變為 `provisioned` 後,再繼續操作。
## 建立使用 IPAM 集區 CIDR 的 VPC
最後,建立使用 IPAM 集區 CIDR 的 VPC。下面示範如何使用 IPAM 將 IP 位址空間配置給 AWS 資源。
建立使用 IPAM 集區 CIDR 的 VPC:
```
aws ec2 create-vpc \
--ipv4-ipam-pool-id ipam-pool-2abcd1234 \
--ipv4-netmask-length 26 \
--tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=IPAM-VPC}]'
```
將 `ipam-pool-2abcd1234` 取代為實際的開發集區 ID。
`--ipv4-netmask-length 26` 參數表示您希望從集區配置 /26 CIDR 區塊 (64 個 IP 位址)。系統會選擇此網路遮罩長度,確保其小於集區的 CIDR 區塊 (/24)。
確認您的 VPC 已建立:
```
aws ec2 describe-vpcs --filters "Name=tag:Name,Values=IPAM-VPC"
```
## 驗證 IPAM 集區配置
檢查 CIDR 是否已從 IPAM 集區配置:
```
aws ec2 get-ipam-pool-allocations \
--ipam-pool-id ipam-pool-2abcd1234
```
將 `ipam-pool-2abcd1234` 取代為實際的開發集區 ID。
此命令會顯示來自指定 IPAM 集區的所有配置,包括您剛建立的 VPC。
## 疑難排解
以下是使用 IPAM 時可能遇到的一些常見問題:
+ **許可錯誤**:確保您的 IAM 使用者或角色具有建立與管理 IPAM 資源所需的許可。您可能需要 `ec2:CreateIpam`、`ec2:CreateIpamPool` 及其他相關許可。
+ **超過資源限制**:依預設,每個帳戶只能建立一個 IPAM。如果您已經有 IPAM,則需要先將其刪除,然後再建立新的 IPAM,或使用現有的 IPAM。
+ **CIDR 配置失敗**:將 CIDR 佈建至集區時,請確保您嘗試佈建的 CIDR 不會與其他集區中的現有配置重疊。
+ **API 請求逾時**:如果您遇到 "RequestExpired" 錯誤,可能是因為網路延遲或時間同步問題。再次嘗試命令。
+ **狀態錯誤:**如果您收到 "IncorrectState" 錯誤,可能是因為您嘗試對未處於正確狀態的資源執行操作。等待資源完全建立或佈建,然後再繼續。
+ **配置大小錯誤**:如果您收到有關配置大小的 "InvalidParameterValue" 錯誤,請確保您請求的網路遮罩長度適合集區大小。例如,您無法從 /24 集區配置 /25 CIDR。
+ **相依性違規**:清除資源時,您可能會遇到 "DependencyViolation" 錯誤。這是因為資源彼此具有相依性。刪除集區之前,請務必以建立和取消佈建 CIDR 的相反順序刪除資源。
## 清除資源
完成本教學課程後,您應該清理所建立的資源,以避免產生不必要的費用。
1. 刪除 VPC
```
aws ec2 delete-vpc --vpc-id vpc-0abcd1234
```
1. 取消佈建開發集區的 CIDR:
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-2abcd1234 --cidr 10.0.0.0/24
```
1. 刪除開發集區:
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-2abcd1234
```
1. 取消佈建區域集區的 CIDR:
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1abcd1234 --cidr 10.0.0.0/16
```
1. 刪除區域集區:
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-1abcd1234
```
1. 取消佈建頂層集區的 CIDR:
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0abcd1234 --cidr 10.0.0.0/8
```
1. 刪除頂層集區:
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-0abcd1234
```
1. 刪除 IPAM:
```
aws ec2 delete-ipam --ipam-id ipam-0abcd1234
```
將所有 ID 取代為實際的資源 ID。
**注意**
在這些操作之間,您可能需要等待資源完全刪除,然後再繼續進行下一個步驟。如果您遇到相依性違規,請等待幾秒鐘,然後再試一次。
## 後續步驟
現在您已了解如何透過 AWS CLI 建立與使用 IPAM,您可能想要探索更進階的功能:
+ [規劃 IP 地址佈建](planning-ipam.md) – 了解如何有效地規劃 IP 位址空間
+ [依資源監控 CIDR 使用情況](monitor-cidr-compliance-ipam.md) – 了解如何監控 IP 位址用量
+ [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md) – 了解如何跨 AWS 帳戶共用 IPAM 集區
+ [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md) – 探索如何在組織中使用 IPAM
# 教學課程:使用主控台建立 IPAM 和集區
在本教學課程中,您會建立 IPAM、與 整合 AWS Organizations、建立 IP 地址集區,以及從 IPAM 集區建立具有 CIDR 的 VPC。
本教學課程將說明如何根據不同的開發需求,使用 IPAM 組織 IP 地址空間。完成本教學課程後,您將會擁有適用於生產前資源的 IP 地址集區。接著,您可以根據路由和安全性需求 (例如,適用於生產資源的集區) 來建立其他集區。
雖然您可以使用 IPAM 做為單一使用者,但與 整合 AWS Organizations 可讓您管理組織中跨帳戶的 IP 地址。本教學課程涵蓋如何將 IPAM 與組織中的帳戶整合。其中未涵蓋如何 [將 IPAM 與組織外的帳戶整合](enable-integ-ipam-outside-org.md)。
**注意**
針對本教學課程的用途部分,我們將說明如何以特定方式為 IPAM 資源命名、在特定區域建立 IPAM 資源,以及針對集區使用特定 IP 地址 CIDR 範圍。其目的在於簡化 IPAM 中可用的選擇,讓您能夠快速開始使用 IPAM。完成本教學課程後,您可決定以不同方式建立新的 IPAM 並加以設定。
**Topics**
+ [先決條件](#prerequisites)
+ [如何與 IPAM AWS Organizations 整合](#how-aws-organizations-integrates-with-ipam)
+ [步驟 1:委派 IPAM 管理員](#1-delegate-an-ipam-administrator)
+ [步驟 2:建立 IPAM](#2-create-an-ipam)
+ [步驟 3:建立最上層 IPAM 集區](#3-create-a-toplevel-ipam-pool)
+ [步驟 4:建立區域 IPAM 集區](#4-create-regional-ipam-pools)
+ [步驟 5:建立生產前開發集區](#5-create-a-preproduction-development-pool)
+ [步驟 6:共用 IPAM 集區](#6-share-the-ipam-pool)
+ [步驟 7:使用從 IPAM 集區配置的 CIDR 建立 VPC](#7-create-a-vpc-with-a-cidr-allocated-from-an-ipam-pool)
+ [步驟 8:清除](#8-cleanup)
## 先決條件
開始之前,您必須已設定具有至少一個成員 AWS Organizations 帳戶的 帳戶。如需操作方式說明,請參閱《AWS Organizations 使用者指南》**中的[建立和管理組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。
## 如何與 IPAM AWS Organizations 整合
本節顯示您在本教學課程中使用 AWS Organizations 的帳戶範例。以下將說明您會在本教學課程中整合 IPAM 時使用的三個組織中帳戶:
+ 用於登入 IPAM 主控台和委派 IPAM 管理員的管理帳戶 (下圖中稱為 **example-management-account**)。您無法使用組織的管理帳戶作為 IPAM 管理員。
+ 作為 IPAM 管理員帳戶的成員帳戶 (下圖中稱為 *example-member-account-1*)。IPAM 管理員帳戶負責建立 IPAM,並使用 IPAM 管理和監控組織內 IP 地址使用情況。組織中的任何成員帳戶皆可以委派為 IPAM 管理員。
+ 作為開發人員帳戶的成員帳戶 (下圖上方稱為 *example-member-account-2*)。此帳戶會使用從 IPAM 集區配置的 CIDR 建立 VPC。
![\[具有範例管理和成員帳戶 AWS Organizations 的組織範例。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-10_4.png)
除上述帳戶之外,您還需要組織單位的 ID (上圖的 **ou-fssg-q5brfv9c**),其中包含您將用作為開發人員帳戶的成員帳戶。在後續分享 IPAM 集區的步驟中,您將會需要此 ID,才可與該 OU 進行分享。
**注意**
如需*管理和**成員* AWS Organizations 帳戶等帳戶類型的詳細資訊,請參閱[AWS Organizations 術語和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。
## 步驟 1:委派 IPAM 管理員
在此步驟中,您將委派 AWS Organizations 成員帳戶做為 IPAM 管理員。當您委派 IPAM 管理員時,服務[連結角色](iam-ipam-slr.md)會自動在每個 AWS Organizations 成員帳戶中建立。IPAM 會擔任每個成員帳戶中的服務連結角色,以監控這些帳戶中的 IP 地址使用情況。接著,無論其組織單位為何,IPAM 皆可以探索資源與其 CIDR。
除非您具有必要的 AWS Identity and Access Management (IAM) 許可,否則無法完成此步驟。如需詳細資訊,請參閱[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md)。
**委派 IPAM 管理員帳戶**
1. 使用 AWS Organizations 管理帳戶,在 https://[https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在 中 AWS 管理主控台,選擇您要在其中使用 IPAM AWS 的區域。
1. 在導覽窗格中,選擇 **Organization settings (組織設定)**。
1. 選擇**委派**。**委派**選項只有在您以 AWS Organizations 管理帳戶身分登入 主控台時才能使用。
1. 輸入組織成員 AWS 帳戶的帳戶 ID。IPAM 管理員必須是 AWS Organizations 成員帳戶,而不是管理帳戶。
![\[IPAM 主控台中用於委派 IPAM 管理員的編輯設定選項。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-_U_2bIBCUfjFZXB4le6FUg.png)
1. 選擇**儲存變更**。**委派的管理員**資訊會填入與成員帳戶相關的詳細資料。
## 步驟 2:建立 IPAM
在本步驟中,您將會建立 IPAM。建立 IPAM 時,IPAM 會自動為 IPAM 建立兩個範圍:適用於所有私有空間的私有範圍,以及適用於所有公有空間的公有範圍。範圍以及集區和配置是 IPAM 的主要元件。如需詳細資訊,請參閱[IPAM 的運作方式](how-it-works-ipam.md)。
**建立 IPAM**
1. 使用[上一個步驟](#1-delegate-an-ipam-administrator)中委派為 IPAM 管理員 AWS Organizations 的成員帳戶,在 https://[https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在 AWS 管理主控台中,選擇您要在其中建立 IPAM AWS 的區域。在您的主要作業區域中建立 IPAM。
1. 在服務首頁選擇 **Create IPAM** (建立 IPAM)。
1. 選擇 **Allow Amazon VPC IP Address Manager to replicate data from source account(s) into the IPAM delegate account** (允許 Amazon VPC IP 地址管理員將來源帳戶的資料複寫到 IPAM 委託帳戶)。若未選取此選項,即無法建立 IPAM。
![\[在 IPAM 主控台中建立 IPAM 頁面,其中包含允許 Amazon VPC IP 地址管理員將來源帳戶的資料複寫到 IPAM 委派帳戶核取方塊的說明。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-HxHJCv2B3DfNcq--wo_gGg.png)
1. 在**操作區域**下,選擇此 IPAM 可以管理和探索資源 AWS 的區域。您建立 IPAM AWS 的區域會自動選取為其中一個操作區域。在本教學課程中,IPAM 的主區域為 us-east-1,因此我們會選擇 us-west-1 和 us-west-2 作為其他作業區域。如果您忘記作業區域,稍後可以編輯 IPAM 設定,並新增或移除區域。
![\[IPAM 主控台中的 IPAM 設定區段。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-D85nBxGA1n7iyDVmB7HOCw.png)
1. 選擇 **Create IPAM** (建立 IPAM)。
![\[成功建立 IPAM 之後,IPAM 主控台中的結果頁面。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-FUAVxduwVP5FBYU2GLnlkQ.png)
## 步驟 3:建立最上層 IPAM 集區
在本教學課程中,您將會建立從頂層 IPAM 集區開始的集區階層。在後續步驟中,您將在其中一個區域集區中建立一對區域集區和一個生產前開發集區。
如需有關可使用 IPAM 建置之集區階層的詳細資訊,請參閱 [IPAM 集區計畫範例](planning-examples-ipam.md)。
**建立頂層集區**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍。
![\[在 IPAM 主控台中選擇私有範圍。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-2QXpOvOj0i1rotyKoLjeMQ_update.png)
1. 選擇**建立集區**。
1. 在 **IPAM 範圍**下,保持選取的私有範圍。
1. (選用) 新增集區的**名稱標籤**和集區的說明 (例如 “Global pool”)。
1. 在 **Source** (來源) 下,選擇 **IPAM scope** (IPAM 範圍)。由於此為頂層集區,因此不具有來源集區。
1. 在 **Address family** (地址系列) 下,選擇 **IPv4**。
1. 在 **Resource planning** (資源規劃) 下,將 **Plan IP space within the scope** (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 [教學課程:為子網路 IP 配置規劃 VPC IP 地址空間](tutorials-subnet-planning.md)。
1. 針對 **Locale** (地區設定),選擇 **None** (無)。區域是您希望此 IPAM 集區可用於配置 AWS 的區域。您將會針對在本教學課程下一節中建立的區域集區設定地區設定。
![\[在 IPAM 主控台中建立集區。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-daejldSm0ArWYGkedgKekQ.png)
1. 選擇要為集區佈建的 CIDR。在本範例中,我們會佈建 10.0.0.0/16。
![\[定義要在 IPAM 主控台中為集區佈建的 CIDR。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-inrC8QzrnWgW6nmdPkk1rw.png)
1. 將**設定此集區的配置規則設定**保持停用。此為頂層集區,您將無法直接從此集區將 CIDR 配置到 VPC。相反地,您可能須從自己在此集區建立的子集區進行配置。
![\[在 IPAM 主控台中選擇集區的配置規則設定。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-8j4A_Tr5hG95xWIFfi1wkw.png)
1. 選擇**建立集區**。集區已建立,且 CIDR 處於**待佈建**狀態:
![\[建立集區之後,IPAM 主控台中的待佈建訊息。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-2_1.png)
1. 等待狀態變為**已佈建**後,即可前往下一個步驟。
![\[成功建立集區之後,IPAM 主控台中的已佈建訊息。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-3_1.png)
現在您已建立頂層集區,將可在 us-west-1 和 us-west-2 中建立區域集區。
## 步驟 4:建立區域 IPAM 集區
本節將會說明如何使用兩個區域集區來組織 IP 地址。在本教學課程中,我們將按照其中一個 [IPAM 集區計劃範例](planning-examples-ipam.md),建立兩個區域集區 (這兩個區域集區可供組織中的成員帳戶使用,以將 CIDR 配置給其 VPC)。
**建立區域集區**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍。
![\[在 IPAM 主控台中選擇私有範圍。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-Jb3iudGe4fGJDkVVMqnCpA_update.png)
1. 選擇**建立集區**。
1. 在 **IPAM 範圍**下,保持選取的私有範圍。
1. (選用) 新增集區的**名稱標籤**和集區的**說明** (例如區域集區 us-west-1)。
![\[在 IPAM 主控台中新增集區的名稱。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-U9TfeMAvqPNqdM3o18oNCA.png)
1. 在 **Source** (來源) 下,選取 **IPAM pool** (IPAM 集區),然後選取在 [步驟 3:建立最上層 IPAM 集區](#3-create-a-toplevel-ipam-pool) 中建立的頂層集區 ("Global pool")。接著,在**地區設定**下,選擇 **us-west-1**。
![\[在 IPAM 主控台中選擇來源集區。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-Qg017oruyE3w2MEkQXr1EQ.png)
1. 在 **Resource planning** (資源規劃) 下,將 **Plan IP space within the scope** (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 [教學課程:為子網路 IP 配置規劃 VPC IP 地址空間](tutorials-subnet-planning.md)。
1. 在**要佈建的 CIDR** 下,輸入 10.0.0.0/18 (此 CIDR 將可為此集區提供約 16,000 個可用的 IP 地址)。
![\[在 IPAM 主控台中,選擇要為集區佈建的 CIDR。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-os9vwNonWgaIGDkbq3Pjbg.png)
1. 將**設定此集區的配置規則設定**保持停用。您將無法直接從此集區將 CIDR 配置到 VPC。相反地,您可能須從自己在此集區建立的子集區進行配置。
![\[IPAM 主控台中的設定此集區的配置規則設定切換開關。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-8j4A_Tr5hG95xWIFfi1wkw.png)
1. 選擇**建立集區**。
1. 返回**集區**檢視,以查看您已建立的 IPAM 集區階層。
![\[IPAM 主控台中具有兩個集區的集區檢視。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-Ki7fsgUEn6miZE5Hg2TmrA_update.png)
1. 重複本節中的步驟,並使用佈建於其中的 CIDR **10.0.64.0/18**,在 **us-west-2** 地區設定中建立第二個區域集區。完成該程序後,您將會在以下類似的階層中擁有三個集區:
![\[IPAM 主控台中具有三個集區的集區檢視。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-5_update.png)
## 步驟 5:建立生產前開發集區
請按照本節中的步驟,在其中一個區域集區內,建立生產前資源的開發集區。
**建立生產前開發集區**
1. 如同上一節中所進行的方式,使用 IPAM 管理員帳戶,建立名為 **Pre-prod pool** 的集區,但此次請使用 **Regional pool us-west-1** 作為來源集區。
![\[在 IPAM 主控台中建立集區。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-BxJv7N7ierzIQDRiC4_R0Q.png)
1. 指定要佈建的 10.0.0.0/20 CIDR (此 CIDR 將可為此集區提供約 4,000 個 IP 地址)。
![\[在 IPAM 主控台中選擇集區的 CIDR。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-jn0QtJsRo5iF5R5oHp7Sqw.png)
1. 切換**設定此集區的配置規則設定**選項。請執行下列操作:
1. 在 **CIDR 管理**下的**自動匯入探索到的資源**,保持選取預設的**不允許**選項。此選項可讓 IPAM 自動匯入在集區地區設定中探索到的資源 CIDR。此選項的詳細說明未涵蓋在本教學課程的範圍內,但您可以在 [建立頂層 IPv4 集區](create-top-ipam.md) 中詳閱有關該選項的資訊。
1. 在**網路遮罩合規性**下,選擇 **/24** 作為最小、預設和最大網路遮罩長度。此選項的詳細說明未涵蓋在本教學課程的範圍內,但您可以在 [建立頂層 IPv4 集區](create-top-ipam.md) 中詳閱有關該選項的資訊。需要注意的是,您稍後使用此集區中之 CIDR 建立的 VPC,將根據我們在此處設定限制為 /24。
1. 在**標籤合規**下,輸入 **environment/pre-prod**。VPC 需要此標籤來配置集區的空間。我們將在稍後示範其運作方式。
![\[檢視在 IPAM 主控台中建立集區時的所有集區設定。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-D2Yr4efRG3X7MeME2urYJA.png)
1. 選擇**建立集區**。
1. 集區階層現在包含 **Regional pool us-west-1** 下的其他子集區:
![\[IPAM 主控台中具有四個集區的集區檢視。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-DrNlvRjI9cFmNfq7Xa4x0w_update.png)
現在,您可以開始與組織中的其他成員帳戶共用 IPAM 集區,並啟用該帳戶以從集區配置 CIDR 來建立 VPC。
## 步驟 6:共用 IPAM 集區
遵循本節中的步驟,使用 AWS Resource Access Manager (RAM) 共用生產前 IPAM 集區。
本節由兩個小節組成:
+ [步驟 6.1. 在 中啟用資源共用 AWS RAM](#61-enable-resource-sharing-in-aws-ram):此步驟必須由 AWS Organizations 帳戶完成。
+ [步驟 6.2. 使用 共用 IPAM 集區 AWS RAM](#62-share-an-ipam-pool-using-aws-ram):此步驟必須由 IPAM 管理員完成。
### 步驟 6.1. 在 中啟用資源共用 AWS RAM
建立 IPAM 之後,您會想要與組織中的其他帳戶共用 IP 地址集區。在您共用 IPAM 集區之前,請完成本節中的步驟,以啟用與 共用資源 AWS RAM。
**啟用資源共用**
1. 使用 AWS Organizations 管理帳戶,在 https://[https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) 開啟 AWS RAM 主控台。
1. 在左側導覽窗格中,選擇**設定**,選擇**啟用共用 AWS Organizations**,然後選擇**儲存設定**。
![\[在 AWS RAM 主控台中啟用組織共用。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-Jv8YJhg2J82EFdJrgsXA5w.png)
您現在可以與組織的其他成員共用 IPAM 集區。
### 步驟 6.2. 使用 共用 IPAM 集區 AWS RAM
在本節中,您將與其他 AWS Organizations 成員帳戶共用生產前開發集區。如需共用 IPAM 集區的完整說明 (包括所需 IAM 許可的相關資訊),請參閱 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。
**使用 共用 IPAM 集區 AWS RAM**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍,選擇生產前 IPAM 集區,然後選擇**動作** > **檢視詳細資料**。
1. 在 **Resource sharing** (資源共用) 底下,選擇 **Create resource share** (建立資源共用)。 AWS RAM 主控台隨即開啟。您將使用 共用集區 AWS RAM。
1. 選擇 **Create a resource share** (建立資源共用)。
![\[在 IPAM 主控台中建立資源共用。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-6_1.png)
AWS RAM 主控台隨即開啟。
1. 在 AWS RAM 主控台中,再次選擇**建立資源共享**。
1. 新增共用集區的**名稱**。
1. 在**選取資源類型**下,選擇 **IPAM 集區**,然後選擇生產前開發集區的 ARN。
![\[在 AWS RAM 主控台中建立資源共享。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-El4fIIE4FoenE75KV43GtQ.png)
1. 選擇**下一步**。
1. 保持選取預設的 **AWSRAMDefaultPermissionsIpamPool** 許可。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md) 中了解有關這些選項的詳細資訊。
![\[在 AWS RAM 主控台中關聯資源共享的許可。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-lNweqIyKpC9LFvxpwrkmiw.png)
1. 選擇**下一步**。
1. 在**主體**下,選擇**僅允許在組織內共用**。輸入您的 AWS Organizations 組織單位 ID (如 中所述[如何與 IPAM AWS Organizations 整合](#how-aws-organizations-integrates-with-ipam),然後選擇**新增** 。
![\[授予 AWS RAM 主控台中資源共享的存取權。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-dvLWZpvLDwh-grXeuUwPFQ.png)
1. 選擇**下一步**。
1. 檢閱資源共用選項,以及您要與其共用的主體,然後選擇**建立**。
既然已共用集區,請前往下一個步驟,以建立 VPC (其中包含從 IPAM 集區配置的 CIDR)。
## 步驟 7:使用從 IPAM 集區配置的 CIDR 建立 VPC
請按照本節中的步驟,透過從生產前集區配置 CIDR 來建立 VPC。此步驟應由上一節中與 IPAM 集區共用之 OU 中的成員帳戶完成 (在 [如何與 IPAM AWS Organizations 整合](#how-aws-organizations-integrates-with-ipam) 中稱為 **example-member-account-2**)。如需建立 VPC 所需的 IAM 許可的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的 [Amazon VPC 政策範例](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html)。
**使用從 IPAM 集區配置的 CIDR 建立 VPC**
1. 使用成員帳戶,在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 VPC 主控台,作為您將用作開發人員帳戶的成員帳戶。
1. 選擇**建立 VPC**。
1. 請執行下列操作:
1. 輸入名稱 (例如 **Example VPC**)。
1. 選擇 **IPAM 配置的 IPv4 CIDR 區塊**。
1. 在 **IPv4 IPAM 集區**下,選擇生產前集區的 ID。
1. 選擇**網路遮罩**長度。由於您將此集區的可用網路遮罩長度限制為 /24 (在 [步驟 5:建立生產前開發集區](#5-create-a-preproduction-development-pool) 中),因此唯一可用的網路遮罩選項是 /24。
![\[在 Amazon VPC 主控台中建立 VPC。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-jP9gQ6vF0cRtH2b-7CGNAA.png)
1. 作為示範用途,目前請勿在**標籤**下,新增任何其他標籤。建立生產前集區時 (在 [步驟 5:建立生產前開發集區](#5-create-a-preproduction-development-pool) 中),您會新增配置規則,以要求使用此集區之 CIDR 建立的任何 VPC 具有 environment/pre-prod 標籤。暫時關閉 environment/pre-prod 標籤,即可看到錯誤訊息出現,告訴您尚未新增必要的標籤。
1. 選擇**建立 VPC**。
1. 系統會顯示錯誤訊息,告訴您尚未新增必要的標籤。由於您在建立生產前集區 (在 [步驟 5:建立生產前開發集區](#5-create-a-preproduction-development-pool)中) 時已設定配置規則,因此系統出現錯誤。配置規則會要求使用此集區之 CIDR 建立的任何 VPC 具有 environment/pre-prod 標籤。
![\[在 Amazon VPC 主控台中建立 VPC 錯誤。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-wxP7WfFbl-2ThufLus_Usw.png)
1. 現在,在**標籤**下,新增 **environment/pre-prod** 標籤,然後再次選擇**建立 VPC**。
![\[在 Amazon VPC 主控台中,將標籤新增至 VPC。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-w8R8_7bmW-Bp-CPSImwmEA.png)
1. VPC 已成功建立,且 VPC 符合生產前集區上的標籤規則:
![\[在 Amazon VPC 主控台中成功建立 VPC。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-D3roKYnuSRCdzlFfGT7-pg.png)
在 IPAM 主控台的**資源**窗格中,IPAM 管理員將能夠查看和管理 VPC 與其配置的 CIDR。請注意,VPC 需要一些時間才會顯示在**資源**窗格中。
