View a markdown version of this page

Definir a estratégia de alocação de IPv4 público com as políticas do IPAM - Amazon Virtual Private Cloud

Definir a estratégia de alocação de IPv4 público com as políticas do IPAM

Uma política do IPAM é um conjunto de regras que define como os endereços IPv4 públicos dos pools do IPAM são alocados aos recursos da AWS. Cada regra associa um serviço da AWS aos grupos do IPAM que o serviço usará para acessar endereços IP. Uma única política pode ter várias regras e ser aplicada a várias regiões da AWS. Se o grupo do IPAM ficar sem endereços, os serviços retornarão aos endereços IP fornecidos pela Amazon. Uma política pode ser uma conta da AWS individual ou uma entidade dentro das AWS Organizations. Se você trouxer seu próprio IP (BYOIP), isso ajudará a reduzir seus custos com IPv4 público da AWS.

Quando usar as políticas do IPAM

Use as políticas do IPAM para:

  • Reduzir os custos com IPv4 públicos usando endereços BYOIP

  • Controlar centralmente quais pools de IP seus recursos da AWS usam

  • Garantir uma alocação consistente de IP em toda a sua organização

Como funciona

Quando você cria um recurso da AWS que precisa de um endereço IP público em uma conta com políticas do IPAM aplicadas:

  • O IPAM verifica suas regras de política em ordem.

  • Se uma regra corresponder ao tipo de recurso, o IPAM aloca um IP do pool especificado.

  • Se o pool estiver vazio e o estouro estiver habilitado, a Amazon fornecerá um endereço IP.

  • Se nenhuma regra corresponder, o comportamento padrão será aplicado.

Serviços e recursos compatíveis

Você pode criar políticas do IPAM para definir como os endereços IPv4 públicos dos pools do IPAM são alocados aos seguintes serviços e recursos da AWS:

  • Endereços IP elásticos (EIPs – Elastic IP addresses)

  • Application Load Balancers (ALBs)

  • Amazon Relational Database Service (RDS)

  • Gateways NAT regionais

Importante

Se você escolher um pool do IPAM ou ID de alocação do EIP específico ao criar um recurso da AWS, isso substituirá a política do IPAM.

Pré-requisitos

Terminologia

Política do IPAM

Uma política do IPAM é um conjunto de regras que define como os endereços IPv4 públicos dos pools do IPAM são alocados aos recursos da AWS. Cada regra associa um serviço da AWS aos grupos do IPAM que o serviço usará para acessar endereços IP. Uma única política pode ter várias regras e ser aplicada a várias regiões da AWS. Se o grupo do IPAM ficar sem endereços, os serviços retornarão aos endereços IP fornecidos pela Amazon. Uma política pode ser uma conta da AWS individual ou uma entidade dentro das AWS Organizations. Uma política pode ser uma conta da AWS individual ou uma entidade dentro das AWS Organizations.

Regras de alocação

As configurações opcionais dentro de uma política do IPAM que mapeiam os tipos de recursos da AWS a pools do IPAM específicos. Se nenhuma regra for definida, os tipos de recurso usarão como padrão os endereços IP fornecidos pela Amazon.

Target

Uma conta da AWS individual ou uma entidade dentro de uma organização da AWS à qual uma política do IPAM pode ser aplicada.

Etapa 1: criar uma política do IPAM

Usando o Console da AWS:

Para criar uma política do IAM usando o Console da AWS, siga estas etapas:

  1. Abra o console do IPAM em https://console.aws.amazon.com/ipam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Create policy (Criar política).

  4. Insira um nome para a sua política (opcional).

  5. Selecione o IPAM a ser associado a essa política.

  6. (Opcional) Adicione tags.

  7. Escolha Criar política.

Usar a AWS CLI:

Use o comando create-ipam-policy.

Etapa 2: adicionar regras de alocação

Depois de criar a política, você precisa adicionar regras de alocação que definam como os endereços IP são alocados:

Usando o Console da AWS:

Siga estas etapas para adicionar regras de alocação usando o Console da AWS:

  1. No painel de navegação à esquerda, escolha Políticas.

  2. Selecione a política criada na etapa anterior.

  3. Na página de detalhes da sua política, escolha a guia Regras de alocação.

  4. Escolha Criar regras de alocação.

  5. Defina a Configuração do serviço:

    • Localidade: escolha a região da AWS (us-east-1) ou a zona local em que deseja que essa política seja aplicada.

    • Tipo de recurso: selecione o tipo de recurso ou serviço da AWS para essa política (endereços IP elásticos, instâncias do banco de dados do RDS, Application Load Balancers ou gateways NAT no modo de disponibilidade regional).

  6. Defina a configuração das regras:

    • Pool do IPAM: selecione o pool do IPAM que fornecerá os endereços IP.

    • Analise os detalhes do pool (localidade, origem de IP público, espaço disponível e intervalos CIDR disponíveis).

  7. (Opcional) Escolha Adicionar nova regra para adicionar mais regras.

  8. Escolha Criar regra de alocação.

Usar a AWS CLI:

Use o comando modify-ipam-policy-allocation-rules.

Etapa 3: habilitar a política

Especifique quais contas devem usar essa política.

Usando o Console da AWS:

Siga estas etapas para habilitar a política usando o Console da AWS:

  1. Na página de detalhes da sua política, escolha a guia Destinos.

  2. Escolha Gerenciar destinos da política.

  3. Execute um destes procedimentos:

    • Para o uso com uma única conta (IPAM não integrado com o AWS Organizations), escolha Habilitar para a sua conta.

    • Para IPAM integrado com o AWS Organizations (quando você é o administrador delegado):

      • Na seção Estrutura organizacional, selecione as contas ou unidades organizacionais nas quais você deseja aplicar essa política.

      • Marque a caixa de seleção Habilitado para cada destino.

      • Escolha Salvar alterações.

      • Importante: habilitar essa política substituirá todas as políticas ativas do IPAM nas contas ou unidades organizacionais selecionadas.

Usar a AWS CLI:

Use o comando enable-ipam-policy com base na sua configuração:

Para o uso com uma única conta (IPAM não integrado com o AWS Organizations):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

Para IPAM integrado com o AWS Organizations (quando você é o administrador delegado), defina uma política para segmentar uma conta no AWS Organization:

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012

Para IPAM integrado com o AWS Organizations (quando você é o administrador delegado), defina uma política para segmentar uma unidade organizacional:

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id ou-123
Importante

A ativação dessa política substituirá todas as políticas ativas do IPAM nas contas ou unidades organizacionais selecionadas.

Etapa 4: testar sua política

Crie um novo recurso do tipo que você configurou (como um EIP) em uma das contas de destino. O recurso usará automaticamente um endereço IP do seu pool do IPAM.

Importante

Se você escolher um pool do IPAM ou ID de alocação do EIP específico ao criar um recurso da AWS, isso substituirá a política do IPAM.

Etapa 5: Monitorar o uso

Verifique seu pool do IPAM no console para ver os endereços IP sendo alocados aos seus recursos.