View a markdown version of this page

使用 IPAM 策略定义公有 IPv4 分配策略 - Amazon Virtual Private Cloud

使用 IPAM 策略定义公有 IPv4 分配策略

IPAM 策略是一组规则,这些规则用于定义如何将 IPAM 池中的公有 IPv4 地址分配给 AWS 资源。每条规则都将 AWS 服务映射到该服务将用于获取 IP 地址的 IPAM 池。单个策略可以有多个规则,并且可以应用于多个 AWS 区域。如果 IPAM 池中的地址耗尽,则服务将回退到 Amazon 提供的 IP 地址。策略可以应用于 AWS Organizations 中的各个 AWS 账户或实体。如果您自带 IP(BYOIP),这将有助于降低您的 AWS 公有 IPv4 成本。

IPAM 策略的使用场景

使用 IPAM 策略具有以下优势:

  • 通过使用 BYOIP 地址降低公有 IPv4 成本

  • 集中控制您的 AWS 资源使用的 IP 池

  • 确保整个组织的 IP 分配保持一致

工作原理

当您在强制执行 IPAM 策略的账户中创建需要公有 IP 地址的 AWS 资源时:

  • IPAM 会按顺序检查您的策略规则。

  • 如果某条规则与该资源类型匹配,IPAM 会从指定的池中分配一个 IP。

  • 如果该池为空且启用了溢出功能,则 Amazon 会提供一个 IP 地址。

  • 如果没有匹配的规则,则会应用默认行为。

支持的服务和资源

您可以创建 IPAM 策略,来定义如何将 IPAM 池中的公有 IPv4 地址分配给以下 AWS 服务和资源:

  • 弹性 IP 地址(EIP)

  • 应用程序负载均衡器(ALB)

  • Amazon Relational Database Service(RDS)

  • 区域 NAT 网关

重要

如果您在创建 AWS 资源时选择了特定的 IPAM 池或 EIP 分配 ID,则该设置将覆盖 IPAM 策略。

先决条件

术语

IPAM 策略

IPAM 策略是一组规则,这些规则用于定义如何将 IPAM 池中的公有 IPv4 地址分配给 AWS 资源。每条规则都将 AWS 服务映射到该服务将用于获取 IP 地址的 IPAM 池。单个策略可以有多个规则,并且可以应用于多个 AWS 区域。如果 IPAM 池中的地址耗尽,则服务将回退到 Amazon 提供的 IP 地址。策略可以应用于 AWS Organizations 中的各个 AWS 账户或实体。策略可以应用于 AWS Organizations 中的各个 AWS 账户或实体。

分配规则

IPAM 策略中用于将 AWS 资源类型映射到特定 IPAM 池的可选配置。如果未定义任何规则,则资源类型默认为使用 Amazon 提供的 IP 地址。

Target

可向其应用 IPAM 策略的单个 AWS 账户或 AWS 组织内的实体。

第 1 步:创建 IPAM 策略

使用 AWS 控制台:

按照以下步骤操作,使用 AWS 控制台创建一个 IAM 策略:

  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在左侧导航窗格中,选择 Policies(策略)

  3. 选择创建策略

  4. 为您的策略输入一个名称(可选)。

  5. 选择要关联到此策略的 IPAM

  6. (可选)添加标签。

  7. 选择创建策略

使用 AWS CLI:

使用 create-ipam-policy 命令。

第 2 步:添加分配规则

创建策略后,您需要添加分配规则来定义如何分配 IP 地址:

使用 AWS 控制台:

按照以下步骤操作,使用 AWS 控制台添加分配规则:

  1. 在左侧导航窗格中,选择 Policies(策略)

  2. 选择在上一步中创建的策略。

  3. 在策略详细信息页面中,选择分配规则选项卡。

  4. 选择创建分配规则

  5. 配置服务配置

    • 区域设置:选择要应用此策略的 AWS 区域 (us-east-1) 或本地区域。

    • 资源类型:选择此策略的 AWS 服务或资源类型(弹性 IP 地址、RDS 数据库实例、应用程序负载均衡器或区域可用性模式的 NAT 网关)。

  6. 配置规则配置

    • IPAM 池:选择将提供 IP 地址的 IPAM 池。

    • 检查池详细信息(区域设置、公有 IP 源、可用空间和可用 CIDR 范围)。

  7. (可选)选择添加新规则以创建其他规则。

  8. 选择创建分配规则

使用 AWS CLI:

使用 modify-ipam-policy-allocation-rules 命令。

第 3 步:启用策略

指定应使用此策略的账户。

使用 AWS 控制台:

按以下步骤操作,使用 AWS 控制台启用策略:

  1. 在策略详细信息页面中,选择目标选项卡。

  2. 选择管理策略目标

  3. 请执行以下操作之一:

    • 如果用于单个账户(IPAM 未与 AWS Organizations 集成),请选择为您的账户启用

    • 如果 IPAM 已与 AWS Organizations 集成(您是委托管理员时):

      • 组织结构部分中,选择要应用此策略的账户或组织单元。

      • 为每个目标选中已启用复选框。

      • 选择保存更改

      • 重要提示:启用此策略将取代选定账户或组织单元中任何有效的 IPAM 策略。

使用 AWS CLI:

根据您的设置使用 enable-ipam-policy 命令:

如果用于单个账户(IPAM 未与 AWS Organizations 集成):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

如果 IPAM 已与 AWS Organizations 集成(您是委托管理员时),请设置策略以定位 AWS 组织中的帐户:

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012

如果 IPAM 已与 AWS Organizations 集成(您是委托管理员时),请设置策略以定位组织单元:

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id ou-123
重要

启用此策略将取代选定账户或组织单元中任何有效的 IPAM 策略。

第 4 步:测试策略

在其中一个目标账户中创建一个所配置类型的新资源(如 EIP)。该资源将自动使用您的 IPAM 池中的 IP 地址。

重要

如果您在创建 AWS 资源时选择了特定的 IPAM 池或 EIP 分配 ID,则该设置将覆盖 IPAM 策略。

第 5 步:监控使用情况

在控制台中检查您的 IPAM 池,以查看分配给您的资源的 IP 地址。