## 步驟 8:清除
在本教學課程中,您使用委派的管理員建立 IPAM、建立多個集區,並啟用組織中的成員帳戶,以從集區配置 VPC CIDR。
請按照本節中的步驟,清除您在本教學課程中建立的資源。
**清除在本教學課程中建立的資源**
1. 使用建立範例 VPC 的成員帳戶刪除 VPC。如需詳細指示,請參閱《Amazon Virtual Private Cloud 使用者指南》**中的[刪除 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html)。
1. 使用 IPAM 管理員帳戶,刪除 AWS RAM 主控台中的範例資源共用。如需詳細指示,請參閱《AWS Resource Access Manager 使用者指南》**中的[在 AWSAWS RAM中刪除資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)。
1. 使用 IPAM 管理員帳戶,登入 RAM 主控台,然後停用在 [步驟 6.1. 在 中啟用資源共用 AWS RAM](#61-enable-resource-sharing-in-aws-ram) 中啟用的與 AWS Organizations 共用功能。
1. 使用 IPAM 管理員帳戶,透過在 IPAM 主控台中選取 IPAM,然後選擇 **動作** > **刪除**,以刪除 IPAM 範例。如需詳細說明,請參閱 [刪除 IPAM](delete-ipam.md)。
1. 當系統提示您刪除 IPAM 時,請選擇**串聯刪除**。如此會先刪除 IPAM 內的所有範圍和集區,然後再刪除 IPAM。
![\[刪除 IPAM 主控台中的 IPAM。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/tutorials-get-started-console-wzlnq9726bqxf3M_F71QUQ.png)
1. 輸入 **delete**,然後選擇**刪除**。
1. 使用 AWS Organizations 管理帳戶登入 IPAM 主控台,選擇**設定**,然後移除委派的管理員帳戶。
1. (選用) 當您整合 IPAM 與 時 AWS Organizations,[IPAM 會自動在每個成員帳戶中建立服務連結角色](iam-ipam-slr.md)。使用每個 AWS Organizations 成員帳戶登入 IAM,並刪除每個成員帳戶中的 **AWSServiceRoleForIPAM** 服務連結角色。
1. 清理完成。
# 教學課程:使用 建立 IPAM 和集區 AWS CLI
遵循本教學課程中的步驟,使用 AWS CLI 來建立 IPAM、建立 IP 地址集區,以及使用來自 IPAM 集區的 CIDR 配置 VPC。
只要依照本節中的步驟,即可建立如下的集區結構階層範例:
+ 在 AWS 區域 1、 AWS 區域 2 中操作的 IPAM
+ 私有範圍
+ 最上層集區
+ AWS 區域 2 中的區域集區
+ 開發集區
+ VPC 的配置
**注意**
在本節中,您會建立 IPAM。預設情況下,只能建立一個 IPAM。如需詳細資訊,請參閱[IPAM 的配額](quotas-ipam.md)。如果已委派 IPAM 帳戶並建立 IPAM,則可略過步驟 1 和 2。
**Topics**
+ [步驟 1:在您的組織中啟用 IPAM](#cli-tut-enable-org-ipam)
+ [步驟 2:建立 IPAM](#cli-tut-create-ipam)
+ [步驟 3:建立 IPv4 地址集區](#cli-tut-create-top-ipam)
+ [步驟 4:在最上層集區佈建 CIDR](#cli-tut-provision-cidr-ipam)
+ [步驟 5. 利用最上層集區中的 CIDR 建立區域集區](#cli-tut-create-reg-ipam)
+ [步驟 6:在區域集區中佈建 CIDR](#cli-tut-assign-cidr-reg-pool)
+ [步驟 7. 建立 RAM 共用以啟用跨帳戶的 IP 指派](#cli-tut-create-ram-share-ipam)
+ [步驟 8. 建立 VPC](#cli-tut-create-vpc-ipam)
+ [步驟 9. 清除](#cli-tut-cleanup-ipam)
## 步驟 1:在您的組織中啟用 IPAM
此為選擇性步驟。完成此步驟以在組織中啟用 IPAM,並使用 CLI AWS 設定委派 IPAM。如需有關 IPAM 帳戶角色的詳細資訊,請參閱 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md)。
此請求必須從 AWS Organizations 管理帳戶提出。執行下列命令時,請務必使用具備 IAM 政策的角色,如此才能執行下列動作:
+ `ec2:EnableIpamOrganizationAdminAccount`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:RegisterDelegatedAdministrator`
+ `iam:CreateServiceLinkedRole`
```
aws ec2 enable-ipam-organization-admin-account --region us-east-1 --delegated-admin-account-id 11111111111
```
您應會看到表示啟用成功的以下輸出結果。
```
{
"Success": true
}
```
## 步驟 2:建立 IPAM
請按照本節中的步驟來建立 IPAM,並檢視與建立之範圍有關的更多資訊。在稍後的步驟中為這些集區建立集區並佈建 IP 地址範圍時,將會用到此 IPAM。
**注意**
操作區域選項會決定 IPAM 集區可用於哪些 AWS 區域。如需有關作業區域的詳細資訊,請參閱 [建立 IPAM](create-ipam.md)。
**使用 建立 IPAM AWS CLI**
1. 執行下列命令以建立 IPAM 執行個體。
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2
```
當您建立 IPAM 時, AWS 會自動執行下列動作:
+ 傳回 IPAM 的全域唯一資源 ID (`IpamId`)。
+ 建立預設的公有範圍 (`PublicDefaultScopeId`) 和預設的私有範圍 (`PrivateDefaultScopeId`)。
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-0de83dba6694560a9",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"PublicDefaultScopeId": "ipam-scope-02a24107598e982c5",
"PrivateDefaultScopeId": "ipam-scope-065e7dfe880df679c",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-west-2"
},
{
"RegionName": "us-east-1"
}
],
"Tags": []
}
}
```
1. 執行下列命令以檢視與範圍相關的更多資訊。公有範圍專用於要透過公有網際網路存取的 IP 位址。私有範圍專用於不透過公有網際網路存取的 IP 位址。
```
aws ec2 describe-ipam-scopes --region us-east-1
```
輸出結果會顯示可用的範圍。您將在下一個步驟中用到私有範圍 ID。
```
{
"IpamScopes": [
{
"OwnerId": "123456789012",
"IpamScopeId": "ipam-scope-02a24107598e982c5",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-02a24107598e982c5",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"IpamScopeType": "public",
"IsDefault": true,
"PoolCount": 0
},
{
"OwnerId": "123456789012",
"IpamScopeId": "ipam-scope-065e7dfe880df679c",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"IpamScopeType": "private",
"IsDefault": true,
"PoolCount": 0
}
]
}
```
## 步驟 3:建立 IPv4 地址集區
請依照本節中的步驟來建立 IPv4 地址集區。
**重要**
您不會在此頂層集區使用 `--locale` 選項。您稍後會設定區域集區上的地區設定選項。地區設定為您希望集區可供 CIDR 分配使用的 AWS 區域。由於未在頂層集區上設定地區設定,地區設定會預設為 `None`。如果集區具有 的地區設定`None`,則集區將無法供任何 AWS 區域中的 VPC 資源使用。您只能在集區中手動分配 IP 地址空間以保留空間。
**使用 為所有 AWS 資源建立 IPv4 地址集區 AWS CLI**
1. 執行下列命令以建立 IPv4 地址集區。使用您在上一個步驟中建立的 IPAM 私有範圍 ID。
```
aws ec2 create-ipam-pool --ipam-scope-id ipam-scope-065e7dfe880df679c --description "top-level-pool" --address-family ipv4
```
輸出結果會顯示集區的 `create-in-progress` 狀態。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools
```
下例的輸出結果顯示正確狀態。
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4"
}
]
}
```
## 步驟 4:在最上層集區佈建 CIDR
依照本節中的步驟來佈建最上層集區的 CIDR,然後確認 CIDR 已佈建。如需詳細資訊,請參閱[佈建集區的 CIDR](prov-cidr-ipam.md)。
**使用 將 CIDR 區塊佈建至集區 AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9 --cidr 10.0.0.0/8
```
您可在輸出結果中確認佈建的狀態。
```
{
"IpamPoolCidr": {
"Cidr": "10.0.0.0/8",
"State": "pending-provision"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `provisioned` 的狀態為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9
```
下例的輸出結果顯示正確狀態。
```
{
"IpamPoolCidrs": [
{
"Cidr": "10.0.0.0/8",
"State": "provisioned"
}
]
}
```
## 步驟 5. 利用最上層集區中的 CIDR 建立區域集區
當您建立 IPAM 集區時,集區預設屬於 IPAM AWS 的區域。用來建立 VPC 的集區需與該 VPC 位於相同的區域。建立集區時若使用 `--locale` 選項,則 IPAM 區域以外之其他區域內的服務可使用該集區。請依照本節中的步驟,以其他地區設定建立區域集區。
**使用 建立具有來自先前集區的 CIDR 的集區 AWS CLI**
1. 執行下列命令以建立集區並插入空間,該空間包含先前集區的已知可用 CIDR。
```
aws ec2 create-ipam-pool --description "regional--pool" --region us-east-1 --ipam-scope-id ipam-scope-065e7dfe880df679c --source-ipam-pool-id
ipam-pool-0008f25d7187a08d9 --locale us-west-2 --address-family ipv4
```
輸出結果會顯示您所建立之集區的 ID。下一個步驟需要用到此 ID。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0da89c821626f1e4b",
"SourceIpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0da89c821626f1e4b",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools
```
您會在輸出結果中看到 IPAM 內的集區。在本教學課程中,我們建立了最上層和區域集區,所以這兩種集區您都會看到。
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4"
},
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0da89c821626f1e4b",
"SourceIpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0da89c821626f1e4b",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-complete",
"Description": "regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4"
}
]
}
```
## 步驟 6:在區域集區中佈建 CIDR
依照本節中的步驟將 CIDR 區塊指派給集區,並確認佈建成功。
**使用 將 CIDR 區塊指派給區域集區 AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0da89c821626f1e4b --cidr 10.0.0.0/16
```
輸出結果會顯示集區的狀態。
```
{
"IpamPoolCidr": {
"Cidr": "10.0.0.0/16",
"State": "pending-provision"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `provisioned` 的狀態為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0da89c821626f1e4b
```
下例的輸出結果顯示正確狀態。
```
{
"IpamPoolCidrs": [
{
"Cidr": "10.0.0.0/16",
"State": "provisioned"
}
]
}
```
1. 執行下列命令以查詢最上層集區,藉此檢視配置。區域集區會被視為是最上層集區內的配置。
```
aws ec2 get-ipam-pool-allocations --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9
```
輸出結果會顯示區域集區配置於最上層集區中。
```
{
"IpamPoolAllocations": [
{
"Cidr": "10.0.0.0/16",
"IpamPoolAllocationId": "ipam-pool-alloc-fbd525f6c2bf4e77a75690fc2d93479a",
"ResourceId": "ipam-pool-0da89c821626f1e4b",
"ResourceType": "ipam-pool",
"ResourceOwner": "123456789012"
}
]
}
```
## 步驟 7. 建立 RAM 共用以啟用跨帳戶的 IP 指派
此為選用步驟。必須先完成 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md) 才能完成此步驟。
當您建立 IPAM 集區 AWS RAM 共用時,它會啟用跨帳戶的 IP 指派。RAM 共用僅適用於您的主要 AWS 區域。請注意,此共用是在 IPAM 所在的區域中建立,而不是在集區的本機區域中建立。IPAM 資源的一切管理作業都是透過 IPAM 的主區域進行。本教學課程中的範例會為單一集區建立單一共用,但您可在單一共用中新增多個集區。如需詳細資訊 (包括必須輸入之選項的相關說明),請參閱 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。
執行下列命令以建立資源共用。
```
aws ram create-resource-share --region us-east-1 --name pool_share --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0dec9695bca83e606 --principals 123456
```
輸出結果會顯示集區已建立。
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-west-2:123456789012:resource-share/3ab63985-99d9-1cd2-7d24-75e93EXAMPLE",
"name": "pool_share",
"owningAccountId": "123456789012",
"allowExternalPrincipals": false,
"status": "ACTIVE",
"creationTime": 1565295733.282,
"lastUpdatedTime": 1565295733.282
}
}
```
## 步驟 8. 建立 VPC
執行下列命令以建立 VPC,並將新建 IPAM 集區的 CIDR 區塊指派給 VPC。
```
aws ec2 create-vpc --region us-east-1 --ipv4-ipam-pool-id ipam-pool-04111dca0d960186e --cidr-block 10.0.0.0/24
```
輸出結果會顯示 VPC 已建立。
```
{
"Vpc": {
"CidrBlock": "10.0.0.0/24",
"DhcpOptionsId": "dopt-19edf471",
"State": "pending",
"VpcId": "vpc-0983f3c454f3d8be5",
"OwnerId": "123456789012",
"InstanceTenancy": "default",
"Ipv6CidrBlockAssociationSet": [],
"CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-00b24cc1c2EXAMPLE",
"CidrBlock": "10.0.0.0/24",
"CidrBlockState": {
"State": "associated"
}
}
],
"IsDefault": false
}
}
```
## 步驟 9. 清除
請依照本節中的步驟刪除您在本教學課程中建立的 IPAM 資源。
1. 刪除 VPC。
```
aws ec2 delete-vpc --vpc-id vpc-0983f3c454f3d8be5
```
1. 刪除 IPAM 集區 RAM 共用。
```
aws ram delete-resource-share --resource-share-arn arn:aws:ram:us-west-2:123456789012:resource-share/3ab63985-99d9-1cd2-7d24-75e93EXAMPLE
```
1. 解除佈建區域集區的集區 CIDR。
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0da89c821626f1e4b --region us-east-1
```
1. 解除佈建最上層集區的集區 CIDR。
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0008f25d7187a08d9 --region us-east-1
```
1. 刪除 IPAM
```
aws ec2 delete-ipam --region us-east-1
```
# 教學課程:使用 檢視 IP 地址歷史記錄 AWS CLI
本節中的方案將會顯示如何使用 AWS CLI來分析及稽核 IP 地址使用情況。如需使用 的一般資訊 AWS CLI,請參閱《 *AWS 命令列界面使用者指南*》中的[使用 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-using.html) 。
**Topics**
+ [概要](#cli-tut-view-hist-ipam-overview)
+ [案例](#cli-tut-view-hist-ipam-analyze)
## 概要
IPAM 最長可自動保留您的 IP 地址監控資料三年。您可使用歷程資料來分析和稽核網路安全和路由政策。您可搜尋下列資源類型的歷程深入洞察:
+ VPC
+ VPC 子網路
+ 彈性 IP 位址
+ 正在執行的 EC2 執行個體
+ 連接至執行個體的 EC2 網路介面
**重要**
雖然 IPAM 不會監控 Amazon EC2 執行個體或連接至介面的 EC2 網路介面,但您可使用搜尋 IP 歷史記錄功能來搜尋 EC2 執行個體和網路介面 CIDR 的相關歷程資料。
**注意**
本教學課程中的命令必須使用擁有 IPAM 的帳戶和託管 IPAM AWS 的區域來執行。
CIDR 的變更記錄會從定期快照中取用,這表示記錄的顯示或更新可能需要一些時間,而 SampledStartTime 和 SampledEndTime 的值可能與其實際發生時間不同。
## 案例
本節中的方案將會顯示如何使用 AWS CLI來分析及稽核 IP 地址使用情況。如需有關本教學課程中所提及值 (如抽樣結束時間和開始時間) 的詳細資訊,請參閱 [檢視 IP 位址歷程記錄](view-history-cidr-ipam.md)。
**方案 1:在 2021 年 12 月 27 日(UTC)上午 1:00 到晚上 9:00 之間,哪些資源與 `10.2.1.155/32` 相關聯?**
1. 執行以下命令:
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-20T01:00:00.000Z --end-time 2021-12-27T21:00:00.000Z
```
1. 檢視分析的結果。於下方範例中,CIDR 在這段時間中被分配給網路介面和 EC2 執行個體。請注意,無 **SampledEndTime** 值表示記錄仍然有效。如需有關下列輸出結果中顯示值的詳細資訊,請參閱 [檢視 IP 位址歷程記錄](view-history-cidr-ipam.md)。
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceId": "i-064da1f79baed14f3",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
如果連接網路介面的執行個體擁有者 ID 與網路介面的擁有者 ID 不同 (NAT 閘道、VPCs 中的 Lambda 網路介面和其他 AWS 服務也是如此),則 `ResourceOwnerId``amazon-aws`不是網路介面擁有者的帳戶 ID。下列範例顯示 CIDR 的記錄與 NAT 閘道相關聯:
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.0.0.176/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "amazon-aws",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceCidr": "10.0.0.176/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**方案 2:從 2021 年 12 月 1 日到 2021 年 12 月 27 日之間,哪些資源與 `10.2.1.0/24` 相關聯?**
1. 執行以下命令:
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-01T00:00:00.000Z --end-time 2021-12-27T23:59:59.000Z
```
1. 檢視分析的結果。於下方範例中,CIDR 在這段時間被分配給子網路和 VPC。請注意,無 **SampledEndTime** 值表示記錄仍然有效。如需有關下列輸出結果中顯示值的詳細資訊,請參閱 [檢視 IP 位址歷程記錄](view-history-cidr-ipam.md)。
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0864c82a42f5bffed",
"ResourceCidr": "10.2.1.0/24",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "vpc",
"ResourceId": "vpc-0f5ee7e1ba908a378",
"ResourceCidr": "10.2.1.0/24",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**方案 3:從 2021 年 12 月 1 日到 2021 年 12 月 27 日 (UTC) 之間,哪些資源與 `2605:9cc0:409::/56` 相關聯?**
1. 執行下列命令,其中 --region 是 IPAM 主區域:
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 2605:9cc0:409::/56 --ipam-scope-id ipam-scope-07cb485c8b4a4d7cc --start-time 2021-12-01T01:00:00.000Z --end-time 2021-12-27T23:59:59.000Z
```
1. 檢視分析的結果。於下方範例中,在 IPAM 主區域之外的區域中,CIDR 在一段時間內被分配給兩個不同的 VPC。請注意,無 **SampledEndTime** 值表示記錄仍然有效。如需有關下列輸出結果中顯示值的詳細資訊,請參閱 [檢視 IP 位址歷程記錄](view-history-cidr-ipam.md)。
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-01d967bf3b923f72c",
"ResourceCidr": "2605:9cc0:409::/56",
"ResourceName": "First example VPC",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-01d967bf3b923f72c",
"SampledStartTime": "2021-12-23T20:02:00.701000+00:00",
"SampledEndTime": "2021-12-23T20:12:59.848000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-03e62c7eca81cb652",
"ResourceCidr": "2605:9cc0:409::/56",
"ResourceName": "Second example VPC",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-03e62c7eca81cb652",
"SampledStartTime": "2021-12-27T15:11:00.046000+00:00"
}
]
}
```
**方案 4:在過去 24 小時內 (假設目前時間為 2021 年 12 月 27 日 (UTC) 的午夜),哪些資源與 `10.0.0.0/24` 相關聯?**
1. 執行以下命令:
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.0.0.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-27T00:00:00.000Z
```
1. 檢視分析的結果。於下方範例中,CIDR 已在此期間內被分配給了許多子網路和 VPC。請注意,無 **SampledEndTime** 值表示記錄仍然有效。如需有關下列輸出結果中顯示值的詳細資訊,請參閱 [檢視 IP 位址歷程記錄](view-history-cidr-ipam.md)。
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "subnet",
"ResourceId": "subnet-0d1b8f899725aa72d",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"VpcId": "vpc-042b8a44f64267d67",
"SampledStartTime": "2021-12-11T16:35:59.074000+00:00",
"SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-09754dfd85911abec",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"ResourceComplianceStatus": "unmanaged",
"ResourceOverlapStatus": "overlapping",
"VpcId": "vpc-09754dfd85911abec",
"SampledStartTime": "2021-12-27T20:07:59.947000+00:00",
"SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-west-2",
"ResourceType": "vpc",
"ResourceId": "vpc-0a8347f594bea5901",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"ResourceComplianceStatus": "unmanaged",
"ResourceOverlapStatus": "overlapping",
"VpcId": "vpc-0a8347f594bea5901",
"SampledStartTime": "2021-12-11T16:35:59.318000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0af7eadb0798e9148",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"VpcId": "vpc-03298ba16756a8736",
"SampledStartTime": "2021-12-14T21:07:22.357000+00:00"
}
]
}
```
**方案 5:哪些資源目前與 `10.2.1.155/32` 相關聯?**
1. 執行以下命令:
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. 檢視分析的結果。於下方範例中,CIDR 在這段時間被分配給網路介面和 EC2 執行個體。請注意,無 **SampledEndTime** 值表示記錄仍然有效。如需有關下列輸出結果中顯示值的詳細資訊,請參閱 [檢視 IP 位址歷程記錄](view-history-cidr-ipam.md)。
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceId": "i-064da1f79baed14f3",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**方案 6:哪些資源目前與 `10.2.1.0/24` 相關聯?**
1. 執行以下命令:
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. 檢視分析的結果。在下方範例中,CIDR 在一段時間段內被分配給 VPC 和子網路。僅傳回與此 `/24` CIDR 完全相符的結果,而非 `/24` CIDR 中的所有 `/32 `。請注意,無 **SampledEndTime** 值表示記錄仍然有效。如需有關下列輸出結果中顯示值的詳細資訊,請參閱 [檢視 IP 位址歷程記錄](view-history-cidr-ipam.md)。
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0864c82a42f5bffed",
"ResourceCidr": "10.2.1.0/24",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "vpc",
"ResourceId": "vpc-0f5ee7e1ba908a378",
"ResourceCidr": "10.2.1.0/24",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**方案 7:哪些資源目前與 `54.0.0.9/32` 相關聯?**
在此範例中, `54.0.0.9/32` 會指派給彈性 IP 地址,該地址不屬於與您的 IPAM 整合 AWS 的組織。
1. 執行以下命令:
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 54.0.0.9/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. 由於 `54.0.0.9/32` 指派給的彈性 IP 地址不屬於此範例中與 IPAM 整合 AWS 的組織,因此不會傳回任何記錄。
```
{
"HistoryRecords": []
}
```
# 教學課程:將 ASN 帶入 IPAM
如果您的應用程式使用的是合作夥伴或客戶允許在其網路中列出的受信任 IP 地址和自治系統編號 (ASN),您可以在 AWS 中執行這些應用程式,而不需要合作夥伴或客戶變更其允許清單。
自治系統編號 (ASN) 是一個全域唯一編號,可透過網際網路識別一組網路,並使用[邊界閘道協定](https://aws.amazon.com/what-is/border-gateway-protocol/)動態地與其他網絡交換路由資料。例如,網際網路服務供應商 (ISP) 會使用 ASN 來識別網路流量來源。並非所有組織都會購買自己的 ASN,但對於購買的組織,他們可以將其 ASN 帶入 AWS。
帶入自有自治系統編號 (BYOASN) 後,可使用自有的公開 ASN (而不是 AWS ASN) 公告帶入 AWS 的 IPv4 或 IPv6 地址。使用 BYOASN 時,源自 IP 地址的流量會承載 ASN (而不是 AWS ASN);根據您的 IP 地址和 ASN,允許列出流量的客戶或合作夥伴可以存取您的工作負載。
**重要**
使用 IPAM 主區域中的 IPAM 管理員帳戶完成本教學課程。
本教學課程假設您擁有要帶入 IPAM 的公開 ASN、已將 BYOIP CIDR 帶入 AWS 並且已將其佈建到公有範圍中的集區。您可以隨時將 ASN 帶入 IPAM,但必須與您帶入 AWS 帳戶的 CIDR 建立關聯才能使用。此教學課程假設您已執行下列作業:如需更多詳細資訊,請參閱 [教學課程:將 IP 地址帶入 IPAM](tutorials-byoip-ipam.md)。
您可以立即在公告自有 ASN 或 AWS ASN 之間變更,但僅限於每小時從 AWS ASN 變更為自有 ASN 一次。
如果目前已公告 BYOIP CIDR,則不需要將其從公告中撤銷,就能與您的 ASN 建立關聯。
## ASN 加入先決條件
完成本教學課程需要以下各項:
+ 公開的 2 位元組或 4 位元組 ASN。
+ 如果您已使用 [教學課程:將 IP 地址帶入 IPAM](tutorials-byoip-ipam.md) 將 IP 位址範圍帶入 AWS,則需要 IP 位址 CIDR 範圍。您也需要私有金鑰。您可以使用在將 IP 位址 CIDR 範圍帶入 AWS 時建立的私有金鑰,也可以按照 *Amazon EC2 User Guide* 中的 [Create a private key and generate an X.509 certificate](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html#byoip-certificate) 中所述建立新的私有金鑰。
+ 當您使用 [教學課程:將 IP 地址帶入 IPAM](tutorials-byoip-ipam.md) 將 IPv4 或 IPv6 地址範圍帶入 AWS 時,您會[建立 X.509 憑證](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-add-certificate),並[將 X.509 憑證上傳到 RIR 中的 RDAP 記錄](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-add-certificate)。您必須將您所建立的相同憑證上傳到 ASN 的 RIR 中的 RDAP 記錄。請務必包含 `-----BEGIN CERTIFICATE-----` 和 `-----END CERTIFICATE-----` 字串之前和之後的編碼部分。所有這些內容都必須在單獨的長線上。更新 RDAP 的程序取決於您的 RIR:
+ 對於 ARIN,請使用[客戶經理入口網站](https://account.arin.net/public/secure/dashboard),藉由使用「修改 ASN」選項,在代表您 ASN 的「網路資訊」物件的「Public Comments」區段中新增憑證。請勿將其新增至您組織的評論區段。
+ 對於 RIPE,請將憑證作為新的「descr」欄位新增至代表您 ASN 的「aut-num」物件。您通常可以在
[RIPE 資料庫入口網站的「我的資源」區段找到這些內容。](https://apps.db.ripe.net/db-web-ui/myresources/overview)請勿將其新增至組織的註解區段,或「aut-num」物件的「備註」欄位。
+ 對於 APNIC,請透過電子郵件將憑證傳送至 [helpdesk@apnic.net](mailto:helpdesk@apnic.net),以手動將其新增至 ASN 的「備註」欄位。使用 ASN 的 APNIC 授權聯絡人傳送電子郵件。
+ 當您將 IP 位址範圍帶入 IPAM 時,您需要建立 ROA,以驗證您對所帶入 IPAM 的 IP 位址空間擁有控制權。除了該 ROA 之外,您還必須在 RIR 中建立第二個 ROA,其中包含您要帶入 IPAM 的 ASN。如果您在 RIR 中尚未擁有針對 ASN 的第二個 ROA,請完成 [3. 在 RIR 中建立一個 ROA 物件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html#byoip-create-roa-object)。忽略其他步驟。
## 教學步驟
使用 AWS 主控台或 AWS CLI 完成以下步驟。
------
#### [ AWS Management Console ]
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在左側導覽窗格中,選擇 **IPAMs** (IPAM)。
1. 選擇您的 IPAM。
1. 選擇 **BYOASNs** (BYOASN) 索引標籤,然後選擇 **Provision BYOASNs** (佈建 BYOASN)。
1. 輸入 **ASN**。因此,**Message** (訊息) 欄位會自動填入下一個步驟中需要登入的訊息。
+ 訊息的格式如下,其中 ACCOUNT 是您的 AWS 帳號,ASN 是要帶入 IPAM 的 ASN,而 YYYYMMDD 是訊息的到期日期 (預設為下個月的最後一天)。範例:
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
1. 複製訊息並根據需要將到期日期替換為您自己的值。
1. 使用私有金鑰來簽署訊息。範例:
```
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
```
1. 在 **簽章** 下,輸入簽章。
1. (可選) 若要佈建其他 ASN,選擇 **佈建其他 ASN**。最多可以佈建 5 個 ASN。若要增加此配額,請參閱 [IPAM 的配額](quotas-ipam.md)。
1. 選擇 **Provision** (佈建)。
1. 在 **BYOASNs** 索引標籤中檢視佈建程序。等待 **State** (狀態) 從 *Pending-provision* (待佈建) 變更為 *Provisioned* (已佈建)。處於 *Failed-provision* (佈建失敗) 狀態的 BYOASN 會在 7 天後自動移除。成功佈建 ASN 後,您可以將其與 BYOIP CIDR 關聯。
1. 在左側導覽窗格中,選擇 **Pools** (集區)。
1. 選擇公有範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 選擇已佈建 BYOIP CIDR 的區域集區。必須將集區的 **Service** (服務) 設定為 **EC2** 並且必須為其選擇地區設定。
1. 選擇 **CIDRs** (CIDR) 索引標籤,然後選取 BYOIP CIDR。
1. 選擇 **Actions** (動作) > **Manage BYOASN associations** (管理 BYOASN 關聯)。
1. 在 **Associated BYOASNs** (關聯的 BYOASN) 下,選擇已帶入 AWS 的 ASN。如有多個 ASN,可以將多個 ASN 與 BYOIP CIDR 關聯。可以關聯的 ASN 與可帶入 IPAM 的一樣多。請注意,依預設,最多可以將 5 個 ASN 帶入 IPAM。如需更多詳細資訊,請參閱 [IPAM 的配額](quotas-ipam.md)。
1. 選擇**關聯**。
1. 等候 ASN 關聯完成。ASN 與 BYOIP CIDR 成功關聯後,就可以再次公告 BYOIP CIDR。
1. 選擇 **CIDRs** (CIDR) 索引標籤。
1. 選取 BYOIP CIDR,然後選擇 **Actions** (動作) > **Advertise** (公告)。因此,會顯示 ASN 選項:Amazon ASN 以及已帶入 IPAM 的任何 ASN。
1. 選取已帶入 IPAM 的 ASN,然後選擇 **Advertise CIDR** (公告 CIDR)。因此,BYOIP CIDR 會進行公告,並將 **Advertising** (公告) 欄位中的值從 Withdrawn (已撤回) 變更為 Advertised (已公告)。**Autonomous System Number** (自治系統編號) 欄位會顯示與 CIDR 相關聯的 ASN。
1. (可選) 如果決定要將 ASN 關聯變更回 Amazon ASN,選取 BYOIP CIDR,然後再次選擇 **Actions** (動作) > **Advertise** (公告)。這次選擇 Amazon ASN。您可以隨時切換回 Amazon ASN,但每小時只能變更一次自訂 ASN。
此教學課程完成。
**清除**
1. 取消 ASN 與 BYOIP CIDR 的關聯
+ 若要從公告中撤銷 BYOIP CIDR,在公有範圍的集區中選擇 BYOIP CIDR,然後選擇 **Actions** (動作) > **Withdraw from advertising** (從公告中撤回)。
+ 若要取消 ASN 與 CIDR 的關聯,選擇 **Actions** (動作) > **Manage BYOASN associations** (管理 BYOASN 關聯)。
1. 取消佈建 ASN
+ 若要取消佈建 ASN,在 BYOASNs (BYOASN) 索引標籤中選擇 ASN,然後選擇 **Deprovision ASN** (取消佈建 ASN)。即會取消佈建 ASN。處於 *Deprovisioned* (已取消佈建) 狀態的 BYOASN 會在 7 天後自動移除。
清理完成。
------
#### [ Command line ]
1. 透過提供您的 ASN 和授權訊息來佈建 ASN。簽章是使用私有金鑰簽署的訊息。
```
aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"
```
1. 描述 ASN 以追蹤佈建程序。如果請求成功,應會在幾分鐘後看到 *ProvisionStatus* (佈建狀態) 已設定為 *provisioned* (已佈建)。
```
aws ec2 describe-ipam-byoasn
```
1. 將 ASN 與 BYOIP CIDR 關聯。想要公告的任何自訂 ASN 都必須先與 CIDR 關聯。
```
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. 描述 CIDR 以追蹤關聯程序。
```
aws ec2 describe-byoip-cidrs --max-results 10
```
1. 使用 ASN 公告 CIDR。如果已公告 CIDR,則會將原始 ASN 從 Amazon 交換為自有 ASN。
```
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. 描述 CIDR,以查看 ASN 狀態從 *associated* (已關聯) 至 *advertised* (已公告) 的變更。
```
aws ec2 describe-byoip-cidrs --max-results 10
```
此教學課程完成。
**清除**
1. 執行以下任意一項:
+ 如果希望僅撤回 ASN 公告並重新使用 Amazon ASN,同時保持公告 CIDR,必須為 asn 參數呼叫具有特殊 AWS 值的 advertise-byoip-cidr。您可以隨時切換回 Amazon ASN,但每小時只能變更一次自訂 ASN。
```
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n
```
+ 要同時撤回 CIDR 和 ASN 公告,可以呼叫 withdraw-byoip-cidr。
```
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
```
1. 若要清除 ASN,必須先取消其與 BYOIP CIDR 的關聯。
```
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. ASN 與相關聯的所有 BYOIP CIDR 取消關聯後,可以將其取消佈建。
```
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345
```
1. 移除所有 ASN 關聯之後,也可以取消佈建 BYOIP CIDR。
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n
```
1. 確認取消佈建。
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0
```
清理完成。
------
# 教學課程:將 IP 地址帶入 IPAM
本節中的教學課程會逐步解說如何使用 IPAM 將公有 IP 地址空間帶入 AWS 和管理空間的程序。
使用 IPAM 的公有 IP 地址空間有如下優點:
+ **改善您的組織的公有 IP 地址使用率**:透過 IPAM 可跨多個 AWS 帳戶共用 IP 地址空間。如果不使用 IPAM,就無法跨多個 AWS Organizations 帳戶共用公有 IP 空間。
+ **簡化將公有 IP 空間帶到以下位置的程序 AWS**:您可以使用 IPAM 一次加入公有 IP 地址空間,然後使用 IPAM 將公有 IPs 分佈到區域之間的資源,例如 EC2 執行個體和[應用程式負載平衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-pools.html)。如果沒有 IPAM,您必須為每個 AWS 區域加入公IPs。
**Topics**
+ [驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md)
+ [使用 AWS 管理主控台和 AWS CLI 兩者,自攜 IP 至 IPAM](tutorials-byoip-ipam-console-intro.md)
+ [僅使用 AWS CLI,自攜 IP CIDR 至 IPAM](tutorials-byoip-ipam-cli-only-intro.md)
+ [使用 IPAM 將您自己的 IP 帶到 CloudFront (支援 IPv4 和 IPv6)](tutorials-byoip-cloudfront.md)
# 驗證網域控制
在將 IP 地址範圍帶入目的地之前 AWS,您必須使用本節所述的其中一個選項來驗證您是否控制 IP 地址空間。這同時適用於 IPv4 和 IPv6 地址範圍。稍後,當您將 IP 地址範圍設為 時 AWS, 會 AWS 驗證您是否控制 IP 地址範圍。此驗證可確保客戶無法使用屬於其他人的 IP 範圍,從而防止路由和安全性問題。
您可以使用兩種方法來驗證您控制此範圍:
+ **X.509 憑證**:如果您的 IP 位址範圍已向支援 RDAP 的網際網路註冊機構 (例如 ARIN、RIPE 和 APNIC) 註冊,您可以使用 X.509 憑證驗證網域所有權。
+ **DNS TXT 記錄**:無論您的網際網路登錄檔是否支援 RDAP,您都可以使用驗證符記和 DNS TXT 記錄來驗證網域所有權。
**Topics**
+ [使用 X.509 憑證驗證網域](#tutorials-byoip-ipam-domain-verification-cert)
+ [使用 DNS TXT 記錄驗證網域](#tutorials-byoip-ipam-domain-verification-dns-txt)
## 使用 X.509 憑證驗證網域
本節介紹如何在將 IP 位址範圍帶入 IPAM 前使用 X.509 憑證驗證網域。
**使用 X.509 憑證驗證網域**
1. 請完成 *Amazon EC2 User Guide* 的 [Prerequisites for BYOIP in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html) 中的這三個步驟。
**注意**
建立 ROA 時,必須將 IPv4 CIDR 的 IP 地址字首的長度上限設定為 `/24`。若要將 IPv6 CIDR 新增至可公告集區,則 IP 地址字首的長度上限必須為 `/48`。這可確保您擁有將公有 IP 地址跨 AWS 區域分割的完整彈性。IPAM 會強制執行您設定的長度上限。此長度上限是您宣告的此路由的允許字首最小長度。例如,如果您自攜 `/20` CIDR 區塊至 AWS,那麼只要將長度上限設為 `/24`,即可任意分割更大的區塊 (例如 `/21`、`/22` 或 `/24`),並將那些更小的 CIDR 區塊分配給任何區域。若要將長度上限設定為 `/23`,便無法從更大的區塊分割和公告 `/24`。另請注意,`/24` 是最小的 IPv4 區塊,`/48` 則是您可從區域公告到網際網路的最小 IPv6 區塊。
1. 僅完成*《Amazon EC2 使用者指南》*中的[在 AWS中的佈建可公開公告的地址範圍](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-provision)下的第 1 步和第 2 步,**暫時不要佈建地址範圍 (第 3 步)**。儲存 `text_message` 和 `signed_message`。您稍後在此過程中會需要這些資訊。
完成這些步驟後,請繼續執行 [使用 AWS 管理主控台和 AWS CLI 兩者,自攜 IP 至 IPAM](tutorials-byoip-ipam-console-intro.md) 或 [僅使用 AWS CLI,自攜 IP CIDR 至 IPAM](tutorials-byoip-ipam-cli-only-intro.md)。
## 使用 DNS TXT 記錄驗證網域
完成本節中的步驟,在將 IP 位址範圍帶入 IPAM 之前,使用 DNS TXT 記錄驗證網域。
您可以使用 DNS TXT 記錄來驗證您是否控制公有 IP 位址範圍。DNS TXT 記錄是一種 DNS 記錄類型,其中包含關於您網域名稱的資訊。此功能允許您將註冊於任何網際網路註冊機構 (例如 JPNIC、LACNIC 和 AFRINIC) 的 IP 位址帶入,而不限於支援基於 RDAP (註冊資料存取通訊協定) 驗證的機構 (例如 ARIN、RIPE 和 APNIC)。
**重要**
必須先在免費或進階方案中建立 IPAM,才能繼續。如果您沒有 IPAM,請先完成[建立 IPAM](create-ipam.md)。
**Topics**
+ [第 1 步:如果您尚未建立 ROA,請先建立 ROA](#tutorials-byoip-ipam-domain-verification-dns-txt-roa)
+ [步驟 2. 建立驗證符記](#tutorials-byoip-ipam-domain-verification-dns-txt-token)
+ [步驟 3。設定 DNS 區域與 TXT 記錄](#tutorials-byoip-ipam-domain-verification-dns-txt-dns)
### 第 1 步:如果您尚未建立 ROA,請先建立 ROA
您必須在區域網際網路登記機構 (RIR) 中擁有路由來源授權 (ROA),以公告您希望使用的 IP 位址範圍。如果您的 RIR 中沒有 ROA,請完成 [3. 在 RIR 中建立 ROA 物件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-create-roa-object) (該步驟載於*《Amazon EC2 使用者指南*》。忽略其他步驟。
您可以使用的最特定 IPv4 位址範圍是 /24。針對可公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對不可公開公告的 CIDR,則是 /60。
### 步驟 2. 建立驗證符記
驗證字符是 AWS產生的隨機值,可用來證明對外部資源的控制。例如,當您將 IP 地址範圍帶至 AWS (BYOIP) 時,您可以使用驗證字符來驗證您是否控制公有 IP 地址範圍。
完成本節的步驟以建立驗證符記,您在本教學稍後的步驟中將需要此字符來將 IP 位址範圍帶入 IPAM。針對 AWS 主控台或 使用下列指示 AWS CLI。
------
#### [ AWS Management Console ]
**建立驗證符記**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在 AWS 管理主控台中,選擇您建立 IPAM AWS 的區域。
1. 在左側導覽窗格中,選擇 **IPAMs** (IPAM)。
1. 選擇您的 IPAM,然後選擇 **驗證符記標籤**。
1. 選取 **建立驗證符記**。
1. 建立符記之後,請保持此瀏覽器索引標籤開啟。接下來的步驟您需要用到 **符記值**、**符記名稱**,以及後續步驟中需要的 **符記 ID**。
注意下列事項:
+ 建立驗證符記後,您可以在 72 小時內重複使用該符記,用於從 IPAM 中佈建的多個 BYOIP CIDR。若超過 72 小時仍需佈建更多 CIDR,則需要建立新的驗證符記。
+ 您最多可以建立 100 個符記。如果您達到限制,請刪除過期的符記。
------
#### [ Command line ]
+ 使用 [create-ipam-external-resource-verification-token](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-ipam-external-resource-verification-token.html) 請求 IPAM 建立驗證符記,該字符將用於 DNS 組態:
```
aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id
```
這將傳回具有 `TokenName` 和 `TokenValue` 的 IpamExternalResourceVerificationTokenId 和字符,以及符記的過期時間 (`NotAfter`)。
```
{
"IpamExternalResourceVerificationToken": {
"IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0",
"IpamId": "ipam-0f9e8725ac3ae5754",
"TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8",
"TokenName": "86950620",
"NotAfter": "2024-05-19T14:28:15.927000+00:00",
"Status": "valid",
"Tags": [],
"State": "create-in-progress" }
}
```
注意下列事項:
+ 建立驗證符記後,您可以在 72 小時內重複使用該符記,用於從 IPAM 中佈建的多個 BYOIP CIDR。若超過 72 小時仍需佈建更多 CIDR,則需要建立新的驗證符記。
+ 您可以使用 [describe-ipam-external-resource-verification-tokens](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-external-resource-verification-tokens.html) 檢視符記。
+ 您最多可以建立 100 個符記。如果您達到限制,您可以使用 [delete-ipam-external-resource-verification-token](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-ipam-external-resource-verification-token.html) 刪除過期的符記。
------
### 步驟 3。設定 DNS 區域與 TXT 記錄
完成本節中的步驟,以設定 DNS 區域和 TXT 記錄。如果您未使用 Route53 作為 DNS,請參閱您的 DNS 提供商提供的文檔來設定 DNS 區域並新增 TXT 記錄。
如果您使用的是 Route53,請注意下列事項:
+ 若要在 AWS 主控台中建立反向查詢區域,請參閱《*Amazon Route 53 開發人員指南*》中的[建立公有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html)或使用 AWS CLI 命令 [create-hosted-zone](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-hosted-zone.html)。
+ 若要在 AWS 主控台的反向查詢區域中建立記錄,請參閱《[Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 主控台建立記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)或使用 AWS CLI 命令 [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/change-resource-record-sets.html)。 * *
+ 建立託管區域後,請將 RIR 中的託管區域委派給 Route53 提供的名稱伺服器 (例如 [LACNIC](https://www.lacnic.net/1017/2/lacnic/reverse-dns-resolution) 或 [APNIC](https://www.apnic.net/manage-ip/manage-resources/reverse-dns/))。
無論您是使用其他 DNS 供應商或 Route53,當您設定 TXT 記錄時,請注意下列事項:
+ 記錄名稱應為符記名稱。
+ 記錄類型應為 TXT。
+ ResourceRecord 值應為符記值。
範例:
+ **名稱:** `86950620.113.0.203.in-addr.arpa`
+ **Type (類型)**:`TXT`
+ **ResourceRecords 值**:`a34597c3-5317-4238-9ce7-50da5b6e6dc8`
其中:
+ `86950620` 是驗證符記名稱。
+ `113.0.203.in-addr.arpa` 是反向查詢區域名稱。
+ `TXT` 是記錄類型。
+ `a34597c3-5317-4238-9ce7-50da5b6e6dc8` 是驗證符記值。
**注意**
根據使用 BYOIP 帶入 IPAM 的字首大小,必須在 DNS 中建立一或多個身分驗證記錄。這些身分驗證記錄屬於 TXT 記錄類型,並且必須放置在字首本身或其父字首的反向區域中。
對於 IPv4,身分驗證記錄需要與構成字首的八位元組界限範圍對齊。
**範例**
對於已在八位元組界限對齊的 198.18.123.0/24,您需要在以下位置建立單一身分驗證記錄:
`token-name.123.18.198.in-addr.arpa. IN TXT “token-value”`
對於 198.18.12.0/22,其本身未與八位元組界限對齊,您將需要建立四個身分驗證記錄。這些記錄必須涵蓋在八位元組界限對齊的子網路 198.18.12.0/24、198.18.13.0/24、198.18.14.0/24 和 198.18.15.0/24。對應的 DNS 項目必須是:
`token-name.12.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.13.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.14.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.15.18.198.in-addr.arpa. IN TXT “token-value”`
對於已在八位元組界限對齊的 198.18.0.0/16,您需要建立單一身分驗證記錄:
`token-name.18.198.in-addr.arpa. IN TXT “token-value”`
對於 IPv6,身分驗證記錄需要與構成字首的半位元組界限範圍對齊。有效的小數位值為 32、36、40、44、48、52、56 和 60。
**範例**
對於已在半位元組界限對齊的 2001:0db8::/40,您需要建立單一身分驗證記錄:
`token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
對於 2001:0db8:80::/42,其本身未對齊半位字節界限,您需要建立四個身分驗證記錄。這些記錄必須涵蓋在半位字節界限對齊的子網路 2001:db8:80::/44、2001:db8:90::/44、2001:db8:a0::/44 和 2001:db8:b0::/44。對應的 DNS 項目必須是:
`token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
`token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
`token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
對於本身未在半位界限對齊的非廣告範圍 2001:db8:0:1000::/54,您需要建立四個身分驗證記錄。這些記錄必須涵蓋在半位字節界限對齊的子網路 2001:db8:0:1000::/56、2001:db8:0:1100::/56、2001:db8:0:1200::/56 和 2001:db8:0:1300::/56。對應的 DNS 項目必須是:
`token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
若要驗證 *token-name* 與 "ip6.arpa" 字串之間的正確十六進位數字,請將該數字乘以四。結果應符合字首長度。例如,對於 /56 字首,您應該有 14 個十六進位數字。
完成這些步驟後,請繼續執行 [使用 AWS 管理主控台和 AWS CLI 兩者,自攜 IP 至 IPAM](tutorials-byoip-ipam-console-intro.md) 或 [僅使用 AWS CLI,自攜 IP CIDR 至 IPAM](tutorials-byoip-ipam-cli-only-intro.md)。
# 使用 AWS 管理主控台和 AWS CLI 兩者,自攜 IP 至 IPAM
將自備 IP (BYOIP) 帶至 IPAM 可讓您在 AWS 中使用組織的現有 IPv4 和 IPv6 地址範圍。這可讓您在您自己的 IP 位址空間下整合內部部署和雲端環境,從而維持一致的品牌、提升網路效能、增強安全性並簡化管理。
按照這些步驟,使用 AWS 管理主控台和 AWS CLI 兩者,將 IPv4 或 IPv6 CIDR 帶至 IPAM。
**注意**
開始之前,您必須先[驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md)。
將 IPv4 地址範圍帶至 AWS 後,您可以使用範圍內的所有 IP 位址,包括第一個地址 (網路地址) 和最後一個地址 (廣播地址)。
**Topics**
+ [使用 AWS 管理主控台和 CLI 將您自己的 IPv4 CIDR AWS 帶到 IPAM](tutorials-byoip-ipam-console-ipv4.md)
+ [使用 AWS 管理主控台將您自己的 IPv6 CIDR 帶到 IPAM](tutorials-byoip-ipam-console-ipv6.md)
# 使用 AWS 管理主控台和 CLI 將您自己的 IPv4 CIDR AWS 帶到 IPAM
請依照下列步驟,將 IPv4 CIDR 帶到 IPAM,並使用 管理主控台和 CLI 配置彈性 IP 地址 AWS (EIP) AWS 。
**重要**
此教學課程假設您已完成下列各節中的步驟:
[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md).
[建立 IPAM](create-ipam.md).
本教學課程的每個步驟必須由三個 AWS Organizations 帳戶的其中一個完成:
管理帳戶。
在 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md) 中設定為您 IPAM 管理員的成員帳戶。在本教學課程中,此帳戶將稱為 IPAM 帳戶。
您組織中的成員帳戶將會從 IPAM 集區分配 CIDR。在本教學課程中,此帳戶將稱為成員帳戶。
**Topics**
+ [步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色](#tutorials-create-profiles)
+ [步驟 2:建立最上層 IPAM 集區](#tutorials-byoip-ipam-ipv4-console-create-top)
+ [步驟 3。在最上層集區內建立一個區域集區](#tutorials-byoip-ipam-ipv4-console-create-reg)
+ [第 4 步:公告 CIDR](#tutorials-byoip-ipam-ipv4-console-adv)
+ [步驟 5. 共用區域集區](#tutorials-byoip-ipam-ipv4-console-share-reg)
+ [第 6 步:從集區配置彈性 IP 位址](#tutorials-byoip-ipam-ipv4-console-all-eip)
+ [第 7 步:建立彈性 IP 位址與 EC2 執行個體的關聯](#tutorials-byoip-ipam-ipv4-console-assoc-eip)
+ [步驟 8:清除](#tutorials-byoip-ipam-ipv4-console-cleanup)
+ [第 6 步的替代方案](#tutorials-byoip-ipam-ipv4-alt)
## 步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色
若要以單一 AWS 使用者身分完成本教學課程,您可以使用 AWS CLI 具名設定檔從一個 IAM 角色切換到另一個角色。[具名設定檔](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)是您在搭配 AWS CLI使用 `--profile` 選項時所參考的設定和憑證的集合。如需如何為 AWS 帳戶建立 IAM 角色和具名設定檔的詳細資訊,請參閱[《》中的使用 IAM 角色 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)。
為您將在本教學課程中使用的三個 AWS 帳戶各建立一個角色和一個具名設定檔:
+ `management-account` 為 AWS Organizations 管理帳戶呼叫的設定檔。
+ `ipam-account` 為 AWS Organizations 成員帳戶呼叫的設定檔,設定為您的 IPAM 管理員。
+ 您組織中 `member-account` AWS Organizations 成員帳戶的 設定檔,將從 IPAM 集區配置 CIDRs。
建立 IAM 角色和具名設定檔後,請返回此頁面並繼續下一個步驟。在本教學課程的其餘部分,您會注意到範例 AWS CLI 命令使用 `--profile`選項搭配其中一個具名設定檔,以指出哪個帳戶必須執行 命令。
## 步驟 2:建立最上層 IPAM 集區
完成本節中的步驟來建立最上層 IPAM 集區。
此步驟必須由 IPAM 帳戶完成。
**建立集區**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 選擇**建立集區**。
1. (選用) 新增集區的 **Name tag** (名稱標籤) 和集區的 **Description** (說明)。
1. 在 **Source** (來源) 下,選擇 **IPAM scope** (IPAM 範圍)。
1. 在 **Address family** (地址系列) 下,選擇 **IPv4**。
1. 在 **Resource planning** (資源規劃) 下,將 **Plan IP space within the scope** (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 [教學課程:為子網路 IP 配置規劃 VPC IP 地址空間](tutorials-subnet-planning.md)。
1. 在 **Locale** (地區設定) 下,選擇 **None** (無)。
IPAM 與 BYOIP 整合需要在 BYOIP CIDR 使用的任何集區上設定地區設定。由於我們將要建立內含區域集區的最上層 IPAM 集區,且要從區域集區分配空間給彈性 IP 地址,因此您必須在區域集區 (而非最上層集區) 上設定地區設定。在稍後的步驟中建立區域集區時,您會新增區域集區的地區設定。
**注意**
如果您只建立單一集區,而不是在其中包含區域集區的頂層集區,則會想要為此區域選擇地區設定,以便集區可供配置使用。
1. 在 **公有 IP 來源** 下,選擇 **BYOIP**。
1. 在 **要佈建的 CIDR** 下,執行下列步驟:
+ 如果您[使用 X.509 憑證驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert),則必須包含在該步驟中建立的 CIDR 和 BYOIP 訊息和憑證簽章,以便我們能夠驗證您是否控制公有空間。
+ 如果您[使用 DNS TXT 記錄驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt),則必須包含在該步驟中建立的 CIDR 和 IPAM 驗證符記,以便我們能夠驗證您是否控制公有空間。
請注意,在最上層集區內的某集區佈建 IPv4 CIDR 時,您可佈建的最小 IPv4 CIDR 為 `/24`;不得佈建更明確的 CIDR (例如 `/25`)。
**重要**
大多數佈建會在兩個小時內完成,但公開可廣告範圍的佈建過程最多可能需要一週的時間。
1. 將**調整此集區的分配規則設定**保持在未選取的狀態。
1. (選用) 為集區選擇 **Tags** (標籤)。
1. 選擇**建立集區**。
請先確定此 CIDR 已佈建,然後再繼續。您可在集區詳細資訊頁面的 **CIDRs** (CIDR) 索引標籤中看到佈建狀態。
## 步驟 3。在最上層集區內建立一個區域集區
在最上層集區內建立一個區域集區。IPAM 與 BYOIP 整合需要在 BYOIP CIDR 使用的任何集區上設定地區設定。於本節中建立區域集區時,您會新增區域集區的地區設定。當您建立了 IPAM,`Locale` 必須是您設定的其中一個作業區域的一部分。例如,地區設定為 *us-east-1* 表示 *us-east-1* 必須是 IPAM 的操作區域。地區設定為 *us-east-1-scl-1* (用於本地區域的網路邊界群組) 的表示 IPAM 必須具有 *us-east-1* 的操作區域。
此步驟必須由 IPAM 帳戶完成。
**在頂層集區內建立一個區域集區**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 根據預設,建立集區時,系統會選取私有範圍。如果不想使用預設的私有範圍,請從內容窗格最上方的下拉式選單中選擇您要使用的範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 選擇**建立集區**。
1. (選用) 新增集區的 **Name tag** (名稱標籤) 和集區的 **Description** (說明)。
1. 在 **Source** (來源) 下,選擇您在上一節建立的頂層集區。
1. 在 **Resource planning** (資源規劃) 下,將 **Plan IP space within the scope** (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 [教學課程:為子網路 IP 配置規劃 VPC IP 地址空間](tutorials-subnet-planning.md)。
1. 在 **Locale** (區域設定) 下,選擇該集區的區域設定。在本教學課程中,我們將會使用 `us-east-2` 作為區域集區的地區設定。可用選項來自您在建立 IPAM 時選擇的作業區域。
集區的地區設定應是下列其中一項:
+ 您希望此 IPAM 集區可用於配置 AWS 的區域。
+ 您希望此 IPAM 集區可用於配置的 AWS Local Zone 的網路邊界群組 ([支援的 Local Zones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-zone-avail))。此選項僅適用於公有範圍內的 IPAM IPv4 集區。
+ [AWS 專用本地區域](https://aws.amazon.com/dedicatedlocalzones/)。若要在 AWS 專用本機區域中建立集區,請在選取器輸入中輸入 AWS 專用本機區域。
+ `Global` 當您想要在所有 AWS 區域全域使用 IP 地址時,例如 CloudFront 位置。`Global` 地區設定僅適用於公有 IPv4 集區。
例如,您只能從與 VPC 區域共用地區設定的 IPAM 集區為 VPC 配置 CIDR。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 IPAM 的主區域因中斷而無法使用,且集區的地區設定與 IPAM 的主區域不同,則仍然可以使用集區來配置 IP 地址。
選擇地區設定可確保您的集區和從中分配的資源之間沒有跨區域的依賴關係。
1. 在 **Service** (服務) 下,選擇 **EC2 (EIP/VPC)**。您選取的服務會決定 CIDR 可公告 AWS 的服務。目前,唯一的選項是 **EC2 (EIP/VPC)**,這意味著從此集區配置的 CIDR 可針對 Amazon EC2 服務 (適用於彈性 IP 地址) 和 Amazon VPC 服務 (適用於與 VPC 關聯的 CIDR) 進行公告。
1. 在 **CIDRs to provision** (要佈建的 CIDR) 下,選擇一個要為集區佈建的 CIDR。
**注意**
在最上層集區內的某集區佈建 CIDR 時,您可佈建的最具體的 IPv4 CIDR 為 `/24`;不得佈建更具體的 CIDR (例如 `/25`)。建立區域集區後,您可以在同一區域集區內建立更小的集區 (例如 `/25`)。請注意,如果您共用區域集區或其中的集區,這些集區只能在相同區域集區的區域設定中使用。
1. 啟用**調整此集區的分配規則設定**。您在此處具有與建立頂層集區時相同的配置規則選項。請參閱 [建立頂層 IPv4 集區](create-top-ipam.md),以取得建立集區時可用選項的說明。區域集區的配置規則不是繼承自頂層集區。如果您未在此處套用任何規則,則不會為集區設定配置規則。
1. (選用) 為集區選擇 **Tags** (標籤)。
1. 當您完成集區的設定後,請選擇 **Create pool** (建立集區)。
請先確定此 CIDR 已佈建,然後再繼續。您可在集區詳細資訊頁面的 **CIDRs** (CIDR) 索引標籤中看到佈建狀態。
## 第 4 步:公告 CIDR
本節中的步驟必須由 IPAM 帳戶完成。將彈性 IP 地址 (EIP) 與執行個體或 Elastic Load Balancer 建立關聯後,您就可以開始公告您帶到的 CIDR AWS ,該 CIDR 位於已設定**服務 EC2 (EIP/VPC)** 的集區中。在本教學課程中是指您的區域集區。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。
此步驟必須由 IPAM 帳戶完成。
**注意**
廣告狀態不會限制您配置彈性 IP 位址的能力。即使您的 BYOIPv4 CIDR 沒有公告,您仍然可以從 IPAM 集區建立 EIP。
**如要公告 CIDR**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 選擇您在本教學課程中建立的區域集區。
1. 選擇 **CIDRs** 索引標籤。
1. 選取 BYOIP CIDR,然後選擇 **Actions** (動作) > **Advertise** (公告)。
1. 選擇 **Advertise CIDR** (公告 CIDR)。
因此,BYOIP CIDR 會進行公告,並將 **Advertising** (公告) 欄位中的值從 **Withdrawn** (已撤回) 變更為 **Advertised** (已公告)。
## 步驟 5. 共用區域集區
遵循本節中的步驟,使用 AWS Resource Access Manager (RAM) 共用 IPAM 集區。
### 在 中啟用資源共用 AWS RAM
建立 IPAM 之後,您會想要與組織中的其他帳戶共用區域集區。在您共用 IPAM 集區之前,請完成本節中的步驟,以啟用與 共用資源 AWS RAM。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile management-account`選項。
**啟用資源共用**
1. 使用 AWS Organizations 管理帳戶,在 https://[https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) 開啟 AWS RAM 主控台。
1. 在左側導覽窗格中,選擇**設定**,選擇**啟用共用 AWS Organizations**,然後選擇**儲存設定**。
您現在可以與組織的其他成員共用 IPAM 集區。
### 使用 共用 IPAM 集區 AWS RAM
在本節中,您將與另一個 AWS Organizations 成員帳戶共用區域集區。如需共用 IPAM 集區的完整說明 (包括所需 IAM 許可的相關資訊),請參閱 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile ipam-account`選項。
**使用 共用 IPAM 集區 AWS RAM**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍,選擇 IPAM 集區,然後選擇 **動作** > **檢視詳細資料**。
1. 在 **Resource sharing** (資源共用) 底下,選擇 **Create resource share** (建立資源共用)。 AWS RAM 主控台隨即開啟。您可以使用 共用集區 AWS RAM。
1. 選擇 **Create a resource share** (建立資源共用)。
1. 在 AWS RAM 主控台中,再次選擇**建立資源共享**。
1. 新增共用集區的**名稱**。
1. 在 **選取資源類型** 下,選擇 **IPAM 集區**,然後選擇您要共用的集區 ARN。
1. 選擇**下一步**。
1. 選擇 **AWSRAMPermissionIpamPoolByoipCidrImport** 許可。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md) 中了解有關這些選項的詳細資訊。
1. 選擇**下一步**。
1. 在**主體** > **選取主體類型**下,選擇 **AWS 帳戶**並輸入要將 IP 地址範圍帶入 IPAM 之帳戶的帳戶 ID,然後選擇**新增**。
1. 選擇**下一步**。
1. 檢閱資源共用選項,以及您要與其共用的主體,然後選擇**建立**。
1. 若要允許 **member-account** 帳戶從 IPAM 集區配置 IP 位址 CIDRS,請使用 `AWSRAMDefaultPermissionsIpamPool` 建立第二個資源共用。`--resource-arns` 值為您在上一節建立之 IPAM 集區的 ARN。`--principals` 的值是 **member-account** 的帳戶 ID。`--permission-arns` 值為 `AWSRAMDefaultPermissionsIpamPool` 許可的 ARN。
## 第 6 步:從集區配置彈性 IP 位址
按照本節中的步驟,從集區配置彈性 IP 位址。請注意,如果您使用公有 IPv4 集區來配置彈性 IP 位址,您可以使用 [第 6 步的替代方案](#tutorials-byoip-ipam-ipv4-alt) 中的替代步驟,而非本節中的步驟。
**重要**
如果您看到與沒有呼叫 ec2:AllocateAddress 相關的錯誤,則需要更新目前指派給與您共用的 IPAM 集區的受管許可。聯絡建立資源共用的人員,並要求他們將受管許可 `AWSRAMPermissionIpamResourceDiscovery` 更新為預設版本。如需詳細資訊,請參閱《*AWS RAM 使用者指南*》中的[更新資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。
------
#### [ AWS Management Console ]
請依照*《Amazon EC2 使用者指南》*中的[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)中的步驟配置地址,但請注意下列事項:
+ 此步驟必須由該成員帳戶完成。
+ 請確定您在 EC2 主控台中的 AWS 區域符合您在建立區域集區時選擇的區域設定選項。
+ 選擇地址集區時,請選擇**使用 IPv4 IPAM 集區配置**的選項,然後選擇您建立的區域集區。
------
#### [ Command line ]
使用 [allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 命令從集區配置地址。您使用的 `--region` 必須與您在步驟 2 中建立集區時所選擇的 `-locale` 選項相符。在 `--ipam-pool-id` 中包含您在第 2 步中建立的 IPAM 集區的 ID。您也可以選擇 IPAM 集區中的特定 `/32`,方法是使用 `--address` 選項。
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
回應範例:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)。
------
## 第 7 步:建立彈性 IP 位址與 EC2 執行個體的關聯
完成本節中的步驟,建立彈性 IP 位址與 EC2 執行個體的關聯。
------
#### [ AWS Management Console ]
請遵循 *Amazon EC2 使用者指南*中的[關聯彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating)中的步驟,從 IPAM 集區配置彈性 IP 地址,但請注意下列事項:當您使用 AWS 管理主控台選項時,您在 中關聯彈性 IP 地址 AWS 的區域必須符合您在建立區域集區時選擇的區域設定選項。
此步驟必須由該成員帳戶完成。
------
#### [ Command line ]
此步驟必須由該成員帳戶完成。設定 `--profile member-account` 選項。
使用 [associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 命令,建立彈性 IP 位址與 Outpost 執行個體的關聯。您在 `--region` 中關聯彈性 IP 位址的 `--locale` 選項必須與您創建區域集區時選擇的選項相符。
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
回應範例:
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[將彈性 IP 位址與執行中的執行個體或網路介面建立關聯](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating)。
------
## 步驟 8:清除
請依照本節中的步驟清除您在本教學課程中佈建和建立的資源。
**步驟 1:從公告中撤回 CIDR**
此步驟必須由 IPAM 帳戶完成。
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。
1. 選擇您在本教學課程中建立的區域集區。
1. 選擇 **CIDRs** 索引標籤。
1. 選取 BYOIP CIDR,然後選擇 **Actions** (動作) > **Withdraw from advertising** (從公告中撤回)。
1. 選擇 **Withdraw CIDR** (撤回 CIDR)。
因此,BYOIP CIDR 不再進行公告,並將 **Advertising** (公告) 欄位中的值從 **Advertised** (已公告) 變更為 **Withdrawn** (已撤回)。
**步驟 2:取消與彈性 IP 地址的關聯**
此步驟必須由該成員帳戶完成。如果您使用的是 AWS CLI,請使用 `--profile member-account`選項。
+ 完成*《Amazon EC2 使用者指南》*中[取消彈性 IP 位址的關聯](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating-different)中的步驟,以取消 EIP 的關聯。當您在 AWS 管理主控台中開啟 EC2 時,您在 中取消 EIP 關聯的 AWS 區域必須符合您在建立將用於 BYOIP CIDR 的集區時選擇`Locale`的選項。在本教學課程中,集區為區域集區。
**步驟 3:釋出彈性 IP 地址**
此步驟必須由該成員帳戶完成。如果您使用的是 AWS CLI,請使用 `--profile member-account`選項。
+ 完成*《Amazon EC2 使用者指南》*中[釋出彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing)中的步驟,從公有 IPv4 集區釋出彈性 IP 位址 (EIP)。當您在 AWS 管理主控台中開啟 EC2 時,您在其中配置 EIP AWS 的區域必須符合您在建立將用於 BYOIP CIDR 的集區時選擇`Locale`的選項。
**步驟 4:刪除任何 RAM 共用並停用與 AWS Organizations 的 RAM 整合**
此步驟必須各自由 IPAM 帳戶和管理帳戶完成。如果您使用 AWS CLI 刪除 RAM 共用並停用 RAM 整合,請使用 ` --profile ipam-account`和 ` --profile management-account`選項。
+ 完成 RAM [AWS 使用者指南中的刪除 RAM 中的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)和[停用與 AWS Organizations 的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)中的步驟,以刪除 RAM 共用並停用與 AWS Organizations 的 RAM 整合。 *AWS *
**第 5 步:從區域集區和最上層集區解除佈建 CIDR**
此步驟必須由 IPAM 帳戶完成。如果您使用 AWS CLI 共用集區,請使用 `--profile ipam-account`選項。
+ 完成 [從集區解除佈建 CIDR](depro-pool-cidr-ipam.md) 中的步驟,依順序從區域集區和最上層集區解除佈建 CIDR。
**第 6 步:刪除區域集區和最上層集區**
此步驟必須由 IPAM 帳戶完成。如果您使用 AWS CLI 共用集區,請使用 `--profile ipam-account`選項。
+ 完成 [刪除集區](delete-pool-ipam.md) 中的步驟,依順序刪除區域集區和最上層集區。
## 第 6 步的替代方案
如果您使用公有 IPv4 集區來配置彈性 IP 位址,您可以使用本節中的步驟,而非 [第 6 步:從集區配置彈性 IP 位址](#tutorials-byoip-ipam-ipv4-console-all-eip) 中的步驟。
**Topics**
+ [第 1 步:建立公有 IPv4 集區](#tutorials-byoip-ipam-ipv4-console-alt-pool)
+ [第 2 步:在公有 IPv4 集區佈建公有 IPv4 CIDR](#tutorials-byoip-ipam-ipv4-console-alt-cidr)
+ [第 3 步:在公有 IPv4 集區中配置彈性 IP 位址](#tutorials-byoip-ipam-ipv4-console-alt-eip)
+ [第 6 步清除的替代方案](#tutorials-byoip-ipam-ipv4-console-alt-cleanup)
### 第 1 步:建立公有 IPv4 集區
此步驟應由將佈建彈性 IP 地址的成員帳戶完成。
**注意**
此步驟必須使用 AWS CLI,由該成員帳戶完成。
公有 IPv4 集區和 IPAM 集區由 中的不同資源管理 AWS。公有 IPv4 集區是單一帳戶資源,可讓您將公有的 CIDR 轉換為彈性 IP 地址。使用 IPAM 集區可將公有空間配置給公有 IPv4 集區。
**使用 建立公有 IPv4 集區 AWS CLI**
+ 執行下列命令以佈建 CIDR。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所選擇的 `Locale` 選項相符。
```
aws ec2 create-public-ipv4-pool --region us-east-2 --profile member-account
```
您會在輸出結果中看到公有 IPv4 集區 ID。下一個步驟需要用到此 ID。
```
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a"
}
```
### 第 2 步:在公有 IPv4 集區佈建公有 IPv4 CIDR
在公有 IPv4 集區佈建公有 IPv4 CIDR。`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所選擇的 `Locale` 值相符。`--netmask-length` 是您要帶入公用集區的 IPAM 集區空間量。數值不能大於 IPAM 集區的網路遮罩長度。您可以定義的最不具體的 `--netmask-length` 是 `24`。
**注意**
如果您要將 `/24` CIDR 範圍帶入 IPAM 以便跨 AWS Organization 共用,則可以將較小的字首佈建至多個 IPAM 集區,例如 `/27` (使用 `-- netmask-length 27`),而不用如本教學課程所示佈建整個 `/24` CIDR (使用 `-- netmask-length 24`)。
此步驟必須使用 AWS CLI,由該成員帳戶完成。
**使用 建立公有 IPv4 集區 AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 provision-public-ipv4-pool-cidr --region us-east-2 --ipam-pool-id ipam-pool-04d8e2d9670eeab21 --pool-id ipv4pool-ec2-09037ce61cf068f9a --netmask-length 24 --profile member-account
```
輸出結果會顯示已佈建的 CIDR。
```
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"PoolAddressRange": {
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
}
```
1. 執行下列命令以檢視公有 IPv4 集區中佈建的 CIDR。
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --max-results 10 --profile member-account
```
輸出結果會顯示已佈建的 CIDR。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。透過本教學課程的最後一個步驟可設定此 CIDR,使其公告在網路上。
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 255
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 255,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
建立公有 IPv4 集區後,如要檢視配置於 IPAM 區域集區中的公有 IPv4 集區,請於 **Allocations** (分配) 或 **Resources** (資源)下,開啟 IPAM 主控台並檢視區域集區中分配。
### 第 3 步:在公有 IPv4 集區中配置彈性 IP 位址
完成*《Amazon EC2 使用者指南》*中[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)中的步驟,從公有 IPv4 集區建立 EIP。當您在 AWS 管理主控台中開啟 EC2 時,您在其中配置 EIP AWS 的區域必須符合您在建立將用於 BYOIP CIDR 的集區時選擇`Locale`的選項。
此步驟必須由該成員帳戶完成。如果您使用的是 AWS CLI,請使用 `--profile member-account`選項。
完成這三個步驟後,請返回 [第 7 步:建立彈性 IP 位址與 EC2 執行個體的關聯](#tutorials-byoip-ipam-ipv4-console-assoc-eip) 並繼續,直到您完成教學課程為止。
### 第 6 步清除的替代方案
請完成下列步驟,以清除使用第 9 步的替代方案建立的公有 IPv4 集區。您應該在 [步驟 8:清除](#tutorials-byoip-ipam-ipv4-console-cleanup) 中的標準清除程序期間釋出彈性 IP 位址之後,完成這些步驟。
**第 1 步:從公有 IPv4 集區取消佈建公有 IPv4 CIDR**
**重要**
此步驟必須使用 AWS CLI,由該成員帳戶完成。
1. 檢視您的 BYOIP CIDR。
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --profile member-account
```
輸出結果會顯示 BYOIP CIDR 中的 IP 地址。
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 256,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
1. 執行下列命令以釋出公有 IPv4 集區的 CIDR。
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-2 --pool-id ipv4pool-ec2-09037ce61cf068f9a --cidr 130.137.245.0/24 --profile member-account
```
1. 再次檢視您的 BYOIP CIDR,並確保其中不再有已佈建的地址。當您執行本節中的命令時,`--region` 的值必須與 IPAM 的區域相符。
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --profile member-account
```
您會在輸出結果的公有 IPv4 集區中看到 IP 地址計數。
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
**注意**
IPAM 可能需要一些時間才能發現公有 IPv4 集區分配已遭刪除。您無法繼續清除和解除佈建 IPAM 集區的 CIDR,直到您發現配置已從 IPAM 移除為止。
**第 2 步:刪除公有 IPv4 集區**
此步驟必須由該成員帳戶完成。
+ 執行下列命令以刪除公有 IPv4 集區 CIDR。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所選擇的 `Locale` 選項相符。在本教學課程中,集區為區域集區。此步驟必須使用 CLI AWS 完成。
```
aws ec2 delete-public-ipv4-pool --region us-east-2 --pool-id ipv4pool-ec2-09037ce61cf068f9a --profile member-account
```
在輸出中,您將會看到傳回值為 **true**。
```
{
"ReturnValue": true
}
```
刪除集區後,如要檢視未由 IPAM 管理的分配,請開啟 IPAM 主控台,然後檢視 **Allocations** (分配) 下的區域集區詳細資訊。
# 使用 AWS 管理主控台將您自己的 IPv6 CIDR 帶到 IPAM
遵循本教學課程中的步驟,將 IPv6 CIDR 帶到 IPAM,並使用 AWS 管理主控台和 配置具有 CIDR 的 VPC AWS CLI。
如果您不需要透過網際網路公告 IPv6 地址,則可以將私有 GUA IPv6 地址佈建至 IPAM。如需詳細資訊,請參閱[啟用佈建私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md)。
**重要**
此教學課程假設您已完成下列各節中的步驟:
[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md).
[建立 IPAM](create-ipam.md).
本教學課程的每個步驟必須由三個 AWS Organizations 帳戶的其中一個完成:
管理帳戶。
在 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md) 中設定為您 IPAM 管理員的成員帳戶。在本教學課程中,此帳戶將稱為 IPAM 帳戶。
您組織中的成員帳戶將會從 IPAM 集區分配 CIDR。在本教學課程中,此帳戶將稱為成員帳戶。
**Topics**
+ [步驟 1:建立最上層 IPAM 集區](#tutorials-byoip-ipam-ipv6-console-1)
+ [步驟 2. 在最上層集區內建立一個區域集區](#tutorials-byoip-ipam-ipv6-console-2)
+ [步驟 3。共用區域集區](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [步驟 4:建立 VPC](#tutorials-byoip-ipam-ipv6-console-4)
+ [步驟 5:公告 CIDR](#tutorials-byoip-ipam-ipv6-console-5)
+ [步驟 6:清除](#tutorials-byoip-ipam-ipv6-console-cleanup)
## 步驟 1:建立最上層 IPAM 集區
由於您要建立內含區域集區的最上層 IPAM 集區,而且我們要從區域集區配置空間給資源,因此您必須在區域集區 (而不是最上層集區) 上設定地區設定。在稍後的步驟中建立區域集區時,您會新增區域集區的地區設定。IPAM 與 BYOIP 整合需要在 BYOIP CIDR 使用的任何集區上設定地區設定。
此步驟必須由 IPAM 帳戶完成。
**建立集區**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 選擇**建立集區**。
1. (選用) 新增集區的 **Name tag** (名稱標籤) 和集區的 **Description** (說明)。
1. 在 **Source** (來源) 下,選擇 **IPAM scope** (IPAM 範圍)。
1. 在 **Address family** (地址系列) 下,選擇 **IPv6**。
1. 在 **Resource planning** (資源規劃) 下,將 **Plan IP space within the scope** (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 [教學課程:為子網路 IP 配置規劃 VPC IP 地址空間](tutorials-subnet-planning.md)。
1. 在 **Locale** (地區設定) 下,選擇 **None** (無)。您將設定區域集區上的地區設定。
地區設定是您希望此 IPAM 集區可用於配置 AWS 的區域。例如,您只能從與 VPC 區域共用地區設定的 IPAM 集區為 VPC 配置 CIDR。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 IPAM 的主區域因中斷而無法使用,且集區的地區設定與 IPAM 的主區域不同,則仍然可以使用集區來配置 IP 地址。
**注意**
如果您只建立單一集區,而不是在其中包含區域集區的頂層集區,則會想要為此區域選擇地區設定,以便集區可供配置使用。
1. 在**公有 IP 來源**下,預設會選取 **BYOIP**。
1. 在 **要佈建的 CIDR** 下,執行下列步驟:
+ 如果您[使用 X.509 憑證驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert),則必須包含在該步驟中建立的 CIDR 和 BYOIP 訊息和憑證簽章,以便我們能夠驗證您是否控制公有空間。
+ 如果您[使用 DNS TXT 記錄驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt),則必須包含在該步驟中建立的 CIDR 和 IPAM 驗證符記,以便我們能夠驗證您是否控制公有空間。
請注意,在將 IPv6 CIDR 配置到頂層集區內的集區時,針對可公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對不可公開公告的 CIDR,則是 /60。
**重要**
大多數佈建會在兩個小時內完成,但公開可廣告範圍的佈建過程最多可能需要一週的時間。
1. 將**調整此集區的分配規則設定**保持在未選取的狀態。
1. (選用) 為集區選擇 **Tags** (標籤)。
1. 選擇**建立集區**。
請先確定此 CIDR 已佈建,然後再繼續。您可在集區詳細資訊頁面的 **CIDRs** (CIDR) 索引標籤中看到佈建狀態。
## 步驟 2. 在最上層集區內建立一個區域集區
在最上層集區內建立一個區域集區。集區上需有地區設定,且其必須是您在建立 IPAM 時設定的作業區域之一。
此步驟必須由 IPAM 帳戶完成。
**在頂層集區內建立一個區域集區**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 根據預設,建立集區時,系統會選取私有範圍。如果不想使用預設的私有範圍,請從內容窗格最上方的下拉式選單中選擇您要使用的範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 選擇**建立集區**。
1. (選用) 為集區新增 **Name tag** (名稱標籤) 以及集區的描述。
1. 在 **Source** (來源) 下,選擇您在上一節建立的頂層集區。
1. 在 **Resource planning** (資源規劃) 下,將 **Plan IP space within the scope** (規劃範圍內的 IP 空間) 保留選取狀態。如需使用此選項規劃 VPC 內子網路 IP 空間的詳細資訊,請參閱 [教學課程:為子網路 IP 配置規劃 VPC IP 地址空間](tutorials-subnet-planning.md)。
1. 為集區選擇地區設定。選擇地區設定可確保您的集區和從中分配的資源之間沒有跨區域的依賴關係。可用選項來自您在建立 IPAM 時選擇的作業區域。在本教學課程中,我們將會使用 `us-east-2` 作為區域集區的地區設定。
地區設定是您希望此 IPAM 集區可用於配置 AWS 的區域。例如,您只能從與 VPC 區域共用地區設定的 IPAM 集區為 VPC 配置 CIDR。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 IPAM 的主區域因中斷而無法使用,且集區的地區設定與 IPAM 的主區域不同,則仍然可以使用集區來配置 IP 地址。
1. 在 **Service** (服務) 下,選擇 **EC2 (EIP/VPC)**。您選取的服務會決定 CIDR 可公告 AWS 的服務。目前,唯一的選項是 **EC2 (EIP/VPC)**,這意味著從此集區配置的 CIDR 可針對 Amazon EC2 服務和 Amazon VPC 服務 (適用於與 VPC 關聯的 CIDR) 進行公告。
1. 在 **CIDRs to provision** (要佈建的 CIDR) 下,選擇一個要為集區佈建的 CIDR。請注意,在將 IPv6 CIDR 配置到頂層集區內的集區時,針對可公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對不可公開公告的 CIDR,則是 /60。
1. 啟用**調整此集區的分配規則設定**,並選擇此集區的選擇性分配規則:
+ **Automatically import discovered resources** (自動匯入探索的資源):如果 **Locale** (地區設訂) 已設定為 **None** (無),則此選項不可用。如果選取此選項,IPAM 會持續尋找此集區 CIDR 範圍內的資源,並自動將其作為配置匯入 IPAM。注意下列事項:
+ 為這些資源分配的 CIDR 必須尚未分配給其他資源,才能使匯入程序成功。
+ IPAM 會匯入 CIDR,不論其是否符合集區的配置規則,因此可能會匯入資源,隨後再將其標記為不合規。
+ 如果 IPAM 發現多個重疊的 CIDR,IPAM 只會匯入最大的 CIDR。
+ 如果 IPAM 發現多個 CIDR 具有相符的 CIDR,IPAM 將只會隨機匯入其中一個 CIDR。
+ **Minimum netmask length** (最小網路遮罩長度):此 IPAM 集區中 CIDR 配置要符合所需的最小網路遮罩長度,以及可從集區配置的最大 CIDR 區塊。最小網路遮罩長度必須小於網路遮罩長度上限。IPv4 地址的可能網路遮罩長度為 `0` - `32`。IPv6 地址的可能網路遮罩長度為 `0` - `128`。
+ **Default netmask length** (預設網路遮罩長度):新增至此集區的配置的預設網路遮罩長度。
+ **Maximum netmask length** (最大網路遮罩長度):此集區中的 CIDR 配置所需的最大網路遮罩長度。此數值指定可以從集區配置的最小 CIDR 區塊。請確保此值為最小值 **/48**。
+ **Tagging requirements** (標記需求):資源從集區配置空間所需的標籤。如果資源在配置空間之後變更了其標籤,或在集區上變更了配置標記規則,則資源可能會標示為不合規。
+ **Locale** (地區設定):從此集區使用 CIDR 的資源所需的地區設定。沒有此地區設定的自動匯入資源會被標示為不合規。未自動匯入集區的資源將不允許從集區配置空間,除非其位於此地區設定。
1. (選用) 為集區選擇 **Tags** (標籤)。
1. 當您完成集區的設定後,請選擇 **Create pool** (建立集區)。
請先確定此 CIDR 已佈建,然後再繼續。您可在集區詳細資訊頁面的 **CIDRs** (CIDR) 索引標籤中看到佈建狀態。
## 步驟 3。共用區域集區
遵循本節中的步驟,使用 AWS Resource Access Manager (RAM) 共用 IPAM 集區。
### 在 中啟用資源共用 AWS RAM
建立 IPAM 之後,您會想要與組織中的其他帳戶共用區域集區。在您共用 IPAM 集區之前,請完成本節中的步驟,以啟用與 共用資源 AWS RAM。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile management-account`選項。
**啟用資源共用**
1. 使用 AWS Organizations 管理帳戶,在 https://[https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) 開啟 AWS RAM 主控台。
1. 在左側導覽窗格中,選擇**設定**,選擇**啟用共用 AWS Organizations**,然後選擇**儲存設定**。
您現在可以與組織的其他成員共用 IPAM 集區。
### 使用 共用 IPAM 集區 AWS RAM
在本節中,您將與另一個 AWS Organizations 成員帳戶共用區域集區。如需共用 IPAM 集區的完整說明 (包括所需 IAM 許可的相關資訊),請參閱 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile ipam-account`選項。
**使用 共用 IPAM 集區 AWS RAM**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍,選擇 IPAM 集區,然後選擇 **動作** > **檢視詳細資料**。
1. 在 **Resource sharing** (資源共用) 底下,選擇 **Create resource share** (建立資源共用)。 AWS RAM 主控台隨即開啟。您可以使用 共用集區 AWS RAM。
1. 選擇 **Create a resource share** (建立資源共用)。
1. 在 AWS RAM 主控台中,再次選擇**建立資源共享**。
1. 新增共用集區的**名稱**。
1. 在 **選取資源類型** 下,選擇 **IPAM 集區**,然後選擇您要共用的集區 ARN。
1. 選擇**下一步**。
1. 選擇 **AWSRAMPermissionIpamPoolByoipCidrImport** 許可。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md) 中了解有關這些選項的詳細資訊。
1. 選擇**下一步**。
1. 在**主體** > **選取主體類型**下,選擇 **AWS 帳戶**並輸入要將 IP 地址範圍帶入 IPAM 之帳戶的帳戶 ID,然後選擇**新增**。
1. 選擇**下一步**。
1. 檢閱資源共用選項,以及您要與其共用的主體,然後選擇**建立**。
1. 若要允許 **member-account** 帳戶從 IPAM 集區配置 IP 位址 CIDRS,請使用 `AWSRAMDefaultPermissionsIpamPool` 建立第二個資源共用。`--resource-arns` 值為您在上一節建立之 IPAM 集區的 ARN。`--principals` 的值是 **member-account** 的帳戶 ID。`--permission-arns` 值為 `AWSRAMDefaultPermissionsIpamPool` 許可的 ARN。
## 步驟 4:建立 VPC
完成 *Amazon VPC User Guide* 的 [Create a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) 中的步驟。
此步驟必須由該成員帳戶完成。
**注意**
當您在 AWS 管理主控台中開啟 VPC 時,您在其中建立 VPC AWS 的區域必須符合您在建立將用於 BYOIP CIDR 的集區時選擇`Locale`的選項。
當您到達為 VPC 選擇 CIDR 的步驟時,您可以選擇從 IPAM 集區使用 CIDR。選擇您在本教學課程中建立的區域集區。
當您建立 VPC 時, 會將 IPAM 集區中的 CIDR AWS 配置到 VPC。您可於 IPAM 主控台的內容窗格中選擇集區,然後檢視集區的 **Allocations** (分配) 索引標籤,以檢視 IPAM 中的分配。
## 步驟 5:公告 CIDR
本節中的步驟必須由 IPAM 帳戶完成。建立 VPC 之後,您就可以開始在已設定**服務 EC2 (EIP/VPC)** 的集區中,公告您帶到 AWS 的 CIDR。在本教學課程中是指您的區域集區。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。
此步驟必須由 IPAM 帳戶完成。
**如要公告 CIDR**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 選擇您在本教學課程中建立的區域集區。
1. 選擇 **CIDRs** 索引標籤。
1. 選取 BYOIP CIDR,然後選擇 **Actions** (動作) > **Advertise** (公告)。
1. 選擇 **Advertise CIDR** (公告 CIDR)。
因此,BYOIP CIDR 會進行公告,並將 **Advertising** (公告) 欄位中的值從 **Withdrawn** (已撤回) 變更為 **Advertised** (已公告)。
## 步驟 6:清除
請依照本節中的步驟清除您在本教學課程中佈建和建立的資源。
**步驟 1:從公告中撤回 CIDR**
此步驟必須由 IPAM 帳戶完成。
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 根據預設,建立集區時,系統會選取私有範圍。選擇公有範圍。
1. 選擇您在本教學課程中建立的區域集區。
1. 選擇 **CIDRs** 索引標籤。
1. 選取 BYOIP CIDR,然後選擇 **Actions** (動作) > **Withdraw from advertising** (從公告中撤回)。
1. 選擇 **Withdraw CIDR** (撤回 CIDR)。
因此,BYOIP CIDR 不再進行公告,並將 **Advertising** (公告) 欄位中的值從 **Advertised** (已公告) 變更為 **Withdrawn** (已撤回)。
**步驟 2:刪除 VPC**
此步驟必須由該成員帳戶完成。
+ 完成 *Amazon VPC User Guide* 的 [Delete a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html) 中的步驟,刪除 VPC。當您在 AWS 管理主控台中開啟 VPC 時, AWS 區域從 刪除 VPC 必須符合您在建立將用於 BYOIP CIDR 的集區時選擇`Locale`的選項。在本教學課程中,集區為區域集區。
刪除 VPC 時,IPAM 需要時間才會發現資源已遭刪除,並將配置給 VPC 的 CIDR 解除分配。在您尚未看到從集區詳細資訊 **Allocations** (分配) 索引標籤中的集區移除 IPAM 之前,您無法繼續進行清理中的下一步。
**步驟 3:刪除 RAM 共用並停用與 AWS Organizations 的 RAM 整合**
此步驟必須各自由 IPAM 帳戶和管理帳戶完成。
+ 完成 RAM [AWS 使用者指南中的刪除 RAM 中的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)和[停用與 AWS Organizations 的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)中的步驟,以刪除 RAM 共用並停用與 AWS Organizations 的 RAM 整合。 *AWS *
**步驟 4:從區域集區和最上層集區解除佈建 CIDR**
此步驟必須由 IPAM 帳戶完成。
+ 完成 [從集區解除佈建 CIDR](depro-pool-cidr-ipam.md) 中的步驟,依順序從區域集區和最上層集區解除佈建 CIDR。
**步驟 5:刪除區域集區和最上層集區**
此步驟必須由 IPAM 帳戶完成。
+ 完成 [刪除集區](delete-pool-ipam.md) 中的步驟,依順序刪除區域集區和最上層集區。
# 僅使用 AWS CLI,自攜 IP CIDR 至 IPAM
將自備 IP (BYOIP) 帶至 IPAM 可讓您在 AWS 中使用組織的現有 IPv4 和 IPv6 地址範圍。這可讓您在您自己的 IP 位址空間下整合內部部署和雲端環境,從而維持一致的品牌、提升網路效能、增強安全性並簡化管理。
請依照下列步驟,僅使用AWS CLI,將 IPv4 或 IPv6 CIDR 帶至 IPAM。
**注意**
開始之前,您必須先[驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md)。
將 IPv4 地址範圍帶至 AWS 後,您可以使用範圍內的所有 IP 位址,包括第一個地址 (網路地址) 和最後一個地址 (廣播地址)。
**Topics**
+ [僅使用 CLI 將您自己的公有 IPv4 CIDR AWS 帶到 IPAM](tutorials-byoip-ipam-ipv4.md)
+ [僅使用 CLI 將您自己的 IPv6 CIDR AWS 帶到 IPAM](tutorials-byoip-ipam-ipv6.md)
# 僅使用 CLI 將您自己的公有 IPv4 CIDR AWS 帶到 IPAM
請依照下列步驟,僅使用 AWS CLI,自攜 IPv4 CIDR 至 IPAM,並以 CIDR 分配彈性 IP 地址 (EIP)。
**重要**
此教學課程假設您已完成下列各節中的步驟:
[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md).
[建立 IPAM](create-ipam.md).
本教學課程的每個步驟必須由三個 AWS Organizations 帳戶的其中一個完成:
管理帳戶。
在 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md) 中設定為您 IPAM 管理員的成員帳戶。在本教學課程中,此帳戶將稱為 IPAM 帳戶。
您組織中的成員帳戶將會從 IPAM 集區分配 CIDR。在本教學課程中,此帳戶將稱為成員帳戶。
**Topics**
+ [步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色](#tutorials-create-profiles)
+ [步驟 2:建立 IPAM](#tutorials-byoip-ipam-ipv4-2)
+ [步驟 3:建立最上層 IPAM 集區](#tutorials-byoip-ipam-ipv4-3)
+ [步驟 4:在最上層集區佈建 CIDR](#tutorials-byoip-ipam-ipv4-4)
+ [步驟 5:在最上層集區內建立一個區域集區。](#tutorials-byoip-ipam-ipv4-5)
+ [步驟 6:在區域集區中佈建 CIDR](#tutorials-byoip-ipam-ipv4-6)
+ [步驟 7:公告 CIDR](#tutorials-byoip-ipam-ipv4-11)
+ [第 8 步:共用區域集區](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [第 9 步:從集區配置彈性 IP 位址](#tutorials-byoip-ipam-ipv4-console-cli-all-eip)
+ [第 10 步:建立彈性 IP 位址與 EC2 執行個體的關聯](#tutorials-byoip-ipam-ipv4-console-cli-assoc-eip)
+ [步驟 11:清除](#tutorials-byoip-ipam-ipv4-cli-cleanup)
+ [第 9 步的替代方案](#tutorials-byoip-ipam-ipv4-cli-alt)
## 步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色
若要以單一 AWS 使用者身分完成本教學課程,您可以使用 AWS CLI 具名設定檔從一個 IAM 角色切換到另一個角色。[具名設定檔](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)是您在搭配 AWS CLI使用 `--profile` 選項時所參考的設定和憑證的集合。如需如何為 AWS 帳戶建立 IAM 角色和具名設定檔的詳細資訊,請參閱[《》中的使用 IAM 角色 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)。
為您將在本教學課程中使用的三個 AWS 帳戶各建立一個角色和一個具名設定檔:
+ `management-account` 為 AWS Organizations 管理帳戶呼叫的設定檔。
+ `ipam-account` 為 AWS Organizations 成員帳戶呼叫的設定檔,設定為您的 IPAM 管理員。
+ 您組織中 `member-account` AWS Organizations 成員帳戶的 設定檔,將從 IPAM 集區配置 CIDRs。
建立 IAM 角色和具名設定檔後,請返回此頁面並繼續下一個步驟。在本教學課程的其餘部分,您會注意到範例 AWS CLI 命令使用 `--profile`選項搭配其中一個具名設定檔,以指出哪個帳戶必須執行 命令。
## 步驟 2:建立 IPAM
此為選擇性步驟。如果已建立 IPAM,其作業區域為 `us-east-1` 和 `us-west-2`,則可略過此步驟。建立 IPAM 並指定作業區域為 `us-east-1` 和 `us-west-2`。必須選取作業區域,才能在建立 IPAM 集區時使用地區設定選項。IPAM 與 BYOIP 整合需要在 BYOIP CIDR 使用的任何集區上設定地區設定。
此步驟必須由 IPAM 帳戶完成。
執行以下命令:
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account
```
您會在輸出結果中看到您已建立的 IPAM。請記下 `PublicDefaultScopeId` 的值。下一個步驟需使用您的公有範圍 ID。您要使用公有範圍是因為 BYOIP CIDR 是公有 IP 地址,這也是公有範圍的用途。
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
```
## 步驟 3:建立最上層 IPAM 集區
完成本節中的步驟來建立最上層 IPAM 集區。
此步驟必須由 IPAM 帳戶完成。
**使用 為所有 AWS 資源建立 IPv4 地址集區 AWS CLI**
1. 執行下列命令以建立 IPAM 集區。使用您在上一個步驟中建立的 IPAM 公有範圍 ID。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv4-pool" --address-family ipv4 --profile ipam-account
```
您會在輸出結果中看到 `create-in-progress`,表示正在建立集區。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
下例的輸出結果顯示集區的狀態:
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-IPV4-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
]
}
```
## 步驟 4:在最上層集區佈建 CIDR
在最上層集區佈建 CIDR 區塊。請注意,在最上層集區內的某集區佈建 IPv4 CIDR 時,您可佈建的最小 IPv4 CIDR 為 `/24`;不得佈建更明確的 CIDR (例如 `/25`)。
**注意**
如果您[使用 X.509 憑證驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert),則必須包含在該步驟中建立的 CIDR 和 BYOIP 訊息和憑證簽章,以便我們能夠驗證您是否控制公有空間。
如果您[使用 DNS TXT 記錄驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt),則必須包含在該步驟中建立的 CIDR 和 IPAM 驗證符記,以便我們能夠驗證您是否控制公有空間。
只有在最上層集區中佈建 BYOIP CIDR 時才需驗證網域控制。最上層集區內的區域集區可省略網域控制擁有權選項。
此步驟必須由 IPAM 帳戶完成。
**重要**
只有在最上層集區中佈建 BYOIP CIDR 時才需驗證網域控制。最上層集區內的區域集區可省略網域控制選項。將 BYOIP 加入至 IPAM 後,如果要將 BYOIP 分割給多個區域與帳戶,就無需再驗證擁有權。
**使用 將 CIDR 區塊佈建至集區 AWS CLI**
1. 若要使用憑證資訊佈建 CIDR,請使用下列命令範例。除了視需要在範例中替換這些值之外,請確保將 `Message` 和 `Signature` 值替換為您在 [使用 X.509 憑證驗證網域](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert) 中獲得的 `text_message` 和 `signed_message` 值。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profile ipam-account
```
若要使用驗證符記資訊佈建 CIDR,請使用下列命令範例。除了視需要在範例中替換這些值之外,請確保將 `ipam-ext-res-ver-token-0309ce7f67a768cf0` 替換為您在 [使用 DNS TXT 記錄驗證網域](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt) 中獲得的 `IpamExternalResourceVerificationTokenId` 符記 ID。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account
```
輸出結果會顯示 CIDR 的佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. 請先確定此 CIDR 已佈建,然後再繼續。
**重要**
大多數佈建會在兩個小時內完成,但公開可廣告範圍的佈建過程最多可能需要一週的時間。
執行下列命令,直到輸出結果顯示 `provisioned` 的狀態為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
下例的輸出結果即顯示狀態。
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## 步驟 5:在最上層集區內建立一個區域集區。
在最上層集區內建立一個區域集區。
集區的地區設定應是下列其中一項:
+ 您希望此 IPAM 集區可用於配置 AWS 的區域。
+ 您希望此 IPAM 集區可用於配置的 AWS Local Zone 的網路邊界群組 ([支援的 Local Zones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-zone-avail))。此選項僅適用於公有範圍內的 IPAM IPv4 集區。
+ [AWS 專用本地區域](https://aws.amazon.com/dedicatedlocalzones/)。若要在 AWS 專用本機區域中建立集區,請在選取器輸入中輸入 AWS 專用本機區域。
+ `Global` 當您想要在所有 AWS 區域全域使用 IP 地址時,例如 CloudFront 位置。`Global` 地區設定僅適用於公有 IPv4 集區。
例如,您只能從與 VPC 區域共用地區設定的 IPAM 集區為 VPC 配置 CIDR。請注意,當您為集區選擇地區時,您無法對其進行修改。如果 IPAM 的主區域因中斷而無法使用,且集區的地區設定與 IPAM 的主區域不同,則仍然可以使用集區來配置 IP 位址。
當您執行本節中的命令時,`--region` 的值必須包含您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項。例如,如果您使用 *us-east-1* 作為地區設定建立了 BYOIP 集區,則 `--region` 應為 *us-east-1*。如果您使用 *us-east-1-scl-1* 作為地區設定建立了 BYOIP 集區 (該地區為本地區域的網路邊界群組),則 `--region` 應為 *us-east-1*,因為該區域會管理 *us-east-1-scl-1* 這一地區設定。
此步驟必須由 IPAM 帳戶完成。
選擇地區設定可確保您的集區和從中分配的資源之間沒有跨區域的依賴關係。可用選項來自您在建立 IPAM 時選擇的作業區域。在本教學課程中,我們將會使用 `us-west-2` 作為區域集區的地區設定。
**重要**
建立集區時,必須包含 `--aws-service ec2`。您選取的服務會決定 CIDR 可公告 AWS 的服務。目前,唯一的選項是 `ec2`,這意味著從此集區配置的 CIDR 可針對 Amazon EC2 服務 (適用於彈性 IP 地址) 和 Amazon VPC 服務 (適用於與 VPC 關聯的 CIDR) 進行公告。
**使用 建立區域集區 AWS CLI**
1. 執行下列命令以建立集區。
```
aws ec2 create-ipam-pool --description "Regional-IPv4-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-0a03d430ca3f5c035 --locale us-west-2 --address-family ipv4 --aws-service ec2 --profile ipam-account
```
您會在輸出結果中看到 IPAM 建立了集區。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "Regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"ServiceType": "ec2"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
您會在輸出結果中看到 IPAM 內的集區。在本教學課程中,我們建立了最上層和區域集區,所以這兩種集區您都會看到。
## 步驟 6:在區域集區中佈建 CIDR
在區域集區中佈建 CIDR 區塊。
**注意**
在最上層集區內的某集區佈建 CIDR 時,您可佈建的最具體的 IPv4 CIDR 為 `/24`;不得佈建更具體的 CIDR (例如 `/25`)。建立區域集區後,您可以在同一區域集區內建立更小的集區 (例如 `/25`)。請注意,如果您共用區域集區或其中的集區,這些集區只能在相同區域集區的區域設定中使用。
此步驟必須由 IPAM 帳戶完成。
**使用 將 CIDR 區塊指派給區域集區 AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
輸出結果會顯示 CIDR 的佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `provisioned` 的狀態為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
下例的輸出結果顯示正確狀態。
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## 步驟 7:公告 CIDR
本節中的步驟必須由 IPAM 帳戶完成。將彈性 IP 地址 (EIP) 與執行個體或 Elastic Load Balancer 建立關聯後,您就可以開始公告您帶到 AWS 已`--aws-service ec2`定義集區中的 CIDR。在本教學課程中是指您的區域集區。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項相符。
此步驟必須由 IPAM 帳戶完成。
**注意**
廣告狀態不會限制您配置彈性 IP 位址的能力。即使您的 BYOIPv4 CIDR 沒有公告,您仍然可以從 IPAM 集區建立 EIP。
**使用 開始公告 CIDR AWS CLI**
+ 執行下列命令以公告 CIDR。
```
aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
您會在輸出結果中看到 CIDR 已公告。
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "advertised"
}
}
```
## 第 8 步:共用區域集區
遵循本節中的步驟,使用 AWS Resource Access Manager (RAM) 共用 IPAM 集區。
### 在 中啟用資源共用 AWS RAM
建立 IPAM 之後,您會想要與組織中的其他帳戶共用區域集區。在您共用 IPAM 集區之前,請完成本節中的步驟,以啟用與 共用資源 AWS RAM。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile management-account`選項。
**啟用資源共用**
1. 使用 AWS Organizations 管理帳戶,在 https://[https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) 開啟 AWS RAM 主控台。
1. 在左側導覽窗格中,選擇**設定**,選擇**啟用共用 AWS Organizations**,然後選擇**儲存設定**。
您現在可以與組織的其他成員共用 IPAM 集區。
### 使用 共用 IPAM 集區 AWS RAM
在本節中,您將與另一個 AWS Organizations 成員帳戶共用區域集區。如需共用 IPAM 集區的完整說明 (包括所需 IAM 許可的相關資訊),請參閱 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile ipam-account`選項。
**使用 共用 IPAM 集區 AWS RAM**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍,選擇 IPAM 集區,然後選擇 **動作** > **檢視詳細資料**。
1. 在 **Resource sharing** (資源共用) 底下,選擇 **Create resource share** (建立資源共用)。 AWS RAM 主控台隨即開啟。您可以使用 共用集區 AWS RAM。
1. 選擇 **Create a resource share** (建立資源共用)。
1. 在 AWS RAM 主控台中,再次選擇**建立資源共享**。
1. 新增共用集區的**名稱**。
1. 在 **選取資源類型** 下,選擇 **IPAM 集區**,然後選擇您要共用的集區 ARN。
1. 選擇**下一步**。
1. 選擇 **AWSRAMPermissionIpamPoolByoipCidrImport** 許可。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md) 中了解有關這些選項的詳細資訊。
1. 選擇**下一步**。
1. 在**主體** > **選取主體類型**下,選擇 **AWS 帳戶**並輸入要將 IP 地址範圍帶入 IPAM 之帳戶的帳戶 ID,然後選擇**新增**。
1. 選擇**下一步**。
1. 檢閱資源共用選項,以及您要與其共用的主體,然後選擇**建立**。
1. 若要允許 **member-account** 帳戶從 IPAM 集區配置 IP 位址 CIDRS,請使用 `AWSRAMDefaultPermissionsIpamPool` 建立第二個資源共用。`--resource-arns` 值為您在上一節建立之 IPAM 集區的 ARN。`--principals` 的值是 **member-account** 的帳戶 ID。`--permission-arns` 值為 `AWSRAMDefaultPermissionsIpamPool` 許可的 ARN。
## 第 9 步:從集區配置彈性 IP 位址
按照本節中的步驟,從集區配置彈性 IP 位址。請注意,如果您使用公有 IPv4 集區來配置彈性 IP 位址,您可以使用 [第 9 步的替代方案](#tutorials-byoip-ipam-ipv4-cli-alt) 中的替代步驟,而非本節中的步驟。
**重要**
如果您看到與沒有呼叫 ec2:AllocateAddress 相關的錯誤,則需要更新目前指派給與您共用的 IPAM 集區的受管許可。聯絡建立資源共用的人員,並要求他們將受管許可 `AWSRAMPermissionIpamResourceDiscovery` 更新為預設版本。如需詳細資訊,請參閱《*AWS RAM 使用者指南*》中的[更新資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。
------
#### [ AWS Management Console ]
請依照*《Amazon EC2 使用者指南》*中的[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)中的步驟配置地址,但請注意下列事項:
+ 此步驟必須由該成員帳戶完成。
+ 請確定您在 EC2 主控台中的 AWS 區域與您在建立區域集區時選擇的區域設定選項相符。
+ 選擇地址集區時,請選擇**使用 IPv4 IPAM 集區配置**的選項,然後選擇您建立的區域集區。
------
#### [ Command line ]
使用 [allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 命令從集區配置地址。您使用的 `--region` 必須與您在步驟 2 中建立集區時所選擇的 `-locale` 選項相符。在 `--ipam-pool-id` 中包含您在第 2 步中建立的 IPAM 集區的 ID。您也可以選擇 IPAM 集區中的特定 `/32`,方法是使用 `--address` 選項。
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
回應範例:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)。
------
## 第 10 步:建立彈性 IP 位址與 EC2 執行個體的關聯
完成本節中的步驟,建立彈性 IP 位址與 EC2 執行個體的關聯。
------
#### [ AWS Management Console ]
請遵循《*Amazon EC2 使用者指南*》中的[關聯彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating)的步驟,從 IPAM 集區配置彈性 IP 地址,但請注意下列事項:當您使用 AWS 管理主控台選項時,您在 中關聯彈性 IP 地址 AWS 的區域必須符合您在建立區域集區時選擇的區域設定選項。
此步驟必須由該成員帳戶完成。
------
#### [ Command line ]
此步驟必須由該成員帳戶完成。設定 `--profile member-account` 選項。
使用 [associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 命令,建立彈性 IP 位址與 Outpost 執行個體的關聯。您在 `--region` 中關聯彈性 IP 位址的 `--locale` 選項必須與您創建區域集區時選擇的選項相符。
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
回應範例:
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[將彈性 IP 位址與執行中的執行個體或網路介面建立關聯](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating)。
------
## 步驟 11:清除
請依照本節中的步驟清除您在本教學課程中佈建和建立的資源。當您執行本節中的命令時,`--region` 的值必須包含您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項。
**使用 清除 AWS CLI**
1. 檢視管理於 IPAM 中的 EIP 分配。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
1. 停止公告 IPv4 CIDR。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
您會在輸出結果中看到 CIDR 狀態從 **advertised** (已公告) 變成 **provisioned** (已佈建)。
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
}
```
1. 釋出彈性 IP 地址。
此步驟必須由該成員帳戶完成。
```
aws ec2 release-address --region us-west-2 --allocation-id eipalloc-0db3405026756dbf6 --profile member-account
```
當您執行此命令時,將不會看到任何輸出結果。
1. 檢視不再以 IPAM 進行管理的 EIP 分配。IPAM 可能需要一段時間才能發現彈性 IP 地址已遭移除。您無法繼續清除和解除佈建 IPAM 集區的 CIDR,直到您發現配置已從 IPAM 移除為止。當您執行本節中的命令時,`--region` 的值必須包含您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": []
}
```
1. 解除佈建區域集區 CIDR。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
輸出結果會顯示 CIDR 的解除佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
解除佈建需要一段時間才能完成。檢查解除佈建狀態。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
請等到狀態變成 **deprovisioned** (已解除佈建) 後,再繼續進行下一個步驟。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. 刪除 RAM 共用並停用與 AWS Organizations 整合的 RAM。完成 RAM [AWS 使用者指南中的刪除 RAM 中的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)和[停用與 AWS Organizations 的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)中的步驟,以刪除 RAM 共用並停用與 AWS Organizations 的 RAM 整合。 *AWS *
此步驟必須各自由 IPAM 帳戶和管理帳戶完成。如果您使用 AWS CLI 刪除 RAM 共用並停用 RAM 整合,請使用 ` --profile ipam-account`和 ` --profile management-account`選項。
1. 刪除區域集區。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
您可在輸出結果中看到刪除狀態。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv4-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. 解除佈建最上層集區 CIDR。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --profile ipam-account
```
輸出結果會顯示 CIDR 的解除佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
解除佈建需要一段時間才能完成。執行下列命令以檢查解除佈建的狀態。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
請等到狀態變成 **deprovisioned** (已解除佈建) 後,再繼續進行下一個步驟。
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. 刪除上層集區。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
您可在輸出結果中看到刪除狀態。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. 刪除 IPAM。當您執行本步驟中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account
```
您會在輸出結果中看到 IPAM 回應。這表示 IPAM 已刪除。
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
}
}
```
## 第 9 步的替代方案
如果您使用公有 IPv4 集區來配置彈性 IP 位址,您可以使用本節中的步驟,而非 [第 9 步:從集區配置彈性 IP 位址](#tutorials-byoip-ipam-ipv4-console-cli-all-eip) 中的步驟。
**Topics**
+ [第 1 步:建立公有 IPv4 集區](#tutorials-byoip-ipam-ipv4-9)
+ [第 2 步:在公有 IPv4 集區佈建公有 IPv4 CIDR](#tutorials-byoip-ipam-ipv4-9)
+ [第 3 步:在公有 IPv4 集區中建立彈性 IP 位址](#tutorials-byoip-ipam-ipv4-10)
+ [第 9 步清除的替代方案](#tutorials-byoip-ipam-ipv4-cli-alt-cleanup)
### 第 1 步:建立公有 IPv4 集區
此步驟通常由想要佈建彈性 IP 地址的不同 AWS 帳戶完成,例如成員帳戶。
**重要**
公有 IPv4 集區和 IPAM 集區由 中的不同資源管理 AWS。公有 IPv4 集區是單一帳戶資源,可讓您將公有的 CIDR 轉換為彈性 IP 地址。使用 IPAM 集區可將公有空間配置給公有 IPv4 集區。
**使用 建立公有 IPv4 集區 AWS CLI**
+ 執行下列命令以佈建 CIDR。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項相符。
```
aws ec2 create-public-ipv4-pool --region us-west-2 --profile member-account
```
您會在輸出結果中看到公有 IPv4 集區 ID。下一個步驟需要用到此 ID。
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2"
}
```
### 第 2 步:在公有 IPv4 集區佈建公有 IPv4 CIDR
在公有 IPv4 集區中佈建公有 IPv4 CIDR。`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 值相符。您可以定義的最不具體的 `--netmask-length` 是 `24`。
此步驟必須由該成員帳戶完成。
**使用 建立公有 IPv4 集區 AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 provision-public-ipv4-pool-cidr --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --netmask-length 24 --profile member-account
```
輸出結果會顯示已佈建的 CIDR。
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"PoolAddressRange": {
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
}
```
1. 執行下列命令以檢視公有 IPv4 集區中佈建的 CIDR。
```
aws ec2 describe-byoip-cidrs --region us-west-2 --max-results 10 --profile member-account
```
輸出結果會顯示已佈建的 CIDR。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。透過本教學課程的最後一個步驟可設定此 CIDR,使其公告在網路上。
```
{
"ByoipCidrs": [
{
"Cidr": "130.137.245.0/24",
"StatusMessage": "Cidr successfully provisioned",
"State": "provisioned"
}
]
}
```
### 第 3 步:在公有 IPv4 集區中建立彈性 IP 位址
在公有 IPv4 集區中建立彈性 IP 地址 (EIP)。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項相符。
此步驟必須由該成員帳戶完成。
**使用 從公有 IPv4 集區建立 EIP AWS CLI**
1. 執行下列命令以建立 EIP。
```
aws ec2 allocate-address --region us-west-2 --public-ipv4-pool ipv4pool-ec2-0019eed22a684e0b2 --profile member-account
```
您會在輸出結果中看到配置。
```
{
"PublicIp": "130.137.245.100",
"AllocationId": "eipalloc-0db3405026756dbf6",
"PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
1. 執行下列命令以檢視透過 IPAM 進行管理的 EIP 配置。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
### 第 9 步清除的替代方案
請完成下列步驟,以清除使用第 9 步的替代方案建立的公有 IPv4 集區。您應該在 [步驟 10:清除](tutorials-byoip-ipam-ipv6.md#tutorials-byoip-ipam-ipv4-cleanup) 中的標準清除程序期間釋出彈性 IP 位址之後,完成這些步驟。
1. 檢視您的 BYOIP CIDR。
此步驟必須由該成員帳戶完成。
```
aws ec2 describe-public-ipv4-pools --region us-west-2 --profile member-account
```
輸出結果會顯示 BYOIP CIDR 中的 IP 地址。
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 256,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
1. 釋出公有 IPv4 集區的 CIDR。當您執行本節中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由該成員帳戶完成。
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --cidr 130.137.245.0/24 --profile member-account
```
1. 再次檢視您的 BYOIP CIDR,並確保其中不再有已佈建的地址。當您執行本節中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由該成員帳戶完成。
```
aws ec2 describe-public-ipv4-pools --region us-east-1 --profile member-account
```
您會在輸出結果的公有 IPv4 集區中看到 IP 地址計數。
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
# 僅使用 CLI 將您自己的 IPv6 CIDR AWS 帶到 IPAM
請依照下列步驟,僅使用 AWS CLI,自攜 IPv6 CIDR 至 IPAM,並分配 VPC。
如果您不需要透過網際網路公告 IPv6 地址,則可以將私有 GUA IPv6 地址佈建至 IPAM。如需詳細資訊,請參閱[啟用佈建私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md)。
**重要**
此教學課程假設您已完成下列各節中的步驟:
[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md).
[建立 IPAM](create-ipam.md).
本教學課程的每個步驟必須由三個 AWS Organizations 帳戶的其中一個完成:
管理帳戶。
在 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md) 中設定為您 IPAM 管理員的成員帳戶。在本教學課程中,此帳戶將稱為 IPAM 帳戶。
您組織中的成員帳戶將會從 IPAM 集區分配 CIDR。在本教學課程中,此帳戶將稱為成員帳戶。
**Topics**
+ [步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色](#tutorials-create-profiles)
+ [步驟 2:建立 IPAM](#tutorials-byoip-ipam-ipv6-2)
+ [步驟 3:建立 IPAM 集區](#tutorials-byoip-ipam-ipv6-3)
+ [步驟 4:在最上層集區佈建 CIDR](#tutorials-byoip-ipam-ipv6-4)
+ [步驟 5:在最上層集區內建立一個區域集區。](#tutorials-byoip-ipam-ipv6-5)
+ [步驟 6:在區域集區中佈建 CIDR](#tutorials-byoip-ipam-ipv6-6)
+ [步驟 7. 共用區域集區](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [步驟 8:使用 IPv6 CIDR 建立 VPC](#tutorials-byoip-ipam-ipv6-8)
+ [步驟 9:公告 CIDR](#tutorials-byoip-ipam-ipv6-9)
+ [步驟 10:清除](#tutorials-byoip-ipam-ipv4-cleanup)
## 步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色
若要以單一 AWS 使用者身分完成本教學課程,您可以使用 AWS CLI 具名設定檔從一個 IAM 角色切換到另一個角色。[具名設定檔](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)是您在搭配 AWS CLI使用 `--profile` 選項時所參考的設定和憑證的集合。如需如何為 AWS 帳戶建立 IAM 角色和具名設定檔的詳細資訊,請參閱[《》中的使用 IAM 角色 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)。
為您將在本教學課程中使用的三個 AWS 帳戶各建立一個角色和一個具名設定檔:
+ `management-account` 為 AWS Organizations 管理帳戶呼叫的設定檔。
+ `ipam-account` 為 AWS Organizations 成員帳戶呼叫的設定檔,設定為您的 IPAM 管理員。
+ 您組織中 `member-account` AWS Organizations 成員帳戶的 設定檔,將從 IPAM 集區配置 CIDRs。
建立 IAM 角色和具名設定檔後,請返回此頁面並繼續下一個步驟。在本教學課程的其餘部分,您會注意到範例 AWS CLI 命令使用 `--profile`選項搭配其中一個具名設定檔,以指出哪個帳戶必須執行 命令。
## 步驟 2:建立 IPAM
此為選擇性步驟。如果已建立 IPAM,其作業區域為 `us-east-1` 和 `us-west-2`,則可略過此步驟。建立 IPAM 並指定作業區域為 `us-east-1` 和 `us-west-2`。必須選取作業區域,才能在建立 IPAM 集區時使用地區設定選項。IPAM 與 BYOIP 整合需要在 BYOIP CIDR 使用的任何集區上設定地區設定。
此步驟必須由 IPAM 帳戶完成。
執行以下命令:
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account
```
您會在輸出結果中看到您已建立的 IPAM。請記下 `PublicDefaultScopeId` 的值。下一個步驟需使用您的公有範圍 ID。
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
```
## 步驟 3:建立 IPAM 集區
由於您要建立內含區域集區的最上層 IPAM 集區,而且我們要從區域集區配置空間給資源 (VPC),因此您必須在區域集區 (而不是最上層集區) 上設定地區設定。在稍後的步驟中建立區域集區時,您會新增區域集區的地區設定。IPAM 與 BYOIP 整合需要在 BYOIP CIDR 使用的任何集區上設定地區設定。
此步驟必須由 IPAM 帳戶完成。
如果您希望 AWS 透過公有網際網路 (`--publicly-advertisable` 或 ) 公告此 IPAM 集區 CIDR,請選擇 `--no-publicly-advertisable`。
**注意**
請注意,範圍 ID 需為公有範圍的 ID,且地址系列需為 `ipv6`。
**使用 為所有 AWS 資源建立 IPv6 地址集區 AWS CLI**
1. 執行下列命令以建立 IPAM 集區。使用您在上一個步驟中建立的 IPAM 公有範圍 ID。
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv6-pool" --address-family ipv6 --publicly-advertisable --profile ipam-account
```
您會在輸出結果中看到 `create-in-progress`,表示正在建立集區。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-Ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": []
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
下例的輸出結果顯示集區的狀態:
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-Ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": []
}
}
```
## 步驟 4:在最上層集區佈建 CIDR
在最上層集區佈建 CIDR 區塊。請注意,在將 IPv6 CIDR 配置到頂層集區內的集區時,針對可公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對不可公開公告的 CIDR,則是 /60。
**注意**
如果您[使用 X.509 憑證驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert),則必須包含在該步驟中建立的 CIDR 和 BYOIP 訊息和憑證簽章,以便我們能夠驗證您是否控制公有空間。
如果您[使用 DNS TXT 記錄驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt),則必須包含在該步驟中建立的 CIDR 和 IPAM 驗證符記,以便我們能夠驗證您是否控制公有空間。
只有在最上層集區中佈建 BYOIP CIDR 時才需驗證網域控制。最上層集區內的區域集區可省略網域控制擁有權選項。
此步驟必須由 IPAM 帳戶完成。
**使用 將 CIDR 區塊佈建至集區 AWS CLI**
1. 若要使用憑證資訊佈建 CIDR,請使用下列命令範例。除了視需要在範例中替換這些值之外,請確保將 `Message` 和 `Signature` 值替換為您在 [使用 X.509 憑證驗證網域](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert) 中獲得的 `text_message` 和 `signed_message` 值。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|2605:9cc0:409::/48|20250101|SHA256|RSAPSS",Signature="FU26~vRG~NUGXa~akxd6dvdcCfvL88g8d~YAuai-CR7HqMwzcgdS9RlpBGtfIdsRGyr77LmWyWqU9Xp1g2R1kSkfD00NiLKLcv9F63k6wdEkyFxNp7RAJDvF1mBwxmSgH~Crt-Vp6LON3yOOXMp4JENB9uM7sMlu6oeoutGyyhXFeYPzlGSRdcdfKNKaimvPCqVsxGN5AwSilKQ8byNqoa~G3dvs8ueSaDcT~tW4CnILura70nyK4f2XzgPKKevAD1g8bpKmOFMbHS30CxduYknnDl75lvEJs1J91u3-wispI~r69fq515UR19TA~fmmxBDh1huQ8DkM1rqcwveWow__" --profile ipam-account
```
若要使用驗證符記資訊佈建 CIDR,請使用下列命令範例。除了視需要在範例中替換這些值之外,請確保將 `ipam-ext-res-ver-token-0309ce7f67a768cf0` 替換為您在 [使用 DNS TXT 記錄驗證網域](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt) 中獲得的 `IpamExternalResourceVerificationTokenId` 符記 ID。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account
```
輸出結果會顯示 CIDR 的佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-provision"
}
}
```
1. 請先確定此 CIDR 已佈建,然後再繼續。
**重要**
大多數佈建會在兩個小時內完成,但公開可廣告範圍的佈建過程最多可能需要一週的時間。
執行下列命令,直到輸出結果顯示 `provisioned` 的狀態為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
下例的輸出結果即顯示狀態。
```
{
"IpamPoolCidrs": [
{
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
]
}
```
## 步驟 5:在最上層集區內建立一個區域集區。
在最上層集區內建立一個區域集區。集區上需有 `--locale`,且其必須是您在建立 IPAM 時設定的作業區域之一。
此步驟必須由 IPAM 帳戶完成。
**重要**
建立集區時,必須包含 `--aws-service ec2`。您選取的服務會決定 CIDR 可公告 AWS 的服務。目前,唯一的選項是 `ec2`,這意味著從此集區配置的 CIDR 可針對 Amazon EC2 服務和 Amazon VPC 服務 (適用於與 VPC 關聯的 CIDR) 進行公告。
**使用 建立區域集區 AWS CLI**
1. 執行下列命令以建立集區。
```
aws ec2 create-ipam-pool --description "Regional-IPv6-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-07f2466c7158b50c4 --locale us-west-2 --address-family ipv6 --aws-service ec2 --profile ipam-account
```
您會在輸出結果中看到 IPAM 建立了集區。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": [],
"ServiceType": "ec2"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
您會在輸出結果中看到 IPAM 內的集區。在本教學課程中,我們建立了最上層和區域集區,所以這兩種集區您都會看到。
## 步驟 6:在區域集區中佈建 CIDR
在區域集區中佈建 CIDR 區塊。請注意,在將 CIDR 配置到頂層集區內的集區時,針對可公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對不可公開公告的 CIDR,則是 /60。
此步驟必須由 IPAM 帳戶完成。
**使用 將 CIDR 區塊指派給區域集區 AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
輸出結果會顯示 CIDR 的佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-provision"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `provisioned` 的狀態為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
下例的輸出結果顯示正確狀態。
```
{
"IpamPoolCidrs": [
{
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
]
}
```
## 步驟 7. 共用區域集區
遵循本節中的步驟,使用 AWS Resource Access Manager (RAM) 共用 IPAM 集區。
### 在 中啟用資源共用 AWS RAM
建立 IPAM 之後,您會想要與組織中的其他帳戶共用區域集區。在您共用 IPAM 集區之前,請完成本節中的步驟,以啟用與 共用資源 AWS RAM。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile management-account`選項。
**啟用資源共用**
1. 使用 AWS Organizations 管理帳戶,在 https://[https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) 開啟 AWS RAM 主控台。
1. 在左側導覽窗格中,選擇**設定**,選擇**啟用共用 AWS Organizations**,然後選擇**儲存設定**。
您現在可以與組織的其他成員共用 IPAM 集區。
### 使用 共用 IPAM 集區 AWS RAM
在本節中,您將與另一個 AWS Organizations 成員帳戶共用區域集區。如需共用 IPAM 集區的完整說明 (包括所需 IAM 許可的相關資訊),請參閱 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。如果您使用 AWS CLI 來啟用資源共用,請使用 `--profile ipam-account`選項。
**使用 共用 IPAM 集區 AWS RAM**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍,選擇 IPAM 集區,然後選擇 **動作** > **檢視詳細資料**。
1. 在 **Resource sharing** (資源共用) 底下,選擇 **Create resource share** (建立資源共用)。 AWS RAM 主控台隨即開啟。您可以使用 共用集區 AWS RAM。
1. 選擇 **Create a resource share** (建立資源共用)。
1. 在 AWS RAM 主控台中,再次選擇**建立資源共享**。
1. 新增共用集區的**名稱**。
1. 在 **選取資源類型** 下,選擇 **IPAM 集區**,然後選擇您要共用的集區 ARN。
1. 選擇**下一步**。
1. 選擇 **AWSRAMPermissionIpamPoolByoipCidrImport** 許可。許可選項的詳細資料未涵蓋在本教學課程的範圍,但您可以在 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md) 中了解有關這些選項的詳細資訊。
1. 選擇**下一步**。
1. 在**主體** > **選取主體類型**下,選擇 **AWS 帳戶**並輸入要將 IP 地址範圍帶入 IPAM 之帳戶的帳戶 ID,然後選擇**新增**。
1. 選擇**下一步**。
1. 檢閱資源共用選項,以及您要與其共用的主體,然後選擇**建立**。
1. 若要允許 **member-account** 帳戶從 IPAM 集區配置 IP 位址 CIDRS,請使用 `AWSRAMDefaultPermissionsIpamPool` 建立第二個資源共用。`--resource-arns` 值為您在上一節建立之 IPAM 集區的 ARN。`--principals` 的值是 **member-account** 的帳戶 ID。`--permission-arns` 值為 `AWSRAMDefaultPermissionsIpamPool` 許可的 ARN。
## 步驟 8:使用 IPv6 CIDR 建立 VPC
使用 IPAM 集區 ID 建立 VPC。同時還必須使用 `--cidr-block` 選項使 IPv4 CIDR 區塊與 VPC 產生關聯,否則請求會失敗。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的集區時所輸入的 `--locale` 選項相符。
此步驟必須由該成員帳戶完成。
**使用 建立具有 IPv6 CIDR 的 VPC AWS CLI**
1. 執行下列命令以佈建 CIDR。
```
aws ec2 create-vpc --region us-west-2 --ipv6-ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr-block 10.0.0.0/16 --ipv6-netmask-length 56 --profile member-account
```
您會在輸出結果中看到建立的 VPC。
```
{
"Vpc": {
"CidrBlock": "10.0.0.0/16",
"DhcpOptionsId": "dopt-2afccf50",
"State": "pending",
"VpcId": "vpc-00b5573ffc3b31a29",
"OwnerId": "123456789012",
"InstanceTenancy": "default",
"Ipv6CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-01b5703d6cc695b5b",
"Ipv6CidrBlock": "2605:9cc0:409::/56",
"Ipv6CidrBlockState": {
"State": "associating"
},
"NetworkBorderGroup": "us-east-1",
"Ipv6Pool": "ipam-pool-0053b7d2b4fc3f730"
}
],
"CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-09cccb07d4e9a0e0e",
"CidrBlock": "10.0.0.0/16",
"CidrBlockState": {
"State": "associated"
}
}
],
"IsDefault": false
}
}
```
1. 檢視 IPAM 中的 VPC 配置。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
您會在輸出結果中看到 IPAM 內的配置。
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
## 步驟 9:公告 CIDR
使用 IPAM 中配置的 CIDR 建立 VPC 之後,您就可以開始公告您帶到的 CIDR AWS ,該 CIDR 位於已`--aws-service ec2`定義的集區中。在本教學課程中是指您的區域集區。預設情況下不會公告 CIDR,亦即,不能透過網際網路公開存取它。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的區域集區時所輸入的 `--locale` 選項相符。
此步驟必須由 IPAM 帳戶完成。
**使用 開始公告 CIDR AWS CLI**
+ 執行下列命令以公告 CIDR。
```
aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
您會在輸出結果中看到 CIDR 已公告。
```
{
"ByoipCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "advertised"
}
}
```
## 步驟 10:清除
請依照本節中的步驟清除您在本教學課程中佈建和建立的資源。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的區域集區時所輸入的 `--locale` 選項相符。
**使用 清除 AWS CLI**
1. 執行下列命令以檢視透過 IPAM 進行管理的 VPC 配置。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
1. 執行下列命令以停止公告 CIDR。當您執行本步驟中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的區域集區時所輸入的 `--locale` 選項相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
您會在輸出結果中看到 CIDR 狀態從 **advertised** (已公告) 變成 **provisioned** (已佈建)。
```
{
"ByoipCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
}
```
1. 執行下列命令以刪除 VPC。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的區域集區時所輸入的 `--locale` 選項相符。
此步驟必須由該成員帳戶完成。
```
aws ec2 delete-vpc --region us-west-2 --vpc-id vpc-00b5573ffc3b31a29 --profile member-account
```
當您執行此命令時,將不會看到任何輸出結果。
1. 執行下列命令以檢視透過 IPAM 中的 VPC 配置。IPAM 可能需要一段時間才會發現 VPC 已遭刪除並移除此配置。當您執行本節中的命令時,`--region` 的值必須與您在建立 BYOIP CIDR 即將使用的區域集區時所輸入的 `--locale` 選項相符。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
重新執行命令並尋找要移除的配置。您無法繼續清除和解除佈建 IPAM 集區的 CIDR,直到您發現配置已從 IPAM 移除為止。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
輸出結果會顯示該配置已從 IPAM 中刪除。
```
{
"IpamPoolAllocations": []
}
```
1. 刪除 RAM 共用並停用與 AWS Organizations 整合的 RAM。完成 RAM [AWS 使用者指南中的刪除 RAM 中的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)和[停用與 AWS Organizations 的資源共用](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)中的步驟,以刪除 RAM 共用並停用與 AWS Organizations 的 RAM 整合。 *AWS *
此步驟必須各自由 IPAM 帳戶和管理帳戶完成。如果您使用 AWS CLI 刪除 RAM 共用並停用 RAM 整合,請使用 ` --profile ipam-account`和 ` --profile management-account`選項。
1. 執行下列命令以解除佈建區域集區的 CIDR。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
輸出結果會顯示 CIDR 的解除佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-deprovision"
}
}
```
解除佈建需要一段時間才能完成。繼續執行命令,直到 CIDR 狀態變成 **deprovisioned** (已解除佈建) 為止。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
輸出結果會顯示 CIDR 的解除佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "deprovisioned"
}
}
```
1. 執行下列命令以刪除區域集區。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
您可在輸出結果中看到刪除狀態。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6"
}
}
```
1. 執行下列命令以解除佈建最上層集區的 CIDR。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
輸出結果會顯示 CIDR 的解除佈建處於待定狀態。
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-deprovision"
}
}
```
解除佈建需要一段時間才能完成。執行下列命令以檢查解除佈建的狀態。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
請等到狀態變成 **deprovisioned** (已解除佈建) 後,再繼續進行下一個步驟。
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "deprovisioned"
}
}
```
1. 執行下列命令以刪除最上層集區。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
您可在輸出結果中看到刪除狀態。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6"
}
}
```
1. 執行下列命令以刪除 IPAM。
此步驟必須由 IPAM 帳戶完成。
```
aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account
```
您會在輸出結果中看到 IPAM 回應。這表示 IPAM 已刪除。
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
]
}
}
```
# 使用 IPAM 將您自己的 IP 帶到 CloudFront (支援 IPv4 和 IPv6)
IPAM 的 BYOIP for 全域服務可讓您將自己的 IPv4 和 IPv6 地址與 CloudFront 等 AWS 全域服務搭配使用。與區域 BYOIP 不同,您的 IP 地址會透過任何傳送路由同時從多個節點公告。
本教學課程涵蓋:
+ 為 IPv4 (/24) 和/或 IPv6 (/48) 地址範圍建立全域 IPAM 集區
+ 使用您自己的 IP 地址佈建 Anycast 靜態 IP 清單
+ 透過 CloudFront 節點在全球公告您的 CIDRs
+ 使用個別 IPv4 和 IPv6 IPAM 集區的雙堆疊組態
## 為什麼要使用此功能?
+ **維護 IP 允許清單** – 使用現有的已核准 IP 地址,而不是更新防火牆組態
+ **簡化遷移** – 從其他 CDNs 遷移而不變更 IP 基礎設施
+ **一致的品牌 –** 移至 時保留現有的 IP 地址空間 AWS
+ **IPv6 整備** – 支援具有 IPv4 和 IPv6 的現代雙堆疊架構
## 誰應該使用此功能?
需要具有全域內容交付之自有 IP 地址的組織:
+ 具有 IP 允許清單要求的大型企業
+ 使用現有 IP 地址從其他 CDNs 遷移的公司
+ 具有要求特定 IP 範圍之嚴格安全政策的組織
+ 需要雙堆疊 (IPv4/IPv6) 組態以實現全域覆蓋的企業
## 何時使用此功能?
當您需要下列項目時,請將 BYOIP 用於全域服務:
+ 與合作夥伴/用戶端維護現有的 IP 允許清單
+ 使用您的 IP 地址從另一個 CDN 遷移
+ 符合特定 IP 範圍的合規要求
+ 部署支援 IPv4 和 IPv6 用戶端的雙堆疊架構
**注意**
需要 IPv4 的 IPv4 CIDR 區塊。雙堆疊 (IPv4 和 IPv6) 需要 /24 IPv4 和 /48 IPv6 CIDR 區塊。目前僅適用於 CloudFront。
## 先決條件
請先完成下列步驟,再開始:
+ **IPAM 設定** – [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md)和 [建立 IPAM](create-ipam.md)
+ **網域驗證** – [驗證網域控制](tutorials-byoip-ipam-domain-verification-methods.md)
+ **建立頂層集區 – 遵循將您自己的 IPv4 CIDR 帶到 IPAM 和/或將您自己的 IPv6 CIDR 帶到 IPAM 中的步驟 1-2 (** [ IPv4 ](tutorials-byoip-ipam-console-ipv4.md) [ IPv6 ](tutorials-byoip-ipam-console-ipv6.md)
+ **ROA (路由來源授權)** – 如果部署雙堆疊,請確保同時為 IPv4 (/24) 和 IPv6 (/48) 字首設定 ROAs
## 全域服務組態步驟
下列步驟與標準區域 BYOIP 程序不同,並建立全域服務的模式。對於雙堆疊部署,您將為 IPv4 和 IPv6 建立單獨的集區,然後將兩者佈建至 CloudFront。
### 步驟 1:為任何廣播服務建立全域集區 (s)
不是建立區域集區,而是為任何廣播服務建立全域集區:
**主控台**
若要使用主控台建立全域集區:
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇**集區**
1. 選擇**建立集區**
1. **來源**:選擇最上層 BYOIP 集區
1. **地區設定**:選擇**全域**
1. **服務**:選擇**全域服務** (選取全域時出現)
1. **公有 IP 來源**:選擇 **BYOIP**
1. **要佈建CIDRs**:指定您的 /24 CIDR 範圍 (適用於 IPv4) 或 /48 CIDR 範圍 (適用於 IPv6)
1. 選擇**建立集區**
**CLI**
對於 IPv4:
```
aws ec2 create-ipam-pool \
--ipam-scope-id scope-id \
--locale None \
--address-family ipv4 \
--source-ipam-pool-id top-level-pool-id
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id global-pool-id \
--cidr your-ipv4-/24
```
對於 IPv6:
```
aws ec2 create-ipam-pool \
--ipam-scope-id scope-id \
--locale None \
--address-family ipv6 \
--source-ipam-pool-id top-level-pool-id
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id global-pool-id \
--cidr your-ipv6-/48
```
**重要**
對於 IPv4:您必須將完整的 /24 區塊配置到此集區。您可以在此區塊中為不同用途佈建更具體的範圍。
對於 IPv6:您必須將完整的 /48 區塊配置到此集區。您可以在此區塊中為不同用途佈建更具體的範圍。
### 步驟 2:建立服務特定的資源
針對 CloudFront,建立使用您的 IPAM 集區的任何廣播 IP 清單。如需詳細說明,請參閱《Amazon [ CloudFront 開發人員指南》中的使用 IPAM 將您自己的 IP 帶到](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/bring-your-own-ip-address-using-ipam.html) CloudFront。 *Amazon CloudFront *
**IPAM 整合的關鍵參數:**
+ **IP 地址類型** – 選擇 **BYOIP**
+ **IPAM 集**區 – 從步驟 1 選取您的全域集區 (IPv4 或 IPv6)
+ **IP 計數** – 輸入 **3** (CloudFront 需要)
### 步驟 3:與服務資源建立關聯
將您的 Anycast 靜態 IP 清單與 CloudFront 分佈建立關聯。如需詳細說明,請參閱《Amazon [ CloudFront 開發人員指南》中的使用 IPAM 將您自己的 IP 帶到](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/bring-your-own-ip-address-using-ipam.html) CloudFront。 *Amazon CloudFront *
**金鑰組態:**
+ 在分佈設定中,從步驟 2 選取您的 Anycast IP 清單
### 步驟 4:準備遷移
+ **降低 DNS TTL** – 將記錄的 DNS TTL 設定為 60 秒或更短
+ **等待傳播** – 允許新的 TTL 在網際網路上生效
### 步驟 5:全域公告 CIDR
使用 IPAM 全域公告命令:
**主控台**
若要使用主控台公告 CIDR:
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇**集區**
1. 選取您的全域集區
1. 選擇 **CIDRs**索引標籤
1. 選取您的 CIDR,然後選擇**動作** > **公告 CIDR**
1. 確認廣告
**CLI**
對於 IPv4:
```
aws ec2 advertise-byoip-cidr \
--cidr your-ipv4-/24
```
對於 IPv6:
```
aws ec2 advertise-byoip-cidr \
--cidr your-ipv6-/48
```
**重要**
在執行此命令之前,從先前的供應商中撤回公告
更新 DNS 記錄以指向 CloudFront 以完成遷移 (IPv4 的記錄、IPv6 的 AAAA 記錄)
## 清除
若要清除本教學課程中建立的資源:
+ **刪除 CloudFront 資源** – 遵循《Amazon [ CloudFront 開發人員指南》中的使用 IPAM 將您自己的 IP 帶到](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/bring-your-own-ip-address-using-ipam.html) CloudFront 中的清除說明 *Amazon CloudFront *
+ **撤銷 CIDR 並刪除 IPAM 集區** – 遵循 中的標準清除程序 [步驟 8:清除](tutorials-byoip-ipam-console-ipv4.md#tutorials-byoip-ipam-ipv4-console-cleanup)
**重要**
首先刪除 CloudFront 資源,然後繼續 IPAM 清除,以避免服務中斷。
# 教學課程:將 BYOIP IPv4 CIDR 傳輸至 IPAM
請依照下列步驟將現有的 IPv4 CIDR 傳輸至 IPAM。如果您已使用 IPv4 BYOIP CIDR AWS,您可以從公有 IPv4 集區將 CIDR 移至 IPAM。您無法將 IPv6 CIDR 移動至 IPAM。
本教學課程假設您已 AWS 使用 [Amazon EC2 中自有 IP 地址 (BYOIP)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html) 所述的程序,成功將 IP 地址範圍帶到 ,現在您想要將該 IP 地址範圍轉移到 IPAM。如果您是 AWS 第一次將新的 IP 地址帶到 ,請完成 中的步驟[教學課程:將 IP 地址帶入 IPAM](tutorials-byoip-ipam.md)。
如果您是將公用 IPv4 集區轉移至 IPAM,則對現有配置不會有影響。將公用 IPv4 集區轉移至 IPAM 後,視資源類型而定,您或許能監視現有的配置。如需詳細資訊,請參閱[依資源監控 CIDR 使用情況](monitor-cidr-compliance-ipam.md)。
**注意**
本教學課程假設您已完成 [建立 IPAM](create-ipam.md) 中的步驟。
本教學課程的每個步驟必須由兩個 AWS 帳戶之一完成:
IPAM 管理員的帳戶。在本教學課程中,此帳戶將稱為 IPAM 帳戶。
您組織中擁有 BYOIP CIDR 的帳戶。在本教學課程中,此帳戶將稱為 BYOIP CIDR 擁有者帳戶。
**Topics**
+ [步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色](#tutorials-byoip-ipam-ipv4-console-1)
+ [步驟 2:取得您 IPAM 的公有範圍 ID](#tutorials-byoip-ipam-transfer-ipv4-2)
+ [步驟 3:建立 IPAM 集區](#tutorials-byoip-ipam-transfer-ipv4-3)
+ [步驟 4:使用 共用 IPAM 集區 AWS RAM](#tutorials-byoip-ipam-transfer-ipv4-4)
+ [步驟 5:將現有的 BYOIP IPV4 CIDR 傳輸至 IPAM](#tutorials-byoip-ipam-transfer-ipv4-5)
+ [步驟 6:檢視 IPAM 中的 CIDR](#tutorials-byoip-ipam-transfer-ipv4-6)
+ [步驟 7:清除](#tutorials-byoip-ipam-transfer-ipv4-7)
## 步驟 1:建立 AWS CLI 具名設定檔和 IAM 角色
若要以單一 AWS 使用者身分完成本教學課程,您可以使用 AWS CLI 具名設定檔從一個 IAM 角色切換到另一個角色。[具名設定檔](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)是您在搭配 AWS CLI使用 `--profile` 選項時所參考的設定和憑證的集合。如需如何為 AWS 帳戶建立 IAM 角色和具名設定檔的詳細資訊,請參閱[《》中的使用 IAM 角色 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)。
為您將在本教學課程中使用的三個 AWS 帳戶各建立一個角色和一個具名設定檔:
+ `ipam-account` 為 IPAM 管理員 AWS 帳戶呼叫的設定檔。
+ 您組織中擁有 BYOIP CIDR `byoip-owner-account` 之 AWS 帳戶的 設定檔。
建立 IAM 角色和具名設定檔後,請返回此頁面並繼續下一個步驟。在本教學課程的其餘部分,您會注意到範例 AWS CLI 命令使用 `--profile`選項搭配其中一個具名設定檔,以指出哪個帳戶必須執行 命令。
## 步驟 2:取得您 IPAM 的公有範圍 ID
請依照本節中的步驟取得 IPAM 的公有範圍 ID。此步驟應由 **ipam-account** 帳戶執行。
執行以下命令以取得公有範圍 ID。
```
aws ec2 describe-ipams --region us-east-1 --profile ipam-account
```
您會在輸出結果中看到您的公有範圍 ID。請記下 `PublicDefaultScopeId` 的值。下一個步驟將需要此值。
```
{
"Ipams": [
{
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
]
}
```
## 步驟 3:建立 IPAM 集區
請依照本節中的步驟來建立 IPAM 集區。此步驟應由 **ipam-account** 帳戶執行。您建立的 IPAM 集區需為最上層集區,其 `--locale` 選項需與 BYOIP CIDR AWS 區域相符。只能將 BYOIP 傳輸至最上層 IPAM 集區。
**重要**
建立集區時,必須包含 `--aws-service ec2`。您選取的服務會決定 CIDR 可公告 AWS 的服務。目前,唯一的選項是 `ec2`,這意味著從此集區配置的 CIDR 可針對 Amazon EC2 服務 (適用於彈性 IP 地址) 和 Amazon VPC 服務 (適用於與 VPC 關聯的 CIDR) 進行公告。
**使用 為傳輸的 BYOIP CIDR 建立 IPv4 地址集區 AWS CLI**
1. 執行下列命令以建立 IPAM 集區。使用您在上一個步驟中取得的 IPAM 公有範圍 ID。
```
aws ec2 create-ipam-pool --region us-east-1 --profile ipam-account --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-pool" --locale us-west-2 --aws-service ec2 --address-family ipv4
```
您會在輸出結果中看到 `create-in-progress`,表示正在建立集區。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2"
}
}
```
1. 執行下列命令,直到輸出結果顯示 `create-complete` 的狀態為止。
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
下例的輸出結果顯示集區的狀態:您在下個步驟中將會需要 **OwnerId**。
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2"
}
]
}
```
## 步驟 4:使用 共用 IPAM 集區 AWS RAM
請依照本節中的步驟使用 共用 IPAM 集區, AWS RAM 讓另一個 AWS 帳戶可以將現有的 BYOIP IPV4 CIDR 轉移到 IPAM 集區,並使用 IPAM 集區。此步驟應由 **ipam-account** 帳戶執行。
**使用 共用 IPv4 地址集區 AWS CLI**
1. 檢視 IPAM 集區的可用 AWS RAM 許可。您需要使用兩個 ARN,才能完成本節中的步驟。
```
aws ram list-permissions --region us-east-1 --profile ipam-account --resource-type ec2:IpamPool
```
```
{
"permissions": [
{
"arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool",
"version": "1",
"defaultVersion": true,
"name": "AWSRAMDefaultPermissionsIpamPool",
"resourceType": "ec2:IpamPool",
"status": "ATTACHABLE",
"creationTime": "2022-06-30T13:04:29.335000-07:00",
"lastUpdatedTime": "2022-06-30T13:04:29.335000-07:00",
"isResourceTypeDefault": true
},
{
"arn": "arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport",
"version": "1",
"defaultVersion": true,
"name": "AWSRAMPermissionIpamPoolByoipCidrImport",
"resourceType": "ec2:IpamPool",
"status": "ATTACHABLE",
"creationTime": "2022-06-30T13:03:55.032000-07:00",
"lastUpdatedTime": "2022-06-30T13:03:55.032000-07:00",
"isResourceTypeDefault": false
}
]
}
```
1. 建立資源共用,以讓 **byoip-owner-account** 帳戶將 BYOIP CIDR 匯入 IPAM。`--resource-arns` 值為您在上一節建立之 IPAM 集區的 ARN。`--principals` 值為 BYOIP CIDR 擁有者帳戶的帳戶 ID。`--permission-arns` 值為 `AWSRAMPermissionIpamPoolByoipCidrImport` 許可的 ARN。
```
aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare2 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport
```
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7993758c-a4ea-43ad-be12-b3abaffe361a",
"name": "PoolShare2",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:32:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:32:25.536000-07:00"
}
}
```
1. (選用) 如果您要允許 **byoip-owner-account** 帳戶在傳輸完成後,將 IPAM 集區的 IP 地址 CIDRS 配置給公有 IPv4 集區,請複製 `AWSRAMDefaultPermissionsIpamPool` 的 ARN,並建立第二個資源共用。`--resource-arns` 值為您在上一節建立之 IPAM 集區的 ARN。`--principals` 值為 BYOIP CIDR 擁有者帳戶的帳戶 ID。`--permission-arns` 值為 `AWSRAMDefaultPermissionsIpamPool` 許可的 ARN。
```
aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare1 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool
```
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
"name": "PoolShare1",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:31:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00"
}
}
```
由於您已在 RAM 中建立資源共用,因此 byoip-owner-account 帳戶現在可將 CIDR 移動至 IPAM。
## 步驟 5:將現有的 BYOIP IPV4 CIDR 傳輸至 IPAM
請依照本節中的步驟將現有的 BYOIP IPV4 CIDR 傳輸至 IPAM。此步驟應由 **byoip-owner-account** 帳戶執行。
**重要**
將 IPv4 地址範圍帶入其中後 AWS,您可以使用範圍內的所有 IP 地址,包括第一個地址 (網路地址) 和最後一個地址 (廣播地址)。
若要將 BYOIP CIDR 傳輸至 IPAM,BYOIP CIDR 擁有者的 IAM 政策需具有下列許可:
+ `ec2:MoveByoipCidrToIpam`
+ `ec2:ImportByoipCidrToIpam`
**注意**
您可以 AWS CLI 針對此步驟使用 AWS 管理主控台 或 。
------
#### [ AWS Management Console ]
**若要將 BYOIP CIDR 傳輸至 IPAM 集區:**
1. 請以 **byoip-owner-account** 帳戶的身分在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇此教學課程中所建立的最上層集區並共用之。
1. 選擇**動作** >**傳輸 BYOIP CIDR**。
1. 選擇**傳輸 BYOIP CIDR**。
1. 選擇您的 BYOIP CIDR。
1. 選擇 **Provision** (佈建)。
------
#### [ Command line ]
使用下列 AWS CLI 命令,使用 將 BYOIP CIDR 傳輸至 IPAM 集區 AWS CLI:
1. 執行下列命令以傳輸 CIDR。請確定該`--region`值是 BYOIP CIDR AWS 的區域。
```
aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24
```
輸出結果會顯示 CIDR 的佈建處於待定狀態。
```
{
"ByoipCidr": {
"Cidr": "130.137.249.0/24",
"State": "pending-transfer"
}
}
```
1. 確保 CIDR 已傳輸。執行下列命令,直到輸出結果顯示 `complete-transfer` 的狀態為止。
```
aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24
```
下例的輸出結果即顯示狀態。
```
{
"ByoipCidr": {
"Cidr": "130.137.249.0/24",
"State": "complete-transfer"
}
}
```
------
## 步驟 6:檢視 IPAM 中的 CIDR
請依照本節中的步驟檢視 IPAM 中的 CIDR。此步驟應由 **ipam-account** 帳戶執行。
**使用 在 IPAM 集區中檢視傳輸的 BYOIP CIDR AWS CLI**
+ 執行下列命令以檢視透過 IPAM 進行管理的配置。請確定該`--region`值是 BYOIP CIDR AWS 的區域。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.249.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "111122223333"
}
]
}
```
## 步驟 7:清除
請依照本節中的步驟移除您在本教學課程中建立的資源。此步驟應由 **ipam-account** 帳戶執行。
**使用 清除本教學課程中建立的資源 AWS CLI**
1. 若要刪除 IPAM 集區共用資源,請執行下列命令,以取得第一個資源共用 ARN:
```
aws ram get-resource-shares --region us-east-1 --profile ipam-account --name PoolShare1 --resource-owner SELF
```
```
{
"resourceShares": [
{
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
"name": "PoolShare1",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:31:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00",
"featureSet": "STANDARD"
}
]
}
```
1. 複製資源共用 ARN,並使用其刪除 IPAM 集區資源共用。
```
aws ram delete-resource-share --region us-east-1 --profile ipam-account --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f
```
```
{
"returnValue": true
}
```
1. 如果您在 [步驟 4:使用 共用 IPAM 集區 AWS RAM](#tutorials-byoip-ipam-transfer-ipv4-4) 中已建立其他資源共用,請重複前兩個步驟,以取得 `PoolShare2` 的第二個資源共用 ARN,並刪除第二個資源共用。
1. 執行下列命令以取得 BYOIP CIDR 的配置 ID。確保 `--region`值符合 BYOIP CIDR AWS 的區域。
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987
```
該輸出結果會顯示 IPAM 中的分配情況。
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.249.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "111122223333"
}
]
}
```
1. 釋出公有 IPv4 集區的 CIDR。當您執行本節中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 **byoip-owner-account** 帳戶完成。
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --profile byoip-owner-account --pool-id ipv4pool-ec2-0019eed22a684e0b3 --cidr 130.137.249.0/24
```
1. 再次檢視您的 BYOIP CIDR,並確保其中不再有已佈建的地址。當您執行本節中的命令時,`--region` 的值必須與 IPAM 的區域相符。
此步驟必須由 **byoip-owner-account** 帳戶完成。
```
aws ec2 describe-public-ipv4-pools --region us-east-1 --profile byoip-owner-account
```
您會在輸出結果的公有 IPv4 集區中看到 IP 地址計數。
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b3",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
1. 執行下列命令以刪除最上層集區。
```
aws ec2 delete-ipam-pool --region us-east-1 --profile ipam-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035
```
您可在輸出結果中看到刪除狀態。
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4",
"AwsService": "ec2"
}
}
```
# 教學課程:為子網路 IP 配置規劃 VPC IP 地址空間
完成此教學課程,即可規劃 VPC IP 地址空間,以便將 IP 地址配置給 VPC 子網路,並在子網路和 VPC 層級監控 IP 地址相關指標。
**注意**
本教學課程涵蓋將私有 IPAM 範圍中的私有 IPv4 地址空間配置給 VPC 和子網路。亦可透過在 VPC 主控台上使用 Amazon 提供的 IPv6 CIDR 區塊選項來建立 VPC,使用 IPv6 CIDR 範圍完成本教學課程。
可透過為子網路規劃 VPC IP 地址空間執行下列動作:
+ **規劃和組織待配置給子網路的 VPC IP 地址**:您可以將 VPC IP 地址空間劃分為較小的 CIDR 區塊,並將這些 CIDR 區塊佈建至具有不同業務需求的子網路,例如在開發或生產子網路中執行工作負載。
+ **簡化 VPC 子網路的 IP 地址配置**:規劃和組織 VPC 的地址空間後,可以選擇網路遮罩長度,而不必手動輸入 CIDR。例如,如果開發人員正在建立用於託管開發工作負載的子網路,他們需要為子網路選擇集區和網路遮罩長度,IPAM 就會自動將 CIDR 區塊配置給子網路。
以下範例顯示依照本教學課程建立之集區和資源結構的階層:
+ 私有範圍
+ 資源規劃集區 (10.0.0.0/20)
+ 開發子網路集區 (10.0.0.0/24)
+ 開發子網路 (10.0.0.0/28)
+ 生產子網路集區 (10.0.0.1/24)
+ 生產子網路 (10.0.0.16/28)
**重要**
資源規劃集區可用來將 CIDR 配置給子網路,也可以用作可在其中建立其他集區的來源集區。本教學課程將資源規劃集區用作子網路集區的來源集區。
如果已為 VPC 佈建一個以上的 CIDR,則您可以使用相同的 VPC 建立多個資源規劃集區;例如,如果已為 VPC 指派兩個 CIDR,您可以建立兩個資源規劃集區,每個 CIDR 各一個。每個 CIRD 一次可指派至一個集區。
## 步驟 1:建立 VPC
完成本節中的步驟,建立用於子網路 IP 地址規劃的 VPC。如需建立 VPC 所需的 IAM 許可的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的 [Amazon VPC 政策範例](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html)。
**注意**
您可以使用現有 VPC 而不是建立新 VPC,但本教學課程著重於使用手動配置的 CIDR 區塊 (而不是自動配置 IPAM 的 CIDR 區塊) 來設定 VPC 的案例。
**建立 VPC**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 中開啟 IPAM 主控台。
1. 選擇**建立 VPC**。
1. 輸入 VPC 的名稱,例如 tutorial-vpc。
1. 選擇 **IPv4 CIDR manual input** (IPv4 CIDR 手動輸入),然後輸入 IPv4 CIDR 區塊。本教學課程中使用 10.0.0.0/20。
1. 略過新增 IPv6 CIDR 區塊的選項。
1. 選擇**建立 VPC**。
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在左側導覽窗格中選擇 **Resource** (資源)。
1. 等待顯示建立的 VPC。該動作需要一些時間,並且可能需要重新整理視窗才能看到。IPAM 必須探索到 VPC,然後才能繼續下一步。
## 步驟 2:建立資源規劃集區
完成本節中的步驟來建立資源規劃集區。
**建立資源規劃集區**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍。
1. 選擇**建立集區**。
1. 在 **IPAM 範圍**下,保持選取的私有範圍。
1. (可選) 新增集區的 **Name tag** (名稱標籤),例如 "Resource-planning-pool"。
1. 在 **Source** (來源) 下,選擇 **IPAM scope** (IPAM 範圍)。
1. 在 **Resource planning** (資源規劃) 下,選擇 **Plan IP space within a VPC** (規劃 VPC 內的 IP 空間),然後選擇在上一步中建立的 VPC。VPC 是用來將 CIDR 佈建至資源規劃集區的資源。
1. 在 **CIDRs to provision** (要佈建的 CIDR) 下,選擇要為集區佈建的 CIDR。佈建至資源規劃集區的 CIDR 必須與佈建至 VPC 的 CIDR 相符。本教學課程中使用 10.0.0.0/20。
1. 選擇**建立集區**。
1. 建立集區後,選擇 **CIDR tab** (CIDR 索引標籤),查看已佈建 CIDR 的狀態。重新整理頁面並等待 CIDR 狀態從 *Pending-provision* (待佈建) 變更為 *Provisioned* (已佈建),然後再進行下一步。
## 步驟 3:建立子網路集區
完成本節中的步驟,建立兩個將 IP 空間配置給子網路的子網路集區。
**建立子網路集區**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍。
1. 選擇**建立集區**。
1. 在 **IPAM 範圍**下,保持選取的私有範圍。
1. (可選) 新增集區的 **Name tag** (名稱標籤),例如 "dev-subnet-pool"。
1. 在 **Source** (來源) 下,選擇 **IPAM pool** (IPAM 集區),然後選取在步驟 3 中建立的資源規劃集區。會自動從來源集區繼承地址系列、資源規劃組態及地區設定。
1. 在 **CIDRs to provision** (要佈建的 CIDR) 下,選擇要為子網路集區佈建的 CIDR。本教學課程中使用 10.0.0.0/24。
1. 選擇**建立集區**。
1. 建立集區後,選擇 **CIDR tab** (CIDR 索引標籤),查看已佈建 CIDR 的狀態。重新整理頁面並等待 CIDR 狀態從 *Pending-provision* (待佈建) 變更為 *Provisioned* (已佈建),然後再進行下一步。
1. 重複此程序,建立另一個名為 "prod-subnet-pool" 的子網路。
此時,如果您想要將此子網路集區提供給其他 AWS 帳戶,您可以共用子網路集區。如需如何執行該作業的說明,請參閱 [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。然後回到此處以完成教學課程。
## 步驟 4:建立子網路
完成這些步驟,建立兩個子網路。
**建立子網路**
1. 使用適當的帳戶,在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 中開啟 VPC 主控台。
1. 選擇 **Subnets** (子網路) > **Create subnet** (建立子網路)。
1. 選擇在本教學課程開始時建立的 VPC。
1. 輸入子網路的名稱,例如 "tutorial-subnet"。
1. (可選) 選擇 **Availability Zone** (可用區域)。
1. 在 **IPv4 CIDR block** (IPv4 CIDR 區塊) 下,選擇 **IPAM-allocated IPV4 CIDR block** (IPAM 配置的 IPV4 CIDR 區塊),然後選擇開發子網路集區和 /28 網路遮罩。
1. 選擇 **Create subnet (建立子網路)**。
1. 重複此程序,建立其他子網路。這次選擇生產子網路集區和 /28 網路遮罩。
1. 回到 IPAM 主控台,然後在左側導覽窗格中選擇 **Resources** (資源)。
1. 尋找已建立的子網路集區,然後等待建立的子網路顯示在其下方。該動作需要一些時間,並且可能需要重新整理視窗才能看到。
此教學課程完成。可視需要建立其他子網路集區,亦可在 EC2 執行個體中啟動到其中一個子網路中。
IPAM 會在子網路中發佈與 IP 地址使用狀況相關的指標。您可以針對 SubnetIPUsage 指標設定 CloudWatch 警示,以便在違反 IP 使用率閾值時採取行動。例如,如果已將 /24 CIDR (256 個 IP 地址) 指派給子網路,而您希望在使用 80% 的 IP 時收到通知,則可以設定在達到此閾值時提醒您的 CloudWatch 警示。如需為子網路 IP 使用情況建立警示的詳細資訊,請參閱 [建立警示的快速提示](cloudwatch-ipam-res-util.md#cloudwatch-ipam-res-util-tip)。
## 步驟 5:清除
完成以下步驟,刪除在本教學課程中建立的資源。
**清除資源**
1. 使用 IPAM 管理員帳戶,在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇私有範圍。
1. 選擇資源規劃集區,然後選擇 **Action** (動作) > **Delete** (刪除)。
1. 選取 **Cascade delete** (串聯刪除)。將刪除資源規劃集區和子網路集區。該動作不會刪除子網路本身。它們會保留在佈建的 CIDR 內,但是 CIDR 不再來自 IPAM 集區。
1. 選擇 **刪除**。
1. [刪除子網路](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-deleting.html)。
1. [刪除 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html)。
清理完成。
# 從 IPAM 集區配置循序彈性 IP 位址
IPAM 可讓您將 Amazon 擁有的公有 IPv4 區塊佈建至 IPAM 集區,並將這些集區的循序[彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html)配置至 AWS 資源。
連續配置的彈性 IP 位址是依序配置的公有 IPv4 地址。例如,如果 Amazon 為您提供 `192.0.2.0/30` 的公有 IPv4 CIDR 區塊,且您從該 CIDR 區塊配置四個可用的公有 IPv4 地址,則四個循序彈性 IP 位址的範例為 `192.0.2.0`、`192.0.2.1`、`192.0.2.2` 和 `192.0.2.3`。
配置一致性的彈性 IP 位址可讓您以下列方式簡化您的安全和聯網規則:
+ **安全管理**:使用循序 IPv4 地址可降低防火牆管理開銷。您可以使用單一規則新增整個字首,並將 IP 與擴展時相同的字首建立關聯,以節省時間和精力。
+ **企業存取**:您可以使用整個 CIDR 區塊來簡化與用戶端共用的位址空間,而不是個別公有 IPv4 地址的長清單。這樣可避免隨著應用程式在 AWS上擴展,而需要持續傳達 IP 變更。
+ **簡化的 IP 管理**:使用循序 IPv4 地址可簡化中央聯網團隊的公有 IP 管理,因為它可減少追蹤個別公有 IP 的需求,並讓團隊專注於有限數量的 IP 字首。
在本教學課程中,您將完成從 IPAM 集區配置循序彈性 IP 位址的必要步驟。您將使用 Amazon 提供的連續公有 IPv4 CIDR 區塊建立 IPAM 集區,從集區配置彈性 IP 位址,並了解如何監控 IPAM 集區配置。
**注意**
佈建 Amazon 擁有的公有 IPv4 CIDR 區塊會產生相關費用。如需詳細資訊,請參閱 [Amazon VPC 定價頁面](https://aws.amazon.com//vpc/pricing/)上的 **Amazon 提供的連續 IPv4 區塊**索引標籤。
本教學假設您想要[使用 IPAM 搭配單一帳戶](enable-single-user-ipam.md)來建立 IPAM。如果您想要跨帳戶共用 Amazon 擁有的連續公有 IPv4 區塊,請先[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md),然後[透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)。如果您與 AWS Organizations 整合,您可以選擇建立[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html),以防止取消佈建指派給集區的爭用 IPv4 區塊。
您無法將配置的循序彈性 IP 位址從 IPAM 集區[轉移](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithEIPs.html#transfer-EIPs-intro)到其他 AWS 帳戶。相反地,IPAM 可讓您透過整合 IPAM 與 AWS Organizations (如上所述) 來跨 AWS 帳戶共用 IPAM 集區。
您可以佈建的 Amazon 擁有公有 IPv4 CIDR 區塊數量及其大小有所限制。如需詳細資訊,請參閱[IPAM 的配額](quotas-ipam.md)。
**Topics**
+ [步驟 1:建立 IPAM](#tutorials-eip-pool-1)
+ [第 2 步:建立 IPAM 集區並佈建 CIDR](#tutorials-eip-pool-2)
+ [第 3 步:從集區配置彈性 IP 位址](#tutorials-eip-pool-3)
+ [第 4 步:建立彈性 IP 位址與 EC2 執行個體的關聯](#tutorials-eip-pool-4)
+ [第 5 步:追蹤和監控集區用量](#track-monitor-eips-ipam)
+ [清除](#tutorials-eip-pool-cleanup)
## 步驟 1:建立 IPAM
完成本節中的步驟來建立 IPAM。
------
#### [ AWS Management Console ]
**建立 IPAM**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在 AWS 管理主控台中,選擇您要在其中建立 IPAM AWS 的區域。在您的主要作業區域中建立 IPAM。
1. 在服務首頁選擇 **Create IPAM** (建立 IPAM)。
1. 選擇 **Allow Amazon VPC IP Address Manager to replicate data from source account(s) into the IPAM delegate account** (允許 Amazon VPC IP 地址管理員將來源帳戶的資料複寫到 IPAM 委託帳戶)。若未選取此選項,即無法建立 IPAM。
1. 選擇 **IPAM tier** (IPAM 方案)。如需每個方案中的可用功能以及方案關聯成本的詳細資訊,請參閱 [Amazon VPC 定價頁面](https://aws.amazon.com//vpc/pricing/)中的 IPAM 索引標籤。
1. 在 **Operating regions** (作業區域) 下,選取此 IPAM 可管理及探索資源的 AWS 區域。您建立 IPAM AWS 的區域預設會選取為其中一個操作區域。例如,如果您要在 AWS 區域中建立此 IPAM,`us-east-1`但稍後想要建立區域 IPAM 集區,以提供 CIDRs給 中的 VPCs`us-west-2`,請選取`us-west-2`這裡。如果您忘記作業區域,稍後可以返回並編輯 IPAM 設定。
**注意**
如果要在免費方案中建立 IPAM,可以為 IPAM 選取多個作業區域,但唯一可在各個作業區域使用的 IPAM 功能是[公共 IP 洞察功能](view-public-ip-insights.md)。無法在 IPAM 的作業區域中使用免費方案中的其他功能,例如 BYOIP。只能在 IPAM 的主區域中使用。若要跨作業區域使用所有 IPAM 功能,請[在進階方案中建立 IPAM](mod-ipam-tier.md)。
1. 選擇 **Create IPAM** (建立 IPAM)。
------
#### [ Command line ]
本節中的命令連結至 CLI AWS 參考文件。本文件旨在詳細說明執行命令時可使用的選項。
使用 [create-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam.html) 命令建立 IPAM:
```
aws ec2 create-ipam --region us-east-1
```
回應範例:
```
{
"Ipam": {
"OwnerId": "320805250157",
"IpamId": "ipam-0755477df834ea06b",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"PublicDefaultScopeId": "ipam-scope-01bc7290e4a9202f9",
"PrivateDefaultScopeId": "ipam-scope-0a50983b97a7a583a",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
}
],
"State": "create-in-progress",
"Tags": [],
"DefaultResourceDiscoveryId": "ipam-res-disco-02cc5b34cc3f04f09",
"DefaultResourceDiscoveryAssociationId": "ipam-res-disco-assoc-06b3a4dccfc81f7c1",
"ResourceDiscoveryAssociationCount": 1,
"Tier": "advanced"
}
}
```
您將需要在下一步使用公有範圍 ID。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
------
## 第 2 步:建立 IPAM 集區並佈建 CIDR
完成本節中的步驟,以建立您要從中配置彈性 IP 位址的 IPAM 集區。
------
#### [ AWS Management Console ]
**建立集區**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 選擇公有範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 選擇**建立集區**。
1. (選用) 新增集區的 **Name tag** (名稱標籤) 和集區的 **Description** (說明)。
1. 在 **Source** (來源) 下,選擇 **IPAM scope** (IPAM 範圍)。
1. 在 **Address family** (地址系列) 下,選擇 **IPv4**。
1. 在 **Resource planning** (資源規劃) 下,將 **Plan IP space within the scope** (規劃範圍內的 IP 空間) 保留選取狀態。
1. 在 **Locale** (區域設定) 下,選擇該集區的區域設定。地區設定是您希望此 IPAM 集區可用於配置 AWS 的區域。可用選項來自您在建立 IPAM 時選擇的作業區域。
1. 在 **Service** (服務) 下,選擇 **EC2 (EIP/VPC)**。您選取的服務決定 CIDR 將公告 AWS 的服務。目前,唯一的選項是 **EC2 (EIP/VPC)**,這意味著從此集區配置的 CIDR 可針對 Amazon EC2 服務 (適用於彈性 IP 位址) 進行公告。
1. 在 **公有 IP 來源** 下,選擇 **Amazon 擁有**。
1. 在 **要佈建的 CIDR** 下,選擇 **新增 Amazon 擁有的公有 CIDR**。選擇介於 `/29` (8 個 IP 位址) 和 `/30` (4 個 IP 位址) 之間的 **網路遮罩** 長度。根據預設,您最多可以新增 2 個 CIDR。如需提高 Amazon 提供的連續公有 IPv4 CIDR 限制的相關資訊,請參閱 [IPAM 的配額](quotas-ipam.md)。
1. 將**調整此集區的分配規則設定**保持在未選取的狀態。
1. (選用) 為集區選擇 **Tags** (標籤)。
1. 選擇**建立集區**。
請先確定此 CIDR 已佈建,然後再繼續。您可在集區詳細資訊頁面的 **CIDRs** (CIDR) 索引標籤中看到佈建狀態。
------
#### [ Command line ]
**建立集區**
1. 使用 [create-ipam-pool](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-ipam-pool.html) 命令建立 IPAM 集區。地區設定為您希望此 IPAM 集區可供配置使用的 AWS 區域。可用選項來自您在建立 IPAM 時選擇的作業區域。
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-01bc7290e4a9202f9 --address-family ipv4 --locale us-east-1 --aws-service ec2 --public-ip-source amazon
```
狀態為 `create-in-progress` 的回應範例:
```
{
"IpamPool": {
"OwnerId": "320805250157",
"IpamPoolId": "ipam-pool-07ccc86aa41bef7ce",
"IpamPoolArn": "arn:aws:ec2::320805250157:ipam-pool/ipam-pool-07ccc86aa41bef7ce",
"IpamScopeArn": "arn:aws:ec2::320805250157:ipam-scope/ipam-scope-01bc7290e4a9202f9",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"Locale": "us-east-1",
"PoolDepth": 1,
"State": "create-in-progress",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2",
"PublicIpSource": "amazon"
}
}
```
1. 使用 [describe-ipam-pools](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-pools.html) 命令檢查集區是否已成功建立。
```
aws ec2 describe-ipam-pools --region us-east-1 --ipam-pool-ids ipam-pool-07ccc86aa41bef7ce
```
狀態為 `create-complete` 的回應範例:
```
{
"IpamPools": [
{
"OwnerId": "320805250157",
"IpamPoolId": "ipam-pool-07ccc86aa41bef7ce",
"IpamPoolArn": "arn:aws:ec2::320805250157:ipam-pool/ipam-pool-07ccc86aa41bef7ce",
"IpamScopeArn": "arn:aws:ec2::320805250157:ipam-scope/ipam-scope-01bc7290e4a9202f9",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"Locale": "us-east-1",
"PoolDepth": 1,
"State": "create-complete",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2",
"PublicIpSource": "amazon"
}
]
}
```
1. 使用 [provision-ipam-pool-cidr](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/provision-ipam-pool-cidr.html) 命令位集群佈建 CIDR。選擇介於 `/29` (8 個 IP 位址) 和 `/30` (4 個 IP 位址) 之間的 `--netmask-length`。根據預設,您最多可以新增 2 個 CIDR。如需提高 Amazon 提供的連續公有 IPv4 CIDR 限制的相關資訊,請參閱 [IPAM 的配額](quotas-ipam.md)。
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce --netmask-length 29
```
狀態為 `pending-provision` 的回應範例:
```
{
"IpamPoolCidr": {
"State": "pending-provision",
"IpamPoolCidrId": "ipam-pool-cidr-01856e43994df4913b7bc6aac47adf983",
"NetmaskLength": 29
}
}
```
1. 請先確定此 CIDR 已佈建,然後再繼續。您可以使用 [get-ipam-pool-cidrs](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-ipam-pool-cidrs.html) 命令檢視佈建狀態。
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
狀態為 `provisioned` 的回應範例:
```
{
"IpamPoolCidrs": [
{
"Cidr": "18.97.0.40/29",
"State": "provisioned",
"IpamPoolCidrId": "ipam-pool-cidr-01856e43994df4913b7bc6aac47adf983",
"NetmaskLength": 29
}
]
}
```
------
## 第 3 步:從集區配置彈性 IP 位址
按照本節中的步驟,從集區配置彈性 IP 位址。
------
#### [ AWS Management Console ]
請依照*《Amazon EC2 使用者指南》*中的[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)中的步驟配置地址,但請注意下列事項:
+ 請確定您在 EC2 主控台中的 AWS 區域符合您在步驟 2 中建立集區時所選擇的地區設定選項。
+ 選擇位址集區時,請選擇**使用 IPv4 IPAM 集區配置**的選項,然後選擇您在第 1 步中建立的集區。
------
#### [ Command line ]
使用 [allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 命令從集區配置地址。您使用的 `--region` 必須與您在步驟 2 中建立集區時所選擇的 `-locale` 選項相符。在 `--ipam-pool-id` 中包含您在第 2 步中建立的 IPAM 集區的 ID。
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
回應範例:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
您也可以選擇 IPAM 集區中的特定 `/32`,方法是使用 `--address` 選項。
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce --address 18.97.0.41
```
回應範例:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[配置彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)。
------
## 第 4 步:建立彈性 IP 位址與 EC2 執行個體的關聯
完成本節中的步驟,建立彈性 IP 位址與 EC2 執行個體的關聯。
------
#### [ AWS Management Console ]
請遵循《*Amazon EC2 使用者指南*》中的[關聯彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating)的步驟,從 IPAM 集區配置彈性 IP 地址,但請注意下列事項:當您使用 AWS 管理主控台選項時,您在 中關聯彈性 IP 地址 AWS 的區域必須符合您在步驟 2 中建立集區時所選擇的地區設定選項。
------
#### [ Command line ]
使用 [associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 命令,建立彈性 IP 位址與 Outpost 執行個體的關聯。您在 `--region` 中關聯彈性 IP 位址的 `--locale` 選項必須與您在第 2 步中建立集區時選擇的選項相符。
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
回應範例:
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
如需詳細資訊,請參閱*《Amazon EC2 使用者指南》*中的[將彈性 IP 位址與執行中的執行個體或網路介面建立關聯](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating)。
------
## 第 5 步:追蹤和監控集區用量
從 IPAM 集區配置彈性 IP 位址後,您就可以追蹤和監控 IPAM 集區配置。
------
#### [ AWS Management Console ]
+ 在 IPAM 主控台中檢視 IPAM 集區詳細資訊的 **配置** 索引標籤。從 IPAM 集區配置的任何彈性 IP 位址都具有 **EIP** 的 **資源類型**。
+ 使用[公共 IP 洞察功能](view-public-ip-insights.md):
+ 在**公有 IP 類型**下,依 **Amazon 擁有的 EIP** 進行篩選。這會顯示配置給 Amazon 擁有彈性 IP 位址的公有 IPv4 地址總數。如果您依此量值篩選並捲動至頁面底部的 **公有 IP 位址**,您會看到已配置的彈性 IP 位址。
+ 在 **EIP 用量**下,依**關聯的 Amazon 擁有的 EIP** 或**未關聯的 Amazon 擁有的 EIP** 進行篩選。這會顯示您在 AWS 帳戶中配置的彈性 IP 地址總數,且您已或尚未與 EC2 執行個體、網路介面或 AWS 資源建立關聯。如果您依此量值篩選並捲動至頁面底部的 **公有 IP 位址**,您會看到已篩選資源的詳細資訊。
+ 在 **Amazon 擁有的 IPv4 連續 IP 用量**下,監控一段時間內的循序公有 IPv4 地址用量,以及相關的 Amazon 擁有的 IPv4 IPAM 集區。
+ 使用 Amazon CloudWatch 來追蹤和監控與已佈建至 IPAM 集區的 Amazon 提供的連續公有 IPv4 區塊相關的指標。如需針對連續 IPv4 區塊的可用指標,請參閱 [IPAM 指標](cloudwatch-ipam-ip-address-usage.md) 下的**公有 IP 指標**。除了檢視指標之外,您還可以在 Amazon CloudWatch 中建立警示,以便在達到閾值時通知您。使用 Amazon CloudWatch 建立警示和設定通知不在本教學課程的範圍內。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。
------
#### [ Command line ]
+ 使用 [get-ipam-pool-allocations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-allocations.html) 命令檢視 IPAM 集區配置。從 IPAM 集區配置的任何彈性 IP 位址都具有 **eip** 的 **資源類型**。
```
aws ec2 get-ipam-pool-allocations --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
回應範例:
```
{
"IpamPoolAllocations": [
{
"Cidr": "18.97.0.40/32",
"IpamPoolAllocationId": "ipam-pool-alloc-0bd07df786e8148aba2763e2b6c1c44bd",
"ResourceId": "eipalloc-0c9decaa541d89aa9",
"ResourceType": "eip",
"ResourceRegion": "us-east-1",
"ResourceOwner": "320805250157"
}
]
}
```
+ 使用 Amazon CloudWatch 來追蹤和監控與已佈建至 IPAM 集區的 Amazon 提供的連續公有 IPv4 區塊相關的指標。如需針對連續 IPv4 區塊的可用指標,請參閱 [IPAM 指標](cloudwatch-ipam-ip-address-usage.md) 下的**公有 IP 指標**。除了檢視指標之外,您還可以在 Amazon CloudWatch 中建立警示,以便在達到閾值時通知您。使用 Amazon CloudWatch 建立警示和設定通知不在本教學課程的範圍內。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。
------
此教學課程現已完成。您已使用 Amazon 提供的連續公有 IPv4 CIDR 區塊建立 IPAM 集區、從集區配置彈性 IP 位址,並了解如何監控 IPAM 集區配置。繼續前往下一節,刪除您在本教學課程中建立的資源。
## 清除
請按照本節中的步驟,清除您在本教學課程中已建立的資源。
**第 1 步:取消與彈性 IP 位址的關聯**
完成*《Amazon EC2 使用者指南》*中[取消彈性 IP 位址的關聯](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating-different)中的步驟,以取消彈性 IP 位址的關聯。
**第 2 步:釋出彈性 IP 位址**
完成*《Amazon EC2 使用者指南》*中[釋出彈性 IP 位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing-eips-releasing.html)中的步驟,從公有 IPv4 集區釋出彈性 IP 位址。
**第 3 步:從 IPAM 集區取消佈建 CIDR**
完成 [從集區解除佈建 CIDR](depro-pool-cidr-ipam.md) 中的步驟,從 IPAM 集區取消佈建 Amazon 擁有的公有 CIDR。您需要完成此步驟才能刪除集區。直到此步驟完成為止,您將需要支付 Amazon 提供的連續 IPv4 區塊的費用。
**第 4 步:刪除 IPAM 集區**
完成 [刪除集區](delete-pool-ipam.md) 中的步驟以刪除 IPAM 集區。
**第 5 步:刪除 IPAM**
完成 [刪除 IPAM](delete-ipam.md) 中的步驟以刪除 IPAM。
此教學課程清除完成